Amazon Cognito 사용자 풀을 사용하여 OneLogin을 SAML 자격 증명 공급자로 설정하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 6월 23일

Amazon Cognito 사용자 풀을 사용하면 OneLogin과 같은 SAML IdP를 비롯하여 타사(연동)를 통해 로그인할 수 있습니다. 자세한 내용은 타사를 통한 사용자 풀 로그인 추가 및 사용자 풀에 SAML 자격 증명 공급자 추가를 참조하세요.

OneLogin을 SAML IdP로 설정하려면 Amazon Cognito 사용자 풀과 애플리케이션이 포함되어 있는 OneLogin 계정이 필요합니다.

자세한 내용은 다음 문서를 참조하십시오.

• 자습서: 사용자 풀 생성
• Amazon Cognito 콘솔을 사용하여 호스팅된 UI 설정
  
• 사용자 풀의 도메인 이름 추가

참고: 사용자 풀을 생성할 때는 표준 속성인 email이 기본적으로 선택됩니다. 사용자 풀 속성에 대한 자세한 내용은 사용자 풀 속성 구성을 참조하세요.

OneLogin 웹 사이트에서 자세한 내용을 참조한 후 [무료 평가판 시작(Start a free trial)]을 선택하세요.

계정 생성 페이지의 [내 OneLogin 도메인(Your OneLogin Domain)]에서 OneLogin이 제공하는 도메인을 기록해 두세요.

1.    OneLogin 포털 페이지(https://your-new-domain.onelogin.com/portal/)에서 [Administration]을 선택합니다.

2.    [Administration] 페이지의 상단에서 [Apps]를 가리킨 후 [Add apps]를 선택합니다.

3.    [Find Applications] 아래의 검색 표시줄에 saml을 입력한 후 [SAML Test Connector (IdP)]를 선택하여 [Add SAML Test Connector (IdP)] 페이지를 엽니다.

4.    (선택 사항) 다음 중 하나를 수행합니다.
[Display Name]에 이름과 설명을 입력합니다. 예를 들어 Cognito 설정(IdP)이라고 입력할 수 있습니다.
페이지의 설명에 따라 [Rectangular Icon]과 [Square Icon]에 썸네일 아이콘을 업로드합니다.
[Description]에 간단한 설명을 입력합니다. 예를 들어 Amazon Cognito 사용자 풀용이라고 입력할 수 있습니다.

5.    [저장(Save)]을 선택합니다.

1.    [Configuration]을 선택합니다.

2.    [Configuration] 페이지에서 다음을 수행합니다.
[RelayState]에 올바른 URL(예: https://www.example.com)을 입력합니다.
[Audience]에 urn:amazon:cognito:sp:yourUserPoolId를 입력합니다.
[Recipient]는 비워 둡니다.
[ACS (Consumer) URL Validator]에는 https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse를 입력합니다.
[ACS (Consumer) URL]의 경우 https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse를 입력합니다.
[단일 로그아웃 URL(Single Logout URL)]은 비워 둡니다.

참고: [잠재 고객(Audience)]에서 yourUserPoolId는 실제 Amazon Cognito 사용자 풀 ID로 바꿉니다. 이 ID는 Amazon Cognito 콘솔 사용자 풀 관리 페이지의 [일반 설정(General settings)] 탭에서 확인할 수 있습니다.

[ACS (Consumer) URL Validator] 및 [ACS (Consumer) URL]에서 yourDomainPrefix와 region은 실제 사용자 풀의 값으로 바꾸십시오. 이 값은 Amazon Cognito 콘솔 사용자 풀 관리 페이지의 [도메인 이름(Domain name)] 탭에서 확인할 수 있습니다.

1.    [Parameters]를 선택합니다.

참고: 파라미터 중 하나(NameID (fka Email))가 이미 나열되어 있습니다. 이는 정상적인 동작입니다.

2.    [Add parameter]를 선택하여 사용자 지정 파라미터를 새로 생성합니다.

3.    [New Field] 대화 상자의 [Field name]에 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier를 입력합니다.

4.    [Flags]에서 [Include in SAML assertion] 확인란을 선택합니다.

5.    저장(Save)을 선택합니다.

6.    [Value]의 목록에서 [Email]을 선택합니다.

7.    [저장(Save)]을 선택합니다.

1.    [SSO]를 선택합니다.

2.    [Issuer URL]에서 URL을 클립보드로 복사합니다.

3.    [저장(Save)]을 선택하여 OneLogin 애플리케이션의 변경 사항을 모두 저장합니다.

자세한 내용은 사용자 풀에 대한 SAML 자격 증명 공급자 생성 및 관리를 참조하세요. 사용자 풀에 SAML 2.0 자격 증명 공급자를 구성하려면의 지침을 따르세요.

SAML IdP를 생성할 때 [메타데이터 문서(Metadata document)]에 복사한 발급자 URL을 붙여 넣습니다.

자세한 내용은 사용자 풀에 대한 자격 증명 공급자 속성 매핑 지정을 참조하세요. SAML 공급자 속성 매핑을 지정하려면의 설명을 따르세요.

SAML 속성을 추가할 때 [Attribute mapping]의 [SAML Attribute]에 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier를 입력합니다. [사용자 풀 속성(User pool attribute)]의 경우, 목록에서 [이메일(Email)]을 선택합니다.

참고: 테스트를 위한 예제 설정입니다. 프로덕션 설정의 경우 앱 클라이언트 설정에 권한 부여 코드 부여 OAuth 흐름을 사용하는 것이 좋습니다. 해당 흐름을 사용하면 리디렉션 URL에서 인증된 후에 권한 부여 코드를 받게 됩니다. 토큰 엔드포인트에 요청하여 이 권한 부여 코드를 JWT(JSON 웹 토큰)와 교환해야 합니다.

1.    사용자 풀에 대한 Amazon Cognito 콘솔 관리 페이지의 App integration에서 App client settings을 선택합니다. 그러고 나서 다음 작업을 수행합니다.
[Enabled identity providers]에서 [Select all] 확인란을 선택합니다.
[Callback URL(s)]에 로그인 후 사용자를 리디렉션할 URL을 입력합니다. 유효한 URL(예: https://www.example.com)을 입력하여 테스트할 수 있습니다.
[Sign out URL(s)]에 로그아웃 후 사용자를 리디렉션할 URL을 입력합니다. 유효한 URL(예: https://www.example.com)을 입력하여 테스트할 수 있습니다.
[Allowed OAuth Flows]에서 [Implicit grant] 확인란은 반드시 선택해야 합니다.
[Allowed OAuth Scopes]에서 [email] 및 [openid] 확인란은 반드시 선택해야 합니다.

2.    [변경 사항 저장(Save changes)]을 선택합니다.

자세한 내용은 앱 클라이언트 설정 용어를 참조하세요.

1.    브라우저에 https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl을 입력합니다.

참고: yourDomainPrefix와 region은 실제 사용자 풀의 값으로 바꿉니다. 이 두 값은 Amazon Cognito 콘솔의 사용자 풀 관리 페이지에 있는 [도메인 이름(Domain name)] 탭에서 확인할 수 있습니다.

yourClientId를 앱 클라이언트의 실제 ID로 바꾸고 redirectUrl을 앱 클라이언트의 콜백 URL로 바꿉니다. 이 ID는 Amazon Cognito 콘솔 사용자 풀 관리 페이지의 [ 앱 클라이언트 설정(App client settings)] 탭에서 확인할 수 있습니다.

자세한 내용은 Amazon Cognito의 호스팅 웹 UI를 구성하려면 어떻게 해야 합니까? 및 로그인 엔드포인트를 참조하세요.

2.    [OneLogin]을 선택합니다.

참고: 앱 클라이언트의 콜백 URL로 리디렉션되는 경우 이미 브라우저에서 OneLogin 계정에 로그인한 상태입니다. 모든 항목이 올바르게 설정되었습니다.

3.    OneLogin 페이지의 [Username]에 OneLogin 계정 사용자 이름을 입력합니다.

4.    Continue를 선택합니다.

5.    [Password]에 OneLogin 계정 암호를 입력합니다.

6.    Continue를 선택합니다.

앱 클라이언트의 콜백 URL로 리디렉션되는 경우 모든 설정이 제대로 구성된 것입니다.