를 사용하여 IAM Identity Center에 외부 자격 증명 공급자 프로비저닝 SCIM - AWS IAM Identity Center
자동 프로비저닝을 사용할 때 고려 사항액세스 토큰 만료를 모니터링하는 방법수동 프로비저닝

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 IAM Identity Center에 외부 자격 증명 공급자 프로비저닝 SCIM

IAM Identity Center는 System for Cross-domain IAM Identity Management() v2.0 프로토콜을 사용하여 자격 증명 공급자(IdP)의 사용자 및 그룹 정보를 Identity Center로 자동 프로비저닝(동기화SCIM)하는 기능을 지원합니다. SCIM 동기화를 구성할 때 Identity Center의 명명된 속성에 IAM 대한 ID 공급자(IdP) 사용자 속성의 매핑을 생성합니다. 이로 인해 IAM Identity Center와 IdP 간에 예상 속성이 일치합니다. Identity Center용 SCIM 엔드포인트와 IAM Identity IAM Center에서 생성한 무기명 토큰을 사용하여 IdP에서이 연결을 구성합니다.

주제

자동 프로비저닝을 사용할 때 고려 사항

배포를 시작하기 전에 먼저 IAM Identity Center에서 작동하는 방법에 대한 다음과 같은 중요한 고려 사항을 검토하는 것이 SCIM좋습니다. 추가 프로비저닝 고려 사항에 대해서는 해당 IdP에 사용할 수 있는 IAM Identity Center의 ID 소스 자습서를 참조하세요.

  • 기본 이메일 주소를 프로비저닝하는 경우 이 속성 값은 각 사용자마다 고유해야 합니다. 일부의 경우 IdPs기본 이메일 주소가 실제 이메일 주소가 아닐 수 있습니다. 예를 들어 이메일처럼 보이는 범용 보안 주체 이름(UPN)일 수 있습니다. 여기에는 사용자의 실제 이메일 주소가 포함된 보조 또는 “기타” 이메일 주소가 IdPs 있을 수 있습니다. Null이 아닌 고유 이메일 주소를 IAM Identity Center 기본 이메일 주소 속성에 매핑하도록 IdPSCIM에서를 구성해야 합니다. 또한 Null이 아닌 사용자의 고유 로그인 식별자를 IAM Identity Center 사용자 이름 속성에 매핑해야 합니다. IdP에 로그인 속성과 사용자 이메일 이름을 모두 포함하는 단일 값이 있는지 확인합니다. 그렇다면 해당 IdP 필드를 IAM Identity Center 기본 이메일과 IAM Identity Center 사용자 이름 모두에 매핑할 수 있습니다.

  • SCIM 동기화가 작동하려면 모든 사용자에게 이름, , 사용자 이름표시 이름 값이 지정되어 있어야 합니다. 사용자에게 이러한 값이 하나라도 없으면 해당 사용자는 프로비저닝되지 않습니다.

  • 타사 애플리케이션을 사용해야 하는 경우 먼저 아웃바운드 SAML 주제 속성을 사용자 이름 속성에 매핑해야 합니다. 타사 애플리케이션에 라우팅 가능한 이메일 주소가 필요한 경우 IdP에 이메일 속성을 제공해야 합니다.

  • SCIM 프로비저닝 및 업데이트 간격은 자격 증명 공급자가 제어합니다. 자격 증명 공급자의 사용자 및 그룹에 대한 변경 사항은 자격 증명 공급자가 해당 변경 사항을 IAM Identity Center로 전송한 후에만 IAM Identity Center에 반영됩니다. 사용자 및 그룹 업데이트 빈도에 대한 자세한 내용은 ID 제공업체에 문의하세요.

  • 현재 다중 값 속성(예: 특정 사용자의 여러 이메일 또는 전화번호)은 로 프로비저닝되지 않습니다SCIM. 다중 값 속성을 IAM Identity Center와 동기화하려는 시도SCIM는 실패합니다. 동기화에 실패하지 않으려면 각 속성에 대해 단일 값만 전달해야 합니다. 다중 값 속성을 가진 사용자가 있는 경우 IAM Identity Center에 연결하기 위해 IdPSCIM에서의 중복 속성 매핑을 제거하거나 수정합니다.

  • IdP의 externalId SCIM 매핑이 고유하고 항상 존재하며 사용자에 대해 변경될 가능성이 가장 낮은 값과 일치하는지 확인합니다. 예를 들어, IdP는 이름 및 이메일과 같은 사용자 속성의 변경에 영향을 받지 않는 보장된 objectId 또는 기타 식별자를 제공할 수 있습니다. 그렇다면 해당 값을 SCIM externalId 필드에 매핑할 수 있습니다. 이렇게 하면 이름이나 이메일을 변경해야 하는 경우 사용자가 AWS 권한, 할당 또는 권한을 잃지 않습니다.

  • 애플리케이션에 아직 할당되지 않았거나 IAM Identity Center에 프로비저닝할 수 AWS 계정 없는 사용자입니다. 사용자와 그룹을 동기화하려면 사용자와 그룹이 애플리케이션 또는 IdP의 IAM Identity Center 연결을 나타내는 기타 설정에 할당되어 있는지 확인합니다.

  • 사용자 프로비저닝 해제 동작은 ID 제공업체가 관리하며 구현에 따라 다를 수 있습니다. 사용자 프로비저닝 해제에 대한 자세한 내용은 ID 제공업체에 문의하세요.

  • IdP에 SCIM 대해를 사용하여 자동 프로비저닝을 설정한 후에는 IAM Identity Center 콘솔에서 더 이상 사용자를 추가하거나 편집할 수 없습니다. 사용자를 추가하거나 수정해야 하는 경우 외부 IdP 또는 자격 증명 소스에서 이를 수행해야 합니다.

IAM Identity Center의 SCIM 구현에 대한 자세한 내용은 IAM Identity Center SCIM 구현 개발자 안내서를 참조하세요.

액세스 토큰 만료를 모니터링하는 방법

SCIM 액세스 토큰은 1년의 유효 기간으로 생성됩니다. SCIM 액세스 토큰이 90일 이내에 만료되도록 설정된 경우는 토큰 교체에 도움이 되도록 IAM Identity Center 콘솔과 AWS Health 대시보드를 통해 알림을 AWS 보냅니다. 만료되기 전에 SCIM 액세스 토큰을 교체하면 사용자 및 그룹 정보의 자동 프로비저닝을 지속적으로 보호할 수 있습니다. SCIM 액세스 토큰이 만료되면 자격 증명 공급자의 사용자 및 그룹 정보가 IAM Identity Center로 동기화되지 않으므로 자동 프로비저닝이 더 이상 정보를 업데이트하거나 정보를 생성 및 삭제할 수 없습니다. 자동 프로비저닝이 중단되면 보안 위험이 증가하고 서비스 액세스에 영향을 미칠 수 있습니다.

Identity Center 콘솔 알림은 SCIM 액세스 토큰을 교체하고 미사용 또는 만료된 액세스 토큰을 삭제할 때까지 유지됩니다. AWS Health 대시보드 이벤트는 90~60일 동안 매주, 60~30일 동안 주 2회, 30~15일 동안 주 3회, SCIM 액세스 토큰이 만료될 때까지 15일 동안 매일 갱신됩니다.

수동 프로비저닝

일부 에는 교차 도메인 Identity Management(SCIM)용 시스템이 지원되지 않거나 호환되지 IdPs 않는 SCIM 구현이 있습니다. 이 경우 IAM Identity Center 콘솔을 통해 사용자를 수동으로 프로비저닝할 수 있습니다. IAM Identity Center에 사용자를 추가할 때 사용자 이름을 IdP에 있는 사용자 이름과 동일하게 설정해야 합니다. 최소한 고유한 이메일 주소와 사용자 이름이 있어야 합니다. 자세한 내용은 사용자 이름 및 이메일 주소 고유성 단원을 참조하십시오.

또한 IAM Identity Center에서 모든 그룹을 수동으로 관리해야 합니다. 이렇게 하려면 IAM Identity Center 콘솔을 사용하여 그룹을 생성하고 추가합니다. 이러한 그룹은 IdP에 있는 그룹과 일치하지 않아도 됩니다. 자세한 내용은 그룹 단원을 참조하십시오.