ID 페더레이션은 사용자를 인증하고 리소스에 대한 액세스 권한을 부여하는 데 필요한 정보를 전달하기 위한 두 당사자 간의 신뢰 시스템입니다. 이 시스템에서 ID 제공업체(IdP)는 사용자 인증을 담당하고, 서비스 또는 애플리케이션과 같은 서비스 제공업체(SP)는 리소스에 대한 액세스를 제어합니다. 서비스 제공업체는 관리 계약 및 구성에 따라 ID 제공업체가 사용자를 인증할 것이라고 신뢰하며, ID 제공업체가 제공한 사용자 정보에 의존합니다. ID 제공업체는 사용자를 인증한 후 서비스 제공업체에 어설션이라는 메시지를 보냅니다. 이 메시지에는 사용자의 로그인 이름과 서비스 제공업체가 사용자와의 세션을 설정하고 서비스 제공업체가 부여해야 하는 리소스 액세스 범위를 결정하는 데 필요한 기타 특성이 들어 있습니다. 페더레이션은 중앙 ID 제공업체 내에서 사용자를 중앙에서 관리하고 서비스 제공업체 역할을 하는 여러 애플리케이션 및 서비스에 대한 사용자의 액세스 권한을 관리하는 액세스 제어 시스템을 구축하는 일반적 접근 방식입니다.
AWS는 직원, 계약업체 및 파트너(인력)를 AWS 계정 및 비즈니스 애플리케이션과 페더레이션하고 고객 대면 웹 및 모바일 애플리케이션에 페더레이션 지원을 추가하기 위한 고유한 솔루션을 제공합니다. AWS는 Security Assertion Markup Language 2.0(SAML 2.0), Open ID Connect(OIDC), OAuth 2.0 등 일반적으로 사용되는 개방적 ID 표준을 지원합니다.
AWS IAM Identity Center(AWS SSO의 후속 서비스) 또는 AWS Identity and Access Management(IAM)라는 두 가지 AWS 서비스를 사용하여 인력을 AWS 계정 및 비즈니스 애플리케이션으로 통합할 수 있습니다. AWS IAM Identity Center는 중앙 집중식 단일 디렉터리의 그룹 멤버십을 기반으로 사용자에 대한 페더레이션 액세스 권한을 정의하는 데 도움이 되는 좋은 옵션입니다. 여러 디렉터리를 사용하거나 사용자 속성을 기반으로 권한을 관리하려는 경우 설계 대안으로 AWS IAM을 고려하세요. AWS IAM Identity Center의 service quotas 및 기타 설계 고려 사항에 대해 자세히 알아보려면 AWS IAM Identity Center 사용 설명서를 참조하세요. AWS IAM 설계 고려 사항은 AWS IAM 사용 설명서를 참조하세요.
AWS IAM Identity Center를 사용하면 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 페더레이션 액세스를 중앙에서 손쉽게 관리하고 사용자에게 Single Sign-On 액세스를 제공하여 할당된 모든 계정 및 애플리케이션을 한 곳에서 액세스하도록 할 수 있습니다. AWS IAM Identity Center를 AWS IAM Identity Center의 사용자 디렉터리, 기존 회사 디렉터리 또는 외부 IdP의 ID를 확인할 수 있습니다.
AWS IAM Identity Center는 Security Assertion Markup Language 2.0(SAML 2.0) 프로토콜을 통해 Okta Universal Directory 또는 Azure Active Directory(AD) 등의 원하는 IdP와 연동됩니다. AWS IAM Identity Center는 페더레이션된 사용자 및 역할에 대한 IAM 권한 및 정책을 원활하게 활용하여 AWS 조직의 모든 AWS 계정에 대한 통합 페더레이션 액세스를 중앙에서 관리할 수 있도록 지원합니다. AWS IAM Identity Center를 사용하면 IdP 디렉터리의 그룹 구성원을 기반으로 권한을 할당한 다음, IdP에서 사용자와 그룹을 간단히 수정하여 사용자의 액세스 권한을 관리할 수 있습니다. 또한, AWS IAM Identity Center는 Azure AD 또는 Okta Universal Directory에서 AWS로 사용자 및 그룹을 자동으로 프로비저닝할 수 있도록 하는 도메인 간 ID 관리 시스템(SCIM) 표준을 지원합니다. AWS IAM Identity Center를 사용하면 SAML 2.0 IdP에 정의된 사용자 속성을 기반으로 세분화된 권한을 정의하여, 속성 기반 액세스 제어(ABAC)를 쉽게 구현할 수 있습니다. AWS IAM Identity Center를 사용하면 SCIM을 통해 IdP에서 동기화된 사용자 정보에서 ABAC 속성을 선택하거나, SAML 2.0 어설션에 비용 센터, 소유권 또는 로캘 등의 여러 속성을 포함하여 전달할 수 있습니다. 전체 AWS Organization에 대해 한 번 권한을 정의한 후 IdP에서 속성을 변경하기만 하면 AWS 액세스 권한을 부여, 취소 또는 수정할 수 있습니다. AWS IAM Identity Center를 사용하면 IdP 디렉터리의 그룹 구성원을 기반으로 권한을 할당한 다음, IdP에서 사용자와 그룹을 간단히 수정하여 사용자의 액세스 권한을 관리할 수도 있습니다.
AWS IAM Identity Center는 선택한 디렉터리를 사용하여 AWS IAM Identity Center 통합 애플리케이션 및 SAML 2.0 호환 클라우드 기반 애플리케이션(예: Salesforce, Box, Microsoft 365)에 사용자를 인증하는 IdP 역할을 수행할 수 있습니다. 또한, AWS IAM Identity Center를 사용하여 AWS Management Console, AWS Console 모바일 어플리케이션 및 AWS 명령줄 인터페이스(CLI)에 대해 사용자를 인증할 수 있습니다. ID 소스로 Microsoft Active Directory 또는 AWS IAM Identity Center의 사용자 디렉터리를 선택할 수 있습니다.
자세히 알아보려면 AWS IAM Identity Center 사용 설명서를 참조하고, AWS IAM Identity Center 시작하기에서 다음 추가 리소스를 살펴보세요.
AWS Identity and Access Management(IAM)를 사용하여 AWS 계정에 대한 페더레이션 액세스를 연동할 수 있습니다. AWS IAM의 유연성을 활용하면 각 AWS 계정에 대해 별도의 SAML 2.0 또는 Open ID Connect(OIDC) IdP를 활성화하고 액세스 제어에 페더레이션된 사용자 속성을 사용할 수 있습니다. AWS IAM을 사용하면 비용 센터, 소유권 또는 로캘 등의 사용자 속성을 IdP에서 AWS로 전달하고, 이러한 속성을 기반으로 세분화된 액세스 권한을 구현할 수 있습니다. AWS IAM은 한 번 권한을 정의한 후 자격 증명 소스에서 속성을 변경하기만 하면, AWS 액세스 권한을 부여하거나 취소, 수정하도록 지원합니다. 재사용 가능한 사용자 지정 관리형 IAM 정책을 구현하여 동일한 페더레이션 액세스 정책을 여러 AWS 계정에 적용할 수 있습니다.
자세히 알아보려면 IAM ID 제공업체 및 페더레이션을 참조하고, IAM 시작하기에서 다음 추가 리소스를 살펴보세요.
- 블로그 게시물: New for Identity Federation - Use Employee Attributes for Access Control in AWS
- 블로그 게시물: How to Implement a General Solution for Federated API/CLI Access Using SAML 2.0
- 블로그 게시물: How to Implement Federated API and CLI Access Using SAML 2.0 and AD FS
- 워크숍: Choose Your Own SAML Adventure: A Self-Directed Journey to AWS Identity Federation Mastery
Amazon Cognito를 사용하여 고객 대면 웹 및 모바일 애플리케이션에 페더레이션 지원을 추가할 수 있습니다. 웹과 모바일 앱에 사용자 가입, 로그인 및 액세스 제어 기능을 빠르고 쉽게 하는 데 도움이 됩니다. Amazon Cognito에서는 수백만의 사용자로 규모를 조정할 수 있고, Apple, Facebook, Google 및 Amazon과 같은 소셜 자격 증명 공급자와 엔터프라이즈 자격 증명 공급자(SAML 2.0)를 통한 로그인을 지원합니다.
자세히 알아보려면 Amazon Cognito 개발자 안내서를 참조하고, Amazon Cognito 시작하기에서 다음 추가 리소스를 살펴보세요.