SAML 응답을 캡처하고 분석하여 AWS와 SAML 2.0 연동의 일반적인 오류를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2019년 7월 9일

SAML이 통합된 온프레미스 Active Directory를 사용하고 있지만 AWS Management Console에 연결할 수 없습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

SAML 연동을 사용하는 경우 먼저 Active Directory를 제대로 구성했는지 확인하십시오. 자세한 내용은 Enabling Federation to AWS Using Windows Active Directory, ADFS, and SAML 2.0을 참조하십시오.

AWS 계정에 대한 연동 액세스를 처음 설정하는 경우 AWS Single Sign-On 서비스를 사용하여 여러 AWS 계정에 대한 중앙 관리 SSO 액세스를 제공하는 것이 좋습니다.

SAML 관련 오류를 해결하려면

  • 브라우저에서 SAML 응답을 캡처하고 디코딩합니다.
  • 디코딩된 파일의 값을 검토합니다.
  • 오류가 있는지 점검하고 구성을 확인합니다.

해결 방법

SAML 응답 캡처 및 디코딩

브라우저에서 SAML 응답을 캡처하고 디코딩한 다음 AWS로 전송된 정보를 검토합니다. 브라우저 관련 지침은 문제 해결을 위해 브라우저에서 SAML 응답을 보는 방법을 참조하십시오.

디코딩된 파일의 값 검토

디코딩된 SAML 응답 파일의 값을 검토합니다.

  1. saml:NameID 속성의 값이 인증된 사용자의 사용자 이름과 일치하는지 확인합니다.
  2. https://aws.amazon.com/SAML/Attributes/Role 값을 검토합니다. 역할 ARN과 SAML 공급자 ARN은 대/소문자를 구분하며, ARN이 AWS 계정의 리소스에 일치해야 합니다.
  3. https://aws.amazon.com/SAML/Attributes/RoleSessionName 값을 검토합니다. 값이 사용자가 생성한 클레임 규칙으로 올바른 값과 일치하는지 확인합니다. 속성 값을 이메일 주소나 계정 이름으로 구성하는 경우 값이 인증된 Active Directory 사용자의 이메일 주소나 계정 이름과 일치해야 합니다.

오류 점검 및 구성 확인

이들 값에 오류가 있는지 점검하고 다음 구성이 올바른지 확인합니다.

  1. 클레임 규칙이 필요한 요소를 충족하도록 구성되어 있고 모든 ARN이 정확한지 확인합니다. 자세한 내용은 신뢰 당사자 신뢰로 SAML 2.0 IdP를 구성하고 클레임 추가하기를 참조하십시오.
  2. IdP에서 SAML 공급자의 AWS로 최신 메타데이터 파일을 업로드했는지 확인합니다. 자세한 내용은 Enabling SAML 2.0 Federated Users to Access the AWS Management Console을 참조하십시오.
  3. AWS Identity and Access Management(IAM) 역할의 신뢰 정책을 제대로 구성했는지 확인합니다. 자세한 내용은 역할 수정을 참조하십시오.
  4. 콘솔에 로그인하려는 Active Directory 사용자가 IAM 역할에 해당하는 Active Directory 그룹의 멤버인지 확인합니다.

일반적인 오류 목록은 AWS로 SAML 2.0 연동 문제 해결을 참조하십시오. Active Directory에서 클레임 규칙을 구성하고 있는 경우 AWS에 필요한 키 속성과 값을 식별하도록 인증 응답에 대한 SAML 어설션을 구성해야 합니다.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?