Setting up SCIM provisioning between CyberArk and IAM Identity Center - AWS IAM Identity Center
사전 조건SCIM 고려 사항1단계: IAM Identity Center 프로비저닝 활성화2단계: CyberArk에서 프로비저닝 구성(선택 사항) 3단계: IAM Identity Center에서 액세스 제어(ABAC)에 사용되는 CyberArk 사용자 속성 구성 (선택 사항) 액세스 제어에 속성 전달

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Setting up SCIM provisioning between CyberArk and IAM Identity Center

IAM Identity Center는 CyberArk Directory Platform에서 IAM Identity Center로 들어오는 사용자 정보의 자동 프로비저닝(동기화)을 지원합니다. 이 프로비저닝은 도메인 간 ID 관리 시스템(SCIM) v2.0 프로토콜을 사용합니다. 자세한 내용은 외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용 단원을 참조하십시오.

IAM Identity Center SCIM 엔드포인트와 액세스 토큰을 사용하여 CyberArk에서 이 연결을 구성합니다. SCIM 동기화를 구성할 때 CyberArk의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 CyberArk 간에 예상 속성이 일치하게 됩니다.

CyberArk에 기반한 이 가이드는 2021년 8월 기준입니다. 최신 버전의 단계는 다를 수 있습니다. 이 가이드에는 SAML을 통한 사용자 인증 구성에 관련된 몇 가지 참고 사항이 포함되어 있습니다.

참고

SCIM 배포를 시작하기 전에 먼저 자동 프로비저닝을 사용할 때 고려 사항를 검토하는 것이 좋습니다. 그 후, 다음 섹션에서 추가 고려 사항을 계속 검토합니다.

사전 조건

시작하기 전에 다음을 준비해야 합니다.

  • CyberArk 구독 또는 무료 평가판. 무료 평가판을 신청하려면 CyberArk를 방문하세요.

  • IAM Identity Center 활성화 계정(무료). 자세한 내용은 IAM Identity Center 활성화를 참조하세요.

  • IAM Identity Center 센터 CyberArk 설명서에 설명된 대로 CyberArk 계정에서 IAM Identity Center로의 SAML 연결을 수행합니다.

  • AWS 계정에 액세스를 허용하려는 역할, 사용자 및 조직과 IAM Identity Center 커넥터를 연결합니다.

SCIM 고려 사항

IAM Identity Center에서 CyberArk 페더레이션을 사용할 때 고려해야 할 사항은 다음과 같습니다.

  • 애플리케이션 프로비저닝 섹션에 매핑된 역할만 IAM Identity Center와 동기화됩니다.

  • 프로비저닝 스크립트는 기본 상태에서만 지원되며, 이것이 일단 변경되면 SCIM 프로비저닝이 실패할 수 있습니다.

    • 하나의 전화번호 속성만 동기화할 수 있으며 기본값은 “직장 전화”입니다.

  • CyberArk IAM Identity Center 애플리케이션의 역할 매핑이 변경되면 다음과 같은 동작이 예상됩니다.

    • 역할 이름이 변경되더라도 IAM Identity Center의 그룹 이름은 변경되지 않습니다.

    • 그룹 이름이 변경되면 IAM Identity Center에 새 그룹이 생성되고 기존 그룹은 유지되지만 구성원은 없습니다.

  • 사용자 동기화 및 프로비저닝 해제 동작은 CyberArk IAM Identity Center 애플리케이션에서 설정할 수 있습니다. 조직에 적합한 동작을 설정합니다. 가능한 옵션은 다음과 같습니다.

    • Identity Center 디렉터리의 사용자를 같은 보안 주체 이름으로 덮어쓰지 마세요.

    • 사용자가 CyberArk 역할에서 제거되면 IAM Identity Center에서 사용자 프로비저닝을 해제합니다.

    • 사용자 행동 프로비저닝 해제 - 비활성화 또는 삭제.

1단계: IAM Identity Center 프로비저닝 활성화

이 첫 번째 단계에서는 IAM Identity Center 콘솔을 사용하여 자동 프로비저닝을 활성화합니다.

IAM Identity Center에서 자동 프로비저닝을 활성화하려면

  1. 사전 필수 조건을 완료한 후 IAM Identity Center 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 설정을 선택합니다.

  3. 설정 페이지에서 자동 프로비저닝 정보 상자를 찾은 다음 활성화를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.

  4. 인바운드 자동 프로비저닝 대화 상자에서 SCIM 엔드포인트와 액세스 토큰을 복사합니다. IdP에서 프로비저닝을 구성할 때 나중에에 붙여넣어야 합니다.

    1. SCIM 엔드포인트-예: https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. 액세스 토큰 - 토큰 표시를 선택하여 값을 복사합니다.

    주의

    SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에 이 값을 입력하여 IdP에서 자동 프로비저닝을 구성할 수 있습니다.

  5. 닫기를 선택하세요.

이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했으므로 CyberArk IAM Identity Center 애플리케이션을 사용하여 나머지 작업을 완료해야 합니다. 다음 절차에서 이 단계를 설명합니다.

2단계: CyberArk에서 프로비저닝 구성

CyberArk IAM Identity Center 애플리케이션의 다음 절차를 사용하여 IAM Identity Center를 통한 프로비저닝을 활성화합니다. 이 절차에서는 웹 앱의 CyberArk 관리 콘솔에 CyberArk IAM Identity Center 애플리케이션을 이미 추가했다고 가정합니다. 아직 이를 수행하지 않은 경우 사전 조건를 참조하고 이 절차를 완료하여 SCIM 프로비저닝을 구성합니다.

CyberArk에서 프로비저닝을 구성하려면

  1. CyberArk(앱 > 웹 앱)의 SAML을 구성하는 과정에서 추가한 CyberArk IAM Identity Center 애플리케이션을 엽니다. 사전 조건 단원을 참조하세요.

  2. IAM Identity Center 애플리케이션을 선택하고 프로비저닝 섹션으로 이동합니다.

  3. 이 애플리케이션에 대한 프로비저닝 활성화 체크박스를 선택하고 라이브 모드를 선택합니다.

  4. 이전 절차에서 IAM Identity Center SCIM 엔드포인트 값을 복사했습니다. 해당 값을 SCIM 서비스 URL 필드에 붙여넣고 CyberArk IAM Identity Center 애플리케이션에서 인증 유형인증 헤더로 설정합니다.

  5. 헤더 유형베어러 토큰으로 설정합니다.

  6. 이전 절차에서 IAM Identity Center에서 액세스 토큰 값을 복사했습니다. 해당 값을 CyberArk IAM Identity Center 애플리케이션의 베어러 토큰 필드에 붙여넣습니다.

  7. 확인을 클릭하여 구성을 테스트하고 적용합니다.

  8. 동기화 옵션에서 CyberArk의 아웃바운드 프로비저닝이 작동하는 데 사용할 올바른 동작을 선택합니다. 보안 주체 이름이 비슷한 기존 IAM Identity Center 사용자를 덮어쓸지 여부 및 프로비저닝 해제 동작을 덮어쓸지 여부를 선택할 수 있습니다.

  9. 역할 매핑에서 이름 필드 아래의 CyberArk 역할에서 대상 그룹 아래의 IAM Identity Center 그룹으로의 매핑을 설정합니다.

  10. 완료되면 하단의 저장을 클릭합니다.

  11. 사용자가 IAM Identity Center와 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가서 사용자를 선택합니다. CyberArk로부터 동기화된 사용자는 사용자 페이지에 표시됩니다. 이제 이러한 사용자를 계정에 할당하고 IAM Identity Center 내에서 연결할 수 있습니다.

(선택 사항) 3단계: IAM Identity Center에서 액세스 제어(ABAC)에 사용되는 CyberArk 사용자 속성 구성

이는 IAM Identity Center가 AWS 리소스에 대한 액세스를 관리하도록 속성을 구성하도록 선택하는 CyberArk 경우의 선택적 절차입니다. CyberArk에서 정의한 속성은 SAML 어설션을 통해 IAM Identity Center에 전달됩니다. 그런 다음 CyberArk로부터 전달한 속성을 기반으로 액세스를 관리하기 위해 IAM Identity Center에서 권한 세트를 생성해야 합니다.

이 절차를 시작하기 전에 액세스 제어를 위한 속성 기능을 활성화해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 액세스 제어를 위한 속성 활성화 및 구성 단원을 참조하세요.

IAM Identity Center에서 액세스 제어에 사용되는 CyberArk 사용자 속성을 구성하려면

  1. CyberArk(앱 > 웹 앱)의 SAML을 구성하는 과정에서 설치된 CyberArk IAM Identity Center 애플리케이션을 엽니다.

  2. SAML 응답 옵션으로 이동합니다.

  3. 속성 아래에서 논리에 따라 관련 속성을 다음 테이블에 추가합니다.

    1. 속성 이름은 CyberArk의 기존 속성입니다.

    2. 속성 값은 SAML 어설션에서 IAM Identity Center로 전송된 속성 이름입니다.

  4. 저장(Save)을 선택합니다.

(선택 사항) 액세스 제어에 속성 전달

IAM Identity Center의 액세스 제어를 위한 속성 기능을 사용하여 Name 속성이 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}로 설정된 Attribute 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 IAM 사용 설명서AWS STS에서 세션 태그 전달을 참조하세요.

속성을 세션 태그로 전달하려면 태그 값을 지정하는 AttributeValue 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 CostCenter = blue를 전달하려면 다음 속성을 사용합니다.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

여러 속성을 추가해야 하는 경우 각 태그마다 별도의 Attribute 요소를 포함합니다.