IAM Identity Center를 사용하여 JumpCloud Directory Platform에 연결 - AWS IAM Identity Center
사전 조건SCIM 고려 사항1단계: IAM Identity Center 프로비저닝 활성화2단계: JumpCloud에서 프로비저닝 구성(선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 JumpCloud 사용자 속성 구성 (선택 사항) 액세스 제어에 속성 전달

IAM Identity Center를 사용하여 JumpCloud Directory Platform에 연결

IAM Identity Center는 JumpCloud Directory Platform에서 IAM Identity Center로 들어오는 사용자 정보의 자동 프로비저닝(동기화)을 지원합니다. 이 프로비저닝은 SAML(Security Assertion Markup Language) 2.0 프로토콜을 사용합니다. 자세한 내용은 외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용 단원을 참조하십시오.

IAM Identity Center SCIM 엔드포인트와 액세스 토큰을 사용하여 JumpCloud에서 이 연결을 구성합니다. SCIM 동기화를 구성할 때 JumpCloud의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 JumpCloud 간에 예상 속성이 일치하게 됩니다.

JumpCloud에 기반한 이 가이드는 2021년 6월 기준입니다. 최신 버전의 단계는 다를 수 있습니다. 이 가이드에는 SAML을 통한 사용자 인증 구성에 관련된 몇 가지 참고 사항이 포함되어 있습니다.

다음 단계는 SCIM 프로토콜을 사용하여 JumpCloud에서 IAM Identity Center으로 사용자 및 그룹을 자동으로 프로비저닝하도록 활성화하는 방법을 안내합니다.

참고

SCIM 배포를 시작하기 전에 먼저 자동 프로비저닝을 사용할 때 고려 사항를 검토하는 것이 좋습니다. 그 후, 다음 섹션에서 추가 고려 사항을 계속 검토합니다.

사전 조건

시작하기 전에 다음을 준비해야 합니다.

  • JumpCloud 구독 또는 무료 평가판. 무료 평가판을 신청하려면 JumpCloud를 방문하세요.

  • IAM Identity Center 활성화 계정(무료). 자세한 내용은 IAM Identity Center 활성화를 참조하세요.

  • IAM Identity Center 센터 JumpCloud 설명서에 설명된 대로 JumpCloud 계정에서 IAM Identity Center로의 SAML 연결을 수행합니다.

  • AWS 계정에 액세스를 허용하려는 그룹과 IAM Identity Center 커넥터를 연결합니다.

SCIM 고려 사항

IAM Identity Center에서 JumpCloud 페더레이션을 사용할 때 고려해야 할 사항은 다음과 같습니다.

  • JumpCloud 의 AWS Single Sign-On 커넥터와 연결된 그룹만 SCIM과 동기화됩니다.

  • 하나의 전화번호 속성만 동기화할 수 있으며 기본값은 “직장 전화”입니다.

  • JumpCloud 디렉터리의 사용자는 SCIM을 사용하여 IAM Identity Center와 동기화되도록 구성된 이름과 성을 가지고 있어야 합니다.

  • 사용자가 IAM Identity Center에서 비활성화되었지만 JumpCloud에서 여전히 활성 상태인 경우 속성은 여전히 동기화됩니다.

  • 커넥터에서 “사용자 그룹 및 그룹 구성원 관리 활성화”를 선택 취소하여 사용자 정보에 대해서만 SCIM 동기화를 활성화하도록 선택할 수 있습니다.

1단계: IAM Identity Center 프로비저닝 활성화

이 첫 번째 단계에서는 IAM Identity Center 콘솔을 사용하여 자동 프로비저닝을 활성화합니다.

IAM Identity Center에서 자동 프로비저닝을 활성화하려면

  1. 사전 필수 조건을 완료한 후 IAM Identity Center 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 설정을 선택합니다.

  3. 설정 페이지에서 자동 프로비저닝 정보 상자를 찾은 다음 활성화를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.

  4. 인바운드 자동 프로비저닝 대화 상자에서 다음 옵션의 각 값을 복사합니다. 나중에 IdP에서 프로비저닝을 구성할 때 이를 붙여넣어야 합니다.

    1. SCIM 엔드포인트-예: https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. 액세스 토큰 - 토큰 표시를 선택하여 값을 복사합니다.

    주의

    SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에 이 값을 입력하여 IdP에서 자동 프로비저닝을 구성할 수 있습니다.

  5. 닫기를 선택하세요.

이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했으므로 JumpCloud IAM Identity Center 커넥터를 사용하여 나머지 작업을 완료해야 합니다. 다음 절차에서 이 단계를 설명합니다.

2단계: JumpCloud에서 프로비저닝 구성

JumpCloud IAM Identity Center 커넥터의 다음 절차를 사용하여 IAM Identity Center를 통한 프로비저닝을 활성화합니다. 이 절차에서는 JumpCloud 관리 포털 및 그룹에 JumpCloud IAM Identity Center 커넥터를 이미 추가했다고 가정합니다. 아직 이를 수행하지 않은 경우 사전 조건를 참조하고 이 절차를 완료하여 SCIM 프로비저닝을 구성합니다.

JumpCloud에서 프로비저닝을 구성하려면

  1. JumpCloud(사용자 인증 > IAM Identity Center)의 SAML을 구성하는 과정에서 설치한 JumpCloud IAM Identity Center 커넥터를 엽니다. 사전 조건 단원을 참조하세요.

  2. IAM Identity Center 커넥터를 선택한 다음 세 번째 탭 ID 관리를 선택합니다.

  3. 그룹을 SCIM 동기화하려면 이 애플리케이션에서 사용자 그룹 및 그룹 구성원 관리 활성화 체크박스를 선택합니다.

  4. 구성을 클릭합니다.

  5. 이전 절차에서 IAM Identity Center에서 SCIM 엔드포인트 값을 복사했습니다. 해당 값을 JumpCloud IAM Identity Center 커넥터의 기본 URL 필드에 붙여넣습니다.

  6. 이전 절차에서 IAM Identity Center에서 액세스 토큰 값을 복사했습니다. 해당 값을 JumpCloud IAM Identity Center 커넥터의 토큰 키 필드에 붙여넣습니다.

  7. 활성화를 클릭하여 구성을 적용합니다.

  8. 녹색 표시기 옆에 Single Sign-On 활성화가 있는지 확인합니다.

  9. 네 번째 탭인 사용자 그룹으로 이동하여 SCIM으로 프로비저닝하려는 그룹을 선택합니다.

  10. 완료되면 하단의 저장을 클릭합니다.

  11. 사용자가 IAM Identity Center와 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가서 사용자를 선택합니다. JumpCloud로부터 동기화된 사용자는 사용자 페이지에 표시됩니다. 이제 이러한 사용자를 IAM Identity Center 내에서 계정에 할당할 수 있습니다.

(선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 JumpCloud 사용자 속성 구성

이는 AWS 리소스에 대한 액세스를 관리하기 위해 IAM Identity Center의 속성을 구성하도록 선택하는 경우에 사용할 수 있는 JumpCloud의 선택적 절차입니다. JumpCloud에서 정의한 속성은 SAML 어설션을 통해 IAM Identity Center에 전달됩니다. 그런 다음 JumpCloud로부터 전달한 속성을 기반으로 액세스를 관리하기 위해 IAM Identity Center에서 권한 세트를 생성해야 합니다.

이 절차를 시작하기 전에 먼저 액세스 제어용 속성 기능을 활성화해야 합니다. 이에 대한 자세한 방법은 액세스 제어 속성 활성화 및 구성을 참조하세요.

IAM Identity Center에서 액세스 제어에 사용되는 JumpCloud 사용자 속성을 구성하려면

  1. JumpCloud(사용자 인증 > IAM Identity Center)의 SAML을 구성하는 과정에서 설치한 JumpCloud IAM Identity Center 커넥터를 엽니다.

  2. IAM Identity Center 커넥터를 선택합니다. 그런 다음 IAM Identity Center의 두 번째 탭을 선택합니다.

  3. 이 탭 하단의 사용자 속성 매핑에서 새 속성 추가를 선택한 후 다음을 수행합니다. IAM Identity Center에서 액세스 제어용으로 사용하기 위해 추가할 각 속성에 대해 다음 단계를 수행해야 합니다.

    1. 서비스 제공 속성 이름 필드에서 IAM Identity Center에서 예상하는 속성 이름 AttributeNamehttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName. 바꾸기를 입력합니다. 예: https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

    2. JumpCloud속성 이름 필드에서 JumpCloud 디렉터리의 사용자 속성을 선택합니다. 예제로 이메일(직장).

  4. Save(저장)를 선택합니다.

(선택 사항) 액세스 제어에 속성 전달

IAM Identity Center의 액세스 제어를 위한 속성 기능을 사용하여 Name 속성이 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}로 설정된 Attribute 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 IAM 사용 설명서AWS STS에서 세션 태그 전달을 참조하세요.

속성을 세션 태그로 전달하려면 태그 값을 지정하는 AttributeValue 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 CostCenter = blue를 전달하려면 다음 속성을 사용합니다.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

여러 속성을 추가해야 하는 경우 각 태그마다 별도의 Attribute 요소를 포함합니다.