SAML 응답을 캡처하고 분석하여 AWS와 SAML 2.0 연동의 일반적인 오류를 해결하려면 어떻게 해야 합니까?

간략한 설명

SAML 연동을 사용하는 경우 Active Directory를 제대로 구성했는지 확인하세요. 자세한 내용은 Active Directory Federation Services(AD FS)를 통한 AWS 연동 인증을 참조하세요.

AWS 계정에 대한 연동 액세스를 처음 설정하는 경우 AWS IAM Identity Center(AWS Single Sign-On 후속) 서비스를 사용하여 여러 AWS 계정에 대한 중앙 관리형 IAM Identity Center 액세스를 제공하는 것이 좋습니다.

SAML 관련 오류를 해결하려면 다음을 수행합니다.

• 브라우저에서 SAML 응답을 캡처하고 디코딩합니다.
• 디코딩된 파일의 값을 검토합니다.
• 오류가 있는지 점검하고 구성을 확인합니다.

해결 방법

SAML 응답 캡처 및 디코딩

브라우저에서 SAML 응답을 캡처하고 디코딩한 다음 AWS로 전송된 정보를 검토합니다. 브라우저별 설명은 문제 해결을 위해 브라우저에서 SAML 응답을 보는 방법을 참조하세요.

디코딩된 파일의 값 검토

디코딩된 SAML 응답 파일의 값을 검토합니다.

1.    saml:NameID 속성의 값이 인증된 사용자의 사용자 이름과 일치하는지 확인합니다.

2.    https://aws.amazon.com/SAML/Attributes/Role 값을 검토합니다. 역할 및 SAML 공급자의 Amazon 리소스 이름(ARN)은 대/소문자를 구별하며 AWS 계정의 리소스와 일치해야 합니다.

3.    https://aws.amazon.com/SAML/Attributes/RoleSessionName 값을 검토합니다. 이 값이 클레임 규칙으로 올바른 값과 일치하는지 확인합니다. 이 속성 값을 이메일 주소 또는 계정 이름으로 구성하는 경우 인증된 Active Directory 사용자의 이메일 주소 또는 계정 이름에 해당해야 합니다.

오류 점검 및 구성 확인

이러한 값에 오류가 없는지 점검하고 다음 구성이 올바른지 확인합니다.

1.    클레임 규칙이 필요한 요소를 충족하도록 구성되어 있고 모든 ARN이 정확한지 확인합니다. 자세한 내용은 SAML 2.0 IdP에서 신뢰 당사자 신뢰 구성 및 클레임 추가를 참조하세요.

2.    IdP에서 SAML 공급자의 AWS로 최신 메타데이터 파일을 업로드했는지 확인합니다. 자세한 내용은 SAML 2.0 페더레이션 사용자가 AWS Management Console에 액세스할 수 있게 하기를 참조하세요.

3.    AWS Identity and Access Management(IAM) 역할의 신뢰 정책을 제대로 구성했는지 확인합니다. 자세한 내용은 역할 변경을 참조하세요.

4.    콘솔에 로그인하려는 Active Directory 사용자가 IAM 역할에 해당하는 Active Directory 그룹의 회원인지 확인합니다.

일반적인 오류 목록은 AWS로 SAML 2.0 연동 문제 해결을 참조하세요. Active Directory에서 클레임 규칙을 구성하고 있는 경우 AWS에 필요한 키 속성과 값을 식별하도록 인증 응답에 대한 SAML 어설션을 구성해야 합니다.

---