기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# IAM Identity Center의 ID 소스 자습서
AWS Organizations 관리 계정의 기존 ID 소스를 [IAM Identity Center의 조직 인스턴스에](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 연결할 수 있습니다. 기존 ID 제공업체가 없는 경우 기본 IAM Identity Center 디렉터리에서 직접 사용자를 생성하고 관리할 수 있습니다. 조직당 ID 소스를 하나 가질 수 있습니다.
이 섹션의 자습서에서는 일반적으로 사용되는 자격 증명 소스로 IAM Identity Center의 조직 인스턴스를 설정하고, 관리 사용자를 생성하고, IAM Identity Center를 사용하여 액세스 권한을 관리하는 경우 권한 세트를 AWS 계정생성하고 구성하는 방법을 설명합니다. 애플리케이션 액세스용으로만 IAM Identity Center를 사용하는 경우 권한 세트를 사용할 필요가 없습니다.
이러한 자습서에서는 IAM Identity Center의 계정 인스턴스를 설정하는 방법을 설명하지 않습니다. 계정 인스턴스를 사용하여 사용자 및 그룹을 애플리케이션에 할당할 수 있지만 이 인스턴스 유형을 사용하여 AWS 계정에 대한 사용자 액세스를 관리할 수는 없습니다. 자세한 내용은 [IAM Identity Center의 계정 인스턴스](account-instances-identity-center.md) 단원을 참조하십시오.
**참고**
이 자습서를 시작하기 전에 IAM Identity Center를 활성화합니다. 자세한 내용은 [IAM Identity Center 활성화](enable-identity-center.md) 단원을 참조하십시오.
**Topics**
+ [Active Directory를 ID 소스로 사용](gs-ad.md)
+ [Setting up SCIM provisioning between CyberArk and IAM Identity Center](cyberark-idp.md)
+ [Google Workspace 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성](gs-gwp.md)
+ [IAM Identity Center를 사용하여 JumpCloud Directory Platform에 연결](jumpcloud-idp.md)
+ [Microsoft Entra ID 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성](idp-microsoft-entra.md)
+ [Okta 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성](gs-okta.md)
+ [OneLogin 및 IAM Identity Center 간에 SCIM 프로비저닝 설정](onelogin-idp.md)
+ [IAM Identity Center에서 Ping Identity 제품 사용](pingidentity.md)
+ [기본 IAM Identity Center 디렉터리를 사용하여 사용자 액세스를 구성합니다.](quick-start-default-idc.md)
+ [자습서 비디오](#w2aac15c31)
# Active Directory를 ID 소스로 사용
Directory Service 또는 Active Directory(AD)의 자체 관리형 AWS Managed Microsoft AD 디렉터리를 사용하여 디렉터리의 사용자를 관리하는 경우 해당 사용자와 함께 작동하도록 IAM Identity Center ID 소스를 변경할 수 있습니다. IAM Identity Center를 활성화하고 ID 소스를 선택할 때는 이 ID 소스의 연결을 고려하는 것이 좋습니다. 기본 Identity Center 디렉터리에 사용자 및 그룹을 생성하기 전에 해당 작업을 수행하면 나중에 ID 소스를 변경할 때 추가 구성 필요해지는 상황을 피할 수 있습니다.
Active Directory를 ID 소스로 사용하려면 구성이 다음 사전 조건을 충족해야 합니다.
+ 를 사용하는 경우 AWS Managed Microsoft AD 디렉터리가 설정된 AWS 리전 동일한에서 IAM Identity Center를 활성화해야 AWS Managed Microsoft AD합니다. IAM Identity Center는 디렉터리와 동일한 리전에 할당 데이터를 저장합니다. IAM Identity Center를 관리하려면 IAM Identity Center가 구성된 리전으로 전환해야 합니다. 또한 AWS 액세스 포털은 디렉터리와 동일한 액세스 URL을 사용합니다.
+ 관리 계정에 있는 Active Directory를 사용합니다.
에 설정된 기존 AD 커넥터 또는 AWS Managed Microsoft AD 디렉터리가 있어야 하며 AWS Organizations 관리 계정 내에 있어야 AWS Directory Service합니다. 한 번에 하나의 AD Connector 디렉터리 또는 AWS Managed Microsoft AD 의 디렉터리 한 개에만 연결할 수 있습니다. 여러 도메인이나 포리스트를 지원해야 하는 경우 AWS Managed Microsoft AD를 사용합니다. 자세한 내용은 다음을 참조하세요.
+ [의 디렉터리를 IAM Identity Center AWS Managed Microsoft AD 에 연결](connectawsad.md)
+ [Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결](connectonpremad.md)
+ 위임된 관리자 계정에 있는 Active Directory를 사용합니다.
IAM Identity Center 위임된 관리자를 활성화하고 Active Directory를 IAM Identity Center ID 소스로 사용하려는 경우 위임된 관리자 계정에 있는 디렉터리에 설정된 기존 AD 커넥터 또는 AWS Managed Microsoft AD AWS 디렉터리를 사용할 수 있습니다.
IAM Identity Center ID 소스를 다른 소스에서 Active Directory로 변경하거나 Active Directory에서 다른 소스로 변경하려는 경우 해당 디렉터리는 IAM Identity Center에서 위임한 관리자 계정(있는 경우)에 있어야 하고 그렇지 않으면 관리 계정에 있어야 합니다.
이 자습서는 Active Directory를 IAM Identity Center ID 소스로 사용하기 위한 기본 설정을 안내합니다.
# 1단계: Active Directory 연결 및 사용자 지정
이미 Active Directory를 사용 중인 경우 다음 주제가 디렉터리를 IAM Identity Center에 연결하는 데 도움이 될 것입니다.
**참고**
Active Directory에서 AWS Managed Microsoft AD 디렉터리 또는 자체 관리형 디렉터리를 연결할 계획이고 RADIUS MFA를와 함께 사용하지 않는 경우 IAM Identity Center에서 MFA를 AWS Directory Service활성화합니다.
**AWS Managed Microsoft AD**
1. [Microsoft AD 디렉터리](manage-your-identity-source-ad.md)에서 지침을 검토하세요.
1. [의 디렉터리를 IAM Identity Center AWS Managed Microsoft AD 에 연결](connectawsad.md) 단원의 단계를 따르세요.
1. 관리자 권한을 부여하려는 사용자가 IAM Identity Center와 동기화하도록 Active Directory를 구성합니다. 자세한 내용은 [관리 사용자의 IAM Identity Center 동기화](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad) 단원을 참조하십시오.
**Active Directory의 자체 관리형 디렉터리**
1. [Microsoft AD 디렉터리](manage-your-identity-source-ad.md)에서 지침을 검토하세요.
1. [Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결](connectonpremad.md) 단원의 단계를 따르세요.
1. 관리자 권한을 부여하려는 사용자가 IAM Identity Center와 동기화하도록 Active Directory를 구성합니다. 자세한 내용은 [관리 사용자의 IAM Identity Center 동기화](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad) 단원을 참조하십시오.
## 2단계: 관리 사용자의 IAM Identity Center 동기화
디렉터리를 IAM Identity Center에 연결한 후, 관리 권한을 부여할 사용자를 지정한 다음 디렉터리의 해당 사용자를 IAM Identity Center로 동기화할 수 있습니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.
1. **동기화 관리** 페이지에서 **사용자** 탭을 선택한 다음 **사용자 및 그룹 추가**를 선택합니다.
1. **사용자** 탭의 **사용자**에서 정확한 사용자 이름을 입력하고 **추가**를 선택합니다.
1. **추가된 사용자 및 그룹**에서 다음 작업을 수행합니다.
1. 관리 권한을 부여하려는 사용자가 지정되었는지 확인합니다.
1. 사용자 이름 왼쪽의 확인란을 선택합니다.
1. **제출**을 선택합니다.
1. **동기화 관리** 페이지에서 지정한 사용자가 **동기화 범위의 사용자** 목록에 나타납니다.
1. 탐색 창에서 **사용자**를 선택합니다.
1. **사용자** 페이지에서 지정한 사용자가 목록에 나타나는 데 시간이 걸릴 수 있습니다. 새로 고침 아이콘을 선택하여 사용자 목록을 업데이트합니다.
이때 사용자는 관리 계정에 액세스할 수 없습니다. 관리 권한 세트를 만들고, 해당 권한 세트에 사용자를 할당하여 이 계정에 대한 관리 액세스 권한을 설정합니다. 자세한 내용은 [권한 집합을 생성합니다.](howtocreatepermissionset.md) 단원을 참조하십시오.
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center는 CyberArk Directory Platform에서 IAM Identity Center로 들어오는 사용자 정보의 자동 프로비저닝(동기화)을 지원합니다. 이 프로비저닝은 도메인 간 ID 관리 시스템(SCIM) v2.0 프로토콜을 사용합니다. 자세한 내용은 [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md) 단원을 참조하십시오.
**참고**
CyberArk는 현재 AWS IAM Identity Center 애플리케이션에서 SAML 다중 어설션 소비 서비스(ACS) URLs을 지원하지 않습니다. IAM Identity Center에서 [다중 리전 지원을](multi-region-iam-identity-center.md) 완전히 활용하려면이 SAML 기능이 필요합니다. IAM Identity Center를 추가 리전에 복제하려는 경우 단일 ACS URL을 사용하면 해당 추가 리전의 사용자 경험에 영향을 미칠 수 있습니다. 기본 리전은 계속 정상적으로 작동합니다. 이 기능을 활성화하려면 IdP 공급업체와 협력하는 것이 좋습니다. 단일 ACS URL을 사용하는 추가 리전의 사용자 경험에 대한 자세한 내용은 [여러 ACS URLs 없이 AWS 관리형 애플리케이션 사용](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) 및 섹션을 참조하세요[AWS 계정 여러 ACS URLs 없이 복원력에 액세스](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
SCIM 배포를 시작하기 전에 먼저 [자동 프로비저닝을 사용할 때 고려 사항](provision-automatically.md#auto-provisioning-considerations)를 검토하는 것이 좋습니다. 그 후, 다음 섹션에서 추가 고려 사항을 계속 검토합니다.
**Topics**
+ [사전 조건](#cyberark-prereqs)
+ [SCIM 고려 사항](#cyberark-considerations)
+ [1단계: IAM Identity Center 프로비저닝 활성화](#cyberark-step1)
+ [2단계: CyberArk에서 프로비저닝 구성](#cyberark-step2)
+ [(선택 사항) 3단계: IAM Identity Center에서 액세스 제어(ABAC)에 사용되는 CyberArk 사용자 속성 구성](#cyberark-step3)
+ [(선택 사항) 액세스 제어에 속성 전달](#cyberark-passing-abac)
## 사전 조건
시작하기 전에 다음을 준비해야 합니다.
+ CyberArk 구독 또는 무료 평가판. 무료 평가판을 신청하려면 [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/)를 방문하세요.
+ IAM Identity Center 활성화 계정([무료](https://aws.amazon.com/single-sign-on/)). 자세한 내용은 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)를 참조하세요.
+ [IAM Identity Center 센터 CyberArk 설명서](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#)에 설명된 대로 CyberArk 계정에서 IAM Identity Center로의 SAML 연결을 수행합니다.
+ AWS 계정에 액세스를 허용하려는 역할, 사용자 및 조직과 IAM Identity Center 커넥터를 연결합니다.
## SCIM 고려 사항
IAM Identity Center에서 CyberArk 페더레이션을 사용할 때 고려해야 할 사항은 다음과 같습니다.
+ 애플리케이션 프로비저닝 섹션에 매핑된 역할만 IAM Identity Center와 동기화됩니다.
+ 프로비저닝 스크립트는 기본 상태에서만 지원되며, 이것이 일단 변경되면 SCIM 프로비저닝이 실패할 수 있습니다.
+ 하나의 전화번호 속성만 동기화할 수 있으며 기본값은 “직장 전화”입니다.
+ CyberArk IAM Identity Center 애플리케이션의 역할 매핑이 변경되면 다음과 같은 동작이 예상됩니다.
+ 역할 이름이 변경되더라도 IAM Identity Center의 그룹 이름은 변경되지 않습니다.
+ 그룹 이름이 변경되면 IAM Identity Center에 새 그룹이 생성되고 기존 그룹은 유지되지만 구성원은 없습니다.
+ 사용자 동기화 및 프로비저닝 해제 동작은 CyberArk IAM Identity Center 애플리케이션에서 설정할 수 있습니다. 조직에 적합한 동작을 설정합니다. 가능한 옵션은 다음과 같습니다.
+ Identity Center 디렉터리의 사용자를 같은 보안 주체 이름으로 덮어쓰지 마세요.
+ 사용자가 CyberArk 역할에서 제거되면 IAM Identity Center에서 사용자 프로비저닝을 해제합니다.
+ 사용자 행동 프로비저닝 해제 - 비활성화 또는 삭제.
## 1단계: IAM Identity Center 프로비저닝 활성화
이 첫 번째 단계에서는 IAM Identity Center 콘솔을 사용하여 자동 프로비저닝을 활성화합니다.
**IAM Identity Center에서 자동 프로비저닝을 활성화하려면**
1. 사전 필수 조건을 완료한 후 [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 SCIM 엔드포인트와 액세스 토큰을 복사합니다. 나중에 IdP에서 프로비저닝을 구성할 때 이를 붙여넣어야 합니다.
1. **SCIM 엔드포인트**-예: https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에 이 값을 입력하여 IdP에서 자동 프로비저닝을 구성할 수 있습니다.
1. **닫기**를 선택하세요.
이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했으므로 CyberArk IAM Identity Center 애플리케이션을 사용하여 나머지 작업을 완료해야 합니다. 다음 절차에서 이 단계를 설명합니다.
## 2단계: CyberArk에서 프로비저닝 구성
CyberArk IAM Identity Center 애플리케이션의 다음 절차를 사용하여 IAM Identity Center를 통한 프로비저닝을 활성화합니다. 이 절차에서는 **웹 앱**의 CyberArk 관리 콘솔에 CyberArk IAM Identity Center 애플리케이션을 이미 추가했다고 가정합니다. 아직 이를 수행하지 않은 경우 [사전 조건](#cyberark-prereqs)를 참조하고 이 절차를 완료하여 SCIM 프로비저닝을 구성합니다.
**CyberArk에서 프로비저닝을 구성하려면**
1. CyberArk(**앱 > 웹 앱**)의 SAML을 구성하는 과정에서 추가한 CyberArk IAM Identity Center 애플리케이션을 엽니다. [사전 조건](#cyberark-prereqs) 단원을 참조하세요.
1. **IAM Identity Center** 애플리케이션을 선택하고 **프로비저닝** 섹션으로 이동합니다.
1. **이 애플리케이션에 대한 프로비저닝 활성화** 체크박스를 선택하고 **라이브 모드**를 선택합니다.
1. 이전 절차에서 IAM Identity Center **SCIM 엔드포인트** 값을 복사했습니다. 해당 값을 **SCIM 서비스 URL** 필드에 붙여넣고 CyberArk IAM Identity Center 애플리케이션에서 **인증 유형**을 **인증 헤더**로 설정합니다.
1. **헤더 유형**을 **베어러 토큰**으로 설정합니다.
1. 이전 절차에서 IAM Identity Center에서 **액세스 토큰** 값을 복사했습니다. 해당 값을 CyberArk IAM Identity Center 애플리케이션의 **베어러 토큰** 필드에 붙여넣습니다.
1. **확인**을 클릭하여 구성을 테스트하고 적용합니다.
1. **동기화 옵션**에서 CyberArk의 아웃바운드 프로비저닝이 작동하는 데 사용할 올바른 동작을 선택합니다. 보안 주체 이름이 비슷한 기존 IAM Identity Center 사용자를 덮어쓸지 여부 및 프로비저닝 해제 동작을 덮어쓸지 여부를 선택할 수 있습니다.
1. **역할 매핑**에서 **이름** 필드 아래의 CyberArk 역할에서 **대상 그룹** 아래의 IAM Identity Center 그룹으로의 매핑을 설정합니다.
1. 완료되면 하단의 **저장**을 클릭합니다.
1. 사용자가 IAM Identity Center와 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가서 **사용자**를 선택합니다. CyberArk로부터 동기화된 사용자는 **사용자** 페이지에 표시됩니다. 이제 이러한 사용자를 계정에 할당하고 IAM Identity Center 내에서 연결할 수 있습니다.
## (선택 사항) 3단계: IAM Identity Center에서 액세스 제어(ABAC)에 사용되는 CyberArk 사용자 속성 구성
이는 IAM Identity Center가 AWS 리소스에 대한 액세스를 관리하도록 속성을 구성하도록 선택한 CyberArk 경우의 선택적 절차입니다. CyberArk에서 정의한 속성은 SAML 어설션을 통해 IAM Identity Center에 전달됩니다. 그런 다음 CyberArk로부터 전달한 속성을 기반으로 액세스를 관리하기 위해 IAM Identity Center에서 권한 세트를 생성해야 합니다.
이 절차를 시작하기 전에 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 활성화해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 [액세스 제어를 위한 속성 활성화 및 구성](configure-abac.md) 단원을 참조하세요.
**IAM Identity Center에서 액세스 제어에 사용되는 CyberArk 사용자 속성을 구성하려면**
1. CyberArk(**앱 > 웹 앱**)의 SAML을 구성하는 과정에서 설치된 CyberArk IAM Identity Center 애플리케이션을 엽니다.
1. **SAML 응답** 옵션으로 이동합니다.
1. **속성** 아래에서 논리에 따라 관련 속성을 다음 테이블에 추가합니다.
1. **속성 이름**은 CyberArk의 기존 속성입니다.
1. **속성 값**은 SAML 어설션에서 IAM Identity Center로 전송된 속성 이름입니다.
1. **저장**을 선택합니다.
## (선택 사항) 액세스 제어에 속성 전달
IAM Identity Center의 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 사용하여 `Name` 속성이 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`로 설정된 `Attribute` 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
속성을 세션 태그로 전달하려면 태그 값을 지정하는 `AttributeValue` 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 `CostCenter = blue`를 전달하려면 다음 속성을 사용합니다.
```
blue
```
여러 속성을 추가해야 하는 경우 각 태그마다 별도의 `Attribute` 요소를 포함합니다.
# Google Workspace 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성
조직에서를 사용하는 경우 Google Workspace의 사용자를 IAM Identity CenterGoogle Workspace에 통합하여 AWS 리소스에 대한 액세스 권한을 부여할 수 있습니다. IAM Identity Center ID 소스를 기본 IAM Identity Center ID 소스에서 Google Workspace로 변경하여 이 통합을 달성할 수 있습니다.
**참고**
Google Workspace는 현재 AWS IAM Identity Center 애플리케이션에서 SAML 다중 어설션 소비 서비스(ACS) URLs을 지원하지 않습니다. IAM Identity Center에서 [다중 리전 지원을](multi-region-iam-identity-center.md) 완전히 활용하려면이 SAML 기능이 필요합니다. IAM Identity Center를 추가 리전에 복제하려는 경우 단일 ACS URL을 사용하면 해당 추가 리전의 사용자 경험에 영향을 미칠 수 있습니다. 기본 리전은 계속 정상적으로 작동합니다. 이 기능을 활성화하려면 IdP 공급업체와 협력하는 것이 좋습니다. 단일 ACS URL을 사용하는 추가 리전의 사용자 경험에 대한 자세한 내용은 [여러 ACS URLs 없이 AWS 관리형 애플리케이션 사용](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) 및 섹션을 참조하세요[AWS 계정 여러 ACS URLs 없이 복원력에 액세스](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Google Workspace의 사용자 정보는 [SCIM(System for Cross-domain Identity Management) 2.0 프로토콜](scim-profile-saml.md#scim-profile)을 사용하여 IAM Identity Center에 동기화됩니다. 자세한 내용은 [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md) 단원을 참조하십시오.
IAM Identity Center의 SCIM 엔드포인트와 IAM Identity Center 보유자 토큰을 사용하여 Google Workspace에서 연결을 구성할 수 있습니다. SCIM 동기화를 구성할 때 Google Workspace의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이 매핑은 IAM Identity Center와 Google Workspace 간의 예상 사용자 속성을 일치시킵니다. 이를 수행하기 위해 Google Workspace를 ID 제공업체로 설정하고 IAM Identity Center와 연결해야 합니다.
**목표**
이 자습서의 단계는 Google Workspace와 간의 SAML 연결을 설정하는 방법을 안내합니다 AWS. 나중에 SCIM을 사용하여 Google Workspace에서 사용자를 동기화합니다. 모든 것이 올바르게 구성되었는지 확인하려면 구성 단계를 완료한 후 Google Workspace 사용자로 로그인하고 AWS 리소스에 대한 액세스를 확인합니다. 이 자습서는 소규모 Google Workspace 디렉터리 테스트 환경을 기반으로 합니다. 이 자습서에는 그룹 및 조직 단위와 같은 디렉터리 구조는 포함되지 않습니다. 이 자습서를 완료하면 사용자가 자격 Google Workspace 증명을 사용하여 AWS 액세스 포털에 액세스할 수 있습니다.
**참고**
Google Workspace 무료 평가판을 신청하려면 Google's 웹사이트에서 [https://workspace.google.com/](https://workspace.google.com/)를 방문하세요.
IAM Identity Center를 아직 활성화하지 않은 경우 [IAM Identity Center 활성화](enable-identity-center.md)의 내용을 참조하세요.
## 고려 사항
+ Google Workspace 및 IAM Identity Center 간에 SCIM 프로비저닝을 구성하기 전에 먼저 [자동 프로비저닝을 사용할 때 고려 사항](provision-automatically.md#auto-provisioning-considerations) 검토가 권장됩니다.
+ 현재 Google Workspace로부터의 SCIM 자동 동기화는 사용자 프로비저닝으로 제한됩니다. 자동 그룹 프로비저닝은 현재 지원되지 않습니다. AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 명령 또는 AWS Identity and Access Management (IAM) API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)을 사용하여 그룹을 수동으로 생성할 수 있습니다. 또는 [ssosync](https://github.com/awslabs/ssosync)를 사용하여 Google Workspace 사용자와 그룹을 IAM Identity Center로 동기화할 수 있습니다.
+ 모든 Google Workspace 사용자는 **이름**, **성**, **사용자 이름** 및 **표시 이름** 값이 지정되어야 합니다.
+ 각 Google Workspace 사용자는 이메일 주소 또는 전화번호와 같은 데이터 속성당 하나의 값만 보유합니다. 값이 여렷인 사용자는 동기화되지 않습니다. 속성에 여러 개의 값이 있는 사용자가 있는 경우 IAM Identity Center에서 사용자를 프로비저닝하기 전에 중복된 속성을 제거합니다. 예를 들어 전화번호 속성은 하나만 동기화할 수 있습니다. 기본 전화번호 속성이 “회사 전화번호”이므로 사용자의 전화번호가 집이나 휴대폰 전화번호인 경우에도 “회사 전화번호” 속성을 사용하여 사용자의 전화번호를 저장합니다.
+ 사용자가 IAM Identity Center에서 비활성화되었지만 Google Workspace에서 여전히 활성 상태인 경우 속성은 여전히 동기화됩니다.
+ Identity Center 디렉터리에 동일한 사용자 이름과 이메일을 가진 기존 사용자가 있는 경우 Google Workspace의 SCIM을 사용하여 해당 사용자를 덮어쓰고 동기화합니다.
+ ID 소스를 변경할 때 고려해야 할 추가 사항이 있습니다. 자세한 내용은 [IAM Identity Center에서 외부 IdP로 변경](manage-your-identity-source-considerations.md#changing-from-idc-and-idp) 단원을 참조하십시오.
## 1단계: Google Workspace: SAML 애플리케이션 구성
1. 슈퍼 관리자 권한이 있는 계정을 사용하여 **Google 관리 콘솔**에 로그인합니다.
1. **Google관리 콘솔의** 왼쪽 탐색 패널에서 **앱**을 선택한 다음 **웹 및 모바일 앱**을 선택합니다.
1. **앱 추가** 드롭다운 목록에서 **앱 검색을** 선택합니다.
1. 검색 상자에 **Amazon Web Services**를 입력한 다음 목록에서 **Amazon Web Services(SAML)** 앱을 선택합니다.
1. **Google ID 제공업체 세부 정보-Amazon Web Services** 페이지에서 다음 중 하나를 수행할 수 있습니다.
1. IdP 메타데이터를 다운로드합니다.
1. SSO URL, 엔터티 ID URL 및 인증서 정보를 복사합니다.
2단계에서는 XML 파일 또는 URL 정보가 필요합니다.
1. Google 관리자 콘솔의 다음 단계로 이동하기 전에 이 페이지를 열어 두고 IAM Identity Center 콘솔로 이동합니다.
## 2단계: IAM Identity Center 및 Google Workspace: IAM Identity Center ID 소스를 변경하고 Google Workspace를 SAML ID 제공업체로 설정합니다.
1. 관리 권한이 있는 역할을 사용하여 [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)에 로그인합니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **작업**을 선택한 다음 **ID 소스 변경**을 선택합니다.
+ IAM Identity Center를 활성화하지 않은 경우 자세한 내용은 [IAM Identity Center 활성화](enable-identity-center.md)를 참조하세요. IAM Identity Center를 처음 활성화하고 액세스한 후에는 **대시보드**에 도착하여 **ID 소스 선택**을 선택할 수 있습니다.
1. **ID 소스 선택** 페이지에서 **외부 ID 제공업체**를 선택하고 **다음**을 선택합니다.
1. **외부 ID 제공업체 구성** 페이지가 열립니다. 이 페이지와 1단계의 Google Workspace 페이지를 완료하려면 다음을 완료해야 합니다.
1. **IAM Identity Center** 콘솔의 **Identity Provider 메타데이터** 섹션에서 다음 중 하나를 수행해야 합니다.
1. IAM Identity Center 콘솔에서 **Google SAML 메타데이터**를 **IdP SAML 메타데이터**로 업로드합니다.
1. **Google SSO URL**을 **IdP 로그인 URL** 필드에 복사하여 붙여넣고, **Google 발급자 URL**을 **IdP 발급자 URL** 필드에 붙여넣고, **Google 인증서를** **IdP 인증서**로 업로드합니다.
1. **IAM Identity Center** 콘솔의 **Identity Provider 메타데이터** 섹션에 Google메타데이터를 제공한 후 **IAM Identity Assertion Consumer Service(ACS) URL** 및 **IAM Identity Center 발급자 URL**을 복사합니다. 다음 단계에서 Google 관리자 콘솔에서 이러한 URLs을 제공해야 합니다.
1. IAM Identity Center 콘솔을 사용하여 페이지를 열어 두고 Google 관리자 콘솔로 돌아갑니다. **Amazon Web Services-서비스 공급자 세부 정보** 페이지에 있어야 합니다. **계속**을 선택합니다.
1. **서비스 공급자 세부 정보** 페이지에서 **ACS URL** 및 **엔터티 ID** 값을 입력합니다. 이전 단계에서 이러한 값을 복사했으며 IAM Identity Center 콘솔에서 찾을 수 있습니다.
+ **IAM Identity Center Assertion Consumer Service(ACS) URL**을 **ACS URL** 필드에 붙여넣습니다.
+ **IAM Identity Center 발급자 URL**을 **Entity ID** 필드에 붙여 넣습니다.
1. **서비스 공급자 세부 정보** 페이지에서 다음과 같이 **이름 ID** 아래의 필드를 입력합니다.
+ **이름 ID 형식**의 경우 **이메일**을 선택합니다.
+ **이름 ID**의 경우 **기본 정보 > 기본 이메일**을 선택합니다.
1. **계속**을 선택합니다.
1. **속성 매핑** 페이지의 **속성** 아래에서 **매핑 추가**를 선택하고 **Google디렉터리 속성**에서 이 필드를 구성합니다.
+ `https://aws.amazon.com/SAML/Attributes/RoleSessionName` **앱 속성**의 경우 **Google Directory 속성** 에서 **기본 정보, 기본 이메일** 필드를 선택합니다.
+ `https://aws.amazon.com/SAML/Attributes/Role` **앱 속성**에서 **Google Directory 속성**을 선택합니다. Google 디렉터리 속성은 **부서**일 수도 있습니다.
1. **완료**를 클릭합니다.
1. **IAM Identity Center** 콘솔로 돌아가서 **다음**을 선택합니다. **검토 및 확인** 페이지에서 정보를 검토한 다음 제공된 공간에 **ACCEPT**를 입력합니다. **ID 소스 변경**을 선택합니다.
이제 Google Workspace에서 Amazon Web Services 앱을 활성화하여 사용자가 IAM Identity Center에 프로비저닝할 준비가 되었습니다.
## 3단계: Google Workspace: 앱 활성화
1. 앱과 **웹 및 모바일** **앱에서** 찾을 수 있는 **Google 관리 콘솔**과 AWS IAM Identity Center 애플리케이션으로 돌아갑니다.
1. **사용자 액세스** 패널의 **사용자 액세스** 옆에서 아래쪽 화살표를 선택하여 **사용자 액세스** 확장을 선택하여 **서비스 상태** 패널을 표시합니다.
1. **서비스 상태**에서 **모든 사용자에 대해 켜짐**을 선택한 다음 **저장**을 선택합니다.
**참고**
최소 권한 원칙을 유지하는 데 도움이 되도록 이 자습서를 완료한 후 **서비스 상태**를 **모든 사용자에 대해 꺼짐**으로 변경하는 것이 좋습니다. AWS 에 대한 액세스 권한이 필요한 사용자만 서비스를 활성화해야 합니다. Google Workspace 그룹 또는 조직 단위를 사용하여 특정 사용자 하위 세트에 대한 액세스 권한을 사용자에게 부여할 수 있습니다.
## 4단계: IAM Identity Center: IAM Identity Center 자동 프로비저닝 설정
1. IAM Identity Center 콘솔로 돌아갑니다.
1. **설정** 페이지에서 **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 다음 옵션의 각 값을 복사합니다. 이후 자습서의 5단계에서는 이 값을 입력하여 Google Workspace에서 프로비저닝을 구성합니다.
1. **SCIM 엔드포인트** - 예:
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ 듀얼 스택`https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다.
1. **닫기**를 선택하세요.
이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했으므로 Google Workspace에서 자동 프로비저닝 IAM Identity Center 커넥터를 사용하여 남은 작업을 완료합니다.
## 5단계: Google Workspace에서 자동 프로비저닝 구성
1. **앱** 및 **웹 및 모바일 앱** 에서 찾을 수 있는 Google 관리자 콘솔과 AWS IAM Identity Center 애플리케이션으로 돌아갑니다. **자동 프로비저닝 섹션**에서 **자동 프로비저닝 구성**을 선택합니다.
1. 이전 절차에서 IAM Identity Center 콘솔에서 **액세스 토큰** 값을 복사했습니다. 해당 값을 `**액세스 토큰** 필드에 붙여 넣고 **계속**을 선택합니다. 또한 이전 절차에서 IAM Identity Center 콘솔에서 **SCIM 엔드포인트** 값을 복사했습니다. 해당 값을 **Endpoint URL** 필드에 붙여넣고 **계속**을 선택합니다.
1. 모든 필수 IAM Identity Center 속성(\$1 표시)이 Google Cloud Directory 속성에 매핑되어 있는지 확인합니다. 그렇지 않은 경우 아래쪽 화살표를 선택하고 적절한 속성에 매핑합니다. **계속**을 선택합니다.
1. **프로비저닝 범위**에서 Google Workspace 디렉터리가 있는 그룹을 선택하여 Amazon Web Services 앱에 대한 액세스를 제공할 수 있습니다. 이 단계를 건너뛰고 **계속**을 선택합니다.
1. **프로비저닝 해제**에서 사용자의 액세스를 제거하는 다양한 이벤트에 응답하는 방법을 선택할 수 있습니다. 각 상황에 대해 프로비저닝 해제가 시작되기까지 걸리는 시간을 다음과 같이 지정할 수 있습니다.
+ 24시간 이내
+ 1일 후
+ 7일 후
+ 30일 후
각 상황에 따라 계정 액세스를 일시 중단할 시기와 계정을 삭제할 시기를 설정할 수 있습니다.
**작은 정보**
항상 사용자 계정을 삭제하기 전에 사용자 계정을 정지하는 시간보다 더 긴 시간을 설정합니다.
1. **마침**을 클릭합니다. Amazon Web Services 앱 페이지로 돌아갑니다.
1. **자동 프로비저닝** 섹션에서 토글 스위치를 켜서 **비활성**에서 **활성**으로 변경합니다.
**참고**
사용자에 대해 IAM Identity Center가 켜져 있지 않으면 활성화 슬라이더가 비활성화됩니다. **사용자 액세스**를 선택하고 앱을 켜서 슬라이더를 활성화합니다.
1. 확인 대화 상자에서 **켜기**를 선택합니다.
1. 사용자가 IAM Identity Center에 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가서 **사용자**를 선택합니다. **사용자** 페이지에는 SCIM에서 생성한 Google Workspace 디렉터리의 사용자가 나열됩니다. 사용자가 아직 목록에 없는 경우 프로비저닝이 아직 진행 중일 수 있습니다. 프로비저닝은 최대 24시간이 소요될 수 있지만 대부분의 경우 몇 분 내에 완료됩니다. 몇 분마다 브라우저 창을 새로 고쳐야 합니다.
사용자를 선택하고 세부 정보를 확인합니다. 정보가 Google Workspace 디렉터리의 정보와 일치해야 합니다.
**축하합니다\$1**
Google Workspace 및 간에 SAML 연결을 성공적으로 설정하고 자동 프로비저닝이 작동하는지 확인 AWS 했습니다. 이제 **IAM Identity Center**에서 계정과 애플리케이션을 사용자에게 할당할 수 있습니다. 이 자습서에서는 다음 단계로 관리 계정에 관리 권한을 부여하여 사용자 중 한 명을 IAM Identity Center 관리자로 지정합니다.
## 액세스 제어에 속성 전달-*선택 사항*
IAM Identity Center의 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 사용하여 `Name` 속성이 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`로 설정된 `Attribute` 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
속성을 세션 태그로 전달하려면 태그 값을 지정하는 `AttributeValue` 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 `CostCenter = blue`를 전달하려면 다음 속성을 사용합니다.
```
blue
```
여러 속성을 추가해야 하는 경우 각 태그마다 별도의 `Attribute` 요소를 포함합니다.
## 에 액세스 권한 할당 AWS 계정
다음 단계는에 대한 액세스 권한만 부여하는 데 AWS 계정 만 필요합니다. 이러한 단계는 AWS 애플리케이션에 대한 액세스 권한을 부여하는 데 필요하지 않습니다.
**참고**
이 단계를 완료하려면 IAM Identity Center의 조직 인스턴스가 필요합니다. 자세한 내용은 [IAM Identity Center의 조직 및 계정 인스턴스](identity-center-instances.md) 단원을 참조하십시오.
### 1단계: IAM Identity Center: Google Workspace 사용자에게 계정에 대한 액세스 권한 부여
1. **IAM Identity Center** 콘솔로 돌아갑니다. IAM Identity Center 탐색 창의 **다중 계정 권한**에서 **AWS 계정**을 선택합니다.
1. **AWS 계정** 페이지의 **조직 구조**에는 조직 루트가 표시되고 계층 구조에 따라 그 아래에 사용자 계정이 표시됩니다. 관리 계정의 확인란을 선택한 다음 **사용자 또는 그룹 할당**을 선택합니다.
1. **사용자 및 그룹 할당** 워크플로가 표시됩니다. 워크플로는 세 단계로 구성됩니다.
1. **1단계: 사용자 및 그룹 선택**에서 관리자 작업을 수행할 사용자를 선택합니다. 그리고 **다음**을 선택합니다.
1. **2단계: 권한 세트 선택**에서 **권한 세트 생성**을 선택하여 권한 세트 생성과 관련된 3가지 하위 단계를 안내하는 새 탭이 열립니다.
1. **1단계: 권한 세트 유형 선택**에서 다음을 완료합니다.
+ **권한 세트 유형**에서 **사전 정의된 권한 세트**를 선택합니다.
+ **사전 정의된 권한 세트 정책** 섹션에서 **AdministratorAccess**를 선택합니다.
**다음**을 선택합니다.
1. **2단계: 권한 세트 세부 정보 지정** 페이지에서 기본 설정을 유지하고 **다음**을 선택합니다.
기본 설정에서는 세션 지속 시간이 1시간으로 설정된 *AdministratorAccess*라는 권한 세트를 생성합니다.
1. **3단계: 검토 및 생성**에서 **권한 세트 유형**이 AWS 관리형 정책 **AdministratorAccess**를 사용하는지 확인합니다. **생성(Create)**을 선택합니다. **권한 세트** 페이지에 권한 세트가 생성되었음을 알리는 알림이 표시됩니다. 이제 웹 브라우저에서 이 탭을 닫을 수 있습니다.
1. **사용자 및 그룹 할당** 브라우저 탭에서 권한 세트 생성 워크플로를 시작한 **2단계: 권한 세트 선택**에 여전히 있습니다.
1. **권한 세트** 영역에서 **새로 고침** 버튼을 선택합니다. 생성한 *AdministratorAccess* 권한 세트가 목록에 표시됩니다. 권한 세트의 확인란을 선택하고 **다음**을 선택합니다.
1. **3단계: 검토 및 제출**에서 선택한 사용자 및 권한 세트를 검토한 다음 **제출**을 선택합니다.
페이지는가 구성 AWS 계정 중이라는 메시지로 업데이트됩니다. 프로세스가 완료될 때까지 기다립니다.
AWS 계정 페이지로 돌아갑니다. 알림 메시지는가 재프로비저닝되었고 업데이트된 권한 세트 AWS 계정 가 적용되었음을 알려줍니다. 사용자가 로그인하면 *AdministratorAccess* 역할을 선택할 수 있는 옵션이 제공됩니다.
**참고**
Google Workspace의 SCIM 자동 동기화는 사용자 프로비저닝만 지원합니다. 자동 그룹 프로비저닝은 현재 지원되지 않습니다. AWS Management Console을 사용하여 Google Workspace 사용자에 대한 그룹을 생성할 수는 없습니다. 사용자를 프로비저닝한 후 AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 명령 또는 IAM API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)을 사용하여 그룹을 생성할 수 있습니다.
### 2단계: Google Workspace: AWS 리소스에 대한 Google Workspace 사용자 액세스 확인
1. 테스트 사용자 계정을 사용하여 Google에 로그인합니다. Google Workspace에 사용자를 추가하는 방법을 알아보려면 [Google Workspace 설명서](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668)를 참조하세요.
1. Google apps런처(와플 모양) 아이콘을 선택합니다.
1. 사용자 지정 Google Workspace 앱이 있는 앱 목록 하단으로 스크롤합니다. **Amazon Web Services** 앱이 표시됩니다.
1. **Amazon Web Services** 앱을 선택합니다. AWS 액세스 포털에 로그인했으며 AWS 계정 아이콘을 볼 수 있습니다. 해당 아이콘을 확장하여 사용자가 액세스할 수 AWS 계정 있는 목록을 확인합니다. 이 자습서에서는 단일 계정만 사용했으므로 아이콘을 확장하면 하나의 계정만 표시됩니다.
1. 계정을 선택하면 사용자에게 제공되는 권한 세트가 표시됩니다. 이 자습서에서는 **AdministratorAccess** 권한 세트를 생성했습니다.
1. 권한 세트 옆에는 해당 권한 세트에 사용할 수 있는 액세스 유형에 대한 링크가 있습니다. 권한 세트를 생성할 때 관리 콘솔과 프로그래밍 방식 액세스를 모두 활성화하도록 지정했으므로 두 가지 옵션이 제공됩니다. **관리 콘솔**을 선택하면 AWS Management Console이 열립니다.
1. 사용자가 콘솔에 로그인합니다.
## 다음 단계
이제 Google Workspace를 ID 제공업체로 구성하고 IAM Identity Center의 사용자를 프로비저닝했기 때문에 다음을 수행할 수 있습니다.
+ AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 명령 또는 IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)을 사용하여 사용자를 위한 그룹을 생성합니다.
그룹은 AWS 계정 및 애플리케이션에 대한 액세스를 할당할 때 유용합니다. 각 사용자를 개별적으로 할당하는 대신 그룹에 권한을 부여합니다. 나중에 그룹에 사용자를 추가하거나 그룹에서 사용자를 제거하면 해당 사용자는 그룹에 할당한 계정 및 애플리케이션에 대한 액세스 권한을 동적으로 얻거나 잃게 됩니다.
+ 직무에 따라 권한을 구성합니다. [권한 세트 생성](howtocreatepermissionset.md)을 참조하세요.
권한 집합은 사용자와 그룹이 AWS 계정에 대해 보유할 수 있는 액세스 수준을 정의합니다. 권한 집합은 IAM Identity Center에 저장되며 하나 이상의 AWS 계정에 프로비저닝할 수 있습니다. 한 사용자에게 두 개 이상의 권한 집합을 할당할 수 있습니다.
**참고**
IAM Identity Center 관리자는 이전 IdP 인증서를 새 인증서로 교체해야 하는 경우가 있습니다. 예를 들어, 인증서 만료 날짜가 다가올 경우 IdP 인증서를 교체해야 할 수도 있습니다. 이전 인증서를 새 인증서로 교체하는 프로세스를 인증서 교체라고 합니다. Google Workspace에 대한 [SAML 인증서를 관리](managesamlcerts.md)하는 방법을 검토하세요.
## 문제 해결
Google Workspace를 사용한 일반적인 SCIM 및 SAML 문제 해결은 다음 섹션을 참조하세요.
+ [특정 사용자가 외부 SCIM 공급자로부터 IAM Identity Center로 동기화하지 못함](troubleshooting.md#issue2)
+ [IAM Identity Center에서 생성된 SAML 어설션 콘텐츠 관련 문제](troubleshooting.md#issue1)
+ [외부 ID 제공업체에서 사용자 또는 그룹을 프로비저닝할 때의 중복 사용자 또는 그룹 오류](troubleshooting.md#duplicate-user-group-idp)
+ Google Workspace 문제 해결은 [Google Workspace 설명서](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)를 참조하세요.
다음 리소스는 작업 시 문제를 해결하는 데 도움이 될 수 있습니다. AWS
+ [AWS re:Post](https://repost.aws/)–문제를 해결할 때 도움이 되는 FAQ와 기타 리소스 링크를 찾을 수 있습니다.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)-기술 지원 받기
# IAM Identity Center를 사용하여 JumpCloud Directory Platform에 연결
IAM Identity Center는 JumpCloud Directory Platform에서 IAM Identity Center로 들어오는 사용자 정보의 자동 프로비저닝(동기화)을 지원합니다. 이 프로비저닝은 [SAML(Security Assertion Markup Language) 2.0](scim-profile-saml.md) 프로토콜을 사용합니다. 자세한 내용은 [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md) 단원을 참조하십시오.
IAM Identity Center SCIM 엔드포인트와 액세스 토큰을 사용하여 JumpCloud에서 이 연결을 구성합니다. SCIM 동기화를 구성할 때 JumpCloud의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 JumpCloud 간에 예상 속성이 일치하게 됩니다.
JumpCloud에 기반한 이 가이드는 2021년 6월 기준입니다. 최신 버전의 단계는 다를 수 있습니다. 이 가이드에는 SAML을 통한 사용자 인증 구성에 관련된 몇 가지 참고 사항이 포함되어 있습니다.
다음 단계는 SCIM 프로토콜을 사용하여 JumpCloud에서 IAM Identity Center으로 사용자 및 그룹을 자동으로 프로비저닝하도록 활성화하는 방법을 안내합니다.
**참고**
SCIM 배포를 시작하기 전에 먼저 [자동 프로비저닝을 사용할 때 고려 사항](provision-automatically.md#auto-provisioning-considerations)를 검토하는 것이 좋습니다. 그 후, 다음 섹션에서 추가 고려 사항을 계속 검토합니다.
**Topics**
+ [사전 조건](#jumpcloud-prereqs)
+ [SCIM 고려 사항](#jumpcloud-scim)
+ [1단계: IAM Identity Center 프로비저닝 활성화](#jumpcloud-step1)
+ [2단계: JumpCloud에서 프로비저닝 구성](#jumpcloud-step2)
+ [(선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 JumpCloud 사용자 속성 구성](#jumpcloud-step3)
+ [(선택 사항) 액세스 제어에 속성 전달](#jumpcloud-passing-abac)
## 사전 조건
시작하기 전에 다음을 준비해야 합니다.
+ JumpCloud 구독 또는 무료 평가판. 무료 평가판을 신청하려면 [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup)를 방문하세요.
+ IAM Identity Center 지원 계정([ 무료](https://aws.amazon.com/single-sign-on/)). 자세한 내용은 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)를 참조하세요.
+ [IAM Identity Center 센터 JumpCloud 설명서](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO)에 설명된 대로 JumpCloud 계정에서 IAM Identity Center로의 SAML 연결을 수행합니다.
+ IAM Identity Center를 추가 리전에 복제한 경우 AWS 관리형 애플리케이션 및 해당 리전 AWS 계정 에서 액세스할 수 있도록 ID 제공업체 구성을 업데이트해야 합니다. 자세한 내용은 [3단계: 외부 IdP 설정 업데이트](replicate-to-additional-region.md#update-external-idp-setup) 섹션을 참조하세요. 자세한 내용은 JumpCloud 설명서를 참조하세요.
+ AWS 계정에 액세스를 허용하려는 그룹과 IAM Identity Center 커넥터를 연결합니다.
## SCIM 고려 사항
IAM Identity Center에서 JumpCloud 페더레이션을 사용할 때 고려해야 할 사항은 다음과 같습니다.
+ 의 AWS Single Sign-On 커넥터와 연결된 그룹만 SCIM과 동기화 JumpCloud됩니다.
+ 하나의 전화번호 속성만 동기화할 수 있으며 기본값은 “직장 전화”입니다.
+ JumpCloud 디렉터리의 사용자는 SCIM을 사용하여 IAM Identity Center와 동기화되도록 구성된 이름과 성을 가지고 있어야 합니다.
+ 사용자가 IAM Identity Center에서 비활성화되었지만 JumpCloud에서 여전히 활성 상태인 경우 속성은 여전히 동기화됩니다.
+ 커넥터에서 “사용자 그룹 및 그룹 구성원 관리 활성화”를 선택 취소하여 사용자 정보에 대해서만 SCIM 동기화를 활성화하도록 선택할 수 있습니다.
## 1단계: IAM Identity Center 프로비저닝 활성화
이 첫 번째 단계에서는 IAM Identity Center 콘솔을 사용하여 자동 프로비저닝을 활성화합니다.
**IAM Identity Center에서 자동 프로비저닝을 활성화하려면**
1. 사전 필수 조건을 완료한 후 [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 SCIM 엔드포인트와 액세스 토큰을 복사합니다. 나중에 IdP에서 프로비저닝을 구성할 때 이를 붙여넣어야 합니다.
1. **SCIM 엔드포인트**-예: https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에 이 값을 입력하여 IdP에서 자동 프로비저닝을 구성할 수 있습니다.
1. **닫기**를 선택하세요.
이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했으므로 JumpCloud IAM Identity Center 커넥터를 사용하여 나머지 작업을 완료해야 합니다. 다음 절차에서 이 단계를 설명합니다.
## 2단계: JumpCloud에서 프로비저닝 구성
JumpCloud IAM Identity Center 커넥터의 다음 절차를 사용하여 IAM Identity Center를 통한 프로비저닝을 활성화합니다. 이 절차에서는 JumpCloud 관리 포털 및 그룹에 JumpCloud IAM Identity Center 커넥터를 이미 추가했다고 가정합니다. 아직 이를 수행하지 않은 경우 [사전 조건](#jumpcloud-prereqs)를 참조하고 이 절차를 완료하여 SCIM 프로비저닝을 구성합니다.
**JumpCloud에서 프로비저닝을 구성하려면**
1. JumpCloud(**사용자 인증** > **IAM Identity Center**)의 SAML을 구성하는 과정에서 설치한 JumpCloud IAM Identity Center 커넥터를 엽니다. [사전 조건](#jumpcloud-prereqs) 단원을 참조하세요.
1. **IAM Identity Center** 커넥터를 선택한 다음 세 번째 탭 **ID 관리**를 선택합니다.
1. 그룹을 SCIM 동기화하려면 **이 애플리케이션에서 사용자 그룹 및 그룹 구성원 관리 활성화** 체크박스를 선택합니다.
1. **구성**을 클릭합니다.
1. 이전 절차에서 IAM Identity Center에서 **SCIM 엔드포인트** 값을 복사했습니다. 해당 값을 JumpCloud IAM Identity Center 커넥터의 **기본 URL** 필드에 붙여넣습니다.
1. 이전 절차에서 IAM Identity Center에서 **액세스 토큰** 값을 복사했습니다. 해당 값을 JumpCloud IAM Identity Center 커넥터의 **토큰 키** 필드에 붙여넣습니다.
1. **활성화**를 클릭하여 구성을 적용합니다.
1. 녹색 표시기 옆에 **Single Sign-On 활성화**가 있는지 확인합니다.
1. 네 번째 탭인 **사용자 그룹**으로 이동하여 SCIM으로 프로비저닝하려는 그룹을 선택합니다.
1. 완료되면 하단의 **저장**을 클릭합니다.
1. 사용자가 IAM Identity Center와 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가서 **사용자**를 선택합니다. JumpCloud로부터 동기화된 사용자는 **사용자** 페이지에 표시됩니다. 이제 이러한 사용자를 IAM Identity Center 내에서 계정에 할당할 수 있습니다.
## (선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 JumpCloud 사용자 속성 구성
이는 IAM Identity Center가 AWS 리소스에 대한 액세스를 관리하도록 속성을 구성하도록 선택한 JumpCloud 경우의 선택적 절차입니다. JumpCloud에서 정의한 속성은 SAML 어설션을 통해 IAM Identity Center에 전달됩니다. 그런 다음 JumpCloud로부터 전달한 속성을 기반으로 액세스를 관리하기 위해 IAM Identity Center에서 권한 세트를 생성해야 합니다.
이 절차를 시작하기 전에 먼저 [액세스 제어용 속성](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html) 기능을 활성화해야 합니다. 이에 대한 자세한 방법은 [액세스 제어 속성 활성화 및 구성](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)을 참조하세요.
****IAM Identity Center에서 액세스 제어에 사용되는 JumpCloud 사용자 속성을 구성하려면****
1. JumpCloud(**사용자 인증** > **IAM Identity Center**)의 SAML을 구성하는 과정에서 설치한 JumpCloud IAM Identity Center 커넥터를 엽니다.
1. **IAM Identity Center** 커넥터를 선택합니다. 그런 다음 두 번째 탭**인 IAM Identity Center**를 선택합니다.
1. 이 탭 하단의 **사용자 속성 매핑**에서 **새 속성 추가**를 선택한 후 다음을 수행합니다. IAM Identity Center에서 액세스 제어용으로 사용하기 위해 추가할 각 속성에 대해 다음 단계를 수행해야 합니다.
1. **서비스 제공 속성 이름** 필드에서 IAM Identity Center에서 예상하는 속성 이름 ` AttributeName `로 `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` 바꾸기를 입력합니다. 예: ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `.
1. **JumpCloud속성 이름** 필드에서 JumpCloud 디렉터리의 사용자 속성을 선택합니다. 예제로 **이메일(직장)**.
1. **저장**을 선택합니다.
## (선택 사항) 액세스 제어에 속성 전달
IAM Identity Center의 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 사용하여 `Name` 속성이 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`로 설정된 `Attribute` 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
속성을 세션 태그로 전달하려면 태그 값을 지정하는 `AttributeValue` 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 `CostCenter = blue`를 전달하려면 다음 속성을 사용합니다.
```
blue
```
여러 속성을 추가해야 하는 경우 각 태그마다 별도의 `Attribute` 요소를 포함합니다.
# Microsoft Entra ID 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성
AWS IAM Identity Center 는 [SAML(Security Assertion Markup Language) 2.0](scim-profile-saml.md)과의 통합과 SCIM(System for Cross-domain Identity Management) 2.0 프로토콜을 사용하여 Microsoft Entra ID (이전에는 Azure Active Directory 또는 라고 함Azure AD)에서 IAM Identity Center로 사용자 및 그룹 정보의 [자동 프로비저닝](provision-automatically.md)(동기화)을 지원합니다. [SCIM 프로필](scim-profile-saml.md#scim-profile) 자세한 내용은 [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md) 단원을 참조하십시오.
**목표**
이 자습서에서는 테스트 랩을 설정하고 Microsoft Entra ID 및 IAM Identity Center 간에 SAML 연결 및 SCIM 프로비저닝을 구성합니다. 초기 준비 단계에서는 양방향으로 SAML 연결을 테스트하는 데 사용할 Microsoft Entra ID 및 IAM Identity Center 모두에 테스트 사용자(Nikki Wolf)를 생성합니다. 나중에 SCIM 단계의 일부로 다른 테스트 사용자(Richard Roe)를 생성하여 Microsoft Entra ID의 새 속성이 예상대로 IAM Identity Center와 동기화되고 있는지 확인합니다.
## 사전 조건
이 자습서를 시작하려면 먼저 다음을 설정해야 합니다.
+ Microsoft Entra ID 테넌트. 자세한 내용은 Microsoft 설명서에서 [Quickstart: 테넌트 설정](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant)을 참조하세요.
+ AWS IAM Identity Center활성화된 계정입니다. 자세한 내용은 *AWS IAM Identity Center 사용 설명서*의 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)를 참조하십시오.
## 고려 사항
다음은 SCIM v2 프로토콜을 사용하여 프로덕션 환경에서 IAM Identity Center를 통해 [자동 프로비저닝](provision-automatically.md)을 구현하는 방법에 영향을 미칠 수 있는 Microsoft Entra ID 관련 중요 고려 사항입니다.
**자동 프로비저닝**
SCIM 배포를 시작하기 전에 먼저 [자동 프로비저닝을 사용할 때 고려 사항](provision-automatically.md#auto-provisioning-considerations)의 내용을 검토하는 것이 좋습니다.
**액세스 제어를 위한 속성**
액세스 제어 속성은 자격 증명 소스의 누가 AWS 리소스에 액세스할 수 있는지 결정하는 권한 정책에 사용됩니다. Microsoft Entra ID의 사용자로부터 속성을 제거해도 IAM Identity Center의 해당 사용자에서는 해당 속성이 제거되지 않습니다. 이것은 Microsoft Entra ID의 알려진 문제입니다. 사용자의 속성이 비어 있지 않은 다른 값으로 변경하면 해당 변경 내용이 IAM Identity Center에 동기화됩니다.
**중첩된 그룹**
Microsoft Entra ID 사용자 프로비저닝 서비스는 중첩된 그룹의 사용자를 읽거나 프로비저닝할 수 없습니다. 명시적으로 할당된 그룹의 직계 구성원인 사용자만 읽고 프로비저닝할 수 있습니다. Microsoft Entra ID는 간접적으로 할당된 사용자 또는 그룹(직접 할당된 그룹의 구성원인 사용자 또는 그룹)의 그룹 구성원 자격을 반복적으로 해제하지 않습니다. 자세한 내용은 Microsoft 설명서의 [할당 기반 범위 지정](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping)을 참조하세요. 또는 [IAM Identity Center 구성 가능 AD 동기화](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/)를 사용하여 IAM Identity Center와 Active Directory 그룹을 통합할 수 있습니다.
**동적 그룹**
Microsoft Entra ID 사용자 프로비저닝 서비스는 [동적 그룹](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule)의 사용자를 읽거나 프로비저닝할 수 없습니다. 동적 그룹을 사용하는 동안의 사용자 및 그룹 구조와 IAM Identity Center에 표시되는 방식을 보여주는 예는 아래를 참조하세요. 이러한 사용자 및 그룹은 SCIM을 통해 Microsoft Entra ID에서 IAM Identity Center로 프로비저닝되었습니다.
예를 들어 동적 그룹의 Microsoft Entra ID 구조는 다음과 같습니다.
1. 구성원 ua1, ua2로 구성된 그룹 A
1. 구성원 ub1의 그룹 B
1. 구성원 uc1의 그룹 C
1. 그룹 A, B, C의 구성원을 포함하는 규칙이 있는 그룹 K
1. 그룹 B, C의 구성원을 포함하는 규칙이 있는 그룹 L
사용자 및 그룹 정보가 SCIM을 통해 Microsoft Entra ID에서 IAM Identity Center로 제공된 후 구조는 다음과 같습니다.
1. 구성원 ua1, ua2로 구성된 그룹 A
1. 구성원 ub1의 그룹 B
1. 구성원 uc1의 그룹 C
1. 구성원 ua1, ua2, ub1, uc1로 구성된 그룹 K
1. 구성원 ub1, uc1의 그룹 L
동적 그룹을 사용하여 자동 프로비저닝을 구성할 때는 다음 사항을 명심하세요.
+ 동적 그룹에는 중첩된 그룹이 포함될 수 있습니다. 하지만 Microsoft Entra ID 프로비저닝 서비스는 중첩된 그룹을 단순화하지 않습니다. 예를 들어 다음 Microsoft Entra ID 구조의 동적 그룹을 가지고 있습니다.
+ 그룹 A는 그룹 B의 부모입니다.
+ 그룹 A에는 ua1이 구성원으로 있습니다.
+ 그룹 B에는 ub1이 구성원으로 있습니다.
그룹 A를 포함하는 동적 그룹에는 그룹 A의 직속 구성원(즉, ua1)만 포함됩니다. 그룹 B의 구성원은 반복적으로 포함되지 않습니다.
+ 동적 그룹은 다른 동적 그룹을 포함할 수 없습니다. 자세한 내용은 Microsoft 설명서의 [미리 보기 제한 사항](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations)을 참조하세요.
## 1단계: Microsoft 테넌트 준비
이 단계에서는 AWS IAM Identity Center 엔터프라이즈 애플리케이션을 설치 및 구성하고 새로 생성된 Microsoft Entra ID 테스트 사용자에게 액세스 권한을 할당하는 방법을 안내합니다.
------
#### [ Step 1.1 > ]
**1.1단계:에서 AWS IAM Identity Center 엔터프라이즈 애플리케이션 설정 Microsoft Entra ID**
이 절차에서는에 AWS IAM Identity Center 엔터프라이즈 애플리케이션을 설치합니다Microsoft Entra ID. SAML 연결을 구성하려면 나중에이 애플리케이션이 필요합니다 AWS.
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/)에 클라우드 애플리케이션 관리자 이상의 권한으로 로그인합니다.
1. **ID > 애플리케이션 > 엔터프라이즈 애플리케이션**으로 이동한 다음 **새 애플리케이션**을 선택합니다.
1. **Microsoft Entra 갤러리 찾아보기** 페이지의 검색 상자에 ****AWS IAM Identity Center****을 입력합니다.
1. 결과에서 **AWS IAM Identity Center**을 선택합니다.
1. **생성(Create)**을 선택합니다.
------
#### [ Step 1.2 > ]
**1.2단계: Microsoft Entra ID에서 테스트 사용자 생성**
Nikki Wolf는 이 절차에서 생성할 Microsoft Entra ID 테스트 사용자의 이름입니다.
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/) 콘솔에서 **ID > 사용자 > 모든 사용자**로 이동합니다.
1. **새 사용자**를 선택한 다음 화면 상단에서 **새 사용자 생성**을 선택합니다.
1. **사용자 보안 주체 이름**에 ****NikkiWolf****를 입력하고 원하는 도메인과 확장자를 선택합니다. **NikkiWolf@*example.org*를 예로 들 수 있습니다.
1. **표시 이름**에 ****NikkiWolf****를 입력합니다.
1. **암호**에서 강력한 암호를 입력하거나 눈 모양 아이콘을 선택하여 자동 생성된 암호를 표시한 후 표시된 값을 복사하거나 기록해 둡니다.
1. **속성** 을 선택하고 **이름**에 ****Nikki****를 입력합니다. **성**에 ****Wolf****를 입력합니다.
1. **검토 \$1 생성**을 선택한 후 **생성**을 선택합니다.
------
#### [ Step 1.3 ]
**1.3단계:에 권한을 할당하기 전에 Nikki의 경험 테스트 AWS IAM Identity Center**
이 절차에서는 Nikki가 Microsoft [내 계정 포털](https://myaccount.microsoft.com/)에 성공적으로 로그인할 수 있는지 확인합니다.
1. 동일한 브라우저에서 새 탭을 열고 [내 계정 포털](https://myaccount.microsoft.com/) 로그인 페이지로 이동한 다음 Nikki의 전체 이메일 주소를 입력합니다. **NikkiWolf@*example.org*를 예로 들 수 있습니다.
1. 메시지가 표시되면 Nikki의 암호를 입력한 다음 **로그인**을 선택합니다. 자동 생성된 암호인 경우 암호를 변경하라는 메시지가 표시됩니다.
1. **작업 필요** 페이지에서 **나중에 물어보기**를 선택하여 추가 보안 방법 메시지를 건너뜁니다.
1. **내 계정** 페이지의 왼쪽 탐색 창에서 **내 앱**을 선택합니다. 지금은 **추가 기능** 외에는 앱이 표시되지 않습니다. 이후 단계에서 여기에 표시될 **AWS IAM Identity Center** 앱을 추가하게 됩니다.
------
#### [ Step 1.4 ]
**1.4단계: Microsoft Entra ID에서 Nikki에게 권한 할당**
이제 Nikki가 **내 계정 포털**에 성공적으로 액세스할 수 있음을 확인했으니 이 절차를 사용하여 Nikki의 사용자를 **AWS IAM Identity Center** 앱에 할당합니다.
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/) 콘솔에서 **자격 증명 > 애플리케이션 > 엔터프라이즈 애플리케이션**으로 이동한 후 목록에서 **AWS IAM Identity Center**을 선택합니다.
1. 왼쪽에서 **사용자 및 그룹**을 선택합니다.
1. **사용자/그룹 추가**(Add user/group)를 선택합니다. 그룹을 할당할 수 없다는 메시지는 무시해도 좋습니다. 이 자습서에서는 할당에 그룹을 사용하지 않습니다.
1. **할당 추가** 페이지의 **사용자**에서 **선택된 항목 없음**을 선택합니다.
1. **NikkiWolf**를 선택하고 **선택**을 선택합니다.
1. **Add Assignment**(할당 추가) 페이지에서 **Assign**(할당)을 선택합니다. 이제 **AWS IAM Identity Center** 앱에 할당된 사용자 목록에 NikkiWolf가 표시됩니다.
------
## 2단계: AWS 계정 준비
이 단계에서는 **IAM Identity Center**를 사용하여 권한 세트를 통해 액세스 권한을 구성하고, Nikki Wolf 사용자를 수동으로 생성하고, AWS에서 리소스를 관리하는 데 필요한 권한을 할당하는 방법을 안내합니다.
------
#### [ Step 2.1 > ]
**2.1단계: IAM Identity Center에서 RegionalAdmin 권한 세트 생성**
이 권한 세트는 내 AWS 계정 **** 페이지에서 리전을 관리하는 데 필요한 계정 권한을 Nikki에 부여하는 데 사용됩니다 AWS Management Console. Nikki 계정에서 다른 정보를 보거나 관리할 수 있는 기타 모든 권한은 기본적으로 거부됩니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **다중 계정 권한** 아래에서 **권한 집합**을 선택합니다.
1. **권한 집합 생성**을 선택합니다.
1. **권한 세트 유형 선택** 페이지에서 **사용자 지정 권한 세트**를 선택하고 **다음**을 선택합니다.
1. **인라인 정책**을 선택하여 확장하고, 다음 단계에 따라 권한 세트에 대한 정책을 생성합니다.
1. **새 문 추가**를 선택하여 정책 문을 생성합니다.
1. **문 편집**의 목록에서 **계정**을 선택하고 다음 확인란을 선택합니다.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. **리소스 추가** 옆에 있는 **추가**를 선택합니다.
1. **리소스 추가** 페이지의 **리소스 유형**에서 **모든 리소스**를 선택한 다음 **리소스 추가**를 선택합니다. 정책이 다음과 같은지 확인합니다.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. **다음**을 선택합니다.
1. **권한 세트 세부 정보 지정** 페이지의 **권한 세트 이름**에서 ****RegionalAdmin****을 입력하고 **다음**을 선택합니다.
1. **검토 및 생성** 페이지에서 **생성**을 선택합니다. 권한 세트 목록에 **RegionalAdmin**이 표시될 것입니다.
------
#### [ Step 2.2 > ]
**2.2단계: IAM Identity Center에서 해당 NikkiWolf 사용자 생성**
SAML 프로토콜은 IdP(Microsoft Entra ID)를 쿼리하고 IAM Identity Center에서 사용자를 자동으로 생성하는 메커니즘을 제공하지 않으므로 다음 절차를 사용하여 IAM Identity Center에서 Microsoft Entra ID의 Nikki Wolfs 사용자의 핵심 속성을 미러링하는 사용자를 수동으로 생성합니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **사용자**를 선택하고 **사용자 추가**를 선택한 후 다음 정보를 입력합니다.
1. **사용자 이름**과 **이메일 주소** 모두 – Microsoft Entra ID 사용자 생성 시 사용한 ****NikkiWolf**@*yourcompanydomain.extension***을 입력합니다. **NikkiWolf@*example.org*를 예로 들 수 있습니다.
1. **이메일 주소 확인** - 이전 단계에서 사용한 이메일 주소를 다시 입력
1. **이름** – ****Nikki**** 입력
1. **성** – ****Wolf**** 입력
1. **표시 이름** – ****Nikki Wolf**** 입력
1. **다음**을 두 번 선택하고, **사용자 추가**를 선택합니다.
1. **Close(닫기)**를 선택합니다.
------
#### [ Step 2.3 ]
**2.3단계: IAM Identity Center에 설정된 RegionalAdmin 권한에 Nikki 할당**
여기서 Nikki AWS 계정 가 리전을 관리하는를 찾은 다음 액세스 AWS 포털에 성공적으로 액세스하는 데 필요한 권한을 할당합니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **다중 계정 권한**에서 **AWS 계정**를 선택합니다.
1. Nikki에게 리전을 관리할 수 있는 액세스 권한을 부여하려는 계정 이름(예: *샌드박스*) 옆의 확인란을 선택한 다음 **사용자 및 그룹 할당**을 선택합니다.
1. **사용자 및 그룹 할당** 페이지에서 **사용자** 탭을 선택하고, Nikki 옆에 있는 확인란을 찾아 선택하고, **다음**을 선택합니다.
1.
**Example**
1. **검토 및 제출** 페이지에서 선택 내용을 검토한 후 **제출**을 선택합니다.
------
## 3단계: SAML 연결 구성 및 테스트
이 단계에서는 IAM Identity Center의 외부 IdP 설정과 Microsoft Entra ID 함께의 AWS IAM Identity Center 엔터프라이즈 애플리케이션을 사용하여 SAML 연결을 구성합니다.
------
#### [ Step 3.1 > ]
**3.1단계: IAM Identity Center에서 필수 서비스 공급자 메타데이터 수집**
이 단계에서는 IAM Identity Center 콘솔 내에서 **ID 소스 변경** 마법사를 시작하고 다음 단계에서 연결을 구성할 때 입력해야 하는 메타데이터 파일과 AWS 특정 로그인 URLMicrosoft Entra ID을 검색합니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > ID 소스 변경**을 선택합니다.
1. **ID 소스 선택** 페이지에서 **외부 ID 제공업체**를 선택하고 **다음**을 선택합니다.
1. **외부 ID 제공업체 구성** 페이지의 **서비스 제공업체 메타데이터**에서 **기본 IPv4** 또는 **듀얼 스택을** 선택합니다. 자격 증명 소스 변경을 완료한 후 서비스 공급자 메타데이터 파일을 다운로드할 수 있습니다.
1. 같은 섹션에서 **AWS 액세스 포털 로그인 URL** 값을 찾아 복사합니다. 다음 단계에서 메시지가 표시될 때 이 값을 입력해야 합니다.
1. 이 페이지를 열어 두고 다음 단계(**`Step 3.2`**)로 이동하여에서 AWS IAM Identity Center 엔터프라이즈 애플리케이션을 구성합니다Microsoft Entra ID. 나중에 이 페이지로 돌아와 프로세스를 완료하게 됩니다.
------
#### [ Step 3.2 > ]
**3.2단계:에서 AWS IAM Identity Center 엔터프라이즈 애플리케이션 구성 Microsoft Entra ID**
이 절차에서는 지난 단계에서 얻은 메타데이터 파일 및 Sign-On URL의 값을 사용하여 Microsoft 측에서 SAML 연결의 절반을 설정합니다.
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/) 콘솔에서 **ID > 애플리케이션 > 엔터프라이즈 애플리케이션**으로 이동한 다음 **AWS IAM Identity Center**을 선택합니다.
1. 왼쪽에서 **2를 선택합니다. Single Sign-On을 설정합니다**.
1. **SAML로 Single Sign-On 설정** 페이지에서 **SAML**을 선택합니다. 그런 다음 **메타데이터 파일 업로드**를 선택하고 폴더 아이콘을 선택하고 이전 단계에서 다운로드한 서비스 공급자 메타데이터 파일을 선택한 다음 **추가**를 선택합니다.
1. **기본 SAML 구성** 페이지에서 **식별자** 및 **회신 URL(어설션 소비자 서비스 URL)** 값이 모두 엔드포인트를 가리키는지 확인합니다 AWS.
+ **식별자** - IAM Identity Center의 **발급자 URL**입니다. IPv4-only 엔드포인트를 사용하는지 아니면 듀얼 스택 엔드포인트를 사용하는지에 관계없이 동일한 값이 적용됩니다.
+ **회신 URL(Assertion Consumer Service URL)** - 여기의 값에는 IAM Identity Center의 활성화된 모든 리전의 IPv4-only 및 듀얼 스택 엔드포인트가 모두 포함됩니다. 사용자가에서 Amazon Web Services 애플리케이션을 시작할 때 기본 리전으로 리디렉션되도록 기본 리전의 ACS URL을 기본 URL로 사용할 수 있습니다Microsoft Entra ID. ACS URLs[기본 및 추가의 ACS 엔드포인트 AWS 리전](multi-region-workforce-access.md#acs-endpoints).
+ (선택 사항) IAM Identity Center를 추가 리전에 복제한 경우 각 추가 리전의 AWS 액세스 포털에 Microsoft Entra ID 대해에서 북마크 앱을 생성할 수도 있습니다. 이를 통해 사용자는에서 추가 리전의 AWS 액세스 포털에 액세스할 수 있습니다Microsoft Entra ID. 사용자에게의 북마크 앱에 액세스할 수 있는 권한을 부여해야 합니다Microsoft Entra ID. 자세한 내용은 [Microsoft Entra ID 설명서를](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) 참조하세요. 나중에 IAM Identity Center를 추가 리전에 복제하려는 경우이 초기 설정 후 추가 리전에 대한 액세스를 활성화하는 방법에 [Microsoft Entra ID 추가 리전에 액세스하기 위한 구성](#gs-microsoft-entra-multi-region) 대한 지침을 보려면 섹션을 참조하세요.
1. **로그인 URL(선택 사항)**에 이전 단계(**`Step 3.1`**)에서 복사한 **AWS 액세스 포털 로그인 URL** 값을 붙여 넣고 **저장**을 선택한 다음 **X**를 선택하여 창을 닫습니다.
1. 를 사용하여 Single Sign-On을 테스트하라는 메시지가 표시되면 **나중에 테스트하겠습니다를** AWS IAM Identity Center선택합니다. 이 확인 작업은 이후 단계에서 수행하게 됩니다.
1. **SAML로 Single Sign-On 설정** 페이지의 **SAML 인증서** 섹션에 있는 **페더레이션 메타데이터 XML** 옆에서 **다운로드**를 선택하여 메타데이터 파일을 시스템에 저장합니다. 다음 단계에서 메시지가 표시될 때 이 파일을 업로드해야 합니다.
------
#### [ Step 3.3 > ]
**3.3단계: AWS IAM Identity Center에서 Microsoft Entra ID 외부 IdP 구성**
여기에서 IAM Identity Center 콘솔의 **ID 소스 변경** 마법사로 돌아가 AWS에서의 SAML 연결 후반부를 완료합니다.
1. IAM Identity Center 콘솔의 **`Step 3.1`**에서 열어 둔 브라우저 세션으로 돌아갑니다.
1. **외부 ID 제공업체 구성** 페이지의 **ID 제공업체 메타데이터** 섹션에 있는 **IdP SAML 메타데이터**에서 **파일 선택** 버튼을 선택하고, 이전 단계에서 Microsoft Entra ID로부터 다운로드한 ID 제공업체 메타데이터 파일을 선택한 다음 **열기**를 선택합니다.
1. **다음**을 선택합니다.
1. 고지 사항을 읽고 진행할 준비가 되면 ****ACCEPT****를 입력합니다.
1. **ID 소스 변경**을 선택하여 변경 사항을 적용합니다.
------
#### [ Step 3.4 > ]
**3.4단계: Nikki가 AWS 액세스 포털로 리디렉션되는지 테스트**
이 절차에서는 Nikki의 보안 인증 정보로 Microsoft의 **내 계정 포털**에 로그인하여 SAML 연결을 테스트합니다. 인증되면 Nikki를 AWS 액세스 포털로 리디렉션할 AWS IAM Identity Center 애플리케이션을 선택합니다.
1. [내 계정 포털](https://myaccount.microsoft.com/) 로그인 페이지로 이동한 다음 Nikki의 전체 이메일 주소를 입력합니다. ****NikkiWolf**@*example.org*를 예로 들 수 있습니다.
1. 메시지가 표시되면 Nikki의 암호를 입력한 다음 **로그인**을 선택합니다.
1. **내 계정** 페이지의 왼쪽 탐색 창에서 **내 앱**을 선택합니다.
1. **내 앱** 페이지에서 이름이 **AWS IAM Identity Center**인 앱을 선택합니다. 그러면 추가 인증을 요구하는 메시지가 표시됩니다.
1. Microsoft 로그인 페이지에서 NikkiWolf의 보안 인증 정보를 선택합니다. 인증을 요구하는 메시지가 다시 표시되면 NikkiWolf의 보안 인증 정보를 다시 선택합니다. 그러면 자동으로 AWS 액세스 포털로 리디렉션됩니다.
**작은 정보**
성공적으로 리디렉션되지 않는 경우 **`Step 3.2`**에서 입력한 **AWS 액세스 포털 로그인 URL** 값이 **`Step 3.1`**에서 복사한 원본 값과 일치하는지 확인합니다.
1. AWS 계정 디스플레이를 확인합니다.
**작은 정보**
페이지가 비어 있고 AWS 계정 표시되지 않는 경우 Nikki가 **RegionalAdmin** 권한 세트에 성공적으로 할당되었는지 확인합니다( 참조**`Step 2.3`**).
------
#### [ Step 3.5 ]
**3.5단계: Nikki의 액세스 수준을 테스트하여 AWS 계정관리**
이 단계에서는 Nikki의 액세스 수준을 확인하여 AWS 계정의 리전 설정을 관리합니다. Nikki는 **계정** 페이지에서 리전을 관리할 수 있는 충분한 관리자 권한만 보유해야 합니다.
1. AWS 액세스 포털에서 **계정** 탭을 선택하여 계정 목록을 표시합니다. 권한 세트를 정의한 계정과 연결된 계정 이름, 계정 ID, 이메일 주소가 표시됩니다.
1. 권한 세트를 적용한 계정 이름(예: *Sandbox*)을 선택합니다(**`Step 2.3`** 참조). 그러면 Nikki가 계정을 관리하기 위해 선택할 수 있는 권한 세트 목록이 확장됩니다.
1. **RegionalAdmin** 옆에 있는 **관리 콘솔**을 선택하여 **RegionalAdmin** 권한 세트에서 정의한 역할을 맡을 관리 콘솔을 선택합니다. 그러면 AWS Management Console 홈 페이지로 리디렉션됩니다.
1. 콘솔의 오른쪽 상단 모서리 부분에서 계정 이름을 선택한 후 **계정**을 선택합니다. 그러면 **계정** 페이지로 이동합니다. 이 페이지의 다른 모든 섹션에는 해당 설정을 보거나 수정하는 데 필요한 권한이 없다는 메시지가 표시됩니다.
1. **계정** 페이지에서 **AWS 리전** 섹션으로 이동합니다. 표에서 사용 가능한 리전의 확인란을 선택합니다. Nikki에게 계정의 리전 목록을 **활성화** 또는 **비활성화**하는 데 필요한 권한이 있습니다.
**좋습니다\$1**
1\$13단계는 SAML 연결을 성공적으로 구현하고 테스트하는 데 도움이 되었습니다. 이제 자습서를 완료하려면 4단계로 이동하여 자동 프로비저닝을 구현하는 것이 좋습니다.
------
## 4단계: SCIM 동기화 구성 및 테스트
이 단계에서는 SCIM v2.0 프로토콜을 사용하여 Microsoft Entra ID에서 IAM Identity Center로 사용자 정보를 [자동 프로비저닝](provision-automatically.md)(동기화)하도록 설정합니다. IAM Identity Center의 SCIM 엔드포인트와 IAM Identity Center에서 자동으로 생성한 베어러 토큰을 사용하여 Microsoft Entra ID에서 이 연결을 구성합니다.
SCIM 동기화를 구성할 때 Microsoft Entra ID의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 Microsoft Entra ID 간에 예상 속성이 일치하게 됩니다.
다음 단계는 Microsoft Entra ID의 IAM Identity Center 앱을 사용하여 Microsoft Entra ID에 상주하는 사용자를 IAM Identity Center로 자동 프로비저닝하도록 활성화하는 방법을 안내합니다.
------
#### [ Step 4.1 > ]
**4.1단계: Microsoft Entra ID에서 두 번째 테스트 사용자 생성**
테스트 목적으로 Microsoft Entra ID에서 새 사용자(Richard Roe)를 생성합니다. 나중에 SCIM 동기화를 설정한 후 이 사용자와 모든 관련 속성이 IAM Identity Center에 성공적으로 동기화되었는지 테스트합니다.
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/) 콘솔에서 **ID > 사용자 > 모든 사용자**로 이동합니다.
1. **새 사용자**를 선택한 다음 화면 상단에서 **새 사용자 생성**을 선택합니다.
1. **사용자 보안 주체 이름**에 ****RichRoe****를 입력하고 원하는 도메인과 확장자를 선택합니다. **RichRoe@*example.org*를 예로 들 수 있습니다.
1. **표시 이름**에 ****RichRoe****를 입력합니다.
1. **암호**에서 강력한 암호를 입력하거나 눈 모양 아이콘을 선택하여 자동 생성된 암호를 표시한 후 표시된 값을 복사하거나 기록해 둡니다.
1. **속성**을 선택하고 다음 값을 입력합니다.
+ **이름** – ****Richard**** 입력
+ **성** – ****Roe**** 입력
+ **직책** - ****Marketing Lead**** 입력
+ **부서** - ****Sales**** 입력
+ **직원 ID** - ****12345**** 입력
1. **검토 \$1 생성**을 선택한 후 **생성**을 선택합니다.
------
#### [ Step 4.2 > ]
**4.2단계: IAM Identity Center에서 자동 프로비저닝 활성화**
이 절차에서는 IAM Identity Center 콘솔을 사용하여 Microsoft Entra ID에서 IAM Identity Center로 들어오는 사용자 및 그룹의 자동 프로비저닝을 활성화합니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 열고, 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지의 **ID 소스** 탭에서 **프로비저닝 방법**이 **수동**으로 설정되어 있는지 확인합니다.
1. **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 다음 옵션의 각 값을 복사합니다. 다음 단계에서 Microsoft Entra ID에서 프로비저닝을 구성할 때 이를 붙여 넣어야 합니다.
1. **SCIM 엔드포인트** - 예:
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ 듀얼 스택: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다.
1. **닫기**를 선택하세요.
1. **ID 소스** 탭에서 **프로비저닝 방법**이 이제 **SCIM**으로 설정된 것을 확인할 수 있습니다.
------
#### [ Step 4.3 > ]
**4.3단계: Microsoft Entra ID에서 자동 프로비저닝 구성**
이제 RichRoe 테스트 사용자가 있고 IAM Identity Center에서 SCIM을 활성화했으므로 Microsoft Entra ID에서 SCIM 동기화 설정을 구성할 수 있습니다.
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/) 콘솔에서 **ID > 애플리케이션 > 엔터프라이즈 애플리케이션**으로 이동한 다음 **AWS IAM Identity Center**을 선택합니다.
1. **프로비저닝**을 선택하고 **관리**에서 **프로비저닝**을 다시 선택합니다.
1. **프로비저닝 모드**에서 **자동**을 선택합니다.
1. **관리자 보안 인증 정보**의 **테넌트 URL**에서 이전 **`Step 4.2`**에서 복사한 **SCIM 엔드포인트** URL 값을 붙여 넣습니다. **비밀 토큰**에 **액세스 토큰** 값을 붙여 넣습니다.
1. [**Test Connection**]을 선택합니다. 테스트된 보안 인증 정보에 프로비저닝 활성화가 성공적으로 승인되었다는 메시지가 표시되어야 합니다.
1. **저장**을 선택합니다.
1. **관리**에서 **사용자 및 그룹**을 선택한 다음 **사용자/그룹 추가**를 선택합니다.
1. **할당 추가** 페이지의 **사용자**에서 **선택된 항목 없음**을 선택합니다.
1. **RichRoe**를 선택하고 **선택**을 선택합니다.
1. **Add Assignment**(할당 추가) 페이지에서 **Assign**(할당)을 선택합니다.
1. **개요**를 선택한 다음 **프로비저닝 시작**을 선택합니다.
------
#### [ Step 4.4 ]
**4.4단계: 동기화가 발생했는지 확인**
이 섹션에서는 Richard의 사용자가 성공적으로 프로비저닝되었고 모든 속성이 IAM Identity Center에 표시되는지 확인합니다.
1. [IAM Identity Center](https://console.aws.amazon.com/singlesignon) 콘솔에서 **사용자**를 선택합니다.
1. **사용자** 페이지에 **RichRoe** 사용자가 표시되어야 합니다. **생성** 열에서 값이 **SCIM**으로 설정되어 있는지 확인합니다.
1. **프로필**에서 **RichRoe**를 선택하고 다음 속성이 Microsoft Entra ID에서 복사되었는지 확인합니다.
+ **이름** - ****Richard****
+ **성** - ****Roe****
+ **부서** - ****Sales****
+ **직책** - ****Marketing Lead****
+ **직원 번호** - ****12345****
이제 IAM Identity Center에서 Richard의 사용자가 생성되었으므로, 모든 권한 세트를 할당하여 AWS 리소스에 대한 액세스 수준을 제어할 수 있습니다. 예를 들어 이전에 사용한 **RegionalAdmin** 권한 세트에 **RichRoe**를 할당하여 Nikki에게 리전을 관리할 권한을 부여(**`Step 2.3`** 참조)한 다음 **`Step 3.5`**를 사용하여 액세스 수준을 테스트할 수 있습니다.
**축하합니다\$1**
Microsoft AWS 와 간에 SAML 연결을 성공적으로 설정하고 자동 프로비저닝이 모든 것을 동기화된 상태로 유지하기 위해 작동하는지 확인했습니다. 이제 학습한 내용을 적용하여 프로덕션 환경을 보다 원활하게 설정할 수 있습니다.
------
## 5단계: ABAC 구성-*선택 사항*
SAML과 SCIM을 구성했으므로 속성 기반 액세스 제어(ABAC)를 구성할 수도 있습니다. ABAC는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다.
Microsoft Entra ID를 통해 다음 두 가지 방법 중 하나를 사용하여 IAM Identity Center에서 사용할 ABAC를 구성할 수 있습니다.
------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]
**IAM Identity Center에서 액세스 제어를 위해 Microsoft Entra ID에서 사용자 속성 구성**
다음 절차에서는 IAM Identity Center에서 AWS 리소스에 대한 액세스를 관리하는 데 Microsoft Entra ID 사용해야 하는의 속성을 결정합니다. 정의가 완료되면 Microsoft Entra ID는 SAML 어설션을 통해 이러한 속성을 IAM Identity Center로 전송합니다. 그런 다음 Microsoft Entra ID로부터 전달한 속성을 기반으로 액세스를 관리하기 위해 IAM Identity Center에서 [권한 집합을 생성합니다.](howtocreatepermissionset.md) 해야 합니다.
이 절차를 시작하기 전에 먼저 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 활성화해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 [액세스 제어를 위한 속성 활성화 및 구성](configure-abac.md) 섹션을 참조하세요.
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/) 콘솔에서 **ID > 애플리케이션 > 엔터프라이즈 애플리케이션**으로 이동한 다음 **AWS IAM Identity Center**을 선택합니다.
1. **Single Sign-On**을 선택합니다.
1. **속성 및 클레임** 섹션에서 **편집**을 선택합니다.
1. **속성 및 클레임** 페이지에서 다음을 수행합니다.
1. **새 클레임 추가**를 선택합니다.
1. **이름**에 `AccessControl:AttributeName`를 입력합니다. IAM Identity Center에서 *AttributeName*을 예상하는 속성의 이름으로 바꿉니다. 예를 들어 `AccessControl:Department`입니다.
1. **네임스페이스**에 ****https://aws.amazon.com/SAML/Attributes****를 입력합니다.
1. **소스**에서 **속성**를 선택합니다.
1. **소스 속성**의 경우 드롭다운 목록을 사용하여 Microsoft Entra ID 사용자 속성을 선택합니다. 예를 들어 `user.department`입니다.
1. SAML 어설션에서 IAM Identity Center로 전송해야 하는 각 속성에 대해 이전 단계를 반복합니다.
1. **저장**을 선택합니다.
------
#### [ Configure ABAC using IAM Identity Center ]
**IAM Identity Center를 사용하여 ABAC 구성**
이 방법을 사용하면 IAM Identity Center의 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 사용하여 `Name` 속성이 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`로 설정된 `Attribute` 요소를 전달합니다. 이 요소를 사용해 SAML 어설션에 속성을 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
속성을 세션 태그로 전달하려면 태그 값을 지정하는 `AttributeValue` 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 `Department=billing`를 전달하려면 다음 속성을 사용합니다.
```
billing
```
여러 속성을 추가해야 하는 경우 각 태그마다 별도의 `Attribute` 요소를 포함합니다.
------
## 에 액세스 권한 할당 AWS 계정
다음 단계는에 대한 액세스 권한만 부여하는 데 AWS 계정 만 필요합니다. 이러한 단계는 AWS 애플리케이션에 대한 액세스 권한을 부여하는 데 필요하지 않습니다.
**참고**
이 단계를 완료하려면 IAM Identity Center의 조직 인스턴스가 필요합니다. 자세한 내용은 [IAM Identity Center의 조직 및 계정 인스턴스](identity-center-instances.md) 단원을 참조하십시오.
### 1단계: IAM Identity Center: Microsoft Entra ID 사용자에게 계정에 대한 액세스 권한 부여
1. **IAM Identity Center** 콘솔로 돌아갑니다. IAM Identity Center 탐색 창의 **다중 계정 권한**에서 **AWS 계정**을 선택합니다.
1. **AWS 계정** 페이지의 **조직 구조**에는 조직 루트가 표시되고 계층 구조에 따라 그 아래에 사용자 계정이 표시됩니다. 관리 계정의 확인란을 선택한 다음 **사용자 또는 그룹 할당**을 선택합니다.
1. **사용자 및 그룹 할당** 워크플로가 표시됩니다. 워크플로는 세 단계로 구성됩니다.
1. **1단계: 사용자 및 그룹 선택**에서 관리자 작업을 수행할 사용자를 선택합니다. 그리고 **다음**을 선택합니다.
1. **2단계: 권한 세트 선택**에서 **권한 세트 생성**을 선택하여 권한 세트 생성과 관련된 3가지 하위 단계를 안내하는 새 탭이 열립니다.
1. **1단계: 권한 세트 유형 선택**에서 다음을 완료합니다.
+ **권한 세트 유형**에서 **사전 정의된 권한 세트**를 선택합니다.
+ **사전 정의된 권한 세트 정책** 섹션에서 **AdministratorAccess**를 선택합니다.
**다음**을 선택합니다.
1. **2단계: 권한 세트 세부 정보 지정** 페이지에서 기본 설정을 유지하고 **다음**을 선택합니다.
기본 설정에서는 세션 지속 시간이 1시간으로 설정된 *AdministratorAccess*라는 권한 세트를 생성합니다.
1. **3단계: 검토 및 생성**에서 **권한 세트 유형이** AWS 관리형 정책 **AdministratorAccess**를 사용하는지 확인합니다. **생성(Create)**을 선택합니다. **권한 세트** 페이지에 권한 세트가 생성되었음을 알리는 알림이 표시됩니다. 이제 웹 브라우저에서 이 탭을 닫을 수 있습니다.
1. **사용자 및 그룹 할당** 브라우저 탭에서 권한 세트 생성 워크플로를 시작한 **2단계: 권한 세트 선택**에 여전히 있습니다.
1. **권한 세트** 영역에서 **새로 고침** 버튼을 선택합니다. 생성한 *AdministratorAccess* 권한 세트가 목록에 표시됩니다. 권한 세트의 확인란을 선택하고 **다음**을 선택합니다.
1. **3단계: 검토 및 제출**에서 선택한 사용자 및 권한 세트를 검토한 다음 **제출**을 선택합니다.
페이지는 구성 AWS 계정 중인 메시지로 업데이트됩니다. 프로세스가 완료될 때까지 기다립니다.
AWS 계정 페이지로 돌아갑니다. 알림 메시지는가 재프로비저닝되었고 업데이트된 권한 세트 AWS 계정 가 적용되었음을 알려줍니다. 사용자가 로그인하면 *AdministratorAccess* 역할을 선택할 수 있는 옵션이 제공됩니다.
### 2단계: Microsoft Entra ID: AWS 리소스에 대한 Microsoft Entra ID 사용자 액세스 확인
1. **Microsoft Entra ID** 콘솔로 돌아가서 IAM Identity Center SAML 기반 로그인 애플리케이션으로 이동합니다.
1. **사용자 및 그룹**을 선택하고 **사용자 또는 그룹 추가**를 선택합니다. 4단계의 이 자습서에서 생성한 사용자를 Microsoft Entra ID 애플리케이션에 추가합니다. 사용자를 추가하면 사용자가 AWS에 로그인할 수 있습니다. 4단계에서 생성한 사용자를 검색합니다. 이 단계를 따른 경우 **RichardRoe**가 됩니다.
1. 데모는 [Microsoft Entra ID를 사용하여 기존 IAM Identity Center 인스턴스 페더레이션](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)을 참조하세요.
## Microsoft Entra ID IAM Identity Center의 추가 리전에 액세스하기 위한 구성 - 선택 사항
IAM Identity Center를 추가 리전에 복제한 경우 추가 리전을 AWS 계정 통해 AWS 관리형 애플리케이션 및에 액세스할 수 있도록 ID 제공업체 구성을 업데이트해야 합니다. 아래 단계는 절차를 안내합니다. 사전 조건을 포함하여이 주제에 대한 자세한 내용은 섹션을 참조하세요[여러에서 IAM Identity Center 사용 AWS 리전](multi-region-iam-identity-center.md).
1. 에 설명된 대로 IAM Identity Center 콘솔에서 추가 리전의 ACS URLs을 검색합니다[기본 및 추가의 ACS 엔드포인트 AWS 리전](multi-region-workforce-access.md#acs-endpoints).
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/) 콘솔에서 **ID > 애플리케이션 > 엔터프라이즈 애플리케이션**으로 이동한 다음 **AWS IAM Identity Center**을 선택합니다.
1. 왼쪽에서 **2를 선택합니다. Single Sign-On을 설정합니다**.
1. **기본 SAML 구성** 페이지의 **회신 URL(어설션 소비자 서비스 URL)** 섹션에서 각 추가 리전의 ACS URL에 대한 **회신 URL 추가**를 선택합니다. 사용자가에서 AWS IAM Identity Center 애플리케이션을 시작할 때 기본 리전으로 계속 리디렉션되도록 기본 리전의 ACS URL을 기본 URL로 유지할 수 있습니다Microsoft Entra ID.
1. ACS URLs 추가가 완료되면 **AWS IAM Identity Center** 애플리케이션을 저장합니다.
1. 각 추가 리전의 AWS 액세스 포털에 Microsoft Entra ID 대해에서 북마크 앱을 생성할 수 있습니다. 이를 통해 사용자는에서 추가 리전의 AWS 액세스 포털에 액세스할 수 있습니다Microsoft Entra ID. 사용자에게의 북마크 앱에 액세스할 수 있는 권한을 부여해야 합니다Microsoft Entra ID. 자세한 내용은 [Microsoft Entra ID 설명서를](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) 참조하세요.
1. 각 추가 리전에서 AWS 액세스 포털에 로그인할 수 있는지 확인합니다. [AWS 액세스 포털 URLs](multi-region-workforce-access.md#portal-endpoints)로 이동하거나에서 북마크 앱을 시작합니다Microsoft Entra ID.
## 문제 해결
Microsoft Entra ID를 사용한 일반적인 SCIM 및 SAML 문제 해결은 다음 섹션을 참조하세요.
+ [Microsoft Entra ID 및 IAM Identity Center와의 동기화 문제](#entra-scim-troubleshooting)
+ [특정 사용자가 외부 SCIM 공급자로부터 IAM Identity Center로 동기화하지 못함](troubleshooting.md#issue2)
+ [IAM Identity Center에서 생성된 SAML 어설션 콘텐츠 관련 문제](troubleshooting.md#issue1)
+ [외부 ID 제공업체에서 사용자 또는 그룹을 프로비저닝할 때의 중복 사용자 또는 그룹 오류](troubleshooting.md#duplicate-user-group-idp)
+ [추가 리소스](#entra-scim-troubleshooting-resources)
### Microsoft Entra ID 및 IAM Identity Center와의 동기화 문제
Microsoft Entra ID 사용자가 IAM Identity Center와 동기화되지 않는 문제가 발생하는 경우, IAM Identity Center에 새 사용자를 추가할 때 IAM Identity Center에서 플래그를 지정한 구문 문제 때문일 수 있습니다. Microsoft Entra ID 감사 로그에서 `'Export'`와 같은 실패한 이벤트가 있는지 검토하여 이를 확인할 수 있습니다. 이 이벤트의 **상태 설명**에는 다음과 같은 내용이 나와 있습니다.
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
AWS CloudTrail 실패한 이벤트를 확인할 수도 있습니다. 이 작업은 CloudTrail의 **이벤트 기록** 콘솔에서 다음 필터를 사용하여 검색하면 됩니다.
```
"eventName":"CreateUser"
```
CloudTrail 이벤트의 오류는 다음과 같이 표시됩니다.
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
궁극적으로 이 예외는 Microsoft Entra ID에서 전달된 값 중 하나에 예상보다 많은 값이 포함되어 있음을 의미합니다. 해결 방법은 Microsoft Entra ID에서 사용자 속성을 검토하여 중복된 값을 포함하지 않는지 확인하는 것입니다. 값이 중복되는 일반적인 예로는 **휴대폰**, **회사**, **팩스** 등의 연락처 번호에 여러 개의 값이 있는 경우를 들 수 있습니다. 값은 별개이지만 모두 단일 상위 속성인 **phoneNumbers**에 따라 IAM Identity Center에 전달됩니다.
일반 SCIM 문제 해결 팁은 [문제 해결](troubleshooting.md#issue2)을 참조하세요.
### Microsoft Entra ID 게스트 계정 동기화
Microsoft Entra ID 게스트 사용자를 IAM Identity Center에 동기화하려면 다음 절차를 참조하세요.
Microsoft Entra ID 게스트 사용자의 이메일이 Microsoft Entra ID 사용자와 다릅니다. 이 차이는 Microsoft Entra ID 게스트 사용자를 IAM Identity Center와 동기화하려고 할 때 문제를 일으킵니다. 예를 들어 게스트 사용자의 다음 이메일 주소를 참조하세요.
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM Identity Center의 이메일 주소에는 *\$1EXT\$1@domain* 형식이 포함되지 않아야 합니다.
1. [Microsoft Entra 관리 센터](https://entra.microsoft.com/)에 로그인하고 **ID** > **애플리케이션** > **엔터프라이즈 애플리케이션**으로 이동한 다음 **AWS IAM Identity Center**을 선택합니다.
1. 왼쪽 창의 **Single Sign On** 탭으로 이동합니다.
1. **사용자 속성 및 클레임** 옆에 나타나는 **편집**을 선택합니다.
1. **필수 클레임** 다음에 **고유 사용자 식별자(이름 ID)**를 선택합니다.
1. Microsoft Entra ID 사용자와 게스트 사용자에 대해 두 가지 클레임 조건을 생성합니다.
1. Microsoft Entra ID 사용자의 경우 소스 속성이 ` user.userprincipalname`로 설정된 멤버에 대한 사용자 유형을 생성합니다.
1. Microsoft Entra ID 게스트 사용자의 경우 소스 속성이 `user.mail`로 설정된 외부 게스트의 사용자 유형을 생성합니다.
1. **저장**을 선택하고 Microsoft Entra ID 게스트 사용자로 로그인을 다시 시도합니다.
### 추가 리소스
+ 일반 SCIM 문제 해결 팁은 [IAM Identity Center 문제 해결](troubleshooting.md) 섹션을 참조하세요.
+ Microsoft Entra ID 문제 해결은 [Microsoft 설명서를](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips) 참조하세요.
+ 여러의 페더레이션에 대한 자세한 내용은 [AWS 계정 를 사용하여 보안을 Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/) AWS 계정참조하세요.
다음 리소스는 작업 시 문제를 해결하는 데 도움이 될 수 있습니다. AWS
+ [AWS re:Post](https://repost.aws/)–문제를 해결할 때 도움이 되는 FAQ와 기타 리소스 링크를 찾을 수 있습니다.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)-기술 지원 받기
# Okta 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성
[SCIM(System for Cross-domain Identity Management) v2.0 프로토콜](scim-profile-saml.md#scim-profile)을 사용하여 Okta의 사용자 및 그룹 정보를 IAM Identity Center로 자동 프로비저닝(동기화)할 수 있습니다. 자세한 내용은 [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md) 단원을 참조하십시오.
Okta에서 이 연결을 구성하려면 IAM Identity Center의 SCIM 엔드포인트와 IAM Identity Center에서 자동으로 생성한 베어러 토큰을 사용합니다. SCIM 동기화를 구성할 때 Okta의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이 매핑은 IAM Identity Center와 Okta 계정 간의 예상 사용자 속성을 일치시킵니다.
Okta는 SCIM을 통해 IAM Identity Center에 연결할 경우 다음과 같은 프로비저닝 기능을 지원합니다.
+ 사용자 생성 - Okta에서 IAM Identity Center 애플리케이션에 할당된 사용자는 IAM Identity Center에서 프로비저닝됩니다.
+ 사용자 속성 업데이트 — Okta에서 IAM Identity Center 애플리케이션에 할당된 사용자의 속성 변경 사항이 IAM Identity Center에서 업데이트됩니다.
+ 사용자 비활성화 - Okta에서 IAM Identity Center 애플리케이션에 할당을 취소된 사용자는 IAM Identity Center에서 비활성화됩니다.
+ 그룹 푸시 - Okta에서 그룹 (및 해당 구성원)이 IAM Identity Center에 동기화됩니다.
**참고**
Okta과 IAM Identity Center 모두에서 관리 오버헤드를 최소화하려면 개별 사용자 대신 그룹을 할당하고 *푸시*하는 것이 좋습니다.
+ 사용자 가져오기 - 사용자를 IAM Identity Center에서 로 가져올 수 있습니다Okta.
**목표**
이 자습서에서는 Okta IAM Identity Center와의 SAML 연결 설정 방법을 안내합니다. 나중에 SCIM을 사용하여 Okta에서 사용자를 동기화합니다. 이 시나리오에서는 Okta에서 모든 사용자와 그룹을 관리합니다. Okta 포털을 통해 로그인합니다. 모든 것이 올바르게 구성되었는지 확인하려면 구성 단계를 완료한 후 Okta 사용자로 로그인하고 AWS 리소스에 대한 액세스를 확인합니다.
SAML을 통해 IAM Identity CenterOkta에 연결할 때 다음 기능이 지원됩니다.
+ IdP 시작 SAML 로그인 - 사용자는 Okta 포털을 통해 로그인하고 IAM Identity Center에 액세스할 수 있습니다.
+ SP 시작 SAML 로그인 - 사용자는 AWS 액세스 포털에 액세스하여 Okta 포털을 통해 로그인하도록 리디렉션합니다.
**참고**
Okta's [IAM Identity Center 애플리케이션](https://www.okta.com/integrations/aws-single-sign-on/)이 설치된 Okta 계정([무료 평가판](https://www.okta.com/free-trial/))을 등록할 수 있습니다. 유료 Okta 제품의 경우 Okta 라이선스가 **라이프사이클 관리 또는 아웃바운드 프로비저닝을 활성화하는 유사 기능을 지원하는지 확인해야 할 수도 있습니다. 이러한 기능은 Okta에서 IAM Identity Center로 SCIM을 구성하는 데 필요할 수 있습니다.
IAM Identity Center를 아직 활성화하지 않은 경우 [IAM Identity Center 활성화](enable-identity-center.md)의 내용을 참조하세요.
## 고려 사항
+ Okta 및 IAM Identity Center 간에 SCIM 프로비저닝을 구성하기 전에 먼저 [자동 프로비저닝을 사용할 때 고려 사항](provision-automatically.md#auto-provisioning-considerations) 검토가 권장됩니다.
+ 모든 Okta 사용자는 **이름**, **성**, **사용자 이름** 및 **표시 이름** 값이 지정되어야 합니다.
+ 각 Okta 사용자는 이메일 주소 또는 전화번호와 같은 데이터 속성당 하나의 값만 보유합니다. 값이 여렷인 사용자는 동기화되지 않습니다. 속성에 여러 개의 값이 있는 사용자가 있는 경우 IAM Identity Center에서 사용자를 프로비저닝하기 전에 중복된 속성을 제거합니다. 예를 들어 전화번호 속성은 하나만 동기화할 수 있습니다. 기본 전화번호 속성이 “회사 전화번호”이므로 사용자의 전화번호가 집이나 휴대폰 전화번호인 경우에도 “회사 전화번호” 속성을 사용하여 사용자의 전화번호를 저장합니다.
+ IAM Identity Center와 함께 Okta를 사용하는 경우 IAM Identity Center는 일반적으로 Okta에서 애플리케이션으로 구성됩니다. 이를 통해 IAM Identity Center의 여러 인스턴스를 여러 애플리케이션으로 구성하여 Okta의 단일 인스턴스 내에서 여러 AWS 조직에 대한 액세스를 지원할 수 있습니다.
+ 권한 및 역할 속성은 지원되지 않으며 IAM Identity Center와 동기화할 수 없습니다.
+ 할당과 그룹 푸시 모두에 동일한 Okta 그룹을 사용하는 것은 현재 지원되지 않습니다. Okta와 IAM Identity Center 간에 일관된 그룹 구성원 자격을 유지하려면 별도의 그룹을 생성하고 그룹을 IAM Identity Center로 푸시하도록 구성합니다.
+ IAM Identity Center를 추가 리전에 복제한 경우 관리 AWS 형 애플리케이션 및 추가 리전을 AWS 계정 통해 액세스할 수 있도록 ID 제공업체 구성을 업데이트해야 합니다. 사전 조건을 포함한 자세한 내용은 섹션을 참조하세요[여러에서 IAM Identity Center 사용 AWS 리전](multi-region-iam-identity-center.md). Okta별 단계는에 설명되어 있습니다. [Okta 추가 리전에 액세스하기 위한 구성](#gs-okta-multi-region)
## 1단계: Okta: Okta 계정에서 SAML 메타데이터 획득
1. Okta admin dashboard에 로그인하고, **애플리케이션**을 확장한 다음 **애플리케이션**을 선택합니다.
1. **애플리케이션**(Applications) 페이지에서 **앱 카탈로그 찾아보기**(Browse App Catalog)를 선택합니다.
1. 검색 상자에를 입력하고 앱을 ** AWS IAM Identity Center**선택하여 IAM Identity Center 앱을 추가합니다.
1. **로그인** 탭을 선택합니다.
1. **SAML 서명 인증서**에서 **작업**을 선택한 다음 **IdP 메타데이터 보기**를 선택합니다. 새 브라우저 탭이 열리고 XML 파일의 문서 트리를 보여줍니다. ``에서 ``까지 XML 전체를 선택하고 텍스트 파일에 복사합니다.
1. 텍스트 파일을 `metadata.xml`로 저장합니다.
Okta admin dashboard를 열려 있는 상태로 두고, 이후 단계에서는 콘솔을 계속 사용합니다.
## 2단계: Okta를 IAM Identity Center의 ID 소스로 구성
1. 관리 권한이 있는 사용자로 [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **작업**을 선택한 다음 **ID 소스 변경**을 선택합니다.
1. **ID 소스 선택**에서 **외부 ID 제공업체**를 선택하고 **다음**을 선택합니다.
1. **외부 ID 제공업체 구성** 에서 다음을 수행합니다.
1. **서비스 공급자 메타데이터**에서 쉽게 액세스할 수 있도록 다음 항목을 텍스트 파일에 복사합니다.
+ **IAM Identity Center Assertion Consumer Service(ACS) URL** - IPv4-only 및 듀얼 스택 ACS URLs. 또한 IAM Identity Center 인스턴스가 여러 리전에서 활성화된 경우 각 추가 리전에는 자체 IPv4-only 및 듀얼 스택 ACS URLs. ACS URLs[기본 및 추가의 ACS 엔드포인트 AWS 리전](multi-region-workforce-access.md#acs-endpoints).
+ **IAM Identity Center 발급자 URL**
이후 자습서에서는 이러한 값을 업데이트합니다.
1. **ID 제공업체 메타데이터**의 **IdP SAML 메타데이터**에서 **파일 선택**을 선택한 다음 이전 단계에서 생성한 `metadata.xml` 파일을 선택합니다.
1. **다음**을 선택합니다.
1. 고지 사항을 읽고 진행할 준비가 되면 **ACCEPT**를 입력합니다.
1. **ID 소스 변경**을 선택합니다.
AWS 콘솔을 열어 두면 다음 단계에서이 콘솔을 계속 사용할 수 있습니다.
1. 로 돌아가서 AWS IAM Identity Center 앱의 **로그인** 탭을 Okta admin dashboard 선택한 다음 **편집**을 선택합니다.
1. **고급 로그인 설정**에서 다음을 입력합니다.
+ **ACS URL**에 **IAM Identity Center Assertion Consumer Service(ACS) URL에 복사한 값(들)**을 입력합니다. 사용자가에서 Amazon Web Services 애플리케이션을 시작할 때 기본 리전으로 리디렉션되도록 기본 리전의 ACS URL을 기본 URL로 사용할 수 있습니다Okta.
+ (선택 사항) IAM Identity Center를 추가 리전에 복제한 경우 각 추가 리전의 AWS 액세스 포털에 Okta 대해에서 북마크 앱을 생성할 수도 있습니다. 이를 통해 사용자는에서 추가 리전의 AWS 액세스 포털에 액세스할 수 있습니다Okta. 사용자에게의 북마크 앱에 액세스할 수 있는 권한을 부여해야 합니다Okta. 자세한 내용은 [Okta 설명서를](https://support.okta.com/help/s/article/create-a-bookmark-app) 참조하세요. 나중에 IAM Identity Center를 추가 리전에 복제하려는 경우이 초기 설정 후 추가 리전에 대한 액세스를 활성화하는 방법에 [Okta 추가 리전에 액세스하기 위한 구성](#gs-okta-multi-region) 대한 지침을 보려면 섹션을 참조하세요.
+ **발급자 URL**의 경우 **IAM Identity Center 발급자 URL**에서 복사한 값을 입력합니다.
+ **애플리케이션 사용자 이름 형식**의 경우 메뉴에서 옵션 중 하나를 선택합니다.
선택한 값이 각 사용자마다 고유해야 합니다. 이 자습서에서는 **Okta 사용자 이름**을 선택합니다.
1. **저장**을 선택합니다.
이제 Okta에서 IAM Identity Center로 사용자를 프로비저닝할 준비가 되었습니다. Okta admin dashboard를 열린 상태로 두고 IAM Identity Center 콘솔로 돌아가 다음 단계를 진행합니다.
## 3단계: IAM Identity Center 및 Okta: Okta 사용자 프로비저닝
1. IAM Identity Center의 **설정** 페이지에서 **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 다음 옵션의 값을 각각 복사합니다.
1. **SCIM 엔드포인트** - 엔드포인트 형식은 구성에 따라 다릅니다.
+ IPv4: https://scim.*us-east-2*.amazonaws.com/*111111111111-2222-3333-4444-5555555555*/scim/v2
+ 듀얼 스택: https://scim.*us-east-2*.api.aws/*111111111111-2222-3333-4444-555555555*/scim/v2
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에서 이 값을 입력하여 Okta에서 자동 프로비저닝을 구성합니다.
1. **닫기**를 선택하세요.
1. Okta admin dashboard로 돌아가서 IAM Identity Center 앱으로 이동합니다.
1. **IAM Identity Center 앱** 페이지에서 **프로비저닝** 탭을 선택한 다음 **설정**의 왼쪽 탐색 메뉴에서 **통합**을 선택합니다.
1. **편집**을 선택한 다음 **API 통합 활성화** 옆의 확인란을 선택하여 자동 프로비저닝을 활성화합니다.
1. 이 단계의 앞부분Okta에서 복사 AWS IAM Identity Center 한의 SCIM 프로비저닝 값으로를 구성합니다.
1. **기본 URL** 필드에 **SCIM 엔드포인트** 값을 입력합니다.
1. **API 토큰** 필드에 **액세스 토큰** 값을 입력합니다.
1. **API 보안 인증 테스트**를 선택하여 입력한 보안 인증 정보가 유효한지 확인합니다.
**AWS IAM Identity Center 확인 완료\$1** 메시지가 표시됩니다.
1. **저장**을 선택합니다. **통합**이 선택된 **설정** 섹션으로 이동합니다.
1. **설정**에서 **대상 앱**을 선택하고, 활성화하려는 각 **앱으로 프로비저닝** 기능에 대해 **활성화** 확인란을 선택합니다. 이 자습서에서는 모든 옵션을 선택합니다.
1. **저장**을 선택합니다.
이제 Okta의 사용자를 IAM Identity Center와 동기화할 준비가 되었습니다.
## 4단계: Okta: Okta의 사용자를 IAM Identity Center와 동기화
기본적으로 Okta IAM Identity Center 앱에는 어떤 사용자 또는 그룹도 할당되지 않습니다. 프로비저닝 그룹은 그룹 구성원인 사용자를 프로비저닝합니다. 그룹 및 사용자를 동기화하려면 다음 단계를 완료하세요 AWS IAM Identity Center.
1. **OktaIAM Identity Center 앱** 페이지에서 **할당** 탭을 선택합니다. 사람과 그룹을 모두 IAM Identity Center 앱에 할당할 수 있습니다.
1. 사람 할당:
+ **할당** 페이지에서 **할당**을 선택한 다음 **사람에게 할당**을 선택합니다.
+ IAM Identity Center 앱에 대한 액세스 권한을 보유하려는 Okta 사용자를 선택합니다. **할당** 및 **저장 후 뒤로 가기**를 선택한 다음 **완료**를 선택합니다.
그러면 사용자를 IAM Identity Center에 프로비저닝하는 프로세스가 시작됩니다.
1. 그룹 할당:
+ **할당** 페이지에서 **할당**을 선택한 다음 **그룹에 할당**을 선택합니다.
+ IAM Identity Center 앱에 대한 액세스 권한을 보유하려는 Okta 그룹을 선택합니다. **할당** 및 **저장 후 뒤로 가기**를 선택한 다음 **완료**를 선택합니다.
그러면 그룹의 사용자를 IAM Identity Center에 프로비저닝하는 프로세스가 시작됩니다.
**참고**
일부 사용자 레코드에 없는 경우 그룹에 대한 추가 속성을 지정해야 할 수 있습니다. 그룹에 지정된 속성은 모든 개별 속성 값보다 우선합니다.
1. **푸시 그룹** 탭을 선택합니다. IAM Identity Center와 동기화할 Okta 그룹을 선택합니다. **저장**을 선택합니다.
그룹과 구성원이 IAM Identity Center로 푸시되면 그룹 상태가 **활성**으로 변경됩니다.
1. **할당** 탭으로 돌아갑니다.
1. IAM Identity Center에 개별 Okta 사용자를 추가하려면 다음 단계를 수행합니다.
1. **할당** 페이지에서 **할당**을 선택한 다음 **사람에게 할당**을 선택합니다.
1. IAM Identity Center 앱에 대한 액세스 권한을 보유하려는 Okta 사용자를 선택합니다. **할당** 및 **저장 후 뒤로 가기**를 선택한 다음 **완료**를 선택합니다.
그러면 개별 사용자를 IAM Identity Center에 프로비저닝하는 프로세스가 시작됩니다.
**참고**
의 **애플리케이션** 페이지에서 AWS IAM Identity Center 앱에 사용자 및 그룹을 할당할 수도 있습니다Okta admin dashboard. 이를 위해 **설정** 아이콘을 선택하고 **사용자에게 할당** 또는 **그룹에 할당**을 선택한 다음 사용자나 그룹을 지정합니다.
1. IAM Identity Center 콘솔로 돌아갑니다. 왼쪽 탐색 창에서 **사용자**를 선택하면 Okta 사용자가 입력한 사용자 목록이 표시됩니다.
**축하합니다\$1**
Okta 및 간에 SAML 연결을 성공적으로 설정하고 자동 프로비저닝이 작동하는지 확인 AWS 했습니다. 이제 **IAM Identity Center**에서 계정과 애플리케이션을 사용자에게 할당할 수 있습니다. 이 자습서에서는 다음 단계로 관리 계정에 관리 권한을 부여하여 사용자 중 한 명을 IAM Identity Center 관리자로 지정합니다.
## 액세스 제어에 속성 전달-*선택 사항*
IAM Identity Center의 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 사용하여 `Name` 속성이 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`로 설정된 `Attribute` 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
속성을 세션 태그로 전달하려면 태그 값을 지정하는 `AttributeValue` 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 `CostCenter = blue`를 전달하려면 다음 속성을 사용합니다.
```
blue
```
여러 속성을 추가해야 하는 경우 각 태그마다 별도의 `Attribute` 요소를 포함합니다.
## 에 액세스 권한 할당 AWS 계정
다음 단계는에 대한 액세스 권한만 부여하는 데 AWS 계정 만 필요합니다. 이러한 단계는 AWS 애플리케이션에 대한 액세스 권한을 부여하는 데 필요하지 않습니다.
**참고**
이 단계를 완료하려면 IAM Identity Center의 조직 인스턴스가 필요합니다. 자세한 내용은 [IAM Identity Center의 조직 및 계정 인스턴스](identity-center-instances.md) 단원을 참조하십시오.
### 1단계: IAM Identity Center: Okta 사용자에게 계정에 대한 액세스 권한 부여
1. IAM Identity Center 탐색 창의 **다중 계정 권한**에서 **AWS 계정**을 선택합니다.
1. **AWS 계정** 페이지의 **조직 구조**에는 조직 루트가 표시되고 계층 구조에 따라 그 아래에 사용자 계정이 표시됩니다. 관리 계정의 확인란을 선택한 다음 **사용자 또는 그룹 할당**을 선택합니다.
1. **사용자 및 그룹 할당** 워크플로가 표시됩니다. 워크플로는 세 단계로 구성됩니다.
1. **1단계: 사용자 및 그룹 선택**에서 관리자 작업을 수행할 사용자를 선택합니다. 그리고 **다음**을 선택합니다.
1. **2단계: 권한 세트 선택**에서 **권한 세트 생성**을 선택하여 권한 세트 생성과 관련된 3가지 하위 단계를 안내하는 새 탭이 열립니다.
1. **1단계: 권한 세트 유형 선택**에서 다음을 완료합니다.
+ **권한 세트 유형**에서 **사전 정의된 권한 세트**를 선택합니다.
+ **사전 정의된 권한 세트 정책** 섹션에서 **AdministratorAccess**를 선택합니다.
**다음**을 선택합니다.
1. **2단계: 권한 세트 세부 정보 지정** 페이지에서 기본 설정을 유지하고 **다음**을 선택합니다.
기본 설정에서는 세션 지속 시간이 1시간으로 설정된 *AdministratorAccess*라는 권한 세트를 생성합니다.
1. **3단계: 검토 및 생성**에서 **권한 세트 유형이** AWS 관리형 정책 **AdministratorAccess**를 사용하는지 확인합니다. **생성(Create)**을 선택합니다. **권한 세트** 페이지에 권한 세트가 생성되었음을 알리는 알림이 표시됩니다. 이제 웹 브라우저에서 이 탭을 닫을 수 있습니다.
**사용자 및 그룹 할당** 브라우저 탭에서 권한 세트 생성 워크플로를 시작한 **2단계: 권한 세트 선택**에 여전히 있습니다.
**권한 세트** 영역에서 **새로 고침** 버튼을 선택합니다. 생성한 *AdministratorAccess* 권한 세트가 목록에 표시됩니다. 권한 세트의 확인란을 선택하고 **다음**을 선택합니다.
1. **3단계: 검토 및 제출**에서 선택한 사용자 및 권한 세트를 검토한 다음 **제출**을 선택합니다.
페이지는 구성 AWS 계정 중인 메시지로 업데이트됩니다. 프로세스가 완료될 때까지 기다립니다.
AWS 계정 페이지로 돌아갑니다. 알림 메시지는가 재프로비저닝되었고 업데이트된 권한 세트 AWS 계정 가 적용되었음을 알려줍니다. 사용자가 로그인하면 *AdministratorAccess* 역할을 선택할 수 있는 옵션이 제공됩니다.
### 2단계: Okta: AWS 리소스에 대한 Okta 사용자 액세스 확인
1. 테스트 사용자 계정을 사용하여 Okta dashboard에 로그인합니다.
1. **내 앱**에서 AWS IAM Identity Center 아이콘을 선택합니다.
1. AWS 계정 아이콘이 표시됩니다. 해당 아이콘을 확장하여 사용자가 액세스할 수 AWS 계정 있는 목록을 확인합니다. 이 자습서에서는 단일 계정만 사용했으므로 아이콘을 확장하면 하나의 계정만 표시됩니다.
1. 계정을 선택하면 사용자에게 제공되는 권한 세트가 표시됩니다. 이 자습서에서는 **AdministratorAccess** 권한 세트를 생성했습니다.
1. 권한 세트 옆에는 해당 권한 세트에 사용할 수 있는 액세스 유형에 대한 링크가 있습니다. 권한 세트를 생성할 때 AWS Management Console 및 프로그래밍 방식 액세스 모두에 대한 액세스를 지정했습니다. **관리 콘솔**을 선택하면 AWS Management Console이 열립니다.
1. 사용자가 AWS Management Console에 로그인합니다.
AWS 액세스 포털을 사용할 수도 있습니다. 그러면 AWS 액세스 Okta 포털로 이동하기 전에 포털을 통해 로그인하도록 리디렉션됩니다. 이 경로는 SP가 시작한 SAML 로그인 흐름을 따릅니다.
## Okta IAM Identity Center의 추가 리전에 액세스하기 위한 구성 - 선택 사항
IAM Identity Center를 추가 리전에 복제한 경우 추가 리전을 AWS 계정 통해 AWS 관리형 애플리케이션 및에 액세스할 수 있도록 ID 제공업체 구성을 업데이트해야 합니다. 아래 단계는 절차를 안내합니다. 사전 조건을 포함하여이 주제에 대한 자세한 내용은 섹션을 참조하세요[여러에서 IAM Identity Center 사용 AWS 리전](multi-region-iam-identity-center.md).
1. 에 설명된 대로 IAM Identity Center 콘솔에서 추가 리전의 ACS URLs을 검색합니다[기본 및 추가의 ACS 엔드포인트 AWS 리전](multi-region-workforce-access.md#acs-endpoints).
1. Okta 관리자 대시보드의 탐색 창에서 **애플리케이션을** 선택한 다음 확장된 목록에서 **애플리케이션을** 다시 선택합니다.
1. **AWS IAM Identity Center** 애플리케이션을 선택합니다.
1. **로그인**(Sign On) 탭을 선택합니다.
1. **고급 로그인 설정** 및 **기타 요청 가능한 SSO URLs**에서 각 추가 리전의 ACS URL에 대해 **다른 추가**를 선택하고 ACS URL을 텍스트 필드에 붙여 넣습니다.
1. ACS URLs 추가가 완료되면 **AWS IAM Identity Center** 애플리케이션을 저장합니다.
1. 에서 각 추가 리전의 AWS 액세스 포털에 Okta 대한 북마크 앱을 생성할 수 있습니다. 이를 통해 사용자는에서 추가 리전의 AWS 액세스 포털에 액세스할 수 있습니다Okta. 사용자에게의 북마크 앱에 액세스할 수 있는 권한을 부여해야 합니다Okta. 자세한 내용은 [Okta 설명서를](https://support.okta.com/help/s/article/create-a-bookmark-app) 참조하세요.
1. 각 추가 리전에서 AWS 액세스 포털에 로그인할 수 있는지 확인합니다. [AWS 액세스 포털 URLs](multi-region-workforce-access.md#portal-endpoints)로 이동하거나에서 북마크 앱을 시작합니다Okta.
## 다음 단계
이제 Okta를 ID 제공업체로 구성하고 IAM Identity Center의 사용자를 프로비저닝했기 때문에 다음을 수행할 수 있습니다.
+ 에 대한 액세스 권한을 부여합니다. 단원을 AWS 계정참조하십시오[에 사용자 또는 그룹 액세스 할당 AWS 계정](assignusers.md).
+ 클라우드 애플리케이션에 대한 액세스 권한을 부여하려면 [IAM Identity Center 콘솔에서 애플리케이션에 사용자 액세스 권한 할당](assignuserstoapp.md)의 내용을 참조하세요.
+ 직무에 따라 권한을 구성합니다. [권한 세트 생성](howtocreatepermissionset.md)을 참조하세요.
## 문제 해결
Okta를 사용한 일반적인 SCIM 및 SAML 문제 해결은 다음 섹션을 참조하세요.
+ [IAM Identity Center에서 삭제된 사용자 및 그룹 재프로비저닝](#reprovisioning-deleted-users-groups)
+ [Okta의 자동 프로비저닝 오류](#okta-auto-provisioning-error)
+ [특정 사용자가 외부 SCIM 공급자로부터 IAM Identity Center로 동기화하지 못함](troubleshooting.md#issue2)
+ [IAM Identity Center에서 생성된 SAML 어설션 콘텐츠 관련 문제](troubleshooting.md#issue1)
+ [외부 ID 제공업체에서 사용자 또는 그룹을 프로비저닝할 때의 중복 사용자 또는 그룹 오류](troubleshooting.md#duplicate-user-group-idp)
+ [추가 리소스](#gs-okta-troubleshooting-resources)
### IAM Identity Center에서 삭제된 사용자 및 그룹 재프로비저닝
+ 동기화된 다음 IAM Identity Center에서 삭제된 Okta의 사용자 또는 그룹을 변경하려는 경우 Okta 콘솔에서 다음 오류 메시지를 받을 수 있습니다.
+ 사용자 *Jane Doe*를 앱으로 자동 프로필 푸시 AWS IAM Identity Center 실패: *jane\$1doe@example.com*에 대한 프로필 업데이트를 푸시하는 동안 오류 발생: *xxxxx-xxxxxx-xxxxx-xxxxxxx* 사용자에 대해 반환된 사용자가 없음
+ 연결된 그룹이 누락되었습니다 AWS IAM Identity Center. 연결된 그룹을 변경하여 그룹 멤버십 푸시를 재개합니다.
+ 동기화 및 삭제된 IAM Identity Center 사용자 또는 그룹에 대한 Okta의 시스템 로그에서 다음 오류 메시지를 받을 수도 있습니다.
+ Okta 오류: Eventfailed application.provision.user.push\$1profile : 사용자에 대해 반환된 사용자가 없음 *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Okta 오류: application.provision.group\$1push.mapping.update.or.delete.failed.with.error : 연결된 그룹이 누락되었습니다 AWS IAM Identity Center. 연결된 그룹을 변경하여 그룹 멤버십 푸시를 재개합니다.
**주의**
SCIM을 사용하여 Okta와 IAM Identity Center와 동기화한 경우 IAM Identity Center가 아닌 Okta에서 사용자 및 그룹을 삭제해야 합니다.
**삭제된 IAM Identity Center 사용자 문제 해결**
삭제된 IAM Identity Center 사용자와 관련된 이 문제를 해결하려면 사용자를 Okta에서 삭제해야 합니다. 필요한 경우 이러한 사용자도 Okta에서 다시 생성해야 합니다. 사용자가 Okta에서 다시 생성되면 SCIM을 통해 IAM Identity Center로 다시 프로비저닝됩니다. 사용자 삭제에 대한 자세한 내용은 [Okta설명서](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)를 참조하세요.
**참고**
IAM Identity Center에 대한 Okta 사용자의 액세스 권한을 제거해야 하는 경우 먼저 그룹 푸시에서 제거한 다음 Okta에서 할당 그룹에서 제거해야 합니다. 이렇게 하면 사용자가 IAM Identity Center의 연결된 그룹 멤버십에서 제거됩니다. 그룹 푸시 문제 해결에 대한 자세한 내용은 [Okta설명서](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)를 참조하세요.
**삭제된 IAM Identity Center 그룹 문제 해결**
삭제된 IAM Identity Center 그룹에서 이 문제를 해결하려면 Okta에서 그룹을 삭제해야 합니다. 필요한 경우 그룹 푸시를 사용하여 Okta에서 이러한 그룹을 다시 생성해야 합니다. Okta에서 사용자를 다시 생성하면 SCIM을 통해 IAM Identity Center로 다시 프로비저닝됩니다. 그룹 삭제에 대한 자세한 내용은 [Okta 설명서](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)를 참조하세요.
### Okta의 자동 프로비저닝 오류
Okta의 오류가 발생하면 다음을 수행하세요.
사용자 Jane Doe의 앱 자동 프로비저닝 AWS IAM Identity Center 실패: 일치하는 사용자를 찾을 수 없음
자세한 정보는 [Okta설명서](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US)를 참조하세요.
### 추가 리소스
+ 일반 SCIM 문제 해결 팁은 [IAM Identity Center 문제 해결](troubleshooting.md) 섹션을 참조하세요.
다음 리소스는 작업 시 문제를 해결하는 데 도움이 될 수 있습니다. AWS
+ [AWS re:Post](https://repost.aws/)–문제를 해결할 때 도움이 되는 FAQ와 기타 리소스 링크를 찾을 수 있습니다.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)-기술 지원 받기
# OneLogin 및 IAM Identity Center 간에 SCIM 프로비저닝 설정
IAM Identity Center는 도메인 간 ID 관리 시스템(SCIM) v2.0 프로토콜을 사용하여 OneLogin의 사용자 및 그룹 정보를 IAM Identity Center로 자동 프로비저닝(동기화)할 수 있도록 지원합니다. 자세한 내용은 [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md) 단원을 참조하십시오.
**참고**
OneLogin는 현재 AWS IAM Identity Center 애플리케이션에서 SAML 다중 어설션 소비 서비스(ACS) URLs을 지원하지 않습니다. IAM Identity Center에서 [다중 리전 지원을](multi-region-iam-identity-center.md) 완전히 활용하려면이 SAML 기능이 필요합니다. IAM Identity Center를 추가 리전에 복제하려는 경우 단일 ACS URL을 사용하면 해당 추가 리전의 사용자 경험에 영향을 미칠 수 있습니다. 기본 리전은 계속 정상적으로 작동합니다. 이 기능을 활성화하려면 IdP 공급업체와 협력하는 것이 좋습니다. 단일 ACS URL을 사용하는 추가 리전의 사용자 경험에 대한 자세한 내용은 [여러 ACS URLs 없이 AWS 관리형 애플리케이션 사용](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) 및 섹션을 참조하세요[AWS 계정 여러 ACS URLs 없이 복원력에 액세스](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
IAM Identity Center의 SCIM 엔드포인트와 IAM Identity Center에서 자동으로 생성한 베어러 토큰을 사용하여 OneLogin에서 이 연결을 구성합니다. SCIM 동기화를 구성할 때 OneLogin의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 OneLogin 간에 예상 속성이 일치하게 됩니다.
다음 단계는 SCIM 프로토콜을 사용하여 OneLogin에서 IAM Identity Center으로 사용자 및 그룹을 자동으로 프로비저닝하도록 활성화하는 방법을 안내합니다.
**참고**
SCIM 배포를 시작하기 전에 먼저 [자동 프로비저닝을 사용할 때 고려 사항](provision-automatically.md#auto-provisioning-considerations)를 검토하는 것이 좋습니다.
**Topics**
+ [사전 조건](#onelogin-prereqs)
+ [1단계: IAM Identity Center 프로비저닝 활성화](#onelogin-step1)
+ [2단계: OneLogin에서 프로비저닝 구성](#onelogin-step2)
+ [(선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 OneLogin 사용자 속성 구성](#onelogin-step3)
+ [(선택 사항) 액세스 제어에 속성 전달](#onelogin-passing-abac)
+ [문제 해결](#onelogin-troubleshooting)
## 사전 조건
시작하기 전에 다음을 준비해야 합니다.
+ OneLogin 계정. 기존 계정이 없는 경우 [OneLogin웹사이트에서](https://www.onelogin.com/free-trial) 무료 평가판 또는 개발자 계정을 얻을 수 있습니다.
+ IAM Identity Center 활성화 계정([무료](https://aws.amazon.com/single-sign-on/)). 자세한 내용은 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)를 참조하세요.
+ OneLogin 계정에서 IAM Identity Center로 SAML 연결을 수행합니다. 자세한 내용은 AWS Partner Network Blog에서 [OneLogin 및 AWS간의 Single Sign-On 활성화](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)를 참조하세요.
## 1단계: IAM Identity Center 프로비저닝 활성화
이 첫 번째 단계에서는 IAM Identity Center 콘솔을 사용하여 자동 프로비저닝을 활성화합니다.
**IAM Identity Center에서 자동 프로비저닝을 활성화하려면**
1. 사전 필수 조건을 완료한 후 [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 SCIM 엔드포인트와 액세스 토큰을 복사합니다. 나중에 IdP에서 프로비저닝을 구성할 때 이를 붙여넣어야 합니다.
1. **SCIM 엔드포인트**-예: https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에 이 값을 입력하여 IdP에서 자동 프로비저닝을 구성할 수 있습니다.
1. **닫기**를 선택하세요.
이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했습니다. 이제 다음 절차에 설명된 대로 OneLogin 관리 콘솔을 사용하여 나머지 작업을 수행해야 합니다.
## 2단계: OneLogin에서 프로비저닝 구성
OneLogin 관리 콘솔에서 다음 절차를 사용하여 IAM Identity Center와 IAM Identity Center 앱 간의 통합을 활성화합니다. 이 절차에서는 SAML 인증을 OneLogin 위해에서 AWS Single Sign-On 애플리케이션을 이미 구성했다고 가정합니다. 이 SAML 연결을 아직 생성하지 않은 경우 이를 먼저 생성한 다음 여기로 돌아와 SCIM 프로비저닝 프로세스를 완료합니다. OneLogin로 SAML을 구성하는 것에 대한 자세한 내용은 AWS Partner Network Blog에서 [OneLogin 및 AWS간의 Single Sign-On 활성화](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)를 참조하세요.
**OneLogin에서 프로비저닝을 구성하려면**
1. OneLogin에 로그인한 다음 **애플리케이션 > 애플리케이션**으로 이동합니다.
1. **애플리케이션** 페이지에서 이전에 생성한 애플리케이션을 검색하여 IAM Identity Center와 SAML 연결을 구성합니다. 선택한 다음 탐색 창에서 **구성**을 선택합니다.
1. 이전 절차에서 IAM Identity Center에서 **SCIM 엔드포인트** 값을 복사했습니다. 해당 값을 OneLogin의 **SCIM 기본 URL** 필드에 붙여넣습니다. 또한 이전 절차에서 IAM Identity Center에서 **액세스 토큰** 값을 복사했습니다. 해당 값을 OneLogin의 **SCIM 베어러 토큰** 필드에 붙여넣습니다.
1. **API 연결** 옆의 **활성화**를 클릭한 다음 **저장**을 클릭하여 구성을 완료합니다.
1. 탐색 창에서 **Provisioning**(프로비저닝)을 선택합니다.
1. **프로비저닝 활성화**, **사용자 생성**, **사용자 삭제** 및 **사용자 업데이트** 체크박스를 선택한 다음 **저장**을 선택합니다.
1. 탐색 창에서 **사용자**를 선택합니다.
1. **추가 작업**을 클릭하고 **로그인 동기화**를 선택합니다. * AWS Single Sign-On(SSO)로 사용자 동기화 중*이라는 메시지가 표시되어야 합니다.
1. **추가 작업**을 다시 클릭한 다음 **권한 매핑 재적용**을 선택합니다. *매핑이 재적용되는 중*이라는 메시지가 표시되어야 합니다.
1. 이제 프로비저닝 프로세스가 시작되어야 합니다. 이를 확인하려면 **활동 > 이벤트**로 이동하여 진행 상황을 모니터링합니다. 성공적인 프로비저닝 이벤트와 오류는 이벤트 스트림에 나타나야 합니다.
1. 사용자 및 그룹이 IAM Identity Center와 모두 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가서 **사용자**를 선택합니다. OneLogin로부터 동기화된 사용자는 **사용자** 페이지에 표시됩니다. **그룹** 페이지에서도 동기화된 그룹을 볼 수 있습니다.
1. 사용자 변경 내용을 IAM Identity Center에 자동으로 동기화하려면 **프로비저닝** 페이지로 이동하여 **이 작업을 수행하기 전에 관리자 승인 필요** 섹션을 찾아 **사용자 생성**, **사용자 삭제** 및/또는 **사용자 업데이트** 선택을 취소하고 **저장**을 클릭합니다.
## (선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 OneLogin 사용자 속성 구성
이는 IAM Identity Center에서 AWS 리소스에 대한 액세스를 관리하는 데 사용할 속성을 구성하도록 선택한 OneLogin 경우의 선택적 절차입니다. OneLogin에서 정의한 속성은 SAML 어설션을 통해 IAM Identity Center에 전달됩니다. 그런 다음 OneLogin로부터 전달한 속성을 기반으로 액세스를 관리하기 위해 IAM Identity Center에서 권한 세트를 생성해야 합니다.
이 절차를 시작하기 전에 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 활성화해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 [액세스 제어를 위한 속성 활성화 및 구성](configure-abac.md) 단원을 참조하세요.
**IAM Identity Center에서 액세스 제어에 사용되는 OneLogin 사용자 속성을 구성하려면**
1. OneLogin에 로그인한 다음 **애플리케이션 > 애플리케이션**으로 이동합니다.
1. **애플리케이션** 페이지에서 이전에 생성한 애플리케이션을 검색하여 IAM Identity Center와 SAML 연결을 구성합니다. 선택한 다음 탐색 창에서 **파라미터**를 선택합니다.
1. **필수 파라미터** 섹션에서 IAM Identity Center에서 사용하려는 각 속성에 대해 다음을 수행합니다.
1. **\$1**를 선택합니다.
1. **필드 이름**에서 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`를 입력하고, IAM Identity Center에서 예상하는 속성 이름 **AttributeName**로 교체합니다. 예를 들어 `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`입니다.
1. **플래그**에서 **SAML 어설션에 포함** 옆의 체크박스를 선택하고 **저장**을 선택합니다.
1. **값** 필드에서 드롭다운 목록을 사용하여 OneLogin 사용자 속성을 선택합니다. 예를 들어 **부서**입니다.
1. **저장**을 선택합니다.
## (선택 사항) 액세스 제어에 속성 전달
IAM Identity Center의 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 사용하여 `Name` 속성이 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`로 설정된 `Attribute` 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
속성을 세션 태그로 전달하려면 태그 값을 지정하는 `AttributeValue` 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 `CostCenter = blue`를 전달하려면 다음 속성을 사용합니다.
```
blue
```
여러 속성을 추가해야 하는 경우 각 태그마다 별도의 `Attribute` 요소를 포함합니다.
## 문제 해결
다음은 OneLogin로 자동 프로비저닝을 설정하는 동안 발생할 수 있는 몇 가지 일반적인 문제를 해결하는 데 도움이 될 수 있습니다.
**IAM Identity Center에 프로비저닝되지 않는 그룹**
기본적으로 그룹은 OneLogin에서 IAM Identity Center로 프로비저닝할 수 없습니다. OneLogin에서 IAM Identity Center 애플리케이션에 대한 그룹 프로비저닝을 활성화했는지 확인합니다. 이렇게 하려면 OneLogin 관리 콘솔에 로그인하고 IAM Identity Center 애플리케이션(**IAM Identity Center 애플리케이션 > 파라미터 > 그룹**)의 속성에서 **사용자 프로비저닝에 포함** 옵션이 선택되어 있는지 확인합니다. SCIM에서 OneLogin 역할을 그룹으로 동기화하는 방법을 포함하여 OneLogin에서 그룹을 생성하는 방법에 대한 자세한 내용은 [OneLogin웹사이트](https://onelogin.service-now.com/support)를 참조하세요.
**모든 설정이 정확함에도 불구하고 OneLogin에서 IAM Identity Center로 아무 것도 동기화되지 않음**
관리자 승인과 관련된 위의 참고 사항 외에도 많은 구성 변경 사항을 적용하려면 **권한 매핑을 재적용**해야 합니다. 이는 **애플리케이션 > 애플리케이션 > IAM Identity Center 애플리케이션 > 추가 작업**에서 찾을 수 있습니다. **활동 > 이벤트**에서 동기화 이벤트를 비롯한 OneLogin의 대부분 작업에 대한 세부 정보와 로그를 볼 수 있습니다.
**OneLogin에서 그룹을 삭제하거나 비활성화했지만 여전히 IAM Identity Center에 표시됨**
현재 OneLogin는 그룹에 대한 SCIM DELETE 작업을 지원하지 않습니다. 즉, 그룹은 IAM Identity Center에 계속 존재합니다. 따라서 IAM Identity Center에서 해당 그룹에 대한 해당 권한이 모두 제거되도록 하려면 IAM Identity Center에서 그룹을 직접 제거해야 합니다.
**OneLogin에서 먼저 삭제하지 않고 IAM Identity Center에서 그룹을 삭제했는데, 이제 사용자/그룹 동기화 문제가 발생함**
이 상황을 해결하려면 먼저 OneLogin에 중복된 그룹 프로비저닝 규칙 또는 구성이 없는지 확인합니다. 예를 들어, 동일한 그룹에 게시하는 규칙과 함께 애플리케이션에 직접 할당된 그룹이 여기에 해당합니다. 다음으로, IAM Identity Center에서 원하지 않는 그룹을 모두 삭제합니다. 마지막으로 OneLogin에서 권한(**IAM Identity Center 앱 > 프로비저닝 > 사용 권한)을 **새로 고침**하고 ** **권한 매핑을 재적용(IAM Identity Center 앱 > 추가 작업)**합니다. 나중에 이 문제가 발생하지 않도록 하려면 먼저 OneLogin에서 그룹 프로비저닝을 중지하도록 변경한 다음 IAM Identity Center에서 그룹을 삭제합니다.
# IAM Identity Center에서 Ping Identity 제품 사용
다음 Ping Identity 제품은 IAM Identity Center에서 테스트되었습니다.
**Topics**
+ [PingFederate](pingfederate-idp.md)
+ [PingOne](pingone-idp.md)
# PingFederate
IAM Identity Center는 Ping Identity의 PingFederate 제품(이하 “Ping”)에서 IAM Identity Center로 들어오는 사용자 및 그룹 정보의 자동 프로비저닝(동기화)을 지원합니다. 이 프로비저닝은 도메인 간 ID 관리 시스템(SCIM) v2.0 프로토콜을 사용합니다. 자세한 내용은 [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md) 단원을 참조하십시오.
IAM Identity Center SCIM 엔드포인트와 액세스 토큰을 사용하여 PingFederate에서 이 연결을 구성합니다. SCIM 동기화를 구성할 때 PingFederate의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 PingFederate 간에 예상 속성이 일치하게 됩니다.
이 가이드는 PingFederate 버전 10.2를 기반으로 합니다. 이외 버전의 단계는 다를 수 있습니다. PingFederate의 이외 버전에 대한 IAM Identity Center 프로비저닝 구성 방법의 자세한 내용은 Ping에 문의하세요.
다음 단계는 SCIM 프로토콜을 사용하여 PingFederate에서 IAM Identity Center으로 사용자 및 그룹을 자동으로 프로비저닝하도록 활성화하는 방법을 안내합니다.
**참고**
SCIM 배포를 시작하기 전에 먼저 [자동 프로비저닝을 사용할 때 고려 사항](provision-automatically.md#auto-provisioning-considerations)를 검토하는 것이 좋습니다. 그 후, 다음 섹션에서 추가 고려 사항을 계속 검토합니다.
**Topics**
+ [사전 조건](#pingfederate-prereqs)
+ [고려 사항](#pingfederate-considerations)
+ [1단계: IAM Identity Center 프로비저닝 활성화](#pingfederate-step1)
+ [2단계: PingFederate에서 프로비저닝 구성](#pingfederate-step2)
+ [(선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 PingFederate의 사용자 속성 구성](#pingfederate-step3)
+ [(선택 사항) 액세스 제어에 속성 전달](#pingfederate-passing-abac)
+ [문제 해결](#pingfederate-troubleshooting)
## 사전 조건
시작하기 전에 다음을 준비해야 합니다.
+ 작동 중인 PingFederate 서버. 기존 PingFederate 서버가 없는 경우 [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.) 웹사이트에서 무료 평가판 또는 개발자 계정을 얻을 수 있습니다. 평가판에는 라이선스, 소프트웨어 다운로드 및 관련 문서가 포함됩니다.
+ PingFederate 서버에 설치된 PingFederate IAM Identity Center 커넥터 소프트웨어 사본. 이 소프트웨어를 구하는 방법에 대한 자세한 내용은 Ping Identity 웹사이트의 [IAM Identity Center 커넥터](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/)를 참조하세요.
+ IAM Identity Center 활성화 계정([무료](https://aws.amazon.com/single-sign-on/)). 자세한 내용은 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)를 참조하세요.
+ PingFederate 인스턴스에서 IAM Identity Center로 SAML 연결을 수행합니다. 이 연결을 구성하는 방법에 대한 지침은 PingFederate 설명서를 참조하세요. 요약하면, 권장 경로는 IAM Identity Center 커넥터를 사용하여 PingFederate에 “브라우저 SSO”를 구성하고, 양쪽 끝의 “다운로드” 및 “가져오기” 메타데이터 기능을 사용하여 PingFederate 및 IAM Identity Center 간에 SAML 메타데이터를 교환하는 것입니다.
+ IAM Identity Center를 추가 리전에 복제한 경우 AWS 관리형 애플리케이션 및 해당 리전 AWS 계정 에서 액세스할 수 있도록 ID 제공업체 구성을 업데이트해야 합니다. 자세한 내용은 [3단계: 외부 IdP 설정 업데이트](replicate-to-additional-region.md#update-external-idp-setup) 섹션을 참조하세요. 자세한 내용은 PingFederate 설명서를 참조하세요.
## 고려 사항
다음은 IAM Identity Center를 사용하여 프로비저닝을 구현하는 방법에 영향을 미칠 수 있는 PingFederate에 대한 중요한 고려 사항입니다.
+ PingFederate에서 구성된 데이터 스토어의 사용자로부터 (전화번호와 같은) 속성을 제거해도 IAM Identity Center의 해당 사용자에서는 해당 속성이 제거되지 않습니다. 이는 PingFederate’s 프로비저닝 구현의 알려진 문제입니다. 사용자의 속성이 비어 있지 않은 다른 값으로 변경하면 해당 변경 내용이 IAM Identity Center에 동기화됩니다.
## 1단계: IAM Identity Center 프로비저닝 활성화
이 첫 번째 단계에서는 IAM Identity Center 콘솔을 사용하여 자동 프로비저닝을 활성화합니다.
**IAM Identity Center에서 자동 프로비저닝을 활성화하려면**
1. 사전 필수 조건을 완료한 후 [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 SCIM 엔드포인트와 액세스 토큰을 복사합니다. 나중에 IdP에서 프로비저닝을 구성할 때 이를 붙여넣어야 합니다.
1. **SCIM 엔드포인트**-예: https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에 이 값을 입력하여 IdP에서 자동 프로비저닝을 구성할 수 있습니다.
1. **닫기**를 선택하세요.
이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했으므로 PingFederate 관리 콘솔을 사용하여 나머지 작업을 완료해야 합니다. 단계는 다음 절차에 설명되어 있습니다.
## 2단계: PingFederate에서 프로비저닝 구성
PingFederate 관리 콘솔에서 다음 절차를 사용하여 IAM Identity Center와 IAM Identity Center 커넥터 간의 통합을 활성화합니다. 이 절차에서는 IAM Identity Center 커넥터 소프트웨어를 이미 설치했다고 가정합니다. 아직 이를 수행하지 않은 경우 [사전 조건](#pingfederate-prereqs)를 참조하고 이 절차를 완료하여 SCIM 프로비저닝을 구성합니다.
**중요**
PingFederate 서버가 이전에 아웃바운드 SCIM 프로비저닝용으로 구성되지 않은 경우, 프로비저닝을 활성화하려면 구성 파일을 변경해야 할 수 있습니다. 자세한 내용은 Ping 설명서를 참조하세요. 요약하면, **pingfederate-/pingfederate/bin/run.properties** 파일의 `pf.provisioner.mode` 설정을 `OFF`(기본값)이 아닌 다른 값으로 수정하고 현재 실행 중인 경우 서버를 다시 시작해야 합니다. 예를 들어, 현재 PingFederate와 고가용성 구성을 사용하지 않는 경우 `STANDALONE`를 사용하도록 선택할 수 있습니다.
**PingFederate에서 프로비저닝을 구성하려면**
1. PingFederate 관리 콘솔에 로그인합니다.
1. 페이지 상단에서 **애플리케이션**을 선택한 다음 **SP 연결**을 클릭합니다.
1. IAM Identity Center와 SAML 연결을 구성하기 위해 이전에 생성한 애플리케이션을 찾아 연결 이름을 클릭합니다.
1. 페이지 상단 근처의 어두운 탐색 제목에서 **연결 유형**을 선택합니다. 이전 SAML 구성에서 이미 선택된 **브라우저 SSO**가 보일 것입니다. 그렇지 않은 경우, 계속하기 위해 먼저 해당 단계를 완료해야 합니다.
1. **아웃바운드 프로비저닝** 체크박스를 선택하고 유형으로 **IAM Identity Center 클라우드 커넥터**를 선택한 다음 **저장**을 클릭합니다. **IAM Identity Center 클라우드 커넥터**가 옵션으로 표시되지 않는 경우 IAM Identity Center 커넥터를 설치하고 PingFederate 서버를 다시 시작했는지 확인합니다.
1. **아웃바운드 프로비저닝** 페이지가 표시될 때까지 **다음**을 반복해서 클릭한 후 **프로비저닝 구성** 버튼을 클릭합니다.
1. 이전 절차에서 IAM Identity Center에서 **SCIM 엔드포인트** 값을 복사했습니다. 해당 값을 PingFederate 콘솔의 **SCIM URL** 필드에 붙여넣습니다. 또한 이전 절차에서 IAM Identity Center에서 **액세스 토큰** 값을 복사했습니다. 해당 값을 PingFederate 콘솔의 **액세스 토큰** 필드에 붙여넣습니다. **저장**을 클릭합니다.
1. **채널 구성** 페이지에서 **생성**을 클릭합니다.
1. 해당 새 프로비저닝 채널의 **채널 이름** (예: **AWSIAMIdentityCenterchannel**)을 입력하고 **다음**을 클릭합니다.
1. **소스**페이지에서 IAM Identity Center 연결에 사용할 **활성 데이터 스토어**를 선택하고 **다음**을 클릭합니다.
**참고**
데이터 소스를 아직 구성하지 않았다면 지금 구성해야 합니다. PingFederate에서 데이터 소스를 선택하고 구성하는 방법에 대한 자세한 내용은 Ping 제품 설명서를 참조하세요.
1. **소스 설정** 페이지에서 모든 값이 설치에 일치하는지 확인한 후 **다음**을 클릭합니다.
1. **소스 위치** 페이지에서 데이터 소스에 적합한 설정을 입력하고 **다음**을 클릭합니다. 예를 들어 Active Directory를 LDAP 디렉터리로 사용하는 경우:
1. AD 포리스트(예: **DC=myforest,DC=mydomain,DC=com**)의 **기본 DN**을 입력합니다.
1. **사용자 > 그룹 DN**에서 IAM Identity Center에 프로비저닝하려는 모든 사용자를 포함하는 단일 그룹을 지정합니다. 그러한 단일 그룹이 없는 경우 AD에서 해당 그룹을 생성하고 이 설정으로 돌아간 다음 해당 DN을 입력합니다.
1. 하위 그룹을 검색할지 여부(**중첩 검색**)와 필요한 LDAP **필터**를 지정합니다.
1. **그룹 > 그룹 DN**에서 IAM Identity Center에 프로비저닝하려는 모든 그룹을 포함하는 단일 그룹을 지정합니다. 대부분의 경우 이 DN은 **사용자** 섹션에서 지정한 것과 동일한 DN일 수 있습니다. 필요에 따라 **중첩 검색** 및 **필터** 값을 입력합니다.
1. **속성 매핑** 페이지에서 다음을 확인한 후 **다음**을 클릭합니다.
1. **사용자 이름** 필드는 이메일(user@domain.com) 형식의 **속성**에 매핑되어야 합니다. 또한 사용자가 Ping에 로그인할 때 사용할 값과 일치해야 합니다. 이 값은 연동 인증 중에 SAML `nameId` 클레임에 차례로 채워지고 IAM Identity Center에서 사용자와 매칭하는 데 사용됩니다. 예를 들어 Active Directory를 사용하는 경우 `UserPrincipalName`를 **userName**으로 지정할 수 있습니다.
1. **\$1** 접미사가 붙은 다른 필드는 사용자의 null이 아닌 속성에 매핑되어야 합니다.
1. **활성화 및 요약** 페이지에서 **채널 상태**를 **활성**으로 설정하여 구성을 저장한 후 즉시 동기화가 시작되도록 합니다.
1. 페이지의 모든 구성 값이 올바른지 확인하고 **완료**를 클릭합니다.
1. **채널 관리** 페이지에서 **저장**을 클릭합니다.
1. 이제 프로비저닝이 시작됩니다. 기본적으로 PingFederate 서버의 **pingfederate-/pingfederate/log** 디렉터리에 있는 **provisioner.log** 파일을 보면 활동을 확인할 수 있습니다.
1. 사용자 및 그룹이 IAM Identity Center와 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가서 **사용자**를 선택합니다. PingFederate로부터 동기화된 사용자는 **사용자** 페이지에 표시됩니다. **그룹** 페이지에서도 동기화된 그룹을 볼 수 있습니다.
## (선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 PingFederate의 사용자 속성 구성
이는 IAM Identity Center에서 AWS 리소스에 대한 액세스를 관리하는 데 사용할 속성을 구성하도록 선택한 PingFederate 경우의 선택적 절차입니다. PingFederate에서 정의한 속성은 SAML 어설션을 통해 IAM Identity Center에 전달됩니다. 그런 다음 PingFederate로부터 전달한 속성을 기반으로 액세스를 관리하기 위해 IAM Identity Center에서 권한 세트를 생성해야 합니다.
이 절차를 시작하기 전에 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 활성화해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 [액세스 제어를 위한 속성 활성화 및 구성](configure-abac.md) 단원을 참조하세요.
**IAM Identity Center에서 액세스 제어에 사용되는 PingFederate 사용자 속성을 구성하려면**
1. PingFederate 관리 콘솔에 로그인합니다.
1. 페이지 상단에서 **애플리케이션**을 선택한 다음 **SP 연결**을 클릭합니다.
1. IAM Identity Center와 SAML 연결을 구성하기 위해 이전에 생성한 애플리케이션을 찾아 연결 이름을 클릭합니다.
1. 페이지 상단 근처의 어두운 탐색 제목에서 **브라우저 SSO**를 선택합니다. 그런 다음 **브라우저 SSO 구성**을 클릭합니다.
1. **브라우저 SSO 구성** 페이지에서 **어설션 생성**을 선택한 다음 **어설션 생성 구성**을 클릭합니다.
1. **어설션 생성 구성** 페이지에서 **속성 계약**을 선택합니다.
1. **속성 계약** 페이지의 **계약 확장** 섹션에서 다음 단계를 수행하여 새 속성을 추가합니다.
1. 텍스트 박스에 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`를 입력하고, IAM Identity Center에서 예상하는 속성 이름으로 **AttributeName**를 교체합니다. 예를 들어 `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`입니다.
1. **속성 이름 형식**에서 **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**을 선택합니다.
1. **추가**를 선택한 후 **다음**을 선택합니다.
1. **인증 소스 매핑** 페이지에서 애플리케이션으로 구성된 어댑터 인스턴스를 선택합니다.
1. **속성 계약 이행** 페이지에서 **속성 계약** `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`의 **소스**(*데이터 스토어*)와 **값**(*데이터 스토어 속성*)을 선택합니다.
**참고**
데이터 소스를 아직 구성하지 않았다면 지금 구성해야 합니다. PingFederate에서 데이터 소스를 선택하고 구성하는 방법에 대한 자세한 내용은 Ping 제품 설명서를 참조하세요.
1. **활성화 및 요약** 페이지가 표시될 때까지 **다음**을 반복해서 클릭한 다음 **저장**을 클릭합니다.
## (선택 사항) 액세스 제어에 속성 전달
IAM Identity Center의 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 사용하여 `Name` 속성이 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`로 설정된 `Attribute` 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
속성을 세션 태그로 전달하려면 태그 값을 지정하는 `AttributeValue` 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 `CostCenter = blue`를 전달하려면 다음 속성을 사용합니다.
```
blue
```
여러 속성을 추가해야 하는 경우 각 태그마다 별도의 `Attribute` 요소를 포함합니다.
## 문제 해결
PingFederate를 사용한 일반적인 SCIM 및 SAML 문제 해결은 다음 섹션을 참조하세요.
+ [특정 사용자가 외부 SCIM 공급자로부터 IAM Identity Center로 동기화하지 못함](troubleshooting.md#issue2)
+ [IAM Identity Center에서 생성된 SAML 어설션 콘텐츠 관련 문제](troubleshooting.md#issue1)
+ [외부 ID 제공업체에서 사용자 또는 그룹을 프로비저닝할 때의 중복 사용자 또는 그룹 오류](troubleshooting.md#duplicate-user-group-idp)
+ PingFederate에 대한 자세한 내용은 [PingFederate 설명서](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html)를 참조하세요.
다음 리소스는 작업 시 문제를 해결하는 데 도움이 될 수 있습니다. AWS
+ [AWS re:Post](https://repost.aws/)–문제를 해결할 때 도움이 되는 FAQ와 기타 리소스 링크를 찾을 수 있습니다.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)-기술 지원 받기
# PingOne
IAM Identity Center는 Ping Identity의 PingOne 제품(이하 “Ping”)에서 IAM Identity Center로 들어오는 사용자 정보의 자동 프로비저닝(동기화)을 지원합니다. 이 프로비저닝은 도메인 간 ID 관리 시스템(SCIM) v2.0 프로토콜을 사용합니다. IAM Identity Center SCIM 엔드포인트와 액세스 토큰을 사용하여 PingOne에서 이 연결을 구성합니다. SCIM 동기화를 구성할 때 PingOne의 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 PingOne 간에 예상 속성이 일치하게 됩니다.
다음 단계는 SCIM 프로토콜을 사용하여 PingOne에서 IAM Identity Center으로 사용자를 자동으로 프로비저닝하도록 활성화하는 방법을 안내합니다.
**참고**
SCIM 배포를 시작하기 전에 먼저 [자동 프로비저닝을 사용할 때 고려 사항](provision-automatically.md#auto-provisioning-considerations)를 검토하는 것이 좋습니다. 그 후, 다음 섹션에서 추가 고려 사항을 계속 검토합니다.
**Topics**
+ [사전 조건](#pingone-prereqs)
+ [고려 사항](#pingone-considerations)
+ [1단계: IAM Identity Center 프로비저닝 활성화](#pingone-step1)
+ [2단계: PingOne에서 프로비저닝 구성](#pingone-step2)
+ [(선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 PingOne 사용자 속성 구성](#pingone-step3)
+ [(선택 사항) 액세스 제어에 속성 전달](#pingone-passing-abac)
+ [문제 해결](#pingone-troubleshooting)
## 사전 조건
시작하기 전에 다음을 준비해야 합니다.
+ 페더레이션 인증 및 프로비저닝 기능이 모두 포함된 PingOne 구독 또는 무료 평가판 무료 평가판 사용 방법에 대한 자세한 내용은 [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html) 웹사이트를 참조하세요.
+ IAM Identity Center 활성화 계정([무료](https://aws.amazon.com/single-sign-on/)). 자세한 내용은 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)를 참조하세요.
+ PingOne IAM Identity Center 애플리케이션이 PingOne 관리 포털에 추가되었습니다. PingOne IAM Identity Center 애플리케이션은 PingOne 애플리케이션 카탈로그에서 구할 수 있습니다. 기본 정보는 Ping Identity 웹 사이트의 [애플리케이션 카탈로그에서 애플리케이션 추가](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html)를 참조하세요.
+ PingOne 인스턴스에서 IAM Identity Center로 SAML 연결을 수행합니다. PingOne IAM Identity Center 애플리케이션을 PingOne 관리 포털에 추가한 후에는 이 애플리케이션을 사용하여 PingOne 인스턴스에서 IAM Identity Center로의 SAML 연결을 구성해야 합니다. 양쪽 끝의 “다운로드” 및 “가져오기” 메타데이터 기능을 사용하여 PingOne 및 IAM Identity Center 간에 SAML 메타데이터를 교환할 수 있습니다. 이 연결을 구성하는 방법에 대한 지침은 PingOne 설명서를 참조하세요.
+ IAM Identity Center를 추가 리전에 복제한 경우 AWS 관리형 애플리케이션 및 해당 리전 AWS 계정 에서 액세스할 수 있도록 ID 제공업체 구성을 업데이트해야 합니다. 자세한 내용은 [3단계: 외부 IdP 설정 업데이트](replicate-to-additional-region.md#update-external-idp-setup) 섹션을 참조하세요. 자세한 내용은 PingOne 설명서를 참조하세요.
## 고려 사항
다음은 IAM Identity Center를 사용하여 프로비저닝을 구현하는 방법에 영향을 미칠 수 있는 PingOne에 대한 중요한 고려 사항입니다.
+ PingOne은 SCIM을 통한 그룹 프로비저닝을 지원하지 않습니다. Ping의 SCIM 그룹 지원에 대한 최신 정보는 PingOne로 문의하세요.
+ 사용자는 PingOne 관리 포털에서 프로비저닝을 비활성화한 이후에도 PingOne로부터 계속 프로비저닝을 받을 수 있습니다. 프로비저닝을 즉시 종료해야 하는 경우 관련 SCIM 베어러 토큰을 삭제하거나 IAM Identity Center에서 [SCIM을 사용하여 외부 ID 제공업체의 사용자 및 그룹 프로비저닝](provision-automatically.md)를 비활성화합니다.
+ 사용자 속성이 PingOne에서 구성된 데이터 스토어로부터 제거되어도, IAM Identity Center의 해당 사용자에서는 해당 속성이 제거되지 않습니다. 이는 PingOne’s 프로비저닝 구현의 알려진 문제입니다. 속성이 수정되면 변경 내용이 IAM Identity Center에 동기화됩니다.
+ 다음은 PingOne의 SAML 구성과 관련된 중요 참고 사항입니다.
+ IAM Identity Center는 `NameId` 형식으로만 `emailaddress`를 지원합니다. 즉, PingOne의 **SAML\$1SUBJECT** 매핑을 위해 PingOne 디렉토리 내에서 고유하고 null이 아닌 이메일/UPN(예: user@domain.com) 형식의 사용자 속성을 선택해야 합니다. **이메일(직장)**은 PingOne 내장형 디렉터리로 테스트 구성에 사용하기에 적합한 값입니다.
+ PingOne에서 **\$1** 문자가 포함된 이메일 주소를 사용하는 사용자는 `'SAML_215'` 또는 `'Invalid input'` 등의 오류가 발생하여 IAM Identity Center에 로그인하지 못할 수 있습니다. 이 문제를 해결하려면 PingOne에서 **속성 매핑**의 **SAML\$1SUBJECT** 매핑에 대한 **고급** 옵션을 선택합니다. 그런 다음 드롭다운 메뉴에서 **SP 로 전송할 이름의 ID 형식:**을 **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**로 설정합니다.
## 1단계: IAM Identity Center 프로비저닝 활성화
이 첫 번째 단계에서는 IAM Identity Center 콘솔을 사용하여 자동 프로비저닝을 활성화합니다.
**IAM Identity Center에서 자동 프로비저닝을 활성화하려면**
1. 사전 필수 조건을 완료한 후 [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 SCIM 엔드포인트와 액세스 토큰을 복사합니다. 나중에 IdP에서 프로비저닝을 구성할 때 이를 붙여넣어야 합니다.
1. **SCIM 엔드포인트**-예: https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에 이 값을 입력하여 IdP에서 자동 프로비저닝을 구성할 수 있습니다.
1. **닫기**를 선택하세요.
이제 IAM Identity Center 콘솔에서 프로비저닝을 설정했으므로 PingOne IAM Identity Center 애플리케이션을 사용하여 나머지 작업을 완료해야 합니다. 다음 절차에서 이 단계를 설명합니다.
## 2단계: PingOne에서 프로비저닝 구성
PingOne IAM Identity Center 애플리케이션의 다음 절차를 사용하여 IAM Identity Center를 통한 프로비저닝을 활성화합니다. 이 절차에서는 PingOne 관리 포털에 PingOne IAM Identity Center 애플리케이션을 이미 추가했다고 가정합니다. 아직 이를 수행하지 않은 경우 [사전 조건](#pingone-prereqs)를 참조하고 이 절차를 완료하여 SCIM 프로비저닝을 구성합니다.
**PingOne에서 프로비저닝을 구성하려면**
1. PingOne(**애플리케이션** > **내 애플리케이션**)의 SAML을 구성하는 과정에서 설치된 PingOne IAM Identity Center 애플리케이션을 엽니다. [사전 조건](#pingone-prereqs) 단원을 참조하세요.
1. 페이지 하단으로 스크롤합니다. **사용자 프로비저닝**에서 링크 **완료**를 선택하여 연결의 사용자 프로비저닝 구성으로 이동합니다.
1. **프로비전 지침** 페이지에서 **다음 단계로 계속**을 선택합니다.
1. 이전 절차에서 IAM Identity Center에서 **SCIM 엔드포인트** 값을 복사했습니다. 해당 값을 PingOne IAM Identity Center 애플리케이션의 **SCIM URL** 필드에 붙여넣습니다. 또한 이전 절차에서 IAM Identity Center에서 **액세스 토큰** 값을 복사했습니다. 해당 값을 PingOne IAM Identity Center 애플리케이션의 **ACCESS\$1TOKEN** 필드에 붙여넣습니다.
1. **REMOVE\$1ACTION**의 경우 **비활성화** 또는 **삭제**를 선택합니다(자세한 내용은 페이지의 설명 텍스트 참조).
1. **속성 매핑** 페이지에서 이 페이지 앞부분 [고려 사항](#pingone-considerations) 지침에 따라 **SAML\$1SUBJECT**(`NameId`) 어설션에 사용할 값을 선택합니다. 그런 뒤 **다음 단계로 계속**을 선택합니다.
1. **PingOne앱 사용자 지정 - IAM Identity Center** 페이지에서 원하는 대로 사용자 지정을 변경(선택 사항)하고 **다음 단계로 계속**을 클릭합니다.
1. **그룹 액세스** 페이지에서 IAM Identity Center에 프로비저닝 및 Single Sign-on을 활성화하려는 사용자가 포함된 그룹을 선택합니다. **다음 단계로 계속**을 선택합니다.
1. 페이지 하단으로 스크롤하고 **완료**를 선택하여 프로비저닝을 시작합니다.
1. 사용자가 IAM Identity Center와 성공적으로 동기화되었는지 확인하려면 IAM Identity Center 콘솔로 돌아가서 **사용자**를 선택합니다. PingOne로부터 동기화된 사용자는 **사용자** 페이지에 표시됩니다. 이제 이러한 사용자를 IAM Identity Center 내에서 계정 및 애플리케이션에 할당할 수 있습니다.
단, PingOne는 SCIM을 통한 그룹 또는 그룹 구성원 프로비저닝은 지원하지 않습니다. 자세한 정보는 Ping에 문의하세요.
## (선택 사항) 3단계: IAM Identity Center에서 액세스 제어에 사용되는 PingOne 사용자 속성 구성
이는 AWS 리소스에 대한 액세스를 관리하기 위해 IAM Identity Center의 속성을 구성하도록 선택한 PingOne 경우의 선택적 절차입니다. PingOne에서 정의한 속성은 SAML 어설션을 통해 IAM Identity Center에 전달됩니다. 그런 다음 PingOne로부터 전달한 속성을 기반으로 액세스를 관리하기 위해 IAM Identity Center에서 권한 세트를 생성해야 합니다.
이 절차를 시작하기 전에 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 활성화해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 [액세스 제어를 위한 속성 활성화 및 구성](configure-abac.md) 단원을 참조하세요.
**IAM Identity Center에서 액세스 제어에 사용되는 PingOne 사용자 속성을 구성하려면**
1. PingOne(**애플리케이션 > 내 애플리케이션**)의 SAML을 구성하는 과정에서 설치된 PingOne IAM Identity Center 애플리케이션을 엽니다.
1. **편집**을 선택한 다음 **속성 매핑** 페이지가 표시될 때까지 **다음 단계로 계속** 을 선택합니다.
1. **속성 매핑** 페이지에서 **새 속성 추가**를 선택하고 다음을 수행합니다. 액세스 제어를 위해 IAM Identity Center에서 추가하여 사용할 각 속성에 대해 다음 단계를 수행해야 합니다.
1. **애플리케이션 속성** 필드에 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`를 입력합니다. IAM Identity Center에서 *AttributeName*을 예상하는 속성의 이름으로 바꿉니다. 예를 들어 `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`입니다.
1. **Identity Bridge Attribute 또는 Literal Value** 필드에서 PingOne 디렉터리의 사용자 속성을 선택합니다. 예제로 **이메일(직장)**.
1. **다음**을 몇 번 선택한 후 **완료**를 선택합니다.
## (선택 사항) 액세스 제어에 속성 전달
IAM Identity Center의 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 기능을 사용하여 `Name` 속성이 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`로 설정된 `Attribute` 요소를 전달하도록 선택할 수 있습니다. 이 요소를 사용하면 속성을 SAML 어설션에 세션 태그로 전달할 수 있습니다. 세션 태그에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
속성을 세션 태그로 전달하려면 태그 값을 지정하는 `AttributeValue` 요소를 포함합니다. 예를 들어, 태그 키-값 쌍 `CostCenter = blue`를 전달하려면 다음 속성을 사용합니다.
```
blue
```
여러 속성을 추가해야 하는 경우 각 태그마다 별도의 `Attribute` 요소를 포함합니다.
## 문제 해결
PingOne를 사용한 일반적인 SCIM 및 SAML 문제 해결은 다음 섹션을 참조하세요.
+ [특정 사용자가 외부 SCIM 공급자로부터 IAM Identity Center로 동기화하지 못함](troubleshooting.md#issue2)
+ [IAM Identity Center에서 생성된 SAML 어설션 콘텐츠 관련 문제](troubleshooting.md#issue1)
+ [외부 ID 제공업체에서 사용자 또는 그룹을 프로비저닝할 때의 중복 사용자 또는 그룹 오류](troubleshooting.md#duplicate-user-group-idp)
+ PingOne에 대한 자세한 내용은 [PingOne 설명서](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html)를 참조하세요.
다음 리소스는 작업 시 문제를 해결하는 데 도움이 될 수 있습니다. AWS
+ [AWS re:Post](https://repost.aws/)–문제를 해결할 때 도움이 되는 FAQ와 기타 리소스 링크를 찾을 수 있습니다.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)-기술 지원 받기
# 기본 IAM Identity Center 디렉터리를 사용하여 사용자 액세스를 구성합니다.
IAM Identity Center를 처음 활성화하면 기본 ID 소스로 Identity Center 디렉터리가 자동으로 구성되므로 ID 소스를 선택할 필요가 없습니다. 조직에서 Microsoft Active Directory, Microsoft Entra ID 또는 Okta 등과 같은 다른 ID 제공업체를 사용하는 경우 기본 구성을 사용하는 대신 해당 ID 소스를 IAM Identity Center와 통합하는 것을 고려해 보세요.
**목표**
이 자습서에서는 기본 디렉터리를 ID 소스로 사용하고 IAM Identity Center 조직 인스턴스를 사용하여 관리 사용자를 설정하고 테스트합니다. 이 관리 사용자는 사용자 및 그룹을 생성 및 관리하고 권한 세트를 사용하여 AWS 액세스 권한을 부여합니다. 다음 단계에서는 다음을 생성합니다.
+ *Nikki Wolf*라는 관리 사용자
+ *Admin team*이라는 그룹
+ *AdminAccess*라는 권한 세트
모든 사항이 올바르게 생성되었는지 확인하려면 로그인하고 관리 사용자의 암호를 설정합니다. 이 자습서를 완료한 후에는 관리 사용자를 사용하여 IAM Identity Center에 사용자를 추가하고, 추가 권한 세트를 생성하고, 애플리케이션에 대한 조직 액세스를 설정할 수 있습니다. 또는 사용자에게 애플리케이션에 대한 액세스 권한을 부여하려는 경우 이 절차의 [1단계](#gs-qs-step1)를 진행하여 [애플리케이션 액세스를 구성](manage-your-applications.md)할 수 있습니다.
## 사전 조건
이 자습서를 완료하려면 다음과 같은 사전 조건이 필요합니다.
+ [IAM Identity Center 활성화](enable-identity-center.md)를 활성화하고 [IAM Identity Center의 조직 인스턴스](organization-instances-identity-center.md)를 확보합니다.
+ IAM Identity Center의 [계정 인스턴스](account-instances-identity-center.md)를 보유하고 있는 경우 사용자 및 그룹을 생성하고 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다. 자세한 내용은 [애플리케이션 액세스](manage-your-applications.md)를 참조하세요.
+ 에 로그인 AWS Management Console 하고 IAM Identity Center 콘솔에 다음과 같이 액세스합니다.
+ **신규 사용자 AWS (루트 사용자)** - **AWS 계정 루트 사용자를** 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자로 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.
+ **이미 사용 중 AWS (IAM 자격 증명)** - 관리 권한이 있는 IAM 자격 증명을 사용하여 로그인합니다.
+ 에 로그인하는 방법에 대한 자세한 내용은 가이드를 AWS Management Console참조하세요. [AWS Sign-In](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ IAM Identity Center 사용자에 대해 다중 인증을 구성할 수 있습니다. 자세한 내용은 [IAM Identity Center에서 MFA 구성](mfa-configure.md) 단원을 참조하십시오.
## 1단계: 사용자 추가
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. IAM Identity Center 콘솔의 탐색 창에서 **사용자**를 선택하고 **사용자 추가**를 선택합니다.
1. **사용자 세부 정보 지정** 페이지에서 다음 정보를 입력합니다.
+ **사용자 이름** - 이 자습서에서는 *nikkiw*를 입력합니다.
사용자를 생성할 때는 기억하기 쉬운 사용자 이름을 선택하세요. 사용자가 AWS 액세스 포털에 로그인하려면 사용자 이름을 기억해야 하며 나중에 변경할 수 없습니다.
+ **암호** - **이 사용자에게 암호 설정 지침이 포함된 이메일 보내기(권장)**를 선택합니다.
이 옵션을 선택하면 Amazon Web Services에서 사용자에게 **IAM Identity Center 가입 초대**라는 제목의 이메일을 발송합니다. 이메일은 `no-reply@signin.aws` 또는 `no-reply@login.awsapps.com` 중 하나에서 발송됩니다. 승인된 발신자 목록에 이 이메일 주소를 추가합니다.
+ **이메일 주소** - 이메일을 받을 수 있는 사용자의 이메일 주소를 입력합니다. 그런 다음 주소를 다시 입력하여 확인합니다. 각 사용자의 이메일 주소는 고유해야 합니다.
+ **이름** - 사용자의 이름을 입력합니다. 이 자습서에서는 *Nikki*를 입력합니다.
+ **성** - 사용자의 성을 입력합니다. 이 자습서에서는 *Wolf*를 입력합니다.
+ **표시 이름** - 기본값은 사용자의 이름과 성입니다. 표시 이름을 변경하려면 다른 이름을 입력할 수 있습니다. 표시 이름은 로그인 포털 및 사용자 목록에서 표시됩니다.
+ 원하는 경우 선택 사항인 정보를 입력합니다. 이 자습서에서는 사용되지 않으며 나중에 변경할 수 있습니다.
1. **다음**을 선택합니다. **그룹에 사용자 추가** 페이지가 표시됩니다. *Nikki*에게 관리 권한을 직접 부여하는 대신 관리 권한을 할당할 그룹을 만들겠습니다.
**그룹 생성**을 선택합니다.
새 브라우저 탭이 열리고 **그룹 생성** 페이지가 표시됩니다.
1. **그룹 세부 정보**의 **그룹 이름**에 그룹 이름을 입력합니다. 그룹의 역할을 식별할 수 있는 그룹 이름을 사용하는 것이 좋습니다. 이 자습서에서는 *Admin team*을 입력합니다.
1. **그룹 생성**을 선택합니다.
1. **그룹** 브라우저 탭을 닫고 **사용자 추가** 브라우저 탭으로 돌아갑니다.
1. **그룹** 영역에서 **새로 고침** 버튼을 선택합니다. *Admin team* 그룹이 목록에 표시됩니다.
*Admin team* 옆에 있는 확인란을 선택하고 **다음**을 선택합니다.
1. **검토 및 사용자 추가** 페이지에서 다음을 확인합니다.
+ 기본 정보가 의도한 대로 표시됨
+ 그룹에서 생성한 그룹에 추가된 사용자가 표시됨
변경하려면 **편집**을 선택합니다 모든 세부 정보가 정확하면 **사용자 추가**를 선택합니다.
사용자가 추가되었다는 알림 메시지가 표시됩니다.
다음으로 *Nikki*가 리소스에 액세스할 수 있도록 *Admin team* 그룹에 관리 권한을 추가합니다.
## 2단계: 관리 권한 추가
**중요**
[IAM Identity Center의 조직 인스턴스](identity-center-instances.md)를 활성화한 경우에만 다음 단계를 진행합니다.
1. IAM Identity Center 탐색 창의 **다중 계정 권한**에서 **AWS 계정**을 선택합니다.
1. **AWS 계정** 페이지의 **조직 구조**에는 조직이 표시되고 계층 구조에 따라 그 아래에 사용자 계정이 표시됩니다. 관리 계정의 확인란을 선택한 다음 **사용자 또는 그룹 할당**을 선택합니다.
1. **사용자 및 그룹 할당** 워크플로가 표시됩니다. 워크플로는 세 단계로 구성됩니다.
1. **1단계: 사용자 및 그룹 선택**에서 생성한 *Admin team* 그룹을 선택합니다. 그리고 **다음**을 선택합니다.
1. **2단계: 권한 세트 선택**에서 **권한 세트 생성**을 선택하여 권한 세트 생성과 관련된 3가지 하위 단계를 안내하는 새 탭이 열립니다.
1. **1단계: 권한 세트 유형 선택**에서 다음을 완료합니다.
+ **권한 세트 유형**에서 **사전 정의된 권한 세트**를 선택합니다.
+ **사전 정의된 권한 세트 정책** 섹션에서 **AdministratorAccess**를 선택합니다.
**다음**을 선택합니다.
1. **2단계: 권한 세트 세부 정보 지정** 페이지에서 기본 설정을 유지하고 **다음**을 선택합니다.
기본 설정에서는 세션 지속 시간이 1시간으로 설정된 *AdministratorAccess*라는 권한 세트를 생성합니다. **권한 세트 이름** 필드에 새 이름을 입력하여 권한 세트의 이름을 변경할 수 있습니다.
1. **3단계: 검토 및 생성**에서 **권한 세트 유형이** AWS 관리형 정책 **AdministratorAccess**를 사용하는지 확인합니다. **생성(Create)**을 선택합니다. **권한 세트** 페이지에 권한 세트가 생성되었음을 알리는 알림이 표시됩니다. 이제 웹 브라우저에서 이 탭을 닫을 수 있습니다.
**사용자 및 그룹 할당** 브라우저 탭에서 권한 세트 생성 워크플로를 시작한 **2단계: 권한 세트 선택**에 여전히 있습니다.
**권한 세트** 영역에서 **새로 고침** 버튼을 선택합니다. 생성한 *AdministratorAccess* 권한 세트가 목록에 표시됩니다. 권한 세트의 체크박스를 선택하고 **다음**을 누릅니다.
1. **3단계: 할당 검토 및 제출** 페이지에서 *Admin team* 그룹이 선택되어 있고 *AdministratorAccess* 권한 세트가 선택되어 있는지 확인한 다음 **제출**을 선택합니다.
페이지는 구성 AWS 계정 중인 메시지로 업데이트됩니다. 프로세스가 완료될 때까지 기다립니다.
AWS 계정 페이지로 돌아갑니다. 알림 메시지는가 재프로비저닝되었고 업데이트된 권한 세트 AWS 계정 가 적용되었음을 알려줍니다.
**축하합니다\$1**
첫 번째 사용자, 그룹 및 권한 세트를 성공적으로 설정했습니다.
이 자습서의 다음 부분에서는 관리 자격 증명으로 액세스 포털에 로그인하고 암호를 설정하여 *Nikki의* AWS 액세스를 테스트합니다. 이제 콘솔에서 로그아웃합니다.
## 3단계: 사용자 액세스 테스트
*Nikki Wolf*가 조직의 사용자이므로 로그인하고 권한 세트에 따라 권한이 부여된 리소스에 액세스할 수 있습니다. 사용자가 올바르게 구성되었는지 확인하기 위해 다음 단계에서는 *Nikki*의 보안 인증 정보를 사용하여 로그인하고 암호를 설정합니다. 1단계에서 사용자 *Nikki Wolf*를 추가했을 때 *Nikki*가 암호 설정 안내 이메일을 받도록 선택했습니다. 이제 이메일을 열고 다음을 수행합니다.
1. 이메일에서 **초대 수락** 링크를 선택하여 초대를 수락합니다.
**참고**
이메일에는 *Nikki*의 사용자 이름과 조직에 로그인하는 데 사용할 AWS 액세스 포털 URL도 포함되어 있습니다. 나중에 사용할 수 있도록 이 정보를 기록합니다.
**새 사용자 가입** 페이지로 이동하면 *Nikki*의 암호를 설정하고 [MFA 디바이스를 등록](enable-mfa.md)할 수 있습니다.
1. *Nikki*의 암호를 설정하고 나면 **로그인** 페이지로 이동합니다. *nikkiw*를 입력하고 **다음**을 선택한 다음 *Nikki*의 암호를 입력하고 **로그인**을 선택합니다.
1. AWS 액세스 포털이 열리고 액세스할 수 있는 조직과 애플리케이션이 표시됩니다.
조직을 선택하여 목록으로 확장한 AWS 계정 다음 계정을 선택하여 계정의 리소스에 액세스하는 데 사용할 수 있는 역할을 표시합니다.
각 권한 세트에 대해 **역할** 또는 **액세스 키**의 두 가지 관리 방법을 사용할 수 있습니다.
+ **역할**, 예: *AdministratorAccess*- AWS Console Home를 엽니다.
+ **액세스 키** - AWS CLI 또는 및 AWS SDK와 함께 사용할 수 있는 자격 증명을 제공합니다. 자동으로 갱신되는 단기 보안 인증 정보 또는 단기 액세스 키 사용에 관한 정보가 포함됩니다. 자세한 내용은 [AWS CLI AWS SDKs에 대한 IAM Identity Center 사용자 자격 증명 가져오기](howtogetcredentials.md) 단원을 참조하십시오.
1. **역할** 링크를 선택하여 AWS Console Home에 로그인합니다.
로그인하고 AWS Console Home 페이지로 이동합니다. 콘솔을 탐색하여 예상대로 액세스 권한이 있는지 확인합니다.
## 다음 단계
이제 IAM Identity Center에서 관리 사용자를 생성했으므로 다음 작업을 수행할 수 있습니다.
+ [애플리케이션 할당](manage-your-applications.md)
+ [다른 사용자 추가](addusers.md)
+ [계정에 사용자 할당](assignusers.md)
+ [추가 권한 세트 구성](howtocreatepermissionset.md)
**참고**
동일한 사용자에게 여러 권한 세트를 할당할 수 있습니다. 최소 권한 적용 모범 사례를 따르려면 관리자를 생성한 후 보다 제한적인 권한 세트를 생성하여 동일한 사용자에게 할당하세요. 이렇게 하면 관리 권한이 아닌 필요한 권한 AWS 계정 으로만에 액세스할 수 있습니다.
사용자가 계정 활성화 [ 초대를 수락](howtoactivateaccount.md)하고 AWS 액세스 포털에 로그인한 후 포털에 표시되는 유일한 항목은 할당된 AWS 계정, 역할 및 애플리케이션에 대한 항목입니다.
## 자습서 비디오
추가 리소스로 다음 비디오 자습서를 사용하여 외부 ID 제공업체 설정에 대해 자세히 알아볼 수 있습니다.
+ [에서 외부 자격 증명 공급자 간 마이그레이션 AWS IAM Identity Center](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [기존 AWS IAM Identity Center 인스턴스를와 연동 Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)