Amazon Cognito 사용자 풀에서 Okta를 OpenID Connect ID 공급자로 설정하려면 어떻게 해야 하나요?

간단한 설명

Amazon Cognito 사용자 풀은 Okta에서 IdP를 통하는 것을 포함하여 타사(페더레이션)를 통한 로그인을 허용합니다. 자세한 내용을 보려면 타사를 통한 사용자 풀 로그인 추가 및 사용자 풀에 OIDC ID 공급자 추가를 참조하세요.

Okta와 통합된 사용자 풀을 사용하면 Okta 앱의 사용자가 Amazon Cognito에서 사용자 풀 토큰을 가져올 수 있습니다. 자세한 내용을 보려면 사용자 풀에 토큰 사용를 참조하세요.

해결 방법

앱 클라이언트와 도메인 이름을 사용하여 Amazon Cognito 사용자 풀 생성

1. 사용자 풀을 생성합니다.
   참고:생성 중에 표준 속성이메일이 기본적으로 선택됩니다. 자세한 내용을 보려면 사용자 풀 속성 구성을 참조하십시오.
2. 사용자 풀에서 앱 클라이언트를 생성합니다. 자세한 내용을 보려면 앱을 추가해 호스팅된 웹 UI 추가를 참고하세요.
3. 사용자 풀에 도메인 이름을 추가합니다.

Okta 개발자 계정에 가입

참고: 이미 Okta 개발자 계정이 있다면, 로그인하세요.

1. Okta 개발자 가입 웹 페이지에서 개인 정보를 입력한 다음 가입을 선택합니다. Okta 개발자 팀에서는 사용자가 제공한 이메일 주소로 확인 이메일을 보냅니다.
2. 확인 이메일에서 사용자의 계정에 대한 로그인 정보를 찾으세요. 활성화를 선택하고 로그인한 후 계정 생성을 완료합니다.

Okta 앱 생성

1. Okta 개발자 콘솔을 엽니다. 콘솔에 대한 자세한 내용을 보려면 Okta 개발자 블로그에서 새롭게 디자인된 관리자 콘솔 및 대시보드 - 이제 GA에서 만나보세요!를 참조하세요.
2. 탐색 메뉴에서 애플리케이션을 열고 애플리케이션을 선택합니다. 그러면 애플리케이션 콘솔이 열립니다. 자세한 내용을 보려면 Okta 개발자 웹 사이트의 Okta Organizations 페이지에서 관리자 콘솔을 참조하세요.
3. 앱 통합 생성을 선택합니다.
4. 새** 앱 통합 생성** 페이지에서 OpenID Connect를 선택하고 웹 애플리케이션을 선택한 후 다음을 선택합니다.

Okta 앱 설정 구성

1. 새 웹 앱 통합 페이지의 일반 설정에서 사용자 앱의 이름을 입력합니다. TestApp을 예로 들 수 있습니다.
2. 권한 부여 유형에서 승인 코드 확인란이 선택되어 있는지 확인합니다. 사용자 풀은 이 흐름을 사용하여 Okta OIDC와 통신하여 페더레이션 사용자 로그인을 수행합니다.
3. 로그인 리디렉션 URI의 경우, https://myUserPoolDomain/oauth2/idpresponse을 입력합니다. 여기에서 Okta가 인증 응답 및 ID 토큰을 보냅니다.
   참고: myUserPoolDomain을 Amazon Cognito 사용자 풀 도메인으로 교체합니다. 사용자 풀의 도메인 이름 페이지에 있는 Amazon Cognito 콘솔에서 도메인을 찾을 수 있습니다.
4. OPENID 연결 구성에서 로그인 리디렉션 URI에 https://myUserPoolDomain/oauth2/idpresponse를 입력합니다. 여기에서 Okta가 인증 응답 및 ID 토큰을 보냅니다.
   참고: myUserPoolDomain을 Amazon Cognito 사용자 풀 도메인으로 교체합니다. 사용자 풀의 도메인 이름 페이지에서 Amazon Cognito 콘솔에서 도메인을 찾습니다.
5. 제어된 액세스에서 원하는 액세스 설정을 선택한 다음 저장을 선택합니다.
6. 클라이언트 자격 증명에서 클라이언트 ID 및 클라이언트 암호를 복사합니다. Amazon Cognito 사용자 풀에서 Okta를 구성하려면 이러한 자격 증명이 필요합니다.
7. 로그인을 선택합니다.
8. 로그온 페이지의 OpenID Connect ID 토큰에서 발급자 URL을 기록해 둡니다. 사용자 풀에서 Okta를 구성하려면 이 URL이 필요합니다.

사용자 풀에 OIDC IdP 추가

1. Amazon Cognito 콘솔에서 사용자 풀 관리를 선택한 다음, 사용자 풀을 선택합니다.
2. 왼쪽 탐색 창의 페더레이션에서 Id 공급자를 선택합니다.
3. OpenID 연결을 선택합니다.
4. 다음을 실행합니다.
   공급자 이름에 IdP 이름을 입력합니다. 이 이름이 Amazon Cognito에 호스팅된 웹 UI에 표시됩니다.
   참고: 공급자를 생성한 후에는 이 필드를 변경할 수 없습니다. 앱에 이 필드를 포함하거나 Amazon Cognito 호스팅 웹 UI를 사용하려는 경우, 앱 사용자가 보기에 편한 이름을 사용하세요.
   클라이언트 ID에는 이전에 Okta에서 기록해 둔 클라이언트 ID를 붙여넣습니다.
   **클라이언트 암호(선택 사항)**에는 이전에 Okta에서 기록해 둔 클라이언트 암호를 붙여넣습니다.
   속성 요청 메서드에 설정 GET을 유지합니다.
   권한 범위에 승인하려는 OIDC 범위 값을 공백으로 구분하여 입력합니다. 자세한 내용을 보려면 OpenID 웹사이트에서 OpenID Connect 기본 클라이언트 구현자 가이드 1.0의 범위 값을 참조하세요.
   중요: OIDC IdP에는 openid 범위가 필요하며 사용자 풀 구성에 따라 다른 범위를 추가할 수 있습니다. 예를 들어, 사용자 풀을 생성할 때 이메일을 필수 속성으로 유지한 경우 두 범위를 모두 포함하도록 이메일 openid를 입력합니다. 나중에 이 설정에서 이메일 속성을 사용자 풀에 매핑할 수 있습니다.
   발급자에서 이전에 Okta에서 복사한 발급자 URL을 붙여넣습니다.
   **식별자(선택 사항)**에서 OIDC IdP 이름 대신 나중에 사용할 사용자 지정 문자열을 엔드포인트 URL에 선택적으로 입력할 수 있습니다.
5. Okta의 OIDC 구성 엔드포인트를 가져오려면 검색 실행을 선택합니다.
6. 공급자 생성을 선택합니다.

자세한 내용을 보려면 사용자 풀에 OIDC IdP 추가하기를 참조하세요.

사용자 풀의 앱 클라이언트 설정 변경

1. Amazon Cognito 콘솔에서 사용자 풀 관리를 선택한 다음, 사용자 풀을 선택합니다.
2. 왼쪽 탐색 창의 앱 통합에서 앱 클라이언트 설정을 선택합니다.
3. 앱 클라이언트 페이지에서 다음을 수행합니다.
   ID 제공자 활성화에서 이전에 생성한 IdP에 대한 OIDC 공급자 확인란을 선택합니다.
   (선택 사항) Cognito 사용자 풀 확인란을 선택합니다.
   콜백 URL에 사용자가 로그인한 후 리디렉션할 URL을 입력합니다. 테스트를 위해 **https://example.com/**와 같은 유효한 URL을 입력할 수 있습니다.
   로그아웃 URL에 로그아웃 후 사용자가 리디렉션될 URL을 입력합니다. 테스트를 위해 https://example.com/와 같은 유효한 URL을 입력할 수 있습니다.
   허용된 OAuth 흐름에서 Cognito 인증 후 애플리케이션이 수신할 권한 유형에 해당하는 흐름을 선택합니다.
   참고: 사용하도록 설정하는 허용된 OAuth 흐름에 따라 엔드포인트 URL의 response_type 매개변수에 사용할 수 있는 값(코드 또는 토큰)이 결정됩니다.
   허용된 OAuth 범위에서 이메일과openid 확인란은 반드시 선택해야 합니다.
4. 변경 내용 저장을 선택합니다.

자세한 내용을 보려면 앱 클라이언트 설정 용어를 참조하세요.

이메일 속성을 사용자 풀 속성에 매핑하기

이전에 이메일 OIDC 범위 값을 승인한 경우 이를 사용자 풀 속성에 매핑합니다.

1. Amazon Cognito 콘솔에서 사용자 풀 관리를 선택한 다음, 사용자 풀을 선택합니다.
2. 왼쪽 탐색 창의 페더레이션에서 속성 매핑을 선택합니다.
3. 속성 매핑 페이지에서 OIDC 탭을 선택합니다.
4. 사용자 풀에 OIDC 공급자가 두 개 이상 있는 경우, 드롭다운 목록에서 새 공급자를 선택합니다.
5. OIDC 속성 sub가 사용자 풀 속성 사용자 이름에 매핑되는지 확인합니다.
6. OIDC 속성 추가를 선택하고 다음을 수행합니다.
   OIDC 속성에 이메일을 입력합니다.
   사용자 풀 속성에 이메일을 선택합니다.

자세한 내용을 보려면 사용자 풀의 ID 제공자 속성 매핑 지정을 참고하세요.

로그인하여 설정 테스트하기

Amazon Cognito 호스팅 웹 UI를 사용하여 Okta로 인증합니다. 로그인에 성공하면 앱 클라이언트의 콜백 URL로 리다이렉션됩니다. 인증 코드 또는 사용자 풀 토큰은 웹 브라우저의 주소 표시줄에 있는 URL에 표시됩니다.

자세한 내용을 보려면 가입 및 로그인을 위한 Amazon Cognito 호스팅 UI 사용을 참조하십시오.

관련 정보

OIDC 사용자 풀 IdP 인증 흐름

Okta를 Amazon Cognito 사용자 풀의 SAML ID 공급자로 설정하려면 어떻게 해야 하나요?