Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

AD FS를 Amazon Cognito 사용자 풀의 SAML 자격 증명 공급자로 설정하려면 어떻게 해야 합니까?

3분 분량

Active Directory Federation Services(AD FS)를 Amazon Cognito 사용자 풀의 Security Assertion Markup Language 2.0(SAML 2.0) 자격 증명 공급자(IdP)로 사용하려고 합니다. 모두 어떻게 설정해야 합니까?

간략한 설명

Amazon Cognito 사용자 풀을 사용하면 AD FS와 같은 SAML IdP를 포함하여 타사(페더레이션)를 통해 로그인할 수 있습니다. 자세한 내용은 타사를 통한 사용자 풀 로그인 추가 및 사용자 풀에 SAML 자격 증명 공급자 추가를 참조하십시오.

Amazon Elastic Compute Cloud(Amazon EC2) Windows 인스턴스에 AD FS 서버 및 도메인 컨트롤러를 설정한 다음, Amazon Cognito의 호스팅 웹 UI를 사용하여 설정을 사용자 풀과 통합할 수 있습니다.

중요: 이 해결 방법에는 사용자가 소유한 도메인 이름이 필요합니다. 소유한 도메인이 없는 경우 Amazon Route 53을 통해 새 도메인을 등록하거나 다른 도메인 이름 시스템(DNS) 서비스를 통해 등록할 수 있습니다.

해결 방법

앱 클라이언트를 사용하여 Amazon Cognito 사용자 풀 생성

자세한 내용은 자습서: 사용자 풀 생성 및 Amazon Cognito 콘솔을 사용하여 호스팅된 UI 설정을 참조하십시오.

참고: 사용자 풀을 생성할 때는 기본적으로 표준 속성 email이 선택됩니다. 사용자 풀 속성에 대한 자세한 내용은 사용자 풀 속성 구성을 참조하십시오.

EC2 Windows 인스턴스 설정

EC2 Windows 인스턴스를 구성 및 시작한 다음, 해당 인스턴스에 AD FS 서버와 도메인 컨트롤러를 설정합니다.

Amazon Cognito에서 AD FS 서버를 SAML IdP로 구성

자세한 내용은 사용자 풀에 대한 SAML 자격 증명 공급자 생성 및 관리(AWS Management Console)를 참조하고 사용자 풀에서 SAML 2.0 자격 증명 공급자 구성 아래의 지침을 따르십시오.

SAML IdP를 생성할 때 메타데이터 문서의 경우 메타데이터 문서 엔드포인트 URL을 붙여넣거나 .xml 메타데이터 파일을 업로드합니다.

IdP 속성에서 사용자 풀 속성으로 이메일 주소 매핑

자세한 내용은 사용자 풀에 대한 자격 증명 공급자 속성 매핑 지정을 참조하고 SAML 공급자 속성 매핑 지정 아래의 지침을 따르십시오.

SAML 속성을 추가할 때 SAML 속성에 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress를 입력합니다. 사용자 풀 속성의 경우 목록에서 이메일을 선택합니다.

Amazon Cognito에서 앱 클라이언트 설정 변경

사용자 풀에 대한 Amazon Cognito 콘솔 관리 페이지의 앱 통합에서 앱 클라이언트 설정을 선택합니다. 그런 다음, 아래와 같이 수행합니다.
활성화된 자격 증명 공급자에서 사용자가 구성한 SAML IdP의 확인란을 선택합니다. 예를 들면 ADFS와 같습니다.
**콜백 URL(여러 개 가능)**에 로그인 후 사용자가 리디렉션될 URL을 입력합니다.
**로그아웃 URL(여러 개 가능)**에 로그아웃 후 사용자가 리디렉션될 URL을 입력합니다.
허용된 OAuth Flows에서 권한 부여 코드 부여 및 암시적 권한 부여 확인란을 선택합니다.
허용된 OAuth Scopes에서 모든 확인란을 선택합니다.
변경 내용 저장을 선택합니다. 자세한 내용은 앱 클라이언트 설정 용어를 참조하십시오.

Amazon Cognito 호스팅 웹 UI를 사용하여 설정 테스트

웹 브라우저에 다음 URL을 입력합니다. https://domainNamePrefix.auth.region.amazoncognito.com/loginresponse_type=token&client_id=appClientId&redirect_uri=https://www.example.com
참고: URL에는 사용자 풀과 앱 클라이언트의 값을 사용하십시오. Amazon Cognito 콘솔의 앱 통합 페이지에서 사용자 풀의 도메인(도메인 이름 접두사 및 AWS 리전 포함)을 찾으십시오. 앱 클라이언트 ID를 앱 클라이언트 설정에서 찾으십시오. https://www.example.com을 SAML IdP의 콜백 URL로 바꾸십시오.
구성한 SAML IdP의 이름을 선택합니다. AD FS 인증 페이지로 리디렉션됩니다.
조직 계정으로 로그인에서 Active Directory 사용자의 사용자 이름과 암호를 입력합니다.
로그인을 선택합니다. 로그인에 성공하는 경우 Amazon Cognito는 사용자 풀 토큰과 성공적인 SAML 응답을 반환합니다. SAML 응답 보기에 대한 자세한 내용은 문제 해결을 위해 브라우저에서 SAML 응답을 보는 방법을 참조하십시오.
참고: 디코딩 시 SAML 응답에는 필수 속성 NameID가 포함되어야 합니다.