SCIM을 통한 IAM Identity Center로의 외부 ID 제공업체 프로비저닝 - AWS IAM Identity Center
자동 프로비저닝을 사용할 때 고려 사항액세스 토큰 만료를 모니터링하는 방법수동 프로비저닝

SCIM을 통한 IAM Identity Center로의 외부 ID 제공업체 프로비저닝

IAM Identity Center는 도메인 간 ID 관리 시스템(SCIM) v2.0 프로토콜을 사용하여 ID 제공업체(idP)의 사용자 및 그룹 정보를 IAM Identity Center로 자동 프로비저닝(동기화)할 수 있도록 지원합니다. SCIM 동기화를 구성할 때 ID 제공업체(idP) 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 IdP 간에 예상 속성이 일치하게 됩니다. IAM Identity Center의 SCIM 엔드포인트와 IAM Identity Center에서 생성한 베어러 토큰을 사용하여 IdP에서 이 연결을 구성합니다.

주제

자동 프로비저닝을 사용할 때 고려 사항

SCIM 배포를 시작하기 전에 먼저 IAM Identity Center와의 작동 방식에 대한 다음과 같은 중요한 고려 사항을 검토하는 것이 좋습니다. 추가 프로비저닝 고려 사항에 대해서는 해당 IdP에 사용할 수 있는 IAM Identity Center의 ID 소스 자습서를 참조하세요.

  • 기본 이메일 주소를 프로비저닝하는 경우 이 속성 값은 각 사용자마다 고유해야 합니다. 일부 IdP에서는 기본 이메일 주소가 실제 이메일 주소가 아닐 수 있습니다. 예를 들어 이메일처럼 보이는 범용 사용자 이름(UPN)일 수 있습니다. 이러한 IdP에는 사용자의 실제 이메일 주소가 포함된 보조 또는 “기타” 이메일 주소가 있을 수 있습니다. IdP에서 NULL이 아닌 고유 이메일 주소를 IAM Identity Center 기본 이메일 주소 속성에 매핑하도록 SCIM을 구성해야 합니다. 그리고 NULL이 아닌 사용자의 고유 로그인 속성을 IAM Identity Center 사용자 이름 속성에 매핑해야 합니다. IdP에 로그인 속성과 사용자 이메일 이름을 모두 포함하는 단일 값이 있는지 확인합니다. 그렇다면 해당 IdP 필드를 IAM Identity Center 기본 이메일과 IAM Identity Center 사용자 이름 모두에 매핑할 수 있습니다.

  • SCIM 동기화가 작동하려면 모든 사용자에게 이름, , 사용자 이름디스플레이 이름 값을 지정해야 합니다. 사용자에게 이러한 값이 하나라도 없으면 해당 사용자는 프로비저닝되지 않습니다.

  • 타사 애플리케이션을 사용해야 하는 경우 먼저 아웃바운드 SAML 주체 속성을 사용자 이름 속성에 매핑해야 합니다. 타사 애플리케이션에 라우팅 가능한 이메일 주소가 필요한 경우 IdP에 이메일 속성을 제공해야 합니다.

  • SCIM 프로비저닝 및 업데이트 주기는 ID 제공업체가 제어합니다. ID 제공업체의 사용자 및 그룹에 대한 변경 사항은 ID 제공업체가 해당 변경 사항을 IAM Identity Center로 전송한 후에만 IAM Identity Center에 반영됩니다. 사용자 및 그룹 업데이트 빈도에 대한 자세한 내용은 ID 제공업체에 문의하세요.

  • 현재 SCIM에는 다중 값 속성(예: 특정 사용자에 대한 여러 이메일 또는 전화번호)이 프로비저닝되지 않습니다. SCIM을 사용하여 다중 값 속성을 IAM Identity Center에 동기화할 수 없습니다. 동기화에 실패하지 않으려면 각 속성에 대해 단일 값만 전달해야 합니다. 다중 값 속성을 가진 사용자가 있는 경우 IAM Identity Center에 연결하기 위해 IdP에서 SCIM의 중복 속성 매핑을 제거하거나 수정합니다.

  • IdP의 externalId SCIM 매핑이 고유하고 항상 존재하며 사용자에 대해 변경될 가능성이 가장 적은 값에 해당하는지 확인합니다. 예를 들어, IdP는 이름 및 이메일과 같은 사용자 속성의 변경에 영향을 받지 않는 보장된 objectId 또는 기타 식별자를 제공할 수 있습니다. 그렇다면 해당 값을 SCIM externalId 필드에 매핑할 수 있습니다. 이렇게 하면 이름이나 이메일을 변경해야 하는 경우 사용자가 AWS 자격, 할당 또는 권한을 잃지 않을 수 있습니다.

  • 아직 애플리케이션 또는 AWS 계정에 할당되지 않은 사용자는 IAM Identity Center에 프로비저닝할 수 없습니다. 사용자와 그룹을 동기화하려면 IAM Identity Center에 대한 IdP의 연결을 나타내는 애플리케이션 또는 기타 설정에 해당 사용자와 그룹을 할당해야 합니다.

  • 사용자 프로비저닝 해제 동작은 ID 제공업체가 관리하며 구현에 따라 다를 수 있습니다. 사용자 프로비저닝 해제에 대한 자세한 내용은 ID 제공업체에 문의하세요.

IAM Identity Center의 SCIM 구현에 대한 자세한 내용은 IAM Identity Center SCIM 구현 개발자 가이드를 참조하세요.

액세스 토큰 만료를 모니터링하는 방법

SCIM 액세스 토큰의 유효 기간은 1년으로 생성됩니다. SCIM 액세스 토큰이 90일 이내에 만료되도록 설정되면 AWS은 IAM Identity Center 콘솔과 AWS Health 대시보드를 통해 알림을 보내 토큰 교체를 도와줍니다. SCIM 액세스 토큰이 만료되기 전에 이를 교체하면 사용자 및 그룹 정보의 자동 프로비저닝을 지속적으로 보호할 수 있습니다. SCIM 액세스 토큰이 만료되면 ID 제공업체의 사용자 및 그룹 정보를 IAM Identity Center로 동기화하는 작업이 중지되므로 더 이상 자동 프로비저닝을 통해 정보를 업데이트하거나 생성 및 삭제할 수 없습니다. 자동 프로비저닝이 중단되면 보안 위험이 증가하고 서비스 액세스에 영향을 미칠 수 있습니다.

Identity Center 콘솔은 SCIM 액세스 토큰을 교체하고 사용하지 않거나 만료된 액세스 토큰을 삭제할 때까지 지속적으로 알림을 보냅니다. AWS Health 대시보드 이벤트는 90일에서 60일 사이에 주 1회, 60일에서 30일까지 주 2회, 30일에서 15일까지 매주 3회, 15일에서 SCIM 액세스 토큰이 만료될 때까지 매일 갱신됩니다.

수동 프로비저닝

일부 IdP는 도메인 간 ID 관리 시스템(SCIM)을 지원하지 않거나 SCIM 구현이 호환되지 않습니다. 이러한 경우 IAM Identity Center 콘솔을 통해 사용자를 수동으로 프로비저닝할 수 있습니다. IAM Identity Center에 사용자를 추가할 때는 사용자 이름을 IdP에 있는 사용자 이름과 동일하게 설정해야 합니다. 최소한 고유한 이메일 주소와 사용자 이름이 있어야 합니다. 자세한 내용은 사용자 이름 및 이메일 주소 고유성 단원을 참조하세요.

또한 IAM Identity Center에서 모든 그룹을 수동으로 관리해야 합니다. 이렇게 하려면 그룹을 생성하고 IAM Identity Center 콘솔을 사용하여 추가합니다. 이러한 그룹은 IdP에 있는 그룹과 일치하지 않아도 됩니다. 자세한 내용은 그룹 단원을 참조하십시오.