를 사용하여 Identity Center에 IAM 외부 ID 공급자를 프로비저닝합니다. SCIM - AWS IAM Identity Center
자동 프로비저닝을 사용할 때 고려 사항액세스 토큰 만료를 모니터링하는 방법수동 프로비저닝

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 Identity Center에 IAM 외부 ID 공급자를 프로비저닝합니다. SCIM

IAMIdentity Center는 도메인 간 ID 관리 시스템 () v2.0 프로토콜을 사용하여 ID 공급자 (IdP) 의 사용자 및 그룹 정보를 Identity IAM Center로 자동 프로비저닝 SCIM (동기화) 할 수 있도록 지원합니다. SCIM동기화를 구성할 때 ID 공급자 (IdP) 사용자 속성을 Identity Center의 명명된 속성에 매핑합니다. IAM 이로 인해 IAM ID 센터와 IdP 간에 예상 속성이 일치하게 됩니다. ID 센터용 SCIM 엔드포인트와 IAM ID 센터에서 생성한 베어러 토큰을 사용하여 IdP에서 IAM 이 연결을 구성합니다.

주제

자동 프로비저닝을 사용할 때 고려 사항

배포를 시작하기 전에 먼저 SCIM Identity Center와의 IAM 작동 방식에 대한 다음과 같은 중요한 고려 사항을 검토하는 것이 좋습니다. 추가 프로비저닝 고려 사항은 해당 IdP에 IAM아이덴티티 센터 시작하기 튜토리얼 해당하는 사항을 참조하십시오.

  • 기본 이메일 주소를 프로비저닝하는 경우 이 속성 값은 각 사용자마다 고유해야 합니다. 일부의 IdPs 경우 기본 이메일 주소가 실제 이메일 주소가 아닐 수도 있습니다. 예를 들어 이메일처럼 보이는 범용 사용자 이름 (UPN) 일 수 있습니다. 여기에는 사용자의 실제 이메일 주소가 포함된 보조 또는 “기타” 이메일 주소가 IdPs 있을 수 있습니다. SCIMNULL이 아닌 고유 이메일 주소를 IAM Identity Center 기본 이메일 주소 속성에 매핑하도록 IdP를 구성해야 합니다. 그리고 NULL이 아닌 사용자의 고유 로그인 식별자를 Identity Center 사용자 이름 속성에 매핑해야 합니다IAM. IdP에 로그인 속성과 사용자 이메일 이름을 모두 포함하는 단일 값이 있는지 확인합니다. 그렇다면 해당 IdP 필드를 IAM ID 센터 기본 이메일과 IAM ID 센터 사용자 이름 모두에 매핑할 수 있습니다.

  • SCIM동기화가 작동하려면 모든 사용자에게 이름, 성, 사용자 이름표시 이름 값을 지정해야 합니다. 사용자에게 이러한 값이 하나라도 없으면 해당 사용자는 프로비저닝되지 않습니다.

  • 타사 애플리케이션을 사용해야 하는 경우 먼저 아웃바운드 SAML 주체 속성을 사용자 이름 속성에 매핑해야 합니다. 타사 애플리케이션에 라우팅 가능한 이메일 주소가 필요한 경우 IdP에 이메일 속성을 제공해야 합니다.

  • SCIM프로비저닝 및 업데이트 주기는 ID 공급자가 제어합니다. ID 제공자의 사용자 및 그룹에 대한 변경 사항은 ID 제공자가 해당 변경 내용을 IAM Identity Center로 전송한 후에만 Identity Center에 IAM 반영됩니다. 사용자 및 그룹 업데이트 빈도에 대한 자세한 내용은 ID 제공업체에 문의하세요.

  • 현재 다중 값 속성 (예: 특정 사용자에 대한 여러 이메일 또는 전화 번호) 은 제공되지 않습니다. SCIM 다중 값 속성을 Identity Center와 동기화하려는 시도는 실패합니다. IAM SCIM 동기화에 실패하지 않으려면 각 속성에 대해 단일 값만 전달해야 합니다. 다중 값 특성을 가진 사용자가 있는 경우 IdP에서 Identity Center에 연결하기 위해 중복된 속성 매핑을 제거하거나 SCIM 수정하십시오. IAM

  • IdP의 externalId SCIM 매핑이 고유하고 항상 존재하며 사용자에 대해 변경될 가능성이 가장 적은 값과 일치하는지 확인하세요. 예를 들어, IdP는 이름 및 이메일과 같은 사용자 속성의 변경에 영향을 받지 않는 보장된 objectId 또는 기타 식별자를 제공할 수 있습니다. 그렇다면 해당 값을 SCIM externalId 필드에 매핑할 수 있습니다. 이렇게 하면 사용자가 손실을 입지 않을 수 있습니다. AWS 이름 또는 이메일을 변경해야 하는 경우 자격, 할당 또는 권한

  • 아직 애플리케이션에 할당되지 않은 사용자 또는 AWS 계정 IAMID 센터에 프로비전할 수 없습니다. 사용자 및 그룹을 동기화하려면 IdP와 Identity Center의 연결을 나타내는 응용 프로그램이나 기타 설정에 해당 사용자와 그룹을 할당해야 합니다. IAM

  • 사용자 프로비저닝 해제 동작은 ID 제공자가 관리하며 구현에 따라 달라질 수 있습니다. 사용자 프로비저닝에 대한 자세한 내용은 ID 공급자에게 문의하십시오.

IAMIdentity Center SCIM 구현에 대한 자세한 내용은 IAMIdentity Center SCIM 구현 개발자 안내서를 참조하십시오.

액세스 토큰 만료를 모니터링하는 방법

SCIM액세스 토큰은 유효 기간이 1년인 상태로 생성됩니다. SCIM액세스 토큰이 90일 이내에 만료되도록 설정된 경우 AWS IAMIdentity Center 콘솔 및 웹 사이트를 통해 알림을 보냅니다. AWS Health 토큰을 교체하는 데 도움이 되는 대시보드 만료되기 전에 SCIM 액세스 토큰을 교체하면 사용자 및 그룹 정보의 자동 프로비저닝을 지속적으로 보호할 수 있습니다. SCIM액세스 토큰이 만료되면 ID 공급자의 사용자 및 그룹 정보를 Identity Center로 동기화하는 작업이 중지되므로 자동 프로비저닝으로 IAM 더 이상 정보를 업데이트하거나 정보를 생성 및 삭제할 수 없습니다. 자동 프로비저닝이 중단되면 보안 위험이 증가하고 서비스 액세스에 영향을 미칠 수 있습니다.

Identity Center 콘솔 알림은 액세스 토큰을 교체하고 사용하지 않거나 SCIM 만료된 액세스 토큰을 삭제할 때까지 지속됩니다. The AWS Health 대시보드 이벤트는 90일에서 60일 사이에 매주, 60일에서 30일까지 주 2회, 30일에서 15일까지 주 3회, SCIM 액세스 토큰이 만료될 때까지 15일부터 매일 갱신됩니다.

수동 프로비저닝

일부는 도메인 간 ID 관리 시스템 (SCIM) 을 지원하지 않거나 SCIM 호환되지 IdPs 않는 구현을 갖추고 있습니다. 이러한 경우 IAM Identity Center 콘솔을 통해 사용자를 수동으로 프로비전할 수 있습니다. IAMIdentity Center에 사용자를 추가할 때는 사용자 이름을 IdP에 있는 사용자 이름과 동일하게 설정해야 합니다. 최소한 고유한 이메일 주소와 사용자 이름이 있어야 합니다. 자세한 내용은 사용자 이름 및 이메일 주소 고유성 단원을 참조하십시오.

또한 IAM Identity Center에서 모든 그룹을 수동으로 관리해야 합니다. 이렇게 하려면 IAM Identity Center 콘솔을 사용하여 그룹을 만들고 추가해야 합니다. 이러한 그룹은 IdP에 있는 그룹과 일치하지 않아도 됩니다. 자세한 내용은 그룹 단원을 참조하십시오.