SCIM를 사용하여 SAML 및 구성 Microsoft Entra ID 및 IAM Identity Center

Microsoft Entra 관리 센터에 클라우드 애플리케이션 관리자 이상의 권한으로 로그인합니다.

ID > 애플리케이션 > 엔터프라이즈 애플리케이션으로 이동한 다음 새 애플리케이션을 선택합니다.

Microsoft Entra 갤러리 찾아보기 페이지의 검색 상자에 AWS IAM Identity Center을 입력합니다.

결과에서 AWS IAM Identity Center을 선택합니다.

생성(Create)을 선택합니다.

Microsoft Entra 관리 센터 콘솔에서 ID > 사용자 > 모든 사용자로 이동합니다.

새 사용자를 선택한 다음 화면 상단에서 새 사용자 생성을 선택합니다.

사용자 보안 주체 이름에 NikkiWolf를 입력하고 원하는 도메인과 확장자를 선택합니다. 예: NikkiWolf@example.org.

표시 이름에 NikkiWolf를 입력합니다.

암호 강력한 암호를 입력하거나 눈 모양 아이콘을 선택하여 자동 생성된 암호를 표시한 다음 표시된 값을 복사하거나 기록해 둡니다.

속성 을 선택하고 이름에 Nikki를 입력합니다. 성에 Wolf를 입력합니다.

검토 + 생성을 선택한 후 생성을 선택합니다.

동일한 브라우저에서 새 탭을 열고 내 계정 포털 로그인 페이지로 이동한 다음 Nikki의 전체 이메일 주소를 입력합니다. 예: NikkiWolf@example.org.

메시지가 표시되면 Nikki의 암호를 입력한 다음 로그인을 선택합니다. 자동 생성된 암호인 경우 암호를 변경하라는 메시지가 표시됩니다.

작업 필요 페이지에서 나중에 물어보기를 선택하여 추가 보안 방법 메시지를 건너뜁니다.

내 계정 페이지의 왼쪽 탐색 창에서 내 앱을 선택합니다. 지금은 추가 기능 외에는 앱이 표시되지 않습니다. 이후 단계에서 여기에 표시될 AWS IAM Identity Center 앱을 추가하게 됩니다.

Microsoft Entra 관리 센터 콘솔에서 ID > 애플리케이션 > 엔터프라이즈 애플리케이션으로 이동한 다음 목록에서 AWS IAM Identity Center을 선택합니다.

왼쪽에서 사용자 및 그룹을 선택합니다.

사용자/그룹 추가(Add user/group)를 선택합니다. 그룹을 할당할 수 없다는 메시지는 무시해도 좋습니다. 이 자습서에서는 할당에 그룹을 사용하지 않습니다.

할당 추가 페이지의 사용자에서 선택된 항목 없음을 선택합니다.

NikkiWolf를 선택한 다음 선택을 선택합니다.

할당 추가 페이지에서 할당을 선택합니다. NikkiWolf 지금 AWS IAM Identity Center 앱에 할당된 사용자 목록에 나타납니다.

IAM Identity Center 콘솔을 엽니다.

다중 계정 권한 아래에서 권한 집합을 선택합니다.

권한 집합 생성을 선택합니다.

권한 세트 유형 선택 페이지에서 사용자 지정 권한 세트를 선택하고 다음을 선택합니다.

인라인 정책을 선택하여 확장하고, 다음 단계에 따라 권한 세트에 대한 정책을 생성합니다.

1. 새 문 추가를 선택하여 정책 문을 생성합니다.

2. 문 편집의 목록에서 계정을 선택하고 다음 확인란을 선택합니다.

   • ListRegions

   • GetRegionOptStatus

   • DisableRegion

   • EnableRegion

3. 리소스 추가 옆에 있는 추가를 선택합니다.

4. 리소스 추가 페이지의 리소스 유형에서 모든 리소스를 선택한 다음 리소스 추가를 선택합니다. 정책이 다음과 같은지 확인합니다.

   {
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Action": [
                   "account:ListRegions",
                   "account:DisableRegion",
                   "account:EnableRegion",
                   "account:GetRegionOptStatus"
               ],
               "Resource": [
                   "*"
               ]
           }
       ]
   }

Next(다음)를 선택합니다.

권한 세트 세부 정보 지정 페이지의 권한 세트 이름에서 RegionalAdmin을 입력하고 다음을 선택합니다.

검토 및 생성 페이지에서 생성을 선택합니다. 권한 세트 목록에 RegionalAdmin가 표시됩니다.

IAM Identity Center 콘솔을 엽니다.

사용자를 선택하고 사용자 추가를 선택한 후 다음 정보를 입력합니다.

1. 사용자 이름과 이메일 주소 모두 -를 생성할 때 사용한 것과 동일한 NikkiWolf@yourcompanydomain.extension를 입력합니다.Microsoft Entra ID 사용자. 예: NikkiWolf@example.org.

2. 이메일 주소 확인 - 이전 단계에서 사용한 이메일 주소를 다시 입력

3. 이름 – Nikki 입력

4. 성 – Wolf 입력

5. 표시 이름 – Nikki Wolf 입력

다음을 두 번 선택하고, 사용자 추가를 선택합니다.

Close(닫기)를 선택합니다.

IAM Identity Center 콘솔을 엽니다.

다중 계정 권한에서 AWS 계정를 선택합니다.

Nikki에 리전을 관리할 수 있는 액세스 권한을 부여하려는 계정 이름 옆의 확인란(예: Sandbox)을 선택한 다음 사용자 및 그룹 할당을 선택합니다.

사용자 및 그룹 할당 페이지에서 사용자 탭을 선택하고, Nikki 옆에 있는 확인란을 찾아 선택하고, 다음을 선택합니다.

IAM Identity Center 콘솔에서 설정을 선택합니다.

설정 페이지에서 ID 소스 탭을 선택한 다음 작업 > ID 소스 변경을 선택합니다.

ID 소스 선택 페이지에서 외부 ID 제공업체를 선택하고 다음을 선택합니다.

외부 자격 증명 공급자 구성 페이지의 서비스 공급자 메타데이터에서 메타데이터 파일 다운로드를 선택하여 XML 파일을 다운로드합니다.

동일한 섹션에서 AWS 액세스 포털 로그인 URL 값을 찾아 복사합니다. 다음 단계에서 메시지가 표시될 때 이 값을 입력해야 합니다.

이 페이지를 열어 두고 다음 단계(Step 3.2)로 이동하여에서 AWS IAM Identity Center 엔터프라이즈 애플리케이션을 구성합니다.Microsoft Entra ID. 나중에이 페이지로 돌아가 프로세스를 완료합니다.

Microsoft Entra 관리 센터 콘솔에서 ID > 애플리케이션 > 엔터프라이즈 애플리케이션으로 이동한 다음 AWS IAM Identity Center을 선택합니다.

왼쪽에서 2를 선택합니다. Single Sign-On을 설정합니다.

를 사용하여 Single Sign-On 설정 SAML 페이지에서를 선택합니다SAML. 그런 다음 메타데이터 파일 업로드를 선택하고 폴더 아이콘을 선택하고 이전 단계에서 다운로드한 서비스 공급자 메타데이터 파일을 선택한 다음 추가를 선택합니다.

기본 SAML 구성 페이지에서 식별자 값과 회신 URL 값이 모두 로 시작하는의 엔드포인트를 가리키 AWS 는지 확인합니다https://<REGION>.signin.aws.amazon.com/platform/saml/.

로그인URL(선택 사항)에서 이전 단계()에서 복사한 AWS 액세스 포털 로그인 URL 값을 붙여넣고 저장을 Step 3.1선택한 다음 X를 선택하여 창을 닫습니다.

를 사용하여 Single Sign-On을 테스트하라는 메시지가 표시되면 나중에 테스트하겠습니다를 AWS IAM Identity Center선택합니다. 이 확인 작업은 이후 단계에서 수행하게 됩니다.

를 사용하여 Single Sign-On 설정 SAML 페이지의 SAML 인증서 섹션에서 연동 메타데이터 XML옆의 다운로드를 선택하여 메타데이터 파일을 시스템에 저장합니다. 다음 단계에서 메시지가 표시될 때 이 파일을 업로드해야 합니다.

IAM Identity Center 콘솔에서 열어 둔 브라우저 세션Step 3.1으로 돌아갑니다.

외부 자격 증명 공급자 구성 페이지의 자격 증명 공급자 메타데이터 섹션의 IdP SAML 메타데이터에서 파일 선택 버튼을 선택하고에서 다운로드한 자격 증명 공급자 메타데이터 파일을 선택합니다.Microsoft Entra ID 이전 단계에서 열기를 선택합니다.

Next(다음)를 선택합니다.

고지 사항을 읽고 진행할 준비가 되면 ACCEPT를 입력합니다.

ID 소스 변경을 선택하여 변경 사항을 적용합니다.

내 계정 포털 로그인 페이지로 이동한 다음 Nikki의 전체 이메일 주소를 입력합니다. 예: NikkiWolf@example.org.

메시지가 표시되면 Nikki의 암호를 입력한 다음 로그인을 선택합니다.

내 계정 페이지의 왼쪽 탐색 창에서 내 앱을 선택합니다.

내 앱 페이지에서 이름이 AWS IAM Identity Center인 앱을 선택합니다. 그러면 추가 인증을 요구하는 메시지가 표시됩니다.

Microsoft의 로그인 페이지에서 자격 NikkiWolf 증명을 선택합니다. 인증을 두 번째로 요청하는 메시지가 표시되면 NikkiWolf 자격 증명을 다시 선택합니다. 그러면 AWS 액세스 포털로 자동으로 리디렉션됩니다.

AWS 계정 디스플레이를 확인합니다.

AWS 액세스 포털에서 계정 탭을 선택하여 계정 목록을 표시합니다. 권한 세트를 정의한 계정과 연결된 계정 이름IDs, 계정 및 이메일 주소가 나타납니다.

권한 세트를 적용한 계정 이름(예: Sandbox)을 선택합니다( 참조Step 2.3). 그러면 Nikki가 계정을 관리하기 위해 선택할 수 있는 권한 세트 목록이 확장됩니다.

다음으로 관리 콘솔을 RegionalAdmin 선택하여 RegionalAdmin 권한 세트에 정의한 역할을 수임합니다. 그러면 AWS Management Console 홈 페이지로 리디렉션됩니다.

콘솔의 오른쪽 상단 모서리 부분에서 계정 이름을 선택한 후 계정을 선택합니다. 그러면 계정 페이지로 이동합니다. 이 페이지의 다른 모든 섹션에는 해당 설정을 보거나 수정하는 데 필요한 권한이 없다는 메시지가 표시됩니다.

계정 페이지에서 AWS 리전 섹션으로 이동합니다. 표에서 사용 가능한 리전의 확인란을 선택합니다. Nikki에게 계정의 리전 목록을 활성화 또는 비활성화하는 데 필요한 권한이 있습니다.

Microsoft Entra 관리 센터 콘솔에서 ID > 사용자 > 모든 사용자로 이동합니다.

새 사용자를 선택한 다음 화면 상단에서 새 사용자 생성을 선택합니다.

사용자 보안 주체 이름에 RichRoe를 입력하고 원하는 도메인과 확장자를 선택합니다. 예: RichRoe@example.org.

표시 이름에 RichRoe를 입력합니다.

암호 강력한 암호를 입력하거나 눈 모양 아이콘을 선택하여 자동 생성된 암호를 표시한 다음 표시된 값을 복사하거나 기록해 둡니다.

속성을 선택하고 다음 값을 입력합니다.

검토 + 생성을 선택한 후 생성을 선택합니다.

IAM Identity Center 콘솔을 열고 왼쪽 탐색 창에서 설정을 선택합니다.

설정 페이지의 ID 소스 탭에서 프로비저닝 방법이 수동으로 설정되어 있는지 확인합니다.

자동 프로비저닝 정보 상자를 찾은 다음 활성화를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.

인바운드 자동 프로비저닝 대화 상자에서 다음 옵션의 각 값을 복사합니다. 에서 프로비저닝을 구성할 때 다음 단계에 이를 붙여넣어야 합니다.Microsoft Entra ID.

1. SCIM 엔드포인트 - 예: https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

2. 액세스 토큰 - 토큰 표시를 선택하여 값을 복사합니다.

닫기를 선택하세요.

자격 증명 소스 탭에서 이제 프로비저닝 메서드가 로 설정되어 있습니다SCIM.

Microsoft Entra 관리 센터 콘솔에서 ID > 애플리케이션 > 엔터프라이즈 애플리케이션으로 이동한 다음 AWS IAM Identity Center을 선택합니다.

프로비저닝을 선택하고 관리에서 프로비저닝을 다시 선택합니다.

프로비저닝 모드에서 자동을 선택합니다.

관리 자격 증명의 테넌트URL에서 이전에에서 복사한 SCIM 엔드포인트 URL 값을 붙여 넣습니다Step 4.2. 비밀 토큰에 액세스 토큰 값을 붙여 넣습니다.

[Test Connection]을 선택합니다. 테스트된 보안 인증 정보에 프로비저닝 활성화가 성공적으로 승인되었다는 메시지가 표시되어야 합니다.

저장(Save)을 선택합니다.

관리에서 사용자 및 그룹을 선택한 다음 사용자/그룹 추가를 선택합니다.

할당 추가 페이지의 사용자에서 선택된 항목 없음을 선택합니다.

RichRoe를 선택한 다음 선택을 선택합니다.

Add Assignment(할당 추가) 페이지에서 Assign(할당)을 선택합니다.

개요를 선택한 다음 프로비저닝 시작을 선택합니다.

IAM Identity Center 콘솔에서 사용자를 선택합니다.

사용자 페이지에서 RichRoe 사용자가 표시됩니다. 작성자 열에서 값은 로 설정됩니다SCIM.

프로필에서 RichRoe를 선택하고 다음 속성이에서 복사되었는지 확인합니다.Microsoft Entra ID.

이제 Richard의 사용자가 IAM Identity Center에서 생성되었으므로 리소스에 대한 액세스 수준을 제어할 수 있도록 모든 권한 세트에 할당할 수 있습니다 AWS . 예를 들어 이전에 사용한 RegionalAdmin 권한 세트에 RichRoe를 할당하여 Nikki에 리전을 관리할 수 있는 권한을 부여한 다음( 참조Step 2.3)를 사용하여 액세스 수준을 테스트할 수 있습니다Step 3.5.

Microsoft Entra 관리 센터 콘솔에서 ID > 애플리케이션 > 엔터프라이즈 애플리케이션으로 이동한 다음 AWS IAM Identity Center을 선택합니다.

Single Sign-On을 선택합니다.

속성 및 클레임 섹션에서 편집을 선택합니다.

속성 및 클레임 페이지에서 다음을 수행합니다.

1. 새 클레임 추가를 선택합니다.

2. 이름에 AccessControl:AttributeName을 입력합니다. AttributeName를 IAM Identity Center에서 예상하는 속성의 이름으로 바꿉니다. 예: AccessControl:Department.

3. 네임스페이스(Namespace)에https://aws.amazon.com/SAML/Attributes를 입력합니다.

4. 소스(Source)에서 속성(Attribute)를 선택합니다.

5. 소스 속성에서 드롭다운 목록을 사용하여 Microsoft Entra ID 사용자 속성. 예: user.department.

SAML 어설션에서 IAM Identity Center로 전송해야 하는 각 속성에 대해 이전 단계를 반복합니다.

저장(Save)을 선택합니다.