IAM Identity Center를 Amazon Cognito 사용자 풀과 통합하려면 어떻게 해야 합니까?

간략한 설명

Amazon Cognito 사용자 풀을 사용하면 타사 IdP를 통해 로그인할 수 있습니다. 사용자는 IAM Identity Center를 사용하여 보안 어설션 마크업 언어 버전 2.0(SAML 2.0) IdP를 통해 페더레이션할 수 있습니다. 자세한 내용은 Amazon Cognito 사용자 풀에서 페더레이션 로그인이 작동하는 방식을 참조하십시오.

사용자 풀을 IAM Identity Center와 통합하면 사용자가 Amazon Cognito에서 사용자 풀 토큰을 받을 수 있습니다. 자세한 내용은 사용자 풀을 통해 토큰 사용을 참조하십시오.

해결 방법

Amazon Cognito 사용자 풀을 IAM Identity Center와 통합하려면 다음 단계를 수행하십시오.

참고: 이미 앱 클라이언트에 사용자 풀이 있다면 다음 섹션을 건너뜁니다.

앱 클라이언트와 도메인 이름이 설정된 Amazon Cognito 사용자 풀 생성

1.    사용자 풀을 생성하세요.

2.    앱 클라이언트 추가 및 호스팅된 UI 설정

3.    사용자 풀에 도메인 이름을 추가합니다.

참고: 이미 작동하는 IAM Identity Center 환경이 있다면 다음 섹션을 건너뛰십시오.

IAM ID 센터를 활성화하고 사용자를 추가

1.    IAM Identity Center를 활성화하기 전에 사전 요구 사항 및 고려 사항을 검토합니다.

2.    IAM Identity Center를 활성화합니다다.

3.    ID 소스를 선택하고 사용자를 생성합니다.

IAM Identity Center 콘솔에서 SAML 애플리케이션을 구성

1.    IAM Identity Center 콘솔을 연 다음 탐색 창에서 애플리케이션을 선택합니다.

2.    애플리케이션 추가 및 사용자 지정 SAML 2.0 애플리케이션 추가를 선택한 후 다음을 선택합니다.

3.    애플리케이션 구성 페이지에서 애플리케이션의 디스플레이 이름 및 설명을 입력합니다.

4.    IAM Identity Center SAML 메타데이터 파일의 URL을 복사하거나 다운로드 하이퍼링크를 선택합니다. 이후 단계에서 이러한 리소스를 사용하여 사용자 풀에 IdP를 생성할 수 있습니다.

5.    애플리케이션 메타데이터에서 메타데이터 값 수동 입력을 선택합니다. 그런 다음 다음 값을 입력합니다.

중요: domain-prefix, region 및 userpool-id 값을 해당 환경에 맞는 정보로 변경해야 합니다.

애플리케이션 어설션 고객 서비스(ACS) URL: https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse 애플리케이션 SAML 대상: urn:amazon:cognito:sp:<userpool-id>

6.    제출을 선택합니다. 그런 다음 추가한 애플리케이션의 세부 정보 페이지로 이동합니다.

7.    작업 드롭다운 목록을 선택하고 속성 매핑 편집을 선택합니다. 그런 다음 다음 속성을 입력합니다.

애플리케이션의 사용자 속성: 제목
참고: 제목은 미리 채워져 있습니다.
IAM Identity Center에서 이 스트링 값 또는 사용자 속성에 매핑: ${user:subject}
형식: 영구

애플리케이션의 사용자 속성: 이메일
IAM Identity Center에서 이 문자열 값 또는 사용자 속성에 매핑: ${user:email} 형식: 기본

매핑된 속성은 로그인 시 Amazon Cognito로 전송됩니다. 모든 사용자 풀의 필수 속성이 여기에 매핑되어 있는지 확인합니다. 매핑에 사용할 수 있는 속성에 대해 자세히 알아보려면 지원되는 IAM Identity Center 속성을 참조하십시오.

8.    변경 내용을 저장합니다.

9.    사용자 지정 버튼을 선택한 다음 애플리케이션에 사용자를 할당합니다.

사용자 풀에서 IAM Identity Center를 SAML IdP로 구성

1.    사용자 풀에서 SAML IdP로 구성 다음 설정을 적용하십시오.

메타데이터 문서에서 메타데이터 URL을 제공하거나 이전 섹션의 4단계에서 다운로드한 파일을 업로드합니다. 자세한 내용은 타사 SAML 자격 증명 공급자와 Amazon Cognito 사용자 풀 통합을 참조하십시오.

SAML 공급자 이름을 입력합니다. 자세한 내용은 SAML 자격 증명 공급자 이름 선택을 참조하세요.

(선택 사항) SAML 식별자를 입력합니다.

2.    SAML 제공자 속성 매핑을 구성합니다. 다음 설정을 적용하십시오.

SAML 특성 필드에 이전 섹션의 7단계에서 제공한 사용자 특성 값과 일치하는 이메일 값을 입력합니다. 사용자 풀 속성 필드의 드롭다운 목록에서 이메일을 선택합니다.

참고: 이전 섹션의 7단계에서 IAM Identity Center에 구성된 다른 모든 속성을 추가합니다.

3.    변경 내용을 저장합니다.

IdP를 사용자 풀 앱 클라이언트와 통합

1.    새로운 Amazon Cognito 콘솔에 로그인합니다.

2.    사용자 풀을 선택하고 적절한 사용자 풀을 선택합니다.

3.    앱 통합 탭을 선택한 다음 앱 클라이언트 목록을 선택합니다.

4.    적절한 앱 클라이언트를 선택합니다.

5.    호스팅 UI 섹션에서 편집을 선택합니다.

6.    적절한 IdP를 선택합니다.

7.    변경 내용을 저장합니다.

설정 테스트

1.    호스팅된 UI를 시작하거나 다음 이름 지정 패턴을 사용하여 로그인 엔드포인트 URL을 구성합니다.

https://example_domain_prefix.auth.example_region.amazoncognito.com/login?response_type=token&client_id=example_client_id&redirect_uri=example_redirect_url

예: https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com

OAuth 2.0 권한 부여 유형의 경우 인증 코드 부여를 선택하면 사용자 로그인 시 로그인 엔드포인트가 Amazon Cognito에서 인증 코드를 반환하라는 메시지를 띄우도록 합니다. OAuth 2.0 권한 부여 유형의 경우 Amazon Cognito가 사용자 로그인 시 액세스 토큰을 반환하도록 암시적 부여하기를 선택합니다. 그런 다음 URL에서 response_type=code를 response_type=token로 변경합니다.

2.    IAM IdC를 선택합니다.

앱 클라이언트의 콜백 URL로 리디렉션되는 경우 브라우저에서 이미 사용자로 로그인되어 있는 것입니다. 사용자 풀 토큰은 웹 브라우저 주소 표시줄의 URL에 직접 표시됩니다.

참고: 이 단계를 건너뛰려면 다음과 같은 이름 지정 패턴을 사용하여 엔드포인트 URL 인증을 생성합니다.
https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes

3.    보안 인증을 입력하고 로그인을 선택합니다.

4.    브라우저의 주소 표시줄에서 Amazon Cognito의 코드나 토큰이 포함된 콜백 URL로 리디렉션되면 설정이 완료된 것입니다.

참고: Amazon Cognito는 서비스 공급자(SP)에서 시작한 로그인만 지원합니다. 로그인 엔드포인트 또는 권한 부여 엔드포인트를 사용하여 설정을 테스트해야 합니다. IAM Identity Center용 AWS 액세스 포털에서 IdP로 시작한 로그인은 작동하지 않습니다.

---