Auth0을 Amazon Cognito 사용자 풀의 SAML 자격 증명 공급자로 설정하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2019년 2월 1일

Auth0을 Amazon Cognito 사용자 풀의 SAML 2.0(Security Assertion Markup Language 2.0) IdP(자격 증명 공급자)로 사용하고 싶습니다. 어떻게 설정해야 합니까?

간략한 설명

Amazon Cognito 사용자 풀은 Auth0과 같은 SAML IdP를 통한 로그인을 비롯하여 타사(연동)를 통한 로그인을 허용합니다. 자세한 내용은 타사를 통한 사용자 풀 로그인 추가사용자 풀에 SAML 자격 증명 공급자 추가를 참조하십시오.

Auth0과 통합된 사용자 풀은 Auth0 애플리케이션의 사용자가 Amazon Cognito에서 사용자 풀 토큰을 받도록 허용합니다. 자세한 내용은 사용자 풀을 통해 토큰 사용을 참조하십시오.

Auth0을 SAML IdP로 설정하려면 앱 클라이언트와 도메인 이름이 있는 Amazon Cognito 사용자 풀과 Auth0 애플리케이션이 있는 Auth0 계정이 필요합니다.

해결 방법

앱 클라이언트와 도메인 이름이 있는 Amazon Cognito 사용자 풀 생성

자세한 내용은 다음 문서를 참조하십시오.

Auth0 계정 가입

Auth0 웹 사이트 [Sign Up] 페이지에서 이메일 주소와 암호를 입력하여 시작합니다. 이미 계정이 있는 경우 로그인합니다.

Auth0 애플리케이션 생성

  1. Auth0 웹 사이트 대시보드에서 [+New Application]을 선택합니다.
  2. [Create Application] 대화 상자에서 애플리케이션의 이름을 입력합니다. 예를 들어 My App으로 입력할 수 있습니다.
  3. [Choose an application type]에서 [Single Page Web Applications]를 선택합니다.
  4. [Create]를 선택합니다.

Auth0 애플리케이션의 테스트 사용자 생성

  1. 왼쪽 탐색 모음에서 [Users]를 선택합니다.
  2. [+Create Your First User]를 선택합니다. 또는 첫 번째 사용자가 아닌 경우 [+Create User]를 선택합니다.
  3. [Create user] 대화 상자에서 사용자의 이메일과 암호를 입력합니다.
  4. [Save]를 선택합니다.

애플리케이션의 SAML 설정 구성

  1. 왼쪽 탐색 모음에서 [Applications]를 선택합니다.
  2. 생성한 애플리케이션의 이름을 선택합니다.
  3. [Addons] 탭에서 [SAML2 Web App]을 켭니다.
  4. [Addon: SAML2 Web App] 대화 상자의 [Settings] 탭에서 [Application Callback URL]에 https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse를 입력합니다.
    참고:
    yourDomainPrefixregion은 실제 사용자 풀의 값으로 바꾸십시오. 이 두 값은 Amazon Cognito 콘솔의 사용자 풀 관리 페이지에 있는 [Domain name] 탭에서 확인할 수 있습니다.
  5. [Settings]에서 다음을 수행합니다.
    [audience]에서 주석 구분 기호(//)를 삭제하고 기본값(urn:foo)을 urn:amazon:cognito:sp:yourUserPoolId로 바꿉니다.
    참고:
    yourUserPoolId를 실제 Amazon Cognito 사용자 풀 ID로 바꾸십시오. 이 ID는 Amazon Cognito 콘솔의 사용자 풀 관리 페이지에 있는 [General settings] 탭에서 확인할 수 있습니다.
    [mappings] 및 [email]에서 주석 구분 기호(//)를 삭제합니다. Amazon Cognito 사용자 풀에 필요한 다른 속성에 대해서도 똑같이 합니다. 자세한 내용은 사용자 풀 속성 구성을 참조하십시오.
    [nameIdentifierFormat]에서 주석 구분 기호(//)를 삭제합니다. 기본값(urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified)을 urn:oasis:names:tc:SAML:2.0:nameid-format:persistent로 바꿉니다.
  6. (선택 사항) [Debug]를 선택한 후 앞서 생성한 테스트 사용자로 로그인하여 구성이 정상적으로 작동하는지 확인합니다.
  7. [Save]를 선택합니다.

Auth0 애플리케이션의 IdP 메타데이터 가져오기

[Addon: SAML2 Web App] 대화 상자의 [Usage] 탭에서 [Identity Provider Metadata]를 찾습니다. 그리고 다음 중 하나를 수행합니다.

  • download를 마우스 오른쪽 버튼으로 클릭한 다음 URL을 복사합니다.
  • download를 선택하여 .xml 메타데이터 파일을 다운로드합니다.

Amazon Cognito에서 Auth0을 SAML IdP로 구성

자세한 내용은 사용자 풀의 SAML 자격 증명 공급자 생성 및 관리(AWS Management Console)를 참조하십시오. 사용자 풀에 SAML 2.0 자격 증명 공급자를 구성하려면의 지침을 따릅니다.

SAML IdP를 생성할 때 [Metadata document]에는 자격 증명 공급자 메타데이터 URL을 붙여 넣거나 .xml 메타데이터 파일을 업로드합니다.

IdP 속성에서 사용자 풀 속성으로 이메일 주소 매핑

자세한 내용은 사용자 풀의 자격 증명 공급자 속성 매핑 지정을 참조하고 SAML 공급자 속성 매핑을 지정하려면의 지침을 따르십시오.

SAML 속성을 추가할 때 [SAML Attribute]에는 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress를 입력합니다. [User pool attribute]의 목록에서 [Email]을 선택합니다.

Amazon Cognito에서 앱 클라이언트 설정 변경

  1. Amazon Cognito 콘솔의 사용자 풀 관리 페이지에 있는 [App integration]에서 [App client settings]를 선택합니다. 그리고 다음을 수행합니다.
    [Enabled identity providers]에서 [Auth0] 및 [Cognito User Pool] 확인란을 선택합니다.
    [Callback URL(s)]에 로그인 후 사용자를 리디렉션할 URL을 입력합니다. https://www.amazon.com과 같은 유효한 URL을 입력하여 테스트할 수 있습니다.
    [Sign out URL(s)]에 로그아웃 후 사용자를 리디렉션할 URL을 입력합니다. https://www.amazon.com과 같은 유효한 URL을 입력하여 테스트할 수 있습니다.
    [Allowed OAuth Flows]에서 [Implicit grant] 확인란이 선택되어 있는지 확인합니다.
    [Allowed OAuth Scopes]에서 [email] 및 [openid] 확인란이 선택되어 있는지 확인합니다.
  2. [Save changes]를 선택합니다.

자세한 내용은 앱 클라이언트 설정 개요를 참조하십시오.

로그인 엔드포인트 테스트

  1. 웹 브라우저에 다음 URL을 입력합니다.
    https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl

    참고:
    yourDomainPrefixregion은 실제 사용자 풀의 값으로 바꾸십시오. 이 두 값은 Amazon Cognito 콘솔의 사용자 풀 관리 페이지에 있는 [Domain name] 탭에서 확인할 수 있습니다.
    yourClientId는 앱 클라이언트의 ID로, redirectUrl은 앱 클라이언트의 콜백 URL로 각각 바꾸십시오. 이 ID와 URL은 Amazon Cognito 콘솔의 사용자 풀 관리 페이지에 있는 [App client settings] 탭에서 확인할 수 있습니다.

    자세한 내용은 Amazon Cognito의 호스팅 웹 UI를 구성하려면 어떻게 해야 합니까?로그인 엔드포인트를 참조하십시오.
  2. [Auth0]을 선택합니다.
    참고:
    앱 클라이언트의 콜백 URL로 리디렉션되는 경우 이미 브라우저에서 Auth0 계정에 로그인한 상태입니다. 웹 브라우저의 주소 표시줄에 있는 URL에 사용자 풀 토큰이 표시됩니다.
  3. Auth0 애플리케이션의 로그인 페이지에서 앞서 생성한 테스트 사용자의 이메일 및 암호를 입력합니다.
  4. [Log in]을 선택합니다.

로그인하고 나면 앱 클라이언트의 콜백 URL로 리디렉션됩니다. 웹 브라우저의 주소 표시줄에 있는 URL에 사용자 풀 토큰이 표시됩니다.