SCIM를 사용하여 SAML 및 구성 Google Workspace 및 IAM Identity Center - AWS IAM Identity Center
고려 사항1단계: Google Workspace: SAML 애플리케이션 구성2단계: IAM Identity Center 및 Google Workspace: IAM Identity Center 자격 증명 소스 및 설정 변경 Google Workspace SAML 자격 증명 공급자3단계: Google Workspace: 앱 활성화4단계: IAM Identity Center: IAM Identity Center 자동 프로비저닝 설정5단계: Google Workspace: 자동 프로비저닝 구성액세스 제어에 속성 전달-선택 사항에 액세스 권한 할당 AWS 계정다음 단계문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SCIM를 사용하여 SAML 및 구성 Google Workspace 및 IAM Identity Center

조직에서를 사용하는 경우 Google Workspace 에서 사용자를 통합할 수 있습니다.Google Workspace IAM Identity Center로 이동하여 AWS 리소스에 대한 액세스 권한을 부여합니다. IAM Identity Center 자격 증명 소스를 기본 IAM Identity Center 자격 증명 소스에서 로 변경하여이 통합을 달성할 수 있습니다.Google Workspace.

의 사용자 정보 Google Workspace 는 System for Cross-domain IAM Identity Management() 2.0 프로토콜을 사용하여 Identity Center에 동기화됩니다. SCIM 자세한 내용은 외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용 단원을 참조하십시오.

에서이 연결을 구성합니다.Google Workspace IAM Identity Center용 SCIM 엔드포인트 및 IAM Identity Center 보유자 토큰 사용. SCIM 동기화를 구성할 때에서 사용자 속성의 매핑을 생성합니다.Google Workspace IAM Identity Center의 명명된 속성으로. 이 매핑은 IAM Identity Center와 간의 예상 사용자 속성과 일치합니다.Google Workspace. 이렇게 하려면를 설정해야 합니다.Google Workspace 자격 IAM 증명 공급자 및 IAM 자격 증명 센터 자격 증명 공급자.

목표

이 자습서의 단계는 다음 간의 SAML 연결을 설정하는 과정을 안내합니다.Google Workspace 및 AWS. 나중에에서 사용자를 동기화합니다.Google Workspace 사용SCIM. 모든 것이 올바르게 구성되었는지 확인하려면 구성 단계를 완료한 후 로 로그인합니다.Google Workspace 사용자 및 AWS 리소스에 대한 액세스 확인. 이 자습서는 작은 Google Workspace 디렉터리 테스트 환경. 이 자습서에는 그룹 및 조직 단위와 같은 디렉터리 구조는 포함되지 않습니다. 이 자습서를 완료하면 사용자는를 사용하여 AWS 액세스 포털에 액세스할 수 있습니다.Google Workspace 보안 인증 정보.

참고

의 무료 평가판에 가입하려면 Google Workspace 방문 Google Workspace의 Google's 웹 사이트.

IAM Identity Center를 아직 활성화하지 않은 경우 섹션을 참조하세요활성화 AWS IAM Identity Center.

고려 사항

  • 에서 SCIM 프로비저닝을 구성하기 전에 Google Workspace 및 IAM Identity Center에서는 먼저를 검토하는 것이 좋습니다자동 프로비저닝을 사용할 때 고려 사항.

  • SCIM에서 자동 동기화 Google Workspace 는 현재 사용자 프로비저닝으로 제한됩니다. 자동 그룹 프로비저닝은 현재 지원되지 않습니다. AWS CLI Identity Store create-group 명령 또는 AWS Identity and Access Management (IAM) API를 사용하여 그룹을 수동으로 생성할 수 있습니다CreateGroup. 또는 ssosync를 사용하여 동기화할 수 있습니다.Google Workspace IAM Identity Center의 사용자 및 그룹.

  • 모든 Google Workspace 사용자는 이름, , 사용자 이름표시 이름 값을 지정해야 합니다.

  • 각 Google Workspace 사용자는 이메일 주소 또는 전화번호와 같은 데이터 속성당 단일 값만 갖습니다. 값이 여렷인 사용자는 동기화되지 않습니다. 속성에 여러 값이 있는 사용자가 있는 경우 IAM Identity Center에서 사용자를 프로비저닝하기 전에 중복 속성을 제거합니다. 예를 들어 전화번호 속성은 하나만 동기화할 수 있습니다. 기본 전화번호 속성이 “회사 전화번호”이므로 사용자의 전화번호가 집이나 휴대폰 전화번호인 경우에도 “회사 전화번호” 속성을 사용하여 사용자의 전화번호를 저장합니다.

  • IAM Identity Center에서 사용자가 비활성화되어 있지만에서 활성 상태인 경우 속성은 여전히 동기화됩니다.Google Workspace.

  • Identity Center 디렉터리에 사용자 이름과 이메일이 동일한 기존 사용자가 있는 경우에서를 사용하여 사용자를 덮어쓰고 동기화합니다SCIM.Google Workspace.

  • ID 소스를 변경할 때 고려해야 할 추가 사항이 있습니다. 자세한 내용은 IAM Identity Center에서 외부 IdP로 변경 단원을 참조하십시오.

1단계: Google Workspace: SAML 애플리케이션 구성

  1. 에 로그인 Google 슈퍼 관리자 권한이 있는 계정을 사용하는 관리자 콘솔.

  2. 의 왼쪽 탐색 패널에서 Google 관리자 콘솔에서 앱을 선택한 다음 웹 및 모바일 앱을 선택합니다.

  3. 앱 추가 드롭다운 목록에서 앱 검색을 선택합니다.

  4. 검색 상자에 Amazon Web Services를 입력한 다음 목록에서 Amazon Web Services(SAML) 앱을 선택합니다.

  5. 에서 Google 자격 증명 공급자 세부 정보 - Amazon Web Services 페이지에서 다음 중 하나를 수행할 수 있습니다.

    1. IdP 메타데이터를 다운로드합니다.

    2. SSO URL, 개체 ID URL및 인증서 정보를 복사합니다.

    2단계의 XML 파일 또는 URL 정보가 필요합니다.

  6. 의 다음 단계로 이동하기 전에 Google 관리자 콘솔에서이 페이지를 열어 두고 IAM Identity Center 콘솔로 이동합니다.

2단계: IAM Identity Center 및 Google Workspace: IAM Identity Center 자격 증명 소스 및 설정 변경 Google Workspace SAML 자격 증명 공급자

  1. 관리 권한이 있는 역할을 사용하여 IAM Identity Center 콘솔에 로그인합니다.

  2. 왼쪽 탐색 창에서 설정을 선택합니다.

  3. 설정 페이지에서 작업을 선택한 다음 ID 소스 변경을 선택합니다.

    • IAM Identity Center를 활성화하지 않은 경우 자세한 내용은 활성화 AWS IAM Identity Center 섹션을 참조하세요. IAM Identity Center를 처음 활성화하고 액세스하면 대시보드에 도착하여 자격 증명 소스 선택을 선택할 수 있습니다.

  4. ID 소스 선택 페이지에서 외부 ID 제공업체를 선택하고 다음을 선택합니다.

  5. 외부 ID 제공업체 구성 페이지가 열립니다. 이 페이지와를 완료하려면 Google Workspace 1단계의 페이지에서 다음을 완료해야 합니다.

    1. Identity IAM Center 콘솔의 Identity Provider 메타데이터 섹션에서 다음 중 하나를 수행해야 합니다.

      1. 업로드 Google SAML IAM Identity Center 콘솔에서 메타데이터IdP SAML 메타데이터로 사용합니다.

      2. 복사하여 붙여넣기 Google SSO URL IdP 로그인 URL 필드에 Google 발급자를 URL IdP 발급URL자 필드에 입력하고 Google IdP 인증서로서의 인증서. IdP

  6. 제공 후 Google IAM Identity Center 콘솔의 Identity Provider 메타데이터 섹션에 있는 메타데이터에서 IAM Identity Assertion Consumer Service(ACS) URLIAM Identity Center 발급자 URL를 복사합니다. URLs에서 이를 제공해야 합니다.Google 다음 단계의 관리자 콘솔.

  7. IAM Identity Center 콘솔을 사용하여 페이지를 열어 두고 로 돌아갑니다.Google 관리자 콘솔. Amazon Web Services-서비스 공급자 세부 정보 페이지에 있어야 합니다. 계속을 선택합니다.

  8. 서비스 공급자 세부 정보 페이지에서 ACS URL개체 ID 값을 입력합니다. 이전 단계에서 이러한 값을 복사했으며 IAM Identity Center 콘솔에서 찾을 수 있습니다.

    • IAM Identity Center Assertion Consumer Service(ACS)URLACS URL 필드에 붙여넣습니다.

    • IAM Identity Center 발급URL자를 개체 ID 필드에 붙여 넣습니다.

  9. 서비스 공급자 세부 정보 페이지에서 다음과 같이 이름 ID 아래의 필드를 입력합니다.

    • 이름 ID 형식에서를 선택합니다. EMAIL

    • 이름 ID의 경우 기본 정보 > 기본 이메일을 선택합니다.

  10. Continue(계속)을 선택합니다.

  11. 속성 매핑 페이지의 속성에서 ADDMAPPING를 선택한 다음, 아래에서 이러한 필드를 구성합니다. Google 디렉터리 속성:

    • https://aws.amazon.com/SAML/Attributes/RoleSessionName 앱 속성의 경우에서 기본 정보, 기본 이메일 필드를 선택합니다. Google Directory 속성.

    • https://aws.amazon.com/SAML/Attributes/Role 앱 속성에서 Google Directory 속성. A Google 디렉터리 속성은 부서일 수 있습니다.

  12. 완료를 클릭합니다.

  13. IAM Identity Center 콘솔로 돌아가 다음을 선택합니다. 검토 및 확인 페이지에서 정보를 검토한 다음 제공된 공간에 ACCEPT를 입력합니다. ID 소스 변경을 선택합니다.

이제에서 Amazon Web Services 앱을 활성화할 준비가 되었습니다.Google Workspace 사용자를 IAM Identity Center에 프로비저닝할 수 있습니다.

3단계: Google Workspace: 앱 활성화

  1. 로 돌아가기 Google 및 웹 및 모바일 앱에서 찾을 수 있는 Admin Console 및 AWS IAM Identity Center 애플리케이션.

  2. 사용자 액세스 패널의 사용자 액세스 옆에서 아래쪽 화살표를 선택하여 사용자 액세스 확장을 선택하여 서비스 상태 패널을 표시합니다.

  3. 서비스 상태 패널에서 모든 사용자에 대해 ON을 선택한 다음를 선택합니다SAVE.

참고

최소 권한 원칙을 유지하려면이 자습서를 완료한 후 OFF 모든 사용자에 대해 서비스 상태를 로 변경하는 것이 좋습니다. AWS 에 대한 액세스 권한이 필요한 사용자만 서비스를 활성화해야 합니다. 다음을 사용할 수 있음: Google Workspace 그룹 또는 조직 단위로 사용자에게 특정 사용자 하위 집합에 대한 액세스 권한을 부여합니다.

4단계: IAM Identity Center: IAM Identity Center 자동 프로비저닝 설정

  1. IAM Identity Center 콘솔로 돌아갑니다.

  2. 설정 페이지에서 자동 프로비저닝 정보 상자를 찾은 다음 활성화를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.

  3. 인바운드 자동 프로비저닝 대화 상자에서 다음 옵션의 각 값을 복사합니다. 이 자습서의 5단계에서는 이러한 값을 입력하여에서 자동 프로비저닝을 구성합니다.Google Workspace.

    1. SCIM 엔드포인트 - 예: https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. 액세스 토큰 - 토큰 표시를 선택하여 값을 복사합니다.

    주의

    엔드포인트SCIM와 액세스 토큰을 얻을 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다.

  4. 닫기를 선택하세요.

    이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했으므로 다음 단계에서에서 자동 프로비저닝을 구성합니다.Google Workspace.

5단계: Google Workspace: 자동 프로비저닝 구성

  1. 로 돌아가기 Google 웹 및 모바일 앱에서 찾을 수 있는 관리자 콘솔 및 애플리케이션 AWS IAM Identity Center . 자동 프로비저닝 섹션에서 자동 프로비저닝 구성을 선택합니다.

  2. 이전 절차에서는 IAM Identity Center 콘솔에서 액세스 토큰 값을 복사했습니다. 해당 값을 `액세스 토큰 필드에 붙여 넣고 계속을 선택합니다. 또한 이전 절차에서는 IAM Identity Center 콘솔에서 SCIM 엔드포인트 값을 복사했습니다. 해당 값을 엔드포인트 URL 필드에 붙여 넣고 계속을 선택합니다.

  3. 모든 필수 IAM Identity Center 속성(*로 표시된 속성)이에 매핑되었는지 확인합니다.Google Cloud Directory 속성. 그렇지 않은 경우 아래쪽 화살표를 선택하고 적절한 속성에 매핑합니다. Continue(계속)을 선택합니다.

  4. 프로비저닝 범위 섹션에서를 사용하여 그룹을 선택할 수 있습니다.Google Workspace Amazon Web Services 앱에 대한 액세스를 제공하는 디렉터리입니다. 이 단계를 건너뛰고 계속을 선택합니다.

  5. 프로비저닝 해제에서 사용자의 액세스를 제거하는 다양한 이벤트에 응답하는 방법을 선택할 수 있습니다. 각 상황에 대해 프로비저닝 해제가 시작되기까지 걸리는 시간을 다음과 같이 지정할 수 있습니다.

    • 24시간 이내

    • 1일 후

    • 7일 후

    • 30일 후

    각 상황에 따라 계정 액세스를 일시 중단할 시기와 계정을 삭제할 시기를 설정할 수 있습니다.

    작은 정보

    항상 사용자 계정을 삭제하기 전에 사용자 계정을 정지하는 시간보다 더 긴 시간을 설정합니다.

  6. 마침을 클릭합니다. Amazon Web Services 앱 페이지로 돌아갑니다.

  7. 자동 프로비저닝 섹션에서 토글 스위치를 켜서 비활성에서 활성으로 변경합니다.

    참고

    Identity IAM Center가 사용자에 대해 켜져 있지 않으면 활성화 슬라이더가 비활성화됩니다. 사용자 액세스를 선택하고 앱을 켜서 슬라이더를 활성화합니다.

  8. 확인 대화 상자에서 켜기를 선택합니다.

  9. 사용자가 IAM Identity Center에 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가 사용자를 선택합니다. 사용자 페이지에는의 사용자가 나열됩니다.Google Workspace 에서 생성한 디렉터리입니다SCIM. 사용자가 아직 목록에 없는 경우 프로비저닝이 아직 진행 중일 수 있습니다. 프로비저닝은 최대 24시간이 소요될 수 있지만 대부분의 경우 몇 분 내에 완료됩니다. 몇 분마다 브라우저 창을 새로 고쳐야 합니다.

    사용자를 선택하고 세부 정보를 확인합니다. 정보는의 정보와 일치해야 합니다.Google Workspace 디렉터리.

축하합니다!

에 대한 SAML 연결을 성공적으로 설정했습니다.Google Workspace 및 AWS 는 자동 프로비저닝이 작동하는지 확인했습니다. 이제 IAM Identity Center의 계정 및 애플리케이션에 이러한 사용자를 할당할 수 있습니다. 이 자습서에서는 다음 단계에서 관리 계정에 관리 권한을 부여하여 사용자 중 하나를 IAM Identity Center 관리자로 지정해 보겠습니다.

액세스 제어에 속성 전달-선택 사항

필요에 따라 IAM Identity Center의 액세스 제어를 위한 속성 기능을 사용하여 Name 속성이 로 설정된 Attribute 요소를 전달할 수 있습니다https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. 이 요소를 사용하면 SAML어설션에서 속성을 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 IAM 사용 설명서에서 세션 태그 전달 AWS STS을 참조하세요.

속성을 세션 태그로 전달하려면 태그 값을 지정하는 AttributeValue 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 CostCenter = blue를 전달하려면 다음 속성을 사용합니다.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

여러 속성을 추가해야 하는 경우 각 태그마다 별도의 Attribute 요소를 포함합니다.

에 액세스 권한 할당 AWS 계정

다음 단계는에 대한 액세스 권한만 부여하는 데 AWS 계정 만 필요합니다. 이러한 단계는 AWS 애플리케이션에 대한 액세스 권한을 부여하는 데 필요하지 않습니다.

1단계: IAM Identity Center: 권한 부여 Google Workspace 계정에 대한 사용자 액세스

  1. IAM Identity Center 콘솔로 돌아갑니다. IAM Identity Center 탐색 창의 다중 계정 권한에서를 선택합니다AWS 계정.

  2. AWS 계정 페이지의 조직 구조에는 조직 루트가 표시되고 계층 구조에 따라 그 아래에 사용자 계정이 표시됩니다. 관리 계정의 확인란을 선택한 다음 사용자 또는 그룹 할당을 선택합니다.

  3. 사용자 및 그룹 할당 워크플로가 표시됩니다. 워크플로는 세 단계로 구성됩니다.

    1. 1단계: 사용자 및 그룹 선택에서 관리자 작업을 수행할 사용자를 선택합니다. 그런 다음 다음을 선택합니다.

    2. 2단계: 권한 세트 선택에서 권한 세트 생성을 선택하여 권한 세트 생성과 관련된 3가지 하위 단계를 안내하는 새 탭이 열립니다.

      1. 1단계: 권한 세트 유형 선택에서 다음을 완료합니다.

        • 권한 세트 유형에서 사전 정의된 권한 세트를 선택합니다.

        • 미리 정의된 권한 세트에 대한 정책에서를 선택합니다AdministratorAccess.

        Next(다음)를 선택합니다.

      2. 2단계: 권한 세트 세부 정보 지정 페이지에서 기본 설정을 유지하고 다음을 선택합니다.

        기본 설정은 세션 기간이 1시간AdministratorAccess으로 설정된 라는 권한 세트를 생성합니다.

      3. 3단계: 검토 및 생성의 경우 권한 세트 유형이 AWS 관리형 정책를 사용하는지 확인합니다AdministratorAccess. 생성(Create)을 선택합니다. 권한 세트 페이지에 권한 세트가 생성되었음을 알리는 알림이 표시됩니다. 이제 웹 브라우저에서 이 탭을 닫을 수 있습니다.

      4. 사용자 및 그룹 할당 브라우저 탭에서 권한 세트 생성 워크플로를 시작한 2단계: 권한 세트 선택에 여전히 있습니다.

      5. 권한 세트 영역에서 새로 고침 버튼을 선택합니다. 생성한 AdministratorAccess 권한 세트가 목록에 나타납니다. 권한 세트의 확인란을 선택하고 다음을 선택합니다.

    3. 3단계: 검토 및 제출에서 선택한 사용자 및 권한 세트를 검토한 다음 제출을 선택합니다.

      페이지는 구성 AWS 계정 중인 메시지로 업데이트됩니다. 프로세스가 완료될 때까지 기다립니다.

      AWS 계정 페이지로 돌아갑니다. 알림 메시지는가 재프로비저닝되었고 업데이트된 권한 세트 AWS 계정 가 적용되었음을 알려줍니다. 사용자가 로그인하면 AdministratorAccess 역할을 선택할 수 있습니다.

      참고

      SCIM에서 자동 동기화 Google Workspace 는 프로비저닝 사용자만 지원합니다. 자동 그룹 프로비저닝은 현재 지원되지 않습니다. 에 대한 그룹을 생성할 수 없습니다.Google Workspace 를 사용하는 사용자 AWS Management Console. 사용자를 프로비저닝한 후 AWS CLI Identity Store create-group 명령 또는 IAM API를 사용하여 그룹을 생성할 수 있습니다CreateGroup.

2단계: Google Workspace: 확인 Google WorkspaceAWS 리소스에 대한 사용자 액세스

  1. 에 로그인 Google 테스트 사용자 계정 사용. 에 사용자를 추가하는 방법을 알아보려면 Google Workspace, 참조 Google Workspace 설명서.

  2. 를 선택합니다.Google apps Launcher(와플) 아이콘.

  3. 사용자 지정이 있는 앱 목록의 하단으로 스크롤합니다.Google Workspace 앱이 있습니다. Amazon Web Services 앱이 표시됩니다.

  4. Amazon Web Services 앱을 선택합니다. AWS 액세스 포털에 로그인하면 AWS 계정 아이콘이 표시됩니다. 해당 아이콘을 확장하여 사용자가 액세스할 수 AWS 계정 있는 목록을 확인합니다. 이 자습서에서는 단일 계정만 사용했으므로 아이콘을 확장하면 하나의 계정만 표시됩니다.

  5. 계정을 선택하면 사용자에게 제공되는 권한 세트가 표시됩니다. 이 자습서에서는 AdministratorAccess 권한 세트를 생성했습니다.

  6. 권한 세트 옆에는 해당 권한 세트에 사용할 수 있는 액세스 유형에 대한 링크가 있습니다. 권한 세트를 생성할 때 관리 콘솔과 프로그래밍 방식 액세스를 모두 활성화하도록 지정했으므로 두 가지 옵션이 제공됩니다. 관리 콘솔을 선택하면 AWS Management Console이 열립니다.

  7. 사용자가 콘솔에 로그인합니다.

다음 단계

이제를 구성했습니다.Google Workspace IAM Identity Center에서 자격 증명 공급자 및 프로비저닝된 사용자로서 다음을 수행할 수 있습니다.

  • AWS CLI Identity Store create-group 명령 또는 IAM API CreateGroup를 사용하여 사용자를 위한 그룹을 생성합니다.

    그룹은 AWS 계정 및 애플리케이션에 대한 액세스를 할당할 때 유용합니다. 각 사용자를 개별적으로 할당하는 대신 그룹에 권한을 부여합니다. 나중에 그룹에 사용자를 추가하거나 그룹에서 사용자를 제거하면 해당 사용자는 그룹에 할당한 계정 및 애플리케이션에 대한 액세스 권한을 동적으로 얻거나 잃게 됩니다.

  • 직무에 따라 권한을 구성합니다. 권한 세트 생성을 참조하세요.

    권한 집합은 사용자와 그룹이 AWS 계정에 대해 보유할 수 있는 액세스 수준을 정의합니다. 권한 세트는 IAM Identity Center에 저장되며 하나 이상의에 프로비저닝할 수 있습니다 AWS 계정. 한 사용자에게 두 개 이상의 권한 집합을 할당할 수 있습니다.

참고

IAM Identity Center 관리자는 때때로 이전 IdP 인증서를 최신 IdP 인증서로 바꿔야 합니다. 예를 들어, 인증서 만료 날짜가 다가올 경우 IdP 인증서를 교체해야 할 수도 있습니다. 이전 인증서를 새 인증서로 교체하는 프로세스를 인증서 교체라고 합니다. 에 대한 SAML 인증서를 관리하는 방법을 검토해야 합니다.Google Workspace.

문제 해결

를 사용한 일반 SCIM 및 SAML 문제 해결 Google Workspace에서 다음 섹션을 참조하세요.

다음 리소스는 작업 시 문제를 해결하는 데 도움이 될 수 있습니다. AWS

  • AWS re:Post - 문제를 해결하는 데 도움이 되는 FAQs 및 다른 리소스에 대한 링크를 찾습니다.

  • AWS Support-기술 지원 받기