AWS Single Sign-On (SSO)
- 중앙에서 관리하여 다수의 계정과 타사 애플리케이션에 액세스할 수 있음
즉, 한 번 로그인하면 싱글 사이온이 액세스하도록 구성된 모든 항목에 액세스할 수 있음 - 따라서 포털로 이동하여 싱글 사인온 포털에 로그인하면
어떤 AWS 계정이나 Dropbox, Office365, Slack에도 로그인 정보 입력 없이 바로 로그인할 수 있음 - 예) AWS Organizations와 통합되어 조직 내 많은 계정이 있는 경우 AWS 싱글 사인온을 설정하기만 하면
해당 조직 내의 모든 계정에 로그인 한 번으로 로그인할 수 있음 - SAML 2.0 마크업을 지원하므로 SAML과도 통합되고 온프레미스 Active Directory와 긴밀하게 통합됨
- 권한 관리가 중앙 집중화되게 하여 싱글 사인온 내에서 사용자의 모든 권한을 관리할 수 있고
CloudTrail로 로그인에 대해 중앙 집중화된 감사를 받을 수 있음
AWS Single Sign-On (SSO) – Setup with AD
- 중앙에 싱글 사인온이 있고 온프레미스 Active Directory에 연결을 설정하여 온프레미스 Active Directory를 가져올 수 있음
AWS의 관리 서비스를 사용하거나 AWS의 Microsoft Managed AD를 사용하여 사용자를 관리할 수 있음
이렇게 신뢰가 쌓이게 되면 싱글 사이온은 거기에서 사용자를 가져오는 방법을 알게 되고
사용자들은 싱글 사인온에 연결할 수 있고 싱글 사인온은 조직 내 다른 OU 및 계정과 통합할 수 있음
이렇게 한 번 싱글 사인온에 로그인하면 이 안에 있는 모든 조직 계정에 액세스할 수 있고
SSO와 긴밀하게 통합된 비즈니스 클라우드 애플리케이션(Office365, Dropbox, Slack)과
사용자 지정 2.0 규정 준수로 구성된 SAML 애플리케이션까지도 액세스할 수 있음
즉, SSO로 한 번 로그인하면
온프레미스 AD, AWS, 비즈니스 클라우드 애플리케이션, 사용자 지정 SAML 애플리케이션에 액세스 가능
SSO – vs AssumeRoleWithSAML
- SSO를 사용하는 것과 AssumeRoleWithSAML API를 쓰는 것의 차이
- AssumeRoleWithSAML API를 사용하려면 Identity Store로 ID를 확인할 제 3자 IDP 로그인 포털을 설정해야 함
그러면 SAML 2.0 Assertion이 반환되고 SAML 어설션을 AssumeRoleWothSAML을 사용하여 STS로 보내고
보안 자격 증명을 받아 AWS에 연결됨
하지만 만일 AWS에 여러 계정을 가지고 있다면 모든 단일 계정에 대해 이 과정을 일일이 설정해야 함 - SSO를 사용하면 브라우저 인터페이스가 SSO의 로그인 포털을 통해 로그인해서 그 로그인 포털을 직접 설정할 필요가 없음
그리고 SSO 서비스에는 SSO가 이미 Identity Store와 통합되어 있기 때문에 아무것도 실행하지 않아도 됨
그러므로 서로 통신하여 자격 증명을 생성하고 사용자는 즉시 자격 증명을 얻을 수 있음
또한 SSO 포털은 단일 AWS 계정 뿐만 아니라 여러 계정에 대한 자격 증명을 주므로 여러 계정을 확장하려고 할 때 좋음
<AWS 싱글 사인온 (SSO) 실습>
- 싱글 사인온 설정
AWS SSO를 활성화한 후 활성화가 되면 세 단계를 거쳐야 함
첫 번째는 사용자와 그룹을 관리할 ID 소스를 선택하는 것이며 활성 디렉토리를 이용
두 번째는 조직 내에 있는 모든 AWS 계정에 액세스하도록 SSO를 구성
마지막으로 SSO를 사용하여 클라우드 애플리케이션이나 SAML 2.0과 호환되는 모든 항목에 액세스
맨 밑에 있는 User portal URL을 클릭하면 SSO에서 제공하는 사용자 포털을 볼 수 있음
로그인을 하면 ID 소스를 통해 ID를 확인하고 모든 계정과 클라우드 앱에 SSO 액세스를 갖게 됨
첫 번째로 ID 소스를 고르려면 SSO 자체를 ID 소스로 선택하거나 활성 디렉토리 혹은 외부 ID 제공자(IDP)를 고를 수 있으며
각각 설정하는 방법이 따로 존재하지만 SSO가 더 쉽기 때문에 SSO로 선택
두 번째로 조직에 대한 SSO 액세스 관리를 클릭하면 조직 내 많은 계정들에 대해 액세스를 갖고 있음을 알 수 있으며
이 계정들이 접속하고자 하는 계정들임을 알 수 있음
마지막으로 클라우드 애플리케이션에 대한 SSO 액세스는 애플리케이션을 추가할 수 있고
이미 AWS SSO와 함께 작동한 애플리케이션 카탈로그가 있거나 사용자 지정 SAML 2.0 애플리케이션을 추가할 수 있음
이 경우 적절하게 구성하려면 여러 속성을 지정해야 함
SSO를 통해 애플리케이션의 사용자를 관리하는 경우 사용자와 그룹을 추가할 수 있으며
다른 ID 소스로 소스를 혁신하려고 하는 경우에 SSO의 활성 디렉토리나 외부 IDP가 정말 좋은 후보책이 될 수 있음
'Cloud > AWS' 카테고리의 다른 글
| [SAA] 암호화 101 (0) | 2022.04.21 |
|---|---|
| [SAA] AWS 보안 섹션 소개 (0) | 2022.04.21 |
| [SAA] 리소스 액세스 관리자 (RAM) (0) | 2022.04.21 |
| [SAA] IAM 고급 (0) | 2022.04.21 |
| [SAA] 조직 개요 (0) | 2022.04.21 |
