기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
클라이언트에서의 싱글 사인온 (Single Sign-On) — SAML 2.0 기반 페더레이션 인증 — VPN
AWS Client VPN 클라이언트 엔드포인트에 대한 보안 어설션 마크업 언어 2.0 (SAML2.0) 과의 ID 페더레이션을 지원합니다. VPN SAML2.0을 지원하는 ID 공급자 (IdPs) 를 사용하여 중앙 집중식 사용자 ID를 생성할 수 있습니다. 그런 다음 SAML 기반 페더레이션 인증을 사용하도록 클라이언트 VPN 엔드포인트를 구성하고 이를 IdP와 연결할 수 있습니다. 그러면 사용자는 중앙 집중식 자격 증명을 사용하여 클라이언트 VPN 엔드포인트에 연결합니다.
인증 워크플로
다음 다이어그램은 SAML 기반 페더레이션 인증을 사용하는 클라이언트 VPN 엔드포인트의 인증 워크플로에 대한 개요를 제공합니다. 클라이언트 VPN 엔드포인트를 생성하고 구성할 때 IAM SAML ID 제공자를 지정합니다.
사용자가 장치에서 AWS 제공된 클라이언트를 열고 클라이언트 VPN 엔드포인트에 대한 연결을 시작합니다.
-
클라이언트 VPN 엔드포인트는 IAM SAML ID 제공자에 제공된 정보를 기반으로 IdP URL 및 인증 요청을 클라이언트에 다시 보냅니다.
-
AWS 제공된 클라이언트는 사용자 디바이스에서 새 브라우저 창을 엽니다. 브라우저가 IdP에 요청하고 로그인 페이지를 표시합니다.
-
사용자가 로그인 페이지에 자격 증명을 입력하면 IdP는 서명된 SAML 어설션을 클라이언트에 다시 보냅니다.
-
AWS 제공된 클라이언트가 클라이언트 엔드포인트에 SAML 어설션을 전송합니다. VPN
-
클라이언트 VPN 엔드포인트는 어설션의 유효성을 검사하고 사용자에 대한 액세스를 허용하거나 거부합니다.
기반 페더레이션 인증의 요구 사항 및 고려 사항 SAML
다음은 SAML 기반 페더레이션 인증의 요구 사항 및 고려 사항입니다.
-
기반 SAML IdP에서 사용자 및 그룹을 구성하기 위한 할당량 및 규칙은 을 참조하십시오. 사용자 및 그룹 할당량
-
SAML어설션과 SAML 문서에 서명해야 합니다.
-
AWS Client VPN 어설션의 "AudienceRestriction" 및 "NotBefore 및 NotOnOrAfter" 조건만 지원합니다. SAML
-
지원되는 최대 SAML 응답 크기는 128KB입니다.
-
AWS Client VPN 서명된 인증 요청을 제공하지 않습니다.
-
SAML단일 로그아웃은 지원되지 않습니다. 사용자는 AWS 제공된 클라이언트와의 연결을 끊어 로그아웃하거나 연결을 종료할 수 있습니다.
-
클라이언트 VPN 엔드포인트는 단일 IdP만 지원합니다.
-
다단계 인증 (MFA) 은 IdP에서 활성화된 경우 지원됩니다.
-
사용자는 AWS 제공된 클라이언트를 사용하여 클라이언트 엔드포인트에 연결해야 합니다. VPN 버전은 1.2.0 이상을 사용해야 합니다. 자세한 내용은 AWS 제공된 클라이언트를 사용한 Connect를 참조하십시오.
-
IdP 인증을 지원하는 브라우저로는 Apple Safari, Google Chrome, Microsoft Edge, Mozilla Firefox 등이 있습니다.
-
AWS 제공된 클라이언트는 응답을 위해 사용자 장치의 TCP 포트 35001을 예약합니다. SAML
-
IAMSAMLID 제공자의 메타데이터 문서가 부정확하거나 악의적인 URL 것으로 업데이트되면 사용자에게 인증 문제가 발생하거나 피싱 공격이 발생할 수 있습니다. 따라서 IAM SAML ID 제공자에 대한 업데이트를 모니터링하는 AWS CloudTrail 데 사용하는 것이 좋습니다. 자세한 내용은 IAM사용 설명서의 로깅 IAM 및 AWS STS 통화를 AWS CloudTrail 참조하십시오.
-
AWS Client VPN 리디렉션 바인딩을 통해 AuthN 요청을 IdP에 보냅니다. HTTP 따라서 IdP는 HTTP 리디렉션 바인딩을 지원해야 하며 IdP의 메타데이터 문서에 있어야 합니다.
-
SAML어설션의 경우 속성에 이메일 주소 형식을 사용해야 합니다.
NameID
SAML기반 IdP 구성 리소스
다음 표에는 사용 테스트를 거친 SAML IdPs 기반과 IdP AWS Client VPN구성에 도움이 되는 리소스가 나열되어 있습니다.
| IdP | 리소스 |
|---|---|
| Okta | 다음을 사용하여 사용자를 인증하십시오. AWS Client VPN SAML |
| Microsoft Azure Active Directory | 자세한 내용은 Microsoft 설명서 웹 사이트의 자습서: Azure Active Directory 싱글 사인온 (SSO) AWS VPN 클라이언트와의 통합을 |
| JumpCloud | 싱글 사인온 () 을 사용하여 SSO AWS Client VPN |
| AWS IAM Identity Center | 인증 및 권한 AWS Client VPN 부여에 IAM ID 센터 사용 |
앱 생성을 위한 서비스 공급자 정보
위 표에 나열되지 않은 IdP를 사용하여 SAML 기반 앱을 만들려면 다음 정보를 사용하여 AWS Client VPN 서비스 공급자 정보를 구성하십시오.
-
어설션 컨슈머 서비스 (): ACS URL
http://127.0.0.1:35001 -
시청자: URI
urn:amazon:webservices:clientvpn
IdP의 SAML 응답에는 하나 이상의 속성이 포함되어야 합니다. 다음은 속성 예시입니다.
| 속성 | 설명 |
|---|---|
FirstName |
사용자의 이름입니다. |
LastName |
사용자의 성입니다. |
memberOf |
사용자가 속한 그룹입니다. |
참고
이 memberOf 속성은 Active Directory 또는 SAML IdP 그룹 기반 권한 부여 규칙을 사용하는 데 필요합니다. 속성은 대/소문자를 구분하며 지정된 대로 정확하게 구성해야 합니다. 자세한 내용은 네트워크 기반 권한 부여 및 AWS Client VPN 권한 부여 규칙 섹션을 참조하세요.
셀프 서비스 포털에 대한 지원
클라이언트 VPN 엔드포인트에 대한 셀프 서비스 포털을 활성화하면 사용자가 SAML 기반 IdP 자격 증명을 사용하여 포털에 로그인합니다.
IdP가 다중 어설션 소비자 서비스 (ACS) URLs 를 지원하는 경우 앱에 다음을 ACS URL 추가하세요.
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
GovCloud 리전에서 클라이언트 VPN 엔드포인트를 사용하는 경우 다음을 대신 사용하십시오. ACS URL 동일한 IDP 앱을 사용하여 표준 인증과 GovCloud 지역 인증을 모두 수행하는 경우 둘 다 추가할 수 있습니다. URLs
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
IdP가 복수를 지원하지 않는 ACS URLs 경우 다음을 수행하십시오.
-
IdP에서 추가 SAML 기반 앱을 만들고 다음을 지정합니다. ACS URL
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml -
연동 메타데이터 문서를 생성하고 다운로드합니다.
-
클라이언트 VPN 엔드포인트와 동일한 AWS 계정에 IAM SAML ID 공급자를 생성합니다. 자세한 내용은 IAM사용 설명서의 IAMSAMLID 제공자 생성을 참조하십시오.
-
클라이언트 VPN 엔드포인트를 생성하고 생성한 두 IAM SAML ID 제공자를 모두 지정합니다.
