요구 사항 사전 조건 1단계: IAM에서 AWS SAML ID 공급자 생성 2단계: SAML 2.0 페더레이션 IAM 역할 생성 3단계: IAM 역할의 인라인 정책 포함 4단계: SAML 2.0 ID 제공업체 구성 5단계: SAML 인증 응답을 위한 어설션 생성 6단계: 페더레이션의 릴레이 상태 구성 7단계: 디렉터리의 SAML 2.0과의 통합 활성화 WorkSpaces

SAML 2.0 설정

SAML 2.0을 사용하여 ID 페더레이션을 설정하여 SAML 2.0 ID 공급자 (IdP) 자격 증명과 인증 방법을 사용하여 사용자가 WorkSpaces 클라이언트 애플리케이션을 등록하고 로그인할 수 있도록 합니다. WorkSpaces SAML 2.0을 사용하여 ID 페더레이션을 설정하려면 IAM 역할과 릴레이 상태 URL을 사용하여 IdP를 구성하고 AWS를 활성화합니다. 이렇게 하면 연동 사용자에게 디렉터리 액세스 권한이 부여됩니다. WorkSpaces 릴레이 상태는 로그인에 성공한 사용자가 전달되는 WorkSpaces 디렉터리 엔드포인트입니다. AWS

요구 사항

SAML 2.0 인증은 다음 리전에서 사용할 수 있습니다.
- 미국 동부(버지니아 북부) 리전
- US West (Oregon) Region
- 아프리카(케이프타운) 리전
- Asia Pacific (Mumbai) Region
- Asia Pacific (Seoul) Region
- 아시아 태평양(싱가포르) 리전
- 아시아 태평양(시드니) 리전
- 아시아 태평양(도쿄) 리전
- 캐나다(중부) 리전
- Europe (Frankfurt) Region
- Europe (Ireland) Region
- Europe (London) Region
- South America (São Paulo) Region
- Israel (Tel Aviv) Region
- AWS GovCloud (미국 서부)
- AWS GovCloud (미국 동부)
에서 SAML 2.0 인증을 사용하려면 IdP가 딥링크 대상 리소스 또는 릴레이 상태 엔드포인트 URL과 WorkSpaces 함께 요청되지 않은 IdP 개시 SSO를 지원해야 합니다. IdPs 예로는 ADFS, Azure AD, 듀오 싱글 사인온, Okta 등이 있습니다. PingFederate PingOne 자세한 내용은 IdP 설명서를 참조하세요.
SAML 2.0 인증은 Simple AD를 사용하여 WorkSpaces 실행하면 작동하지만 Saml 2.0과 통합되지 않으므로 Saml 2.0 인증은 사용하지 않는 것이 좋습니다. IdPs
SAML 2.0 인증은 다음 클라이언트에서 지원됩니다. WorkSpaces 다른 클라이언트 버전은 SAML 2.0 인증이 지원되지 않습니다. Amazon WorkSpaces 클라이언트 다운로드를 열어 최신 버전을 찾으십시오.
- Windows 클라이언트 애플리케이션 버전 5.1.0.3029 이상
- macOS 클라이언트 버전 5.x 이상
- 우분투 22.04 버전 2024.1 이상, 우분투 20.04 버전 24.1 이상용 리눅스 클라이언트
- 웹 액세스
폴백이 활성화되지 않는 한 다른 클라이언트 버전에서는 SAML 2.0 인증이 WorkSpaces 활성화된 버전에 연결할 수 없습니다. 자세한 내용은 디렉터리에서 SAML 2.0 인증 활성화를 참조하십시오. WorkSpaces

ADFS, Azure AD, 듀오 싱글 사인온, Okta 및 PingFederate PingOne 엔터프라이즈용 WorkSpaces 사용과 SAML 2.0을 통합하는 방법에 대한 step-by-step 지침은 Amazon SAML 인증 구현 가이드를 참조하십시오. OneLogin WorkSpaces

사전 조건

디렉터리에 대한 SAML 2.0 ID 공급자 (IdP) 연결을 구성하기 전에 다음 사전 요구 사항을 완료하십시오. WorkSpaces

디렉터리와 함께 사용되는 Microsoft Active Directory의 사용자 ID를 통합하도록 IdP를 구성합니다. WorkSpaces a를 가진 사용자의 경우 WorkSpace Active Directory 사용자의 SaM AccountName 및 이메일 특성과 SAML 클레임 값이 일치해야 사용자가 IdP를 WorkSpaces 사용하여 로그인할 수 있습니다. Active Directory를 IdP와 통합하는 방법에 대한 자세한 내용은 IdP 설명서를 참조하세요.
IdP를 구성하여 와 신뢰 관계를 설정합니다 AWS
- 페더레이션 구성에 AWS대한 자세한 내용은 타사 SAML 솔루션 공급자 통합을 참조하십시오. AWS 관련 예로는 관리 콘솔에 액세스하기 위한 AWS IAM과의 IdP 통합 등이 있습니다 AWS .
- IdP를 사용하여 조직을 IdP로 설명하는 페더레이션 메타데이터 문서를 생성하고 다운로드합니다. 이 서명된 XML 문서는 신뢰 당사자 신뢰를 설정하는 데 사용됩니다. 나중에 IAM 콘솔에서 액세스할 수 있는 위치에 이 파일을 저장합니다.
WorkSpaces 관리 콘솔을 WorkSpaces 사용하여 디렉토리를 생성하거나 등록하십시오. 자세한 내용은 디렉터리 관리를 참조하십시오. WorkSpaces SAML 2.0 WorkSpaces 인증은 다음 디렉터리 유형에 지원됩니다.
- AD Connector
- AWS 관리형 마이크로소프트 AD
지원되는 디렉터리 유형을 사용하여 IdP에 로그인할 수 있는 사용자를 WorkSpace 위한 계정을 생성합니다. WorkSpaces 관리 콘솔 또는 WorkSpaces API를 WorkSpace 사용하여 생성할 수 있습니다. AWS CLI자세한 내용은 를 사용하여 가상 데스크톱 시작을 참조하십시오 WorkSpaces.

1단계: IAM에서 AWS SAML ID 공급자 생성

먼저 IAM에서 SAML IdP를 AWS 생성합니다. 이 IdP는 조직의 IdP 소프트웨어에서 생성한 메타데이터 문서를 사용하여 조직의 IdP와AWS 신뢰 관계를 정의합니다. 자세한 내용은 Creating and managing a SAML identity provider (Amazon Web Services Management Console)를 참조하세요. AWS GovCloud (미국 서부) 및 AWS GovCloud (미국 동부) IdPs 에서 SAML을 사용하는 방법에 대한 자세한 내용은 AWS Identity 및 Access Management를 참조하십시오.

2단계: SAML 2.0 페더레이션 IAM 역할 생성

다음으로 SAML 2.0 페더레이션 IAM 역할을 생성합니다. 이 단계는 IAM과 조직 간에 신뢰 관계를 설정합니다. 이 신뢰 관계에서는 IdP가 페더레이션을 위한 신뢰할 수 있는 엔터티로 식별됩니다.

SAML IdP용 IAM 역할을 생성하는 방법

https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.
탐색 창에서 역할 > 역할 생성을 선택합니다.
[Role type]에서 [SAML 2.0 federation]을 선택합니다.
SAML 제공업체에서 앞서 생성한 SAML IdP를 선택합니다.

중요
SAML 2.0 액세스 방법으로 프로그래밍 방식 액세스만 허용 또는 프로그래밍 방식 및 Amazon Web Services 관리 콘솔 액세스 허용 중 하나를 선택하지 마세요.
[Attribute]에서 [SAML:sub_type]을 선택합니다.
값에 persistent를 입력합니다. 이 값은 persistent 값을 갖는 SAML 주체 유형 어설션을 포함하는 SAML 사용자 스트리밍 요청으로 역할 액세스를 제한합니다. SAML:sub_type이 persistent인 경우, IdP는 특정 사용자의 모든 SAML 요청에서 NameID 요소에 대해 동일한 고유한 값을 전송합니다. SAML:sub_type 어설션에 대한 자세한 내용은 API 액세스를 위한 SAML 기반 페더레이션 사용의 SAML 기반 페더레이션에서 사용자 고유 식별 섹션을 참조하십시오. AWS
SAML 2.0 신뢰 정보를 검토하여 신뢰할 수 있는 올바른 엔터티와 조건을 확인한 다음 [Next: Permissions]를 선택합니다.
Attach permissions policies(권한 정책 연결) 페이지에서 Next: Tags(다음: 태그)를 선택합니다.
(선택 사항) 추가할 각 태그의 키와 값을 입력합니다. 자세한 내용은 IAM 사용자 및 역할 태깅을 참조하세요.
완료했으면 Next: Review(다음: 검토)를 선택합니다. 나중에 이 역할의 인라인 정책을 생성하고 포함합니다.
역할 이름에 이 역할의 목적을 나타내는 이름을 입력합니다. 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.
(선택 사항) Role description(역할 설명)에 새 역할에 대한 설명을 입력합니다.
역할 세부 정보를 검토하고 [Create role]을 선택합니다.

새 IAM 역할의 신뢰 정책에 sts: 권한을 추가합니다. TagSession 자세한 내용은 AWS STS에서 세션 태그 전달을 참조하세요. 새 IAM 역할의 세부 정보에서 신뢰 관계 탭을 선택한 다음 신뢰 관계 편집*을 선택합니다. 신뢰 관계 정책 편집 편집기가 열리면 다음과 같이 sts: TagSession * 권한을 추가합니다.



{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER"
        },
        "Action": [
            "sts:AssumeRoleWithSAML",
            "sts:TagSession"
        ],
        "Condition": {
            "StringEquals": {
                "SAML:aud": "https://signin.aws.amazon.com/saml"
            }
        }
    }]
}

IDENTITY-PROVIDER를 1단계에서 생성한 SAML IdP의 이름으로 바꿉니다. 그런 다음 신뢰 정책 업데이트를 선택합니다.

3단계: IAM 역할의 인라인 정책 포함

다음으로 생성한 역할의 인라인 IAM 정책을 포함합니다. 인라인 정책을 포함하면 해당 정책의 권한이 잘못된 보안 주체 엔터티에 실수로 추가되는 일을 예방할 수 있습니다. 인라인 정책은 페더레이션 사용자에게 디렉터리 액세스 권한을 제공합니다. WorkSpaces

중요

소스 IP를 AWS 기반으로 액세스를 관리하는 IAM 정책은 작업에 지원되지 않습니다. workspaces:Stream 에 대한 WorkSpaces IP 액세스 제어를 관리하려면 IP 액세스 제어 그룹을 사용하십시오. 또한 SAML 2.0 인증을 사용하는 경우 SAML 2.0 IdP에서 사용할 수 있는 경우 IP 액세스 제어 정책을 사용할 수 있습니다.

생성한 IAM 역할의 세부 정보에서 권한 탭을 선택한 다음 역할의 권한 정책에 필요한 권한을 추가합니다. 정책 생성 마법사가 시작됩니다.
Create policy(정책 생성)에서 JSON 탭을 선택합니다.
다음 JSON 정책을 복사하여 JSON 창에 붙여넣습니다. 그런 다음 AWS 지역 코드, 계정 ID, 디렉터리 ID를 입력하여 리소스를 수정합니다. 다음 정책에는 WorkSpaces 디렉터리의 데스크톱 세션에 연결할 수 있는 권한을 WorkSpaces 사용자에게 제공하는 작업이 포함됩니다. "Action": "workspaces:Stream"
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID",
            "Condition": {
                "StringEquals": {
                    "workspaces:userId": "${saml:sub}"
                }
            }
        }
    ]
}
               
```
WorkSpaces디렉터리가 있는 AWS 지역으로 REGION-CODE 바꾸십시오. WorkSpaces 관리 콘솔에서 찾을 수 있는 WorkSpaces 디렉터리 DIRECTORY-ID ID로 바꾸십시오. AWS GovCloud (미국 서부) 또는 AWS GovCloud (미국 동부) 리소스의 경우 ARN에 다음 형식을 사용하십시오. arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID
완료했으면 Review policy(정책 검토)를 선택합니다. 정책 검증기가 모든 구문 오류를 보고합니다.

4단계: SAML 2.0 ID 제공업체 구성

다음으로, 사용 중인 SAML 2.0 IdP에 따라 https://signin.aws.amazon.com/static/saml-metadata.xml 파일을 IdP에 saml-metadata.xml 업로드하여 서비스 제공업체로서 AWS 신뢰할 수 있도록 IdP를 수동으로 업데이트해야 할 수 있습니다. 이 단계는 IdP의 메타데이터를 업데이트합니다. 일부의 IdPs 경우 업데이트가 이미 구성되어 있을 수 있습니다. 이 경우, 다음 단계로 가십시오.

IdP에서 이 업데이트가 아직 구성되어 있지 않다면 IdP가 제공하는 설명서에서 메타데이터 업데이트 방법에 대한 정보를 검토하세요. 일부 공급자는 URL을 입력할 수 있는 옵션을 제공하며, IdP가 자동으로 해당 파일을 획득하고 설치합니다. 다른 IdP들의 경우에는 URL에서 파일을 내려받은 다음 로컬 파일로 제공해야 합니다.

중요

이때 IdP의 사용자에게 IdP에서 구성한 애플리케이션에 액세스할 WorkSpaces 수 있는 권한을 부여할 수도 있습니다. 디렉터리의 응용 프로그램에 액세스할 수 있는 권한이 있는 사용자는 해당 WorkSpaces 응용 프로그램을 자동으로 WorkSpace 생성하지 않습니다. 마찬가지로, 자신을 위해 WorkSpace 만든 사용자가 자동으로 WorkSpaces 응용 프로그램에 액세스할 수 있는 권한이 부여되지 않습니다. SAML 2.0 인증을 WorkSpace 사용하여 성공적으로 연결하려면 사용자는 IdP의 인증을 받아야 하며 IdP를 생성해야 WorkSpace 합니다.

5단계: SAML 인증 응답을 위한 어설션 생성

다음으로, 인증 응답에서 IdP가 SAML AWS 속성으로 전송하는 정보를 구성합니다. IdP에 따라 이미 구성되어 있는 경우 이 단계를 건너뛰고 6단계: 페더레이션의 릴레이 상태 구성을 진행하세요.

IdP에서 이 정보가 아직 구성되어 있지 않다면 다음을 제공하세요.

SAML 주체 이름 ID - 로그인하는 사용자의 고유한 식별자입니다. 값은 WorkSpaces 사용자 이름과 일치해야 하며, 일반적으로 Active Directory 사용자의 AccountNameSaM 속성입니다.
SAML 주체 유형(값이 persistent로 설정됨) - 값을 persistent로 설정하면 IdP는 특정 사용자의 모든 SAML 요청에서 NameID 요소에 대해 동일한 고유한 값을 전송합니다. 2단계: SAML 2.0 페더레이션 IAM 역할 생성에 설명된 것처럼 IAM 정책에는 SAML sub_type이 persistent로 설정된 SAML 요청만 허용하는 조건이 포함되어야 합니다.
Name 속성이 https://aws.amazon.com/SAML/Attributes/Role로 설정된 Attribute 요소 - 이 요소는 IAM 역할과 사용자가 IdP에 의해 매핑되는 SAML IdP를 나열하는 1개 이상의 AttributeValue 요소를 포함합니다. 역할과 IdP는 쉼표로 구분된 ARN 쌍으로 지정됩니다. 예상 값의 예는 arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME입니다.
AttributeName속성이 로 설정된 요소 https://aws.amazon.com/SAML/Attributes/RoleSessionName - 이 요소에는 SSO용으로 발급되는 AWS 임시 자격 증명의 식별자를 제공하는 AttributeValue 요소가 하나 포함되어 있습니다. AttributeValue 요소의 값은 2~64자여야 하며 영숫자, 밑줄 및 _ . : / = + - @만 포함할 수 있고 공백은 포함할 수 없습니다. 이 값은 일반적으로 이메일 주소 또는 사용자 보안 주체 이름(UPN)입니다. 사용자의 표시 이름과 같이 값이 공백을 포함하면 안 됩니다.
Name 속성이 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email로 설정된 Attribute 요소 - 이 요소에는 사용자의 이메일 주소를 제공하는 AttributeValue 요소 하나가 포함되어 있습니다. 값은 WorkSpaces 디렉터리에 정의된 WorkSpaces 사용자 이메일 주소와 일치해야 합니다. 태그 값에는 문자, 숫자, 공백 및 _ . : / = + - @ 기호의 조합이 포함될 수 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM 및 AWS STS의 태그 지정 규칙을 참조하세요.
Name 속성이 https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName으로 설정된 Attribute 요소(선택 사항) - 이 요소에는 로그인하는 사용자에게 Active Directory userPrincipalName을 제공하는 AttributeValue 요소 하나가 포함되어 있습니다. 제공하는 값의 형식은 username@domain.com이어야 합니다. 이 파라미터는 인증서 기반 인증과 함께 최종 사용자 인증서의 주체 대체 이름으로 사용됩니다. 자세한 내용은 인증서 기반 인증을 참조하세요.
Name 속성이 https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid로 설정된 Attribute 요소(선택 사항) - 이 요소에는 로그인하는 사용자에게 Active Directory 보안 식별자(SID)를 제공하는 AttributeValue 요소 하나가 포함되어 있습니다. 이 파라미터는 Active Directory 사용자에 대한 강력한 매핑을 지원하기 위해 인증서 기반 인증과 함께 사용됩니다. 자세한 내용은 인증서 기반 인증을 참조하세요.
Name 속성이 https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName으로 설정된 Attribute 요소(선택 사항) - 이 요소에는 대체 사용자 이름 형식을 제공하는 AttributeValue 요소 하나가 포함되어 있습니다. corp\usernamecorp.example.com\username, 또는 같은 사용자 이름 형식이 필요하거나 WorkSpaces 클라이언트를 사용하여 로그인해야 username@corp.example.com 하는 사용 사례가 있는 경우 이 속성을 사용하십시오. 태그 키 및 값은 문자, 숫자, 공백 및 _ : / . + = @ - 기호의 조합을 포함할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM 및 AWS STS의 태그 지정 규칙을 참조하세요. corp\username 또는 corp.example.com\username 형식을 클레임하려면 SAML 어설션에서 \를 /로 바꾸세요.
AttributeName속성이 https://aws.amazon.com/SAML/Attributes/:Domain 으로 설정된 요소 PrincipalTag (선택 사항) - 이 요소에는 AttributeValue 로그인하는 사용자에게 Active Directory DNS FQDN (정규화된 도메인 이름) 을 제공하는 요소가 하나 포함되어 있습니다. 이 파라미터는 사용자의 Active Directory userPrincipalName에 대체 접미사가 포함된 경우 인증서 기반 인증에 사용됩니다. 값은 모든 하위 도메인을 포함하여 domain.com에 제공되어야 합니다.
AttributeName속성이 https://aws.amazon.com/SAML/Attributes/ 으로 설정된 요소 SessionDuration (선택 사항) — 이 요소에는 재인증이 필요하기 전에 사용자의 페더레이션된 스트리밍 세션이 활성 상태를 유지할 수 있는 최대 시간을 지정하는 AttributeValue 요소 하나가 포함되어 있습니다. 기본값은 3600초(60분)입니다. 자세한 내용은 SAML SessionDurationAttribute를 참조하세요.

참고
SessionDuration은 선택적 속성이지만 SAML 응답에 포함시키는 것이 좋습니다. 이 속성을 지정하지 않으면 세션 지속 시간이 기본값인 3600초 (60분) 로 설정됩니다. WorkSpaces 세션 기간이 만료되면 데스크톱 세션의 연결이 끊깁니다.

이러한 요소를 구성하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 인증 응답을 위한 SAML 어설션 구성을 참조하세요. IdP의 구체적 구성 요구 사항에 대한 자세한 내용은 IdP의 설명서를 참조하세요.

6단계: 페더레이션의 릴레이 상태 구성

그런 다음 IdP를 사용하여 WorkSpaces 디렉터리 릴레이 상태 URL을 가리키도록 페더레이션의 릴레이 상태를 구성합니다. 의 인증에 AWS성공하면 사용자는 SAML 인증 응답에서 릴레이 상태로 정의된 WorkSpaces 디렉터리 엔드포인트로 이동됩니다.

릴레이 상태 URL 형식은 다음과 같습니다.



https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

WorkSpaces 디렉터리 등록 코드 및 디렉터리가 위치한 지역과 연결된 릴레이 상태 엔드포인트를 기반으로 릴레이 상태 URL을 구성하십시오. 등록 코드는 WorkSpaces 관리 콘솔에서 찾을 수 있습니다.

선택적으로, 지역 간 리디렉션을 사용하는 경우 등록 코드를 기본 및 WorkSpaces 장애 조치 지역의 디렉터리에 연결된 FQDN (Fully Qualified Domain Name) 으로 대체할 수 있습니다. 자세한 내용은 Amazon의 지역 간 리디렉션을 참조하십시오. WorkSpaces 리전 간 리디렉션과 SAML 2.0 인증을 사용하는 경우 기본 디렉터리와 장애 조치 디렉터리 모두 SAML 2.0 인증을 활성화하고 각 리전과 연결된 릴레이 상태 엔드포인트를 사용하여 IdP를 독립적으로 구성해야 합니다. 이렇게 하면 사용자가 로그인하기 전에 WorkSpaces 클라이언트 애플리케이션을 등록할 때 FQDN을 올바르게 구성하고 장애 조치 이벤트 중에 사용자가 인증할 수 있습니다.

다음 표에는 WorkSpaces SAML 2.0 인증을 사용할 수 있는 지역의 릴레이 상태 엔드포인트가 나열되어 있습니다.

WorkSpaces SAML 2.0 인증을 사용할 수 있는 지역
리전	릴레이 상태 엔드포인트
미국 동부(버지니아 북부) 리전	workspaces.euc-sso.us-east-1.aws.amazon.com (FIPS) workspaces.euc-sso-fips.us-east-1.aws.amazon.com
US West (Oregon) Region	workspaces.euc-sso.us-west-2.aws.amazon.com (FIPS) workspaces.euc-sso-fips.us-west-2.aws.amazon.com
아프리카(케이프타운) 리전	workspaces.euc-sso.af-south-1.aws.amazon.com
Asia Pacific (Mumbai) Region	workspaces.euc-sso.ap-south-1.aws.amazon.com
Asia Pacific (Seoul) Region	workspaces.euc-sso.ap-northeast-2.aws.amazon.com
아시아 태평양(싱가포르) 리전	workspaces.euc-sso.ap-southeast-1.aws.amazon.com
아시아 태평양(시드니) 리전	workspaces.euc-sso.ap-southeast-2.aws.amazon.com
아시아 태평양(도쿄) 리전	workspaces.euc-sso.ap-northeast-1.aws.amazon.com
캐나다(중부) 리전	workspaces.euc-sso.ca-central-1.aws.amazon.com
Europe (Frankfurt) Region	workspaces.euc-sso.eu-central-1.aws.amazon.com
Europe (Ireland) Region	workspaces.euc-sso.eu-west-1.aws.amazon.com
Europe (London) Region	workspaces.euc-sso.eu-west-2.aws.amazon.com
South America (São Paulo) Region	workspaces.euc-sso.sa-east-1.aws.amazon.com
Israel (Tel Aviv) Region	workspaces.euc-sso.il-central-1.aws.amazon.com
AWS GovCloud (미국 서부)	workspaces.euc-sso.us-gov-west-1.amazonaws-us-gov.com (FIPS) workspaces.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com 참고 에 대한 자세한 내용은 AWS GovCloud (미국) 사용 설명서의 WorkSpaces Amazon을 참조하십시오.
AWS GovCloud (미국 동부)	workspaces.euc-sso.us-gov-east-1.amazonaws-us-gov.com (FIPS) workspaces.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com 참고 에 대한 자세한 내용은 AWS GovCloud (미국) 사용 설명서의 WorkSpaces Amazon을 참조하십시오.

7단계: 디렉터리의 SAML 2.0과의 통합 활성화 WorkSpaces

WorkSpaces 콘솔을 사용하여 디렉터리에서 SAML 2.0 인증을 활성화할 수 있습니다. WorkSpaces

SAML 2.0과의 통합을 활성화하는 방법

https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.
탐색 창에서 디렉터리를 선택합니다.
내 디렉터리 ID를 선택하세요 WorkSpaces.
인증에서 편집을 선택합니다.
SAML 2.0 ID 제공업체 편집을 선택합니다.
SAML 2.0 인증 활성화를 선택합니다.

사용자 액세스 URL 및 IdP 딥링크 파라미터 이름에 1단계에서 구성한 IdP 및 애플리케이션에 적용할 수 있는 값을 입력합니다. 이 매개변수를 생략한 경우 IdP 딥링크 매개변수 이름의 기본값은 RelayState ““입니다. 다음 표에는 애플리케이션의 다양한 ID 제공업체에 고유한 사용자 액세스 URL 및 파라미터 이름이 나와 있습니다.

허용 목록에 추가할 도메인 및 IP 주소
ID 제공업체	파라미터	사용자 액세스 URL
ADFS	`RelayState`	`https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>`
Azure AD	`RelayState`	`https://myapps.microsoft.com/signin/<app_id>?tenantId=<tenant_id>`
Duo Single Sign-On	`RelayState`	`https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app_id>/sso`
Okta	`RelayState`	`https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml`
OneLogin	`RelayState`	`https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>`
JumpCloud	`RelayState`	`https://sso.jumpcloud.com/saml2/<app-id>`
Auth0	`RelayState`	`https://<DefaultTenatName>.us.auth0.com/samlp/<Client_Id>`
PingFederate	`TargetResource`	`https://<host>/idp/startSSO.ping?PartnerSpId=<sp_id>`
PingOne 엔터프라이즈용	`TargetResource`	`https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>`

사용자 액세스 URL은 일반적으로 요청되지 않고 IdP가 시작한 SSO의 제공업체가 정의합니다. 사용자는 웹 브라우저에 이 URL을 입력하여 SAML 애플리케이션에 직접 페더레이션할 수 있습니다. IdP의 사용자 액세스 URL과 파라미터 값을 테스트하려면 테스트를 선택합니다. 테스트 URL을 복사하여 현재 브라우저 또는 다른 브라우저의 개인 창에 붙여넣으면 현재 AWS 관리 콘솔 세션을 중단하지 않고 SAML 2.0 로그온을 테스트할 수 있습니다. IdP에서 시작한 플로우가 열리면 클라이언트를 등록할 수 있습니다. WorkSpaces 자세한 내용은 ID 제공업체(IdP)가 시작한 흐름을 참조하세요.

SAML 2.0을 지원하지 않는 클라이언트의 로그인 허용을 선택하거나 선택 취소하여 대체 설정을 관리합니다. SAML 2.0을 지원하지 않는 클라이언트 유형 또는 버전을 WorkSpaces 사용할 수 있는 액세스 권한을 사용자에게 계속 제공하거나 사용자가 최신 클라이언트 버전으로 업그레이드할 시간이 필요한 경우 이 설정을 활성화합니다.

참고
이 설정을 통해 사용자는 SAML 2.0을 우회하고 이전 클라이언트 버전을 사용하여 디렉터리 인증으로 로그인할 수 있습니다.
웹 클라이언트에서 SAML을 사용하려면 Web Access를 활성화합니다. 자세한 내용은 Amazon WorkSpaces Web Access 활성화 및 구성을 참조하십시오.

참고
SAML을 사용하는 PCoIP는 Web Access에서 지원되지 않습니다.
저장을 선택합니다. 이제 WorkSpaces 디렉토리가 SAML 2.0 통합으로 활성화되었습니다. IdP에서 시작한 흐름과 클라이언트 응용 프로그램에서 시작한 흐름을 사용하여 클라이언트 응용 프로그램을 WorkSpaces 등록하고 로그인할 수 있습니다. WorkSpaces

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

SAML2.0 통합

인증서 기반 인증