Okta 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성 - AWS IAM Identity Center

Okta 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성

SCIM(System for Cross-domain Identity Management) v2.0 프로토콜을 사용하여 Okta의 사용자 및 그룹 정보를 IAM Identity Center로 자동 프로비저닝(동기화)할 수 있습니다. 자세한 내용은 외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용 단원을 참조하십시오.

Okta에서 이 연결을 구성하려면 IAM Identity Center의 SCIM 엔드포인트와 IAM Identity Center에서 자동으로 생성한 베어러 토큰을 사용합니다. SCIM 동기화를 구성할 때 Okta의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이 매핑은 IAM Identity Center와 Okta 계정 간의 예상 사용자 속성을 일치시킵니다.

Okta는 SCIM을 통해 IAM Identity Center에 연결할 경우 다음과 같은 프로비저닝 기능을 지원합니다.

  • 사용자 생성 - Okta에서 IAM Identity Center 애플리케이션에 할당된 사용자는 IAM Identity Center에서 프로비저닝됩니다.

  • 사용자 속성 업데이트 — Okta에서 IAM Identity Center 애플리케이션에 할당된 사용자의 속성 변경 사항이 IAM Identity Center에서 업데이트됩니다.

  • 사용자 비활성화 - Okta에서 IAM Identity Center 애플리케이션에 할당을 취소된 사용자는 IAM Identity Center에서 비활성화됩니다.

  • 그룹 푸시 - Okta에서 그룹 (및 해당 구성원)이 IAM Identity Center에 동기화됩니다.

    참고

    Okta과 IAM Identity Center 모두에서 관리 오버헤드를 최소화하려면 개별 사용자 대신 그룹을 할당하고 푸시하는 것이 좋습니다.

목표

이 자습서에서는 Okta IAM Identity Center와의 SAML 연결 설정 방법을 안내합니다. 나중에 SCIM을 사용하여 Okta에서 사용자를 동기화합니다. 이 시나리오에서는 Okta에서 모든 사용자와 그룹을 관리합니다. Okta 포털을 통해 로그인합니다. 모든 것이 올바르게 구성되었는지 확인하기 위해 구성 단계를 완료한 후 Okta 사용자로 로그인하고 AWS 리소스에 대한 액세스를 확인합니다.

참고

Okta's IAM Identity Center 애플리케이션이 설치된 Okta 계정(무료 평가판)을 등록할 수 있습니다. 유료 Okta 제품의 경우 Okta 라이선스가 라이프사이클 관리 또는 아웃바운드 프로비저닝을 활성화하는 유사 기능을 지원하는지 확인해야 할 수도 있습니다. 이러한 기능은 Okta에서 IAM Identity Center로 SCIM을 구성하는 데 필요할 수 있습니다.

IAM Identity Center를 아직 활성화하지 않은 경우 AWS IAM Identity Center 활성화의 내용을 참조하세요.

고려 사항

  • Okta 및 IAM Identity Center 간에 SCIM 프로비저닝을 구성하기 전에 먼저 자동 프로비저닝을 사용할 때 고려 사항 검토가 권장됩니다.

  • 모든 Okta 사용자는 이름, , 사용자 이름표시 이름 값이 지정되어야 합니다.

  • 각 Okta 사용자는 이메일 주소 또는 전화번호와 같은 데이터 속성당 하나의 값만 보유합니다. 값이 여렷인 사용자는 동기화되지 않습니다. 속성에 여러 개의 값이 있는 사용자가 있는 경우 IAM Identity Center에서 사용자를 프로비저닝하기 전에 중복된 속성을 제거합니다. 예를 들어 전화번호 속성은 하나만 동기화할 수 있습니다. 기본 전화번호 속성이 “회사 전화번호”이므로 사용자의 전화번호가 집이나 휴대폰 전화번호인 경우에도 “회사 전화번호” 속성을 사용하여 사용자의 전화번호를 저장합니다.

  • IAM Identity Center와 함께 Okta를 사용하는 경우 IAM Identity Center는 일반적으로 Okta에서 애플리케이션으로 구성됩니다. 이를 통해 IAM Identity Center의 여러 인스턴스를 여러 애플리케이션으로 구성하여 Okta의 단일 인스턴스 내에서 여러 AWS 조직에 대한 액세스를 지원할 수 있습니다.

  • 권한 및 역할 속성은 지원되지 않으며 IAM Identity Center와 동기화할 수 없습니다.

  • 할당과 그룹 푸시 모두에 동일한 Okta 그룹을 사용하는 것은 현재 지원되지 않습니다. Okta와 IAM Identity Center 간에 일관된 그룹 구성원 자격을 유지하려면 별도의 그룹을 생성하고 그룹을 IAM Identity Center로 푸시하도록 구성합니다.

1단계: Okta: Okta 계정에서 SAML 메타데이터 획득

  1. Okta admin dashboard에 로그인하고, 애플리케이션을 확장한 다음 애플리케이션을 선택합니다.

  2. 애플리케이션(Applications) 페이지에서 앱 카탈로그 찾아보기(Browse App Catalog)를 선택합니다.

  3. 검색 상자에 AWS IAM Identity Center 입력 후 앱을 선택하여 IAM Identity Center 앱을 추가합니다.

  4. 로그인 탭을 선택합니다.

  5. SAML 서명 인증서에서 작업을 선택한 다음 IdP 메타데이터 보기를 선택합니다. 새 브라우저 탭이 열리고 XML 파일의 문서 트리를 보여줍니다. <md:EntityDescriptor>에서 </md:EntityDescriptor>까지 XML 전체를 선택하고 텍스트 파일에 복사합니다.

  6. 텍스트 파일을 metadata.xml로 저장합니다.

Okta admin dashboard를 열려 있는 상태로 두고, 이후 단계에서는 콘솔을 계속 사용합니다.

2단계: Okta를 IAM Identity Center의 ID 소스로 구성

  1. 관리 권한이 있는 사용자로 IAM Identity Center 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 설정을 선택합니다.

  3. 설정 페이지에서 작업을 선택한 다음 ID 소스 변경을 선택합니다.

  4. ID 소스 선택에서 외부 ID 제공업체를 선택하고 다음을 선택합니다.

  5. 외부 ID 제공업체 구성 에서 다음을 수행합니다.

    1. 서비스 공급자 메타데이터에서 메타데이터 파일 다운로드를 선택하여 IAM Identity Center 메타데이터 파일을 다운로드하고 시스템에 저장합니다. 이후 자습서에서 IAM Identity Center SAML 메타데이터 파일을 Okta에 제공합니다.

      쉽게 액세스할 수 있도록 다음 항목을 텍스트 파일에 복사합니다.

      • IAM Identity Center Assertion Consumer Service(ACS) URL

      • IAM Identity Center 발급자 URL

      이후 자습서에서는 이러한 값을 업데이트합니다.

    2. ID 제공업체 메타데이터IdP SAML 메타데이터에서 파일 선택을 선택한 다음 이전 단계에서 생성한 metadata.xml 파일을 선택합니다.

    3. Next(다음)를 선택합니다.

  6. 고지 사항을 읽고 진행할 준비가 되면 ACCEPT를 입력합니다.

  7. ID 소스 변경을 선택합니다.

    AWS 콘솔을 열려 있는 상태로 두고, 다음 단계에서는 콘솔을 계속 사용합니다.

  8. Okta admin dashboard로 돌아가 AWS IAM Identity Center 앱의 로그인 탭을 선택하고 편집을 선택합니다.

  9. 고급 로그인 설정에서 다음을 입력합니다.

    • ACS URL의 경우 IAM Identity Center ACS(Assertion Consumer Service) URL에서 복사한 값을 입력합니다.

    • 발급자 URL의 경우 IAM Identity Center 발급자 URL에서 복사한 값을 입력합니다.

    • 애플리케이션 사용자 이름 형식의 경우 메뉴에서 옵션 중 하나를 선택합니다.

      선택한 값이 각 사용자마다 고유해야 합니다. 이 자습서에서는 Okta 사용자 이름을 선택합니다.

  10. Save(저장)를 선택합니다.

이제 Okta에서 IAM Identity Center로 사용자를 프로비저닝할 준비가 되었습니다. Okta admin dashboard를 열린 상태로 두고 IAM Identity Center 콘솔로 돌아가 다음 단계를 진행합니다.

3단계: IAM Identity Center 및 Okta: Okta 사용자 프로비저닝

  1. IAM Identity Center의 설정 페이지에서 자동 프로비저닝 정보 상자를 찾은 다음 활성화를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.

  2. 인바운드 자동 프로비저닝 대화 상자에서 다음 옵션의 값을 각각 복사합니다.

    1. SCIM 엔드포인트-예: https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. 액세스 토큰 - 토큰 표시를 선택하여 값을 복사합니다.

    주의

    SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에서 이 값을 입력하여 Okta에서 자동 프로비저닝을 구성합니다.

  3. 닫기를 선택하세요.

  4. Okta admin dashboard로 돌아가서 IAM Identity Center 앱으로 이동합니다.

  5. IAM Identity Center 앱 페이지에서 프로비저닝 탭을 선택한 다음 설정의 왼쪽 탐색 메뉴에서 통합을 선택합니다.

  6. 편집을 선택한 다음 API 통합 활성화 옆의 확인란을 선택하여 자동 프로비저닝을 활성화합니다.

  7. 이 단계의 앞부분에서 복사한 AWS IAM Identity Center의 SCIM 프로비저닝 값을 사용하여 Okta를 구성합니다.

    1. 기본 URL 필드에 SCIM 엔드포인트 값을 입력합니다.

    2. API 토큰 필드에 액세스 토큰 값을 입력합니다.

  8. API 보안 인증 테스트를 선택하여 입력한 보안 인증 정보가 유효한지 확인합니다.

    AWS IAM Identity Center 확인 완료! 메시지가 표시됩니다.

  9. Save(저장)를 선택합니다. 통합이 선택된 설정 섹션으로 이동합니다.

  10. 설정에서 대상 앱을 선택하고, 활성화하려는 각 앱으로 프로비저닝 기능에 대해 활성화 확인란을 선택합니다. 이 자습서에서는 모든 옵션을 선택합니다.

  11. Save(저장)를 선택합니다.

이제 Okta의 사용자를 IAM Identity Center와 동기화할 준비가 되었습니다.

4단계: Okta: Okta의 사용자를 IAM Identity Center와 동기화

기본적으로 Okta IAM Identity Center 앱에는 어떤 사용자 또는 그룹도 할당되지 않습니다. 프로비저닝 그룹은 그룹 구성원인 사용자를 프로비저닝합니다. 다음 단계를 완료하여 그룹 및 사용자를 AWS IAM Identity Center와 동기화합니다.

  1. OktaIAM Identity Center 앱 페이지에서 할당 탭을 선택합니다. 사람과 그룹을 모두 IAM Identity Center 앱에 할당할 수 있습니다.

    1. 사람 할당:

      • 할당 페이지에서 할당을 선택한 다음 사람에게 할당을 선택합니다.

      • IAM Identity Center 앱에 대한 액세스 권한을 보유하려는 Okta 사용자를 선택합니다. 할당저장 후 뒤로 가기를 선택한 다음 완료를 선택합니다.

      그러면 사용자를 IAM Identity Center에 프로비저닝하는 프로세스가 시작됩니다.

    2. 그룹 할당:

      • 할당 페이지에서 할당을 선택한 다음 그룹에 할당을 선택합니다.

      • IAM Identity Center 앱에 대한 액세스 권한을 보유하려는 Okta 그룹을 선택합니다. 할당저장 후 뒤로 가기를 선택한 다음 완료를 선택합니다.

      그러면 그룹의 사용자를 IAM Identity Center에 프로비저닝하는 프로세스가 시작됩니다.

      참고

      일부 사용자 레코드에 없는 경우 그룹에 대한 추가 속성을 지정해야 할 수 있습니다. 그룹에 지정된 속성은 모든 개별 속성 값보다 우선합니다.

  2. 푸시 그룹 탭을 선택합니다. IAM Identity Center와 동기화할 Okta 그룹을 선택합니다. Save(저장)를 선택합니다.

    그룹과 구성원이 IAM Identity Center로 푸시되면 그룹 상태가 활성으로 변경됩니다.

  3. 할당 탭으로 돌아갑니다.

  4. IAM Identity Center에 개별 Okta 사용자를 추가하려면 다음 단계를 수행합니다.

    1. 할당 페이지에서 할당을 선택한 다음 사람에게 할당을 선택합니다.

    2. IAM Identity Center 앱에 대한 액세스 권한을 보유하려는 Okta 사용자를 선택합니다. 할당저장 후 뒤로 가기를 선택한 다음 완료를 선택합니다.

      그러면 개별 사용자를 IAM Identity Center에 프로비저닝하는 프로세스가 시작됩니다.

      참고

      Okta admin dashboard의 애플리케이션 페이지에서 AWS IAM Identity Center에 사용자와 그룹을 할당할 수 있습니다. 이를 위해 설정 아이콘을 선택하고 사용자에게 할당 또는 그룹에 할당을 선택한 다음 사용자나 그룹을 지정합니다.

  5. IAM Identity Center 콘솔로 돌아갑니다. 왼쪽 탐색 창에서 사용자를 선택하면 Okta 사용자가 입력한 사용자 목록이 표시됩니다.

축하합니다!

Okta와 AWS 간에 SAML 연결을 성공적으로 설정하고 자동 프로비저닝이 작동한 것을 확인했습니다. 이제 IAM Identity Center에서 계정과 애플리케이션을 사용자에게 할당할 수 있습니다. 이 자습서에서는 다음 단계로 관리 계정에 관리 권한을 부여하여 사용자 중 한 명을 IAM Identity Center 관리자로 지정합니다.

액세스 제어에 속성 전달-선택 사항

IAM Identity Center의 액세스 제어를 위한 속성 기능을 사용하여 Name 속성이 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}로 설정된 Attribute 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 IAM 사용 설명서AWS STS에서 세션 태그 전달을 참조하세요.

속성을 세션 태그로 전달하려면 태그 값을 지정하는 AttributeValue 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 CostCenter = blue를 전달하려면 다음 속성을 사용합니다.

<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>

여러 속성을 추가해야 하는 경우 각 태그마다 별도의 Attribute 요소를 포함합니다.

AWS 계정에 액세스 권한을 할당합니다.

다음 단계는 AWS 계정에 대한 액세스 권한만 부여하는 데만 필요합니다. 이 단계는 AWS 애플리케이션에 대한 액세스 권한을 부여하는 데 필요하지 않습니다.

1단계: IAM Identity Center: Okta 사용자에게 계정에 대한 액세스 권한 부여

  1. IAM Identity Center 탐색 창의 다중 계정 권한에서 AWS 계정을 선택합니다.

  2. AWS 계정 페이지의 조직 구조에는 조직 루트가 표시되고 계층 구조에 따라 그 아래에 사용자 계정이 표시됩니다. 관리 계정의 확인란을 선택한 다음 사용자 또는 그룹 할당을 선택합니다.

  3. 사용자 및 그룹 할당 워크플로가 표시됩니다. 워크플로는 세 단계로 구성됩니다.

    1. 1단계: 사용자 및 그룹 선택에서 관리자 작업을 수행할 사용자를 선택합니다. 다음을 선택합니다.

    2. 2단계: 권한 세트 선택에서 권한 세트 생성을 선택하여 권한 세트 생성과 관련된 3가지 하위 단계를 안내하는 새 탭이 열립니다.

      1. 1단계: 권한 세트 유형 선택에서 다음을 완료합니다.

        • 권한 세트 유형에서 사전 정의된 권한 세트를 선택합니다.

        • 사전 정의된 권한 세트 정책 섹션에서 AdministratorAccess를 선택합니다.

        Next(다음)를 선택합니다.

      2. 2단계: 권한 세트 세부 정보 지정 페이지에서 기본 설정을 유지하고 다음을 선택합니다.

        기본 설정에서는 세션 지속 시간이 1시간으로 설정된 AdministratorAccess라는 권한 세트를 생성합니다.

      3. 3단계: 검토 및 생성에서 권한 세트 유형이 AWS 관리형 정책 AdministratorAccess를 사용하는지 확인합니다. 생성(Create)을 선택합니다. 권한 세트 페이지에 권한 세트가 생성되었음을 알리는 알림이 표시됩니다. 이제 웹 브라우저에서 이 탭을 닫을 수 있습니다.

      사용자 및 그룹 할당 브라우저 탭에서 권한 세트 생성 워크플로를 시작한 2단계: 권한 세트 선택에 여전히 있습니다.

      권한 세트 영역에서 새로 고침 버튼을 선택합니다. 생성한 AdministratorAccess 권한 세트가 목록에 표시됩니다. 권한 세트의 확인란을 선택하고 다음을 선택합니다.

    3. 3단계: 검토 및 제출에서 선택한 사용자 및 권한 세트를 검토한 다음 제출을 선택합니다.

      AWS 계정이 구성 중이라는 메시지와 함께 페이지가 업데이트됩니다. 프로세스가 완료될 때까지 기다립니다.

      AWS 계정 페이지로 돌아갑니다. AWS 계정이 다시 프로비저닝되었으며 업데이트된 권한 세트가 적용되었다는 알림 메시지가 표시됩니다. 사용자가 로그인하면 AdministratorAccess 역할을 선택할 수 있는 옵션이 제공됩니다.

2단계: OktaAWS 리소스에 대한 Okta 사용자 액세스 확인

  1. 테스트 사용자 계정을 사용하여 Okta dashboard에 로그인합니다.

  2. 내 앱에서 AWS IAM Identity Center 아이콘을 선택합니다.

  3. AWS 계정 아이콘이 표시됩니다. 사용자가 액세스할 수 있는 AWS 계정 목록을 보려면 이 아이콘을 확장합니다. 이 자습서에서는 단일 계정만 사용했으므로 아이콘을 확장하면 하나의 계정만 표시됩니다.

  4. 계정을 선택하면 사용자에게 제공되는 권한 세트가 표시됩니다. 이 자습서에서는 AdministratorAccess 권한 세트를 생성했습니다.

  5. 권한 세트 옆에는 해당 권한 세트에 사용할 수 있는 액세스 유형에 대한 링크가 있습니다. 권한 세트를 생성할 때 AWS Management Console 및 프로그래밍 액세스 모두에 대한 액세스를 지정했습니다. 관리 콘솔을 선택하면 AWS Management Console이 열립니다.

  6. 사용자가 AWS Management Console에 로그인합니다.

다음 단계

이제 Okta를 ID 제공업체로 구성하고 IAM Identity Center의 사용자를 프로비저닝했기 때문에 다음을 수행할 수 있습니다.

문제 해결

Okta를 사용한 일반적인 SCIM 및 SAML 문제 해결은 다음 섹션을 참조하세요.

IAM Identity Center에서 삭제된 사용자 및 그룹 재프로비저닝

  • 동기화된 다음 IAM Identity Center에서 삭제된 Okta의 사용자 또는 그룹을 변경하려는 경우 Okta 콘솔에서 다음 오류 메시지를 받을 수 있습니다.

    • 사용자 Jane Doe를 앱으로 자동 프로필 푸시 AWS IAM Identity Center 실패: jane_doe@example.com에 대한 프로필 업데이트를 푸시하는 동안 오류 발생: xxxxx-xxxxxx-xxxxx-xxxxxxx 사용자에 대해 반환된 사용자가 없음

    • 연결된 그룹이 AWS IAM Identity Center에 누락되었습니다. 연결된 그룹을 변경하여 그룹 멤버십 푸시를 재개합니다.

  • 동기화 및 삭제된 IAM Identity Center 사용자 또는 그룹에 대한 Okta의 시스템 로그에서 다음 오류 메시지를 받을 수도 있습니다.

    • Okta 오류: Eventfailed application.provision.user.push_profile : 사용자에 대해 반환된 사용자가 없음 xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Okta Error: application.provision.group_push.mapping.update.or.delete.failed.with.error : 연결된 그룹이 AWS IAM Identity Center에 누락되었습니다. 연결된 그룹을 변경하여 그룹 멤버십 푸시를 재개합니다.

주의

SCIM을 사용하여 Okta와 IAM Identity Center와 동기화한 경우 IAM Identity Center가 아닌 Okta에서 사용자 및 그룹을 삭제해야 합니다.

삭제된 IAM Identity Center 사용자 문제 해결

삭제된 IAM Identity Center 사용자와 관련된 이 문제를 해결하려면 사용자를 Okta에서 삭제해야 합니다. 필요한 경우 이러한 사용자도 Okta에서 다시 생성해야 합니다. 사용자가 Okta에서 다시 생성되면 SCIM을 통해 IAM Identity Center로 다시 프로비저닝됩니다. 사용자 삭제에 대한 자세한 내용은 Okta설명서를 참조하세요.

참고

IAM Identity Center에 대한 Okta 사용자의 액세스 권한을 제거해야 하는 경우 먼저 그룹 푸시에서 제거한 다음 Okta에서 할당 그룹에서 제거해야 합니다. 이렇게 하면 사용자가 IAM Identity Center의 연결된 그룹 멤버십에서 제거됩니다. 그룹 푸시 문제 해결에 대한 자세한 내용은 Okta설명서를 참조하세요.

삭제된 IAM Identity Center 그룹 문제 해결

삭제된 IAM Identity Center 그룹에서 이 문제를 해결하려면 Okta에서 그룹을 삭제해야 합니다. 필요한 경우 그룹 푸시를 사용하여 Okta에서 이러한 그룹을 다시 생성해야 합니다. Okta에서 사용자를 다시 생성하면 SCIM을 통해 IAM Identity Center로 다시 프로비저닝됩니다. 그룹 삭제에 대한 자세한 내용은 Okta 설명서를 참조하세요.

Okta의 자동 프로비저닝 오류

Okta의 오류가 발생하면 다음을 수행하세요.

사용자 Jane Doe를 앱으로 자동 프로비저닝 AWS IAM Identity Center 실패: 일치하는 사용자를 찾을 수 없음

자세한 정보는 Okta설명서를 참조하세요.

추가 리소스

다음 리소스는 AWS로 직접 작업할 때 문제 해결에 도움이 될 수 있습니다.

  • AWS re:Post–문제를 해결할 때 도움이 되는 FAQ와 기타 리소스 링크를 찾을 수 있습니다.

  • AWS Support-기술 지원 받기