기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
클라이언트에서 Single Sign-On - SAML 2.0 기반 페더레이션 인증 VPN
AWS Client VPN 는 클라이언트 VPN 엔드포인트에 대해 Security Assertion Markup Language 2.0(SAML 2.0)을 사용한 자격 증명 페더레이션을 지원합니다. SAML 2.0을 지원하는 자격 증명 공급자(IdPs)를 사용하여 중앙 집중식 사용자 자격 증명을 생성할 수 있습니다. 그런 다음 SAML기반 페더레이션 인증을 사용하도록 클라이언트 VPN 엔드포인트를 구성하고 IdP와 연결할 수 있습니다. 그런 다음 사용자는 중앙 집중식 자격 증명을 사용하여 클라이언트 VPN 엔드포인트에 연결합니다.
인증 워크플로
다음 다이어그램은 SAML기반 페더레이션 인증을 사용하는 클라이언트 VPN 엔드포인트의 인증 워크플로에 대한 개요를 제공합니다. 클라이언트 VPN 엔드포인트를 생성하고 구성할 때 IAM SAML 자격 증명 공급자를 지정합니다.
사용자는 디바이스에서 AWS 제공된 클라이언트를 열고 클라이언트 VPN 엔드포인트에 대한 연결을 시작합니다.
-
클라이언트 VPN 엔드포인트는 IAM SAML 자격 증명 공급자에 제공된 정보를 기반으로 IdP URL 및 인증 요청을 클라이언트로 다시 보냅니다.
-
AWS 제공된 클라이언트가 사용자 디바이스에서 새 브라우저 창을 엽니다. 브라우저가 IdP에 요청하고 로그인 페이지를 표시합니다.
-
사용자가 로그인 페이지에 자격 증명을 입력하면 IdP가 서명된 어SAML설션을 클라이언트로 다시 보냅니다.
-
AWS 제공된 클라이언트는 클라이언트 VPN 엔드포인트로 어SAML설션을 전송합니다.
-
클라이언트 VPN 엔드포인트는 어설션을 검증하고 사용자에 대한 액세스를 허용하거나 거부합니다.
SAML기반 페더레이션 인증에 대한 요구 사항 및 고려 사항
다음은 SAML기반 페더레이션 인증에 대한 요구 사항 및 고려 사항입니다.
-
SAML기반 IdP에서 사용자 및 그룹을 구성하기 위한 할당량 및 규칙은 섹션을 참조하세요사용자 및 그룹 할당량.
-
어SAML설션과 SAML 문서에 서명해야 합니다.
-
AWS Client VPN 는 SAML어설션에서 “AudienceRestriction” 및 “NotBefore 및 NotOnOrAfter” 조건만 지원합니다.
-
지원되는 SAML 응답의 최대 크기는 128KB입니다.
-
AWS Client VPN 는 서명된 인증 요청을 제공하지 않습니다.
-
SAML 단일 로그아웃은 지원되지 않습니다. 사용자는 AWS 제공된 클라이언트에서 연결을 해제하여 로그아웃하거나 연결을 종료할 수 있습니다.
-
클라이언트 VPN 엔드포인트는 단일 IdP만 지원합니다.
-
다중 인증(MFA)은 IdP에서 활성화된 경우 지원됩니다.
-
사용자는 AWS 제공된 클라이언트를 사용하여 클라이언트 VPN 엔드포인트에 연결해야 합니다. 버전은 1.2.0 이상을 사용해야 합니다. 자세한 내용은 AWS 제공된 클라이언트를 사용하여 연결을 참조하세요.
-
IdP 인증을 지원하는 브라우저로는 Apple Safari, Google Chrome, Microsoft Edge, Mozilla Firefox 등이 있습니다.
-
AWS 제공된 클라이언트는 SAML 응답을 위해 사용자의 디바이스에 TCP 포트 35001을 예약합니다.
-
IAM SAML 자격 증명 공급자의 메타데이터 문서가 잘못되었거나 악의적인 로 업데이트되면 사용자에게 인증 문제가 발생하거나 피싱 공격이 발생할 URL수 있습니다. 따라서 AWS CloudTrail 를 사용하여 IAM SAML 자격 증명 공급자에 대한 업데이트를 모니터링하는 것이 좋습니다. 자세한 내용은 IAM 사용 설명서의 로깅 IAM 및 AWS STS 를 사용한 호출 AWS CloudTrail을 참조하세요.
-
AWS Client VPN 는 HTTP리디렉션 바인딩을 통해 IdP에 AuthN 요청을 보냅니다. 따라서 IdP는 HTTP 리디렉션 바인딩을 지원해야 하며 IdP의 메타데이터 문서에 있어야 합니다.
-
SAML 어설션의 경우
NameID속성에 이메일 주소 형식을 사용해야 합니다.
SAML기반 IdP 구성 리소스
다음 표에는에서 사용하기 위해 테스트 IdPs 한 SAML기반 AWS Client VPN과 IdP를 구성하는 데 도움이 될 수 있는 리소스가 나열되어 있습니다.
| IdP | 리소스 |
|---|---|
| Okta | 를 사용하여 AWS Client VPN 사용자 인증 SAML |
| Microsoft Entra ID(이전 Azure Active Directory) | 자세한 내용은 Microsoft 설명서 웹 사이트의 자습서: Microsoft Entra Single Sign-On(SSO)과 AWS 클라이언트 통합VPN |
| JumpCloud | 와 통합 AWS Client VPN |
| AWS IAM Identity Center | 인증 및 권한 부여 AWS Client VPN 를 위해에서 IAM Identity Center 사용 |
앱 생성을 위한 서비스 공급자 정보
위 표에 나열되지 않은 IdP를 사용하여 SAML기반 앱을 생성하려면 다음 정보를 사용하여 AWS Client VPN 서비스 공급자 정보를 구성합니다.
-
Assertion Consumer Service(ACS) URL:
http://127.0.0.1:35001 -
대상 URI:
urn:amazon:webservices:clientvpn
IdP의 SAML 응답에 하나 이상의 속성을 포함해야 합니다. 다음은 속성 예시입니다.
| 속성 | 설명 |
|---|---|
FirstName |
사용자의 이름입니다. |
LastName |
사용자의 성입니다. |
memberOf |
사용자가 속한 그룹입니다. |
참고
Active Directory 또는 SAML IdP 그룹 기반 권한 부여 규칙을 사용하려면 memberOf 속성이 필요합니다. 속성은 대/소문자를 구분하며 지정된 대로 정확하게 구성해야 합니다. 자세한 내용은 네트워크 기반 권한 부여 및 AWS Client VPN 권한 부여 규칙 섹션을 참조하세요.
셀프 서비스 포털에 대한 지원
클라이언트 VPN 엔드포인트에 대한 셀프 서비스 포털을 활성화하면 사용자는 SAML자신의 기반 IdP 자격 증명을 사용하여 포털에 로그인합니다.
IdP가 여러 Assertion Consumer Service(ACS)를 지원하는 경우 앱ACSURL에 다음을 URLs추가합니다.
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
GovCloud 리전에서 클라이언트 VPN 엔드포인트를 사용하는 경우 ACS URL 대신 다음을 사용합니다. 동일한 IDP 앱을 사용하여 표준 및 GovCloud 리전 모두에 대해 인증하는 경우 둘 다 추가할 수 있습니다URLs.
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
IdP가 여러 ACS를 지원하지 않는 경우 다음을 URLs수행합니다.
-
IdP에서 추가 SAML기반 앱을 생성하고 다음을 지정합니다ACSURL.
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml -
연동 메타데이터 문서를 생성하고 다운로드합니다.
-
클라이언트 VPN 엔드포인트와 동일한 AWS 계정에 IAM SAML 자격 증명 공급자를 생성합니다. 자세한 내용은 IAM 사용 설명서의 IAM SAML 자격 증명 공급자 생성을 참조하세요.
참고
기본 앱에 대해 생성한 자격 IAM SAML 증명 공급자 외에이 자격 증명 공급자를 생성합니다. 클라이언트에서 Single Sign-On - SAML 2.0 기반 페더레이션 인증 VPN
-
클라이언트 VPN 엔드포인트를 생성하고 생성한 두 IAM SAML 자격 증명 공급자를 모두 지정합니다.
