SAML 2.0 구성 및 WorkSpaces 풀 디렉터리 생성 - Amazon WorkSpaces
1단계: 요구 사항 고려2단계: 사전 조건 완료3단계:에서 SAML 자격 증명 공급자 생성 IAM4단계: WorkSpace 풀 디렉터리 생성5단계: SAML 2.0 페더레이션 IAM 역할 생성6단계: SAML 2.0 자격 증명 공급자 구성7단계: SAML 인증 응답에 대한 어설션 생성8단계: 페더레이션의 릴레이 상태 구성9단계: WorkSpace 풀 디렉터리에서 SAML 2.0과의 통합 활성화문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SAML 2.0 구성 및 WorkSpaces 풀 디렉터리 생성

2.0을 사용하여 자격 증명 연동을 설정하여 WorkSpaces 풀 WorkSpaces 에서 WorkSpaces 클라이언트 애플리케이션 등록 및 SAML에 로그인을 활성화할 수 있습니다. 이렇게 하려면 AWS Identity and Access Management (IAM) 역할과 릴레이 상태를 사용하여 SAML 2.0 자격 증명 공급자(IdP)를 URL 구성하고 활성화합니다 AWS. 이렇게 하면 페더레이션 사용자에게 WorkSpace 풀 디렉터리에 대한 액세스 권한이 부여됩니다. 릴레이 상태는 사용자가 성공적으로 로그인한 후 전달되는 WorkSpaces 디렉터리 엔드포인트입니다 AWS.

중요

WorkSpaces 풀은 IP 기반 SAML 2.0 구성을 지원하지 않습니다.

주제

1단계: 요구 사항 고려

WorkSpaces 풀 디렉터리SAML를 설정할 때 다음 요구 사항이 적용됩니다.

  • Workspaces_DefaultRole IAM 역할은 AWS 계정에 있어야 합니다. 이 역할은 WorkSpaces 빠른 설정을 사용하거나 이전에를 WorkSpace 사용하여를 시작한 경우 자동으로 생성됩니다 AWS Management Console. Amazon에 사용자를 대신하여 특정 AWS 리소스에 액세스할 수 있는 권한을 부여합니다 WorkSpaces. 역할이 이미 있는 경우 Amazon이 AmazonWorkSpacesPoolServiceAccess WorkSpaces 풀 AWS 계정의 필수 리소스에 액세스하는 데 WorkSpaces 사용하는 관리형 정책을 연결해야 할 수 있습니다. 자세한 내용은 Workspaces_DefaultRole Role 생성AWS 관리형 정책: AmazonWorkSpacesPoolServiceAccess 단원을 참조하세요.

  • 기능을 AWS 리전 지원하는 SAML의 WorkSpaces 풀에 대해 2.0 인증을 구성할 수 있습니다. 자세한 내용은 AWS 리전 및 WorkSpaces 풀의 가용 영역 단원을 참조하십시오.

  • 에서 SAML 2.0 인증을 사용하려면 IdP WorkSpaces가 딥 링크 대상 리소스 또는 릴레이 상태 엔드포인트 SSO 로 시작되는 원치 않는 IdP를 지원해야 합니다URL. 이를 IdPs 지원하는의 예로는 ADFS, Azure AD, Duo Single Sign-On, Okta PingFederate및 등이 있습니다 PingOne. 자세한 내용은 IdP 설명서를 참조하세요.

  • SAML 2.0 인증은 다음 WorkSpaces 클라이언트에서만 지원됩니다. 최신 WorkSpaces 클라이언트는 Amazon WorkSpaces Client 다운로드 페이지를 참조하세요.

    • Windows 클라이언트 애플리케이션 버전 5.20.0 이상

    • macOS 클라이언트 버전 5.20.0 이상

    • 웹 액세스

2단계: 사전 조건 완료

WorkSpaces 풀 디렉터리에 SAML 대한 2.0 IdP 연결을 구성하기 전에 다음 사전 조건을 완료합니다.

  • IdP를 구성하여 와 신뢰 관계를 설정합니다 AWS

  • AWS 페더레이션 구성에 대한 자세한 내용은 타사 SAML 솔루션 공급자를와 통합 AWS을 참조하세요. 관련 예로는에 액세스IAM하기 위한 IdP 통합이 있습니다 AWS Management Console.

  • IdP를 사용하여 조직을 IdP로 설명하는 페더레이션 메타데이터 문서를 생성하고 다운로드합니다. 서명된이 XML 문서는 신뢰 당사자 신뢰를 설정하는 데 사용됩니다. 나중에 IAM 콘솔에서 액세스할 수 있는 위치에이 파일을 저장합니다.

  • WorkSpaces 콘솔을 사용하여 WorkSpaces 풀 디렉터리를 생성합니다. 자세한 내용은 WorkSpaces 풀에서 Active Directory 사용 단원을 참조하십시오.

  • 지원되는 디렉터리 유형을 사용하여 IdP에 로그인할 수 있는 사용자를 위한 WorkSpaces 풀을 생성합니다. 자세한 내용은 WorkSpaces 풀 생성 단원을 참조하십시오.

3단계:에서 SAML 자격 증명 공급자 생성 IAM

시작하려면에서 SAML IdP를 생성해야 합니다IAM. 이 IdP는 조직의 IdP 소프트웨어에서 생성된 메타데이터 문서를 사용하여 조직의 IdP-신AWS 뢰 관계를 정의합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서 SAML 자격 증명 공급자 생성 및 관리를 참조하세요. SAML IdPs 에서 로 작업하는 방법에 대한 자세한 내용은 AWS GovCloud (US) 사용 설명서AWS Identity and Access Management의 섹션을 AWS GovCloud (US) Regions참조하세요.

4단계: WorkSpace 풀 디렉터리 생성

WorkSpaces 풀 디렉터리를 생성하려면 다음 절차를 완료합니다.

  1. 에서 WorkSpaces 콘솔을 엽니다https://console.aws.amazon.com/workspaces/.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. 디렉터리 생성을 선택합니다.

  4. WorkSpace 유형에서 을 선택합니다.

  5. 페이지의 사용자 ID 소스 섹션에서 다음을 수행합니다.

    1. 사용자 액세스 URL 텍스트 상자에 자리 표시자 값을 입력합니다. 예를 들어 텍스트 상자에 placeholder를 입력합니다. 나중에 IdP에서 애플리케이션 권한을 설정한 후 이 내용을 편집합니다.

    2. 릴레이 상태 파라미터 이름 텍스트 상자를 비워 둡니다. 나중에 IdP에서 애플리케이션 권한을 설정한 후 이 내용을 편집합니다.

  6. 페이지의 디렉터리 정보 섹션에 디렉터리의 이름과 설명을 입력합니다. 디렉터리 이름과 설명은 128자 미만이어야 하며, 영숫자와 특수 문자(_ @ # % * + = : ? . / ! \ -)를 포함할 수 있습니다. 디렉터리 이름과 설명은 특수 문자로 시작할 수 없습니다.

  7. 페이지의 네트워킹 및 보안 섹션에서 다음을 수행합니다.

    1. 애플리케이션에 필요한 네트워크 리소스에 액세스할 수 있는 및 VPC 2개의 서브넷을 선택합니다. 내결함성을 높이려면 서로 다른 가용 영역에 있는 두 개의 서브넷을 선택해야 합니다.

    2. 가에서 네트워크 링크를 생성 WorkSpaces 하도록 허용하는 보안 그룹을 선택합니다VPC. 보안 그룹은에서 로 흐 WorkSpaces 르도록 허용되는 네트워크 트래픽을 제어합니다VPC. 예를 들어 보안 그룹이 모든 인바운드 HTTPS 연결을 제한하는 경우 웹 포털에 액세스하는 사용자는에서 HTTPS 웹 사이트를 로드할 수 없습니다 WorkSpaces.

  8. Active Directory Config 섹션은 선택 사항입니다. 그러나 WorkSpaces 풀에서 AD를 사용할 계획이라면 WorkSpaces 풀 디렉터리를 생성하는 동안 Active Directory(AD) 세부 정보를 지정해야 합니다. WorkSpaces 풀 디렉터리를 생성한 후에는 풀 디렉터리에 대한 Active Directory Config를 편집할 수 없습니다. WorkSpaces 풀 디렉터리의 AD 세부 정보를 지정하는 방법에 대한 자세한 내용은 섹션을 참조하세요 WorkSpaces 풀 디렉터리에 대한 Active Directory 세부 정보 지정. 해당 주제에 설명된 프로세스를 완료한 후이 주제로 돌아가 WorkSpaces 풀 디렉터리 생성을 완료해야 합니다.

    WorkSpaces 풀에서 AD를 사용할 계획이 없는 경우 Active Directory Config 섹션을 건너뛸 수 있습니다.

  9. 페이지의 스트리밍 속성 섹션에서 다음을 수행합니다.

    • 클립보드 권한 동작을 선택하고, 로컬 문자 제한에 복사를 입력하고(선택 사항), 원격 세션 문자 제한에 붙여넣습니다(선택 사항).

    • 로컬 디바이스로 인쇄를 허용할지 여부를 선택합니다.

    • 진단 로깅을 허용할지 여부를 선택합니다.

    • 스마트 카드 로그인을 허용할지 여부를 선택합니다. 이 기능은 이 절차의 앞부분에서 AD 구성을 활성화한 경우에만 적용됩니다.

  10. 페이지의 스토리지 섹션에서 홈 폴더를 활성화하도록 선택할 수 있습니다.

  11. 페이지의 IAM 역할 섹션에서 모든 데스크톱 스트리밍 인스턴스에 사용할 IAM 역할을 선택합니다. 새 역할을 생성하려면 새 IAM 역할 생성을 선택합니다.

    계정의 IAM 역할을 WorkSpace 풀 디렉터리에 적용할 때 AWS 자격 증명을 수동으로 관리하지 않고 WorkSpace 풀의 WorkSpace 에서 요청할 AWS API 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서 IAM 사용자에게 권한을 위임할 역할 생성을 참조하세요.

  12. 디렉터리 생성을 선택합니다.

5단계: SAML 2.0 페더레이션 IAM 역할 생성

IAM 콘솔에서 SAML 2.0 페더레이션 IAM 역할을 생성하려면 다음 절차를 완료합니다.

  1. IAM에서 https://console.aws.amazon.com/iam/ 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택합니다.

  3. 역할 생성을 선택합니다.

  4. 신뢰할 수 있는 엔터티 유형에 대해 SAML 2.0 페더레이션을 선택합니다.

  5. SAML 2.0 기반 공급자의 경우에서 생성한 자격 증명 공급자를 선택합니다IAM. 자세한 내용은 에서 SAML 자격 증명 공급자 생성을 IAM참조하세요.

  6. 허용할 액세스에서 프로그래밍 방식 액세스만 허용을 선택합니다.

  7. 속성에 대해 SAML:sub_type을 선택합니다.

  8. https://signin.aws.amazon.com/saml를 입력합니다. 이 값은 값이 인 SAML 주제 유형 어설션을 포함하는 SAML 사용자 스트리밍 요청에 대한 역할 액세스를 제한합니다persistent. SAML:sub_type이 영구적이면 IdP는 특정 사용자의 모든 SAML 요청에서 NameID 요소에 대해 동일한 고유 값을 전송합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서 SAML기반 페더레이션에서 사용자 고유 식별을 참조하세요.

  9. 다음을 선택하여 계속 진행합니다.

  10. 권한 추가 페이지에서 변경하거나 선택하지 마세요. 다음을 선택하여 계속 진행합니다.

  11. 역할의 이름과 설명을 입력합니다.

  12. 역할 생성을 선택합니다.

  13. 역할 페이지에서 방금 만든 역할을 선택합니다.

  14. 신뢰 관계 탭을 선택합니다.

  15. 신뢰 정책 편집을 선택합니다.

  16. 신뢰 정책 편집 JSON 텍스트 상자에서 신뢰 정책에 sts:TagSession 작업을 추가합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서AWS STS에서 세션 태그 전달을 참조하세요.

    결과는 다음 예제와 같아야 합니다.

    신뢰 정책의 예입니다.

  17. 정책 업데이트를 선택합니다.

  18. 권한 탭을 선택합니다.

  19. 권한 정책 탭에서 권한 추가를 선택한 다음 인라인 정책 생성을 선택합니다.

  20. 페이지의 정책 편집기 섹션에서를 선택합니다JSON.

  21. 정책 편집기 JSON 텍스트 상자에 다음 정책을 입력합니다. 다음을 교체해야 합니다.

    • <region-code> WorkSpace 풀 디렉터리를 생성한 AWS 리전의 코드와 함께.

    • <account-id> AWS 계정 ID를 사용합니다.

    • <directory-id> 이전에 생성한 디렉터리의 ID를 사용합니다. 콘솔에서 이를 가져올 수 있습니다 WorkSpaces.

    의 리소스의 경우에 다음 형식을 AWS GovCloud (US) Regions사용합니다ARNarn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Next(다음)를 선택합니다.

  23. 정책 이름을 입력한 후 정책 생성을 선택합니다.

6단계: SAML 2.0 자격 증명 공급자 구성

SAML 2.0 IdP에 따라 서비스 공급자 AWS 로 신뢰하도록 IdP를 수동으로 업데이트해야 할 수 있습니다. https://signin.aws.amazon.com/static/saml-metadata.xml에 있는 saml-metadata.xml 파일을 다운로드한 다음 IdP에 업로드하면 됩니다. 이 작업은 IdP의 메타데이터를 업데이트합니다.

일부의 경우 업데이트 IdPs가 이미 구성되어 있을 수 있습니다. 이미 구성된 경우 이 단계를 건너뛸 수 있습니다. IdP에서 업데이트가 아직 구성되어 있지 않다면 IdP가 제공하는 설명서에서 메타데이터 업데이트 방법에 대한 정보를 검토하세요. 일부 공급자는 대시보드URL에 XML 파일의를 입력할 수 있는 옵션을 제공하며, IdP는 파일을 가져와 설치합니다. 다른 경우에는에서 파일을 다운로드한 URL 다음 대시보드에 업로드해야 합니다.

중요

이때 IdP의 사용자에게 IdP에 구성한 애플리케이션에 액세스할 WorkSpaces 수 있는 권한을 부여할 수도 있습니다. 디렉터리의 WorkSpaces 애플리케이션에 액세스할 수 있는 권한이 있는 사용자는 자동으로를 WorkSpace 생성하지 않습니다. 마찬가지로를 WorkSpace 생성한 사용자는 WorkSpaces 애플리케이션에 액세스할 수 있는 권한이 자동으로 부여되지 않습니다. 2.0 인증을 WorkSpace 사용하여 SAML에 성공적으로 연결하려면 IdP에서 사용자에게 권한을 부여하고를 WorkSpace 생성해야 합니다.

7단계: SAML 인증 응답에 대한 어설션 생성

IdP가 인증 응답의 SAML 속성 AWS 으로 전송하는 정보를 구성합니다. IdP에 따라 이 정보가 이미 구성되어 있을 수 있습니다. 이미 구성된 경우 이 단계를 건너뛸 수 있습니다. 아직 구성되지 않은 경우 다음을 제공합니다.

  • SAML Subject NameID - 로그인하는 사용자의 고유 식별자입니다. 이 필드의 형식/값은 변경하지 마세요. 그렇지 않으면 사용자가 다른 사용자로 취급되므로 홈 폴더 기능이 정상적으로 작동하지 않습니다.

    참고

    도메인 조인 WorkSpaces 풀의 경우 사용자 NameID 값은를 사용하여 domain\username 형식으로 제공되거나 sAMAccountName를 사용하거나 userPrincipalName만 사용하여 username@domain.com 형식으로 제공되어야 합니다userName. sAMAccountName 형식을 사용하는 경우 NetBIOS 이름 또는 정규화된 도메인 이름()을 사용하여 도메인을 지정할 수 있습니다FQDN. sAMAccountName 형식은 Active Directory 단방향 신뢰 시나리오에 필요합니다. 자세한 내용은 WorkSpaces 풀에서 Active Directory 사용 섹션을 참조하세요. userName만 제공되면 사용자는 기본 도메인에 로그인됩니다.

  • SAML 주제 유형(값이 로 설정된 경우persistent) - IdP가 특정 사용자의 모든 SAML 요청에서 NameID 요소에 대해 동일한 고유 값을 전송persistent하도록 값을 설정합니다. 5단계: SAML 2.0 페더레이션 IAM 역할 생성 섹션에 설명된 persistent대로 IAM 정책에 로 SAML sub_type 설정된 SAML 요청만 허용하는 조건이 포함되어 있는지 확인합니다.

  • Attribute Name 속성이 https://aws.amazon.com/SAML/속성/역할로 설정된 요소 -이 요소에는 사용자가 SAML IdP에 의해 매핑되는 IAM 역할 및 IdP를 나열하는 하나 이상의 AttributeValue 요소가 포함되어 있습니다. 역할 및 IdP는 쉼표로 구분된 쌍으로 지정됩니다ARNs. 예상 값의 예는 arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>입니다.

  • Attribute Name 속성이 https://aws.amazon.com/SAML/Attributes/로 설정된 요소RoleSessionName -이 요소에는에 대해 발급된 AWS 임시 자격 증명의 식별자를 제공하는 AttributeValue 요소 하나가 포함되어 있습니다SSO. AttributeValue 요소의 값은 2~64자 사이여야 하며 영숫자와 특수 문자 _ . : / = + - @를 포함할 수 있습니다. 공백은 포함할 수 없습니다. 값은 일반적으로 이메일 주소 또는 사용자 보안 주체 이름()입니다UPN. 사용자의 표시 이름과 같이 값이 공백을 포함하면 안 됩니다.

  • Attribute Name 속성이 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email로 설정된 요소 -이 요소에는 사용자의 이메일 주소를 제공하는 AttributeValue 요소 하나가 포함되어 있습니다. 값은 WorkSpaces 디렉터리에 정의된 WorkSpaces 사용자 이메일 주소와 일치해야 합니다. 태그 값에는 문자, 숫자, 공백, _ . : / = + - @ 기호의 조합이 포함될 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서 IAM 및의 태그 지정 규칙을 AWS STS 참조하세요.

  • Attribute Name 속성이 https://aws.amazon.com/SAML/속성/PrincipalTag:로 설정된UserPrincipalName (선택 사항) 요소 -이 요소에는 로그인하는 사용자의 Active DirectoryuserPrincipalName를 제공하는 AttributeValue 요소 하나가 포함되어 있습니다. 제공하는 값의 형식은 username@domain.com이어야 합니다. 이 파라미터는 인증서 기반 인증과 함께 최종 사용자 인증서의 주체 대체 이름으로 사용됩니다. 자세한 내용은 인증서 기반 인증 및 WorkSpaces 개인 단원을 참조하십시오.

  • Attribute Name 속성이 https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid (선택 사항)로 설정된 (선택 사항) 요소 -이 요소에는 로그인하는 사용자의 Active Directory 보안 식별자(SID)를 제공하는 AttributeValue 요소 하나가 포함되어 있습니다. 이 파라미터는 Active Directory 사용자에 대한 강력한 매핑을 지원하기 위해 인증서 기반 인증과 함께 사용됩니다. 자세한 내용은 인증서 기반 인증 및 WorkSpaces 개인 단원을 참조하십시오.

  • Attribute Name 속성이 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain으로 설정된 (선택 사항) 요소 -이 요소에는 로그인하는 사용자를 위한 Active Directory DNS 정규화된 도메인 이름(FQDN)을 제공하는 AttributeValue 요소 하나가 포함되어 있습니다. 이 파라미터는 사용자의 Active Directory userPrincipalName에 대체 접미사가 포함된 경우 인증서 기반 인증에 사용됩니다. 값은 모든 하위 도메인을 포함하여 domain.com 형식으로 제공되어야 합니다.

  • (선택 사항) Attribute Name 속성이 https://aws.amazon.com/SAML/속성/으로 설정된 요소SessionDuration -이 요소에는 재인증이 필요하기 전에 사용자의 페더레이션 스트리밍 세션이 활성 상태를 유지할 수 있는 최대 시간을 지정하는 AttributeValue 요소 하나가 포함되어 있습니다. 기본값은 3600초(60분)입니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서SAML SessionDurationAttribute의 섹션을 참조하세요.

    참고

    SessionDuration는 선택적 속성이지만 SAML 응답에 포함하는 것이 좋습니다. 이 속성을 지정하지 않으면 세션 지속 시간이 3600 초(60분)의 기본값으로 설정됩니다. 세션 지속 시간이 만료되면 WorkSpaces 데스크톱 세션의 연결이 해제됩니다.

이러한 요소를 구성하는 방법에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서인증 응답에 대한 어SAML설션 구성을 참조하세요. IdP의 구체적 구성 요구 사항에 대한 자세한 내용은 IdP의 설명서를 참조하세요.

8단계: 페더레이션의 릴레이 상태 구성

IdP를 사용하여 WorkSpaces 풀 디렉터리 릴레이 상태를 가리키도록 페더레이션의 릴레이 상태를 구성합니다URL. 에서 인증 AWS에 성공하면 사용자는 SAML 인증 응답에서 릴레이 상태로 정의된 WorkSpaces 풀 디렉터리 엔드포인트로 이동합니다.

다음은 릴레이 상태 URL 형식입니다.


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

다음 표에는 WorkSpaces SAML 2.0 인증을 사용할 수 있는 AWS 리전의 릴레이 상태 엔드포인트가 나열되어 있습니다. WorkSpaces 풀 기능을 사용할 수 없는 AWS 리전은 제거되었습니다.

리전 릴레이 상태 엔드포인트
미국 동부(버지니아 북부) 리전 workspaces.euc-sso.us-east-1.aws.amazon.com
US West (Oregon) Region workspaces.euc-sso.us-west-2.aws.amazon.com
Asia Pacific (Mumbai) Region workspaces.euc-sso.ap-south-1.aws.amazon.com
Asia Pacific (Seoul) Region workspaces.euc-sso.ap-northeast-2.aws.amazon.com
아시아 태평양(싱가포르) 리전 workspaces.euc-sso.ap-southeast-1.aws.amazon.com
아시아 태평양(시드니) 리전 workspaces.euc-sso.ap-southeast-2.aws.amazon.com
아시아 태평양(도쿄) 리전 workspaces.euc-sso.ap-northeast-1.aws.amazon.com
캐나다(중부) 리전 workspaces.euc-sso.ca-central-1.aws.amazon.com
Europe (Frankfurt) Region workspaces.euc-sso.eu-central-1.aws.amazon.com
Europe (Ireland) Region workspaces.euc-sso.eu-west-1.aws.amazon.com
Europe (London) Region workspaces.euc-sso.eu-west-2.aws.amazon.com
South America (São Paulo) Region workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (미국 서부) Workspaces.euc-sso.us-gov-west-1.amazonaws-us-gov.com
참고

SAML IdPs 에서 로 작업하는 방법에 대한 자세한 내용은 AWS GovCloud (미국) 사용 설명서 Amazon WorkSpaces을 AWS GovCloud (US) Regions참조하세요.
AWS GovCloud (미국 동부) Workspaces.euc-sso.us-gov-east-1.amazonaws-us-gov.com
참고

SAML IdPs 에서 로 작업하는 방법에 대한 자세한 내용은 AWS GovCloud (미국) 사용 설명서 Amazon WorkSpaces을 AWS GovCloud (US) Regions참조하세요.

9단계: WorkSpace 풀 디렉터리에서 SAML 2.0과의 통합 활성화

WorkSpaces 풀 디렉터리에 대해 SAML 2.0 인증을 활성화하려면 다음 절차를 완료합니다.

  1. 에서 WorkSpaces 콘솔을 엽니다https://console.aws.amazon.com/workspaces/.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. Pools 디렉터리 탭을 선택합니다.

  4. 편집하려는 디렉터리의 ID를 선택합니다.

  5. 페이지의 인증 섹션에서 편집을 선택합니다.

  6. 2.0 자격 증명 공급자 편집SAML을 선택합니다.

  7. "SSO URL"라고도 하는 사용자 액세스 URL의 경우 자리 표시자 값을 IdP에서 SSO URL 제공한 로 바꿉니다.

  8. IdP 딥링크 파라미터 이름에는 IdP와 구성한 애플리케이션에 적용 가능한 파라미터를 입력합니다. 파라미터 이름을 생략하면 기본값은 RelayState입니다.

    다음 표에는 애플리케이션의 다양한 자격 증명 공급자에 고유한 사용자 액세스 URLs 및 딥 링크 파라미터 이름이 나열되어 있습니다.

    ID 제공업체 파라미터 사용자 액세스 URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne 엔터프라이즈용 TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. 저장(Save)을 선택합니다.

중요

사용자로부터 SAML 2.0을 취소해도 세션이 직접 연결 해제되지 않습니다. 제한 시간이 시작된 후에만 제거됩니다. 또한 TerminateWorkspacesPoolSession를 사용하여 종료할 수도 있습니다API.

문제 해결

다음 정보는 WorkSpaces 풀의 특정 문제를 해결하는 데 도움이 될 수 있습니다.

SAML 인증을 완료한 후 WorkSpaces 풀 클라이언트에서 '로그인할 수 없음' 메시지가 수신됩니다.

SAML 클레임PrincipalTag:EmailnameID 및는 Active Directory에 구성된 사용자 이름과 이메일과 일치해야 합니다. 일부 IdP는 특정 속성을 조정한 후 업데이트, 새로 고침 또는 재배포가 필요할 수 있습니다. 조정을 했는데 SAML 캡처에 반영되지 않은 경우 변경 사항을 적용하기 위해 필요한 특정 단계는 IdP의 설명서 또는 지원 프로그램을 참조하세요.