SAML 2.0 인증서 교체 - AWS IAM Identity Center

SAML 2.0 인증서 교체

ID 제공업체가 발급한 유효하지 않거나 만료된 인증서를 교체하려면 정기적으로 인증서를 가져와야 할 수 있습니다. 이는 인증 중단이나 다운타임을 방지하는 데 도움이 됩니다. 가져온 모든 인증서는 자동으로 활성화됩니다. 인증서는 관련 ID 제공업체에서 더 이상 사용하지 않도록 확인한 후에 삭제해야만 합니다.

또한 일부 IdP는 여러 인증서를 지원하지 않을 수 있다는 점도 고려해야 합니다. 이 경우 해당 IdP로 인증서를 교체하면 사용자에게 일시적인 서비스 중단이 발생할 수 있습니다. 해당 IdP와의 신뢰가 성공적으로 재설정되면 서비스가 복원됩니다. 가능하면 사용량이 적은 시간에 신중하게 이 작업을 계획하세요.

참고

보안 모범 사례를 위해, 기존 SAML 인증서가 손상되거나 잘못 취급된 흔적이 있는 경우 인증서를 즉시 제거하고 교체해야 합니다.

IAM Identity Center 인증서 교체는 다음을 포함하는 다단계 절차입니다.

  • IdP에서 새 인증서 받기

  • 새 인증서를 IAM Identity Center로 가져오기

  • IdP에서 새 인증서 활성화

  • 이전 인증서 삭제

인증 다운타임을 피하면서 인증서 교체 프로세스를 완료하려면 다음 절차를 모두 따릅니다.

1단계: IdP에서 새 인증서 받기

IdP 웹사이트로 이동하여 SAML 2.0 인증서를 다운로드합니다. 인증서 파일이 PEM 인코딩 형식으로 다운로드되었는지 확인합니다. 대부분의 제공업체는 IdP에서 여러 SAML 2.0 인증서를 생성할 수 있도록 허용합니다. 이러한 인증은 비활성화 또는 비활성으로 표시될 수 있습니다.

2단계: 새 인증서를 IAM Identity Center로 가져오기

IAM Identity Center 콘솔을 사용하여 새 인증서를 가져오려면 다음 절차를 따릅니다.

  1. IAM Identity Center 콘솔에서 설정을 선택합니다.

  2. 설정 페이지에서 ID 소스 탭을 선택한 다음 작업 > 인증 관리를 선택합니다.

  3. SAML 2.0 인증서 관리 페이지에서 인증서 가져오기를 선택합니다.

  4. SAML 2.0 인증서 가져오기 대화 상자에서 파일 선택을 선택하고 인증서 파일을 찾은 다음 인증서 가져오기를 선택합니다.

이때 IAM Identity Center는 가져온 두 인증서에서 서명된 수신 SAML 메시지를 모두 신뢰합니다.

3단계: IdP에서 새 인증서 활성화

IdP 웹사이트로 돌아가서 이전에 만든 새 인증서를 기본 또는 활성 인증서로 표시합니다. 이때 IdP가 서명한 모든 SAML 메시지는 새 인증서를 사용해야 합니다.

4단계: 이전 인증서 삭제

다음 절차를 사용하여 IdP 인증서 교체 프로세스를 완료합니다. 항상 하나 이상의 유효한 인증서가 나열되어 있어야 하며 이는 제거할 수 없습니다.

참고

삭제하기 전에 ID 제공업체가 이 인증서를 사용하여 더 이상 SAML 응답에 서명하지 않는지 확인합니다.

  1. SAML 2.0 인증서 관리 페이지에서 삭제할 인증서를 선택합니다. Delete(삭제)를 선택합니다.

  2. SAML 2.0 인증서 삭제 대화 상자에 DELETE를 입력한 다음 삭제를 선택합니다.

  3. IdP 웹사이트로 돌아가서 필요한 단계를 수행하여 비활성된 이전 인증서를 제거합니다.