AWS SSO를 사용해 Amazon Connect 인스턴스에 대한 SAML 2.0 기반 인증을 설정하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 8월 5일

AWS Single Sign-On(AWS SSO)을 사용해 Amazon Connect 인스턴스에 대한 SAML 2.0 기반 인증을 설정하려고 합니다. 어떻게 해야 합니까?

간략한 설명

Amazon Connect 인스턴스에 대한 SAML 2.0 기반 인증을 설정하려면 다음을 수행합니다.

중요: Amazon Connect 인스턴스가 있는 리전과 동일한 AWS 리전에서 다음 단계를 수행해야 합니다.

해결 방법

SAML 2.0 기반 인증을 사용하는 Amazon Connect 인스턴스 생성

Amazon Connect 인스턴스 생성의 지침을 따릅니다. 인스턴스를 구성할 때 다음을 수행해야 합니다.

Amazon Connect 인스턴스에 연결할 AWS SSO 클라우드 애플리케이션 생성

AWS SSO 사용 설명서의 클라우드 애플리케이션 추가 및 구성의 지침을 따릅니다. 클라우드 애플리케이션을 구성할 때 다음을 수행해야 합니다.

  • 클라우드 애플리케이션의 서비스 공급자로 Amazon Connect를 선택합니다.
  • AWS SSO 메타데이터에서 AWS SSO SAML 메타데이터 파일AWS SSO 인증서를 다운로드합니다.
    참고: IAM IdP를 설정할 때 해당 파일이 필요합니다. AWS SSO 이외의 IdP를 사용하는 경우 해당 IdP에서 SAML 메타데이터 파일을 가져와야 합니다.
  • 애플리케이션 속성에서 기본 릴레이 상태를 그대로 사용합니다.

IAM 역할 생성

IAM 자격 증명 공급자(콘솔) 생성 및 관리의 지침을 따릅니다. IdP를 생성할 때 다음을 수행해야 합니다.

  • 공급자 이름ConnectSSO를 입력합니다.
  • 메타데이터 문서의 경우 이전 단계에서 다운로드한 AWS SSO SAML 메타데이터 파일을 선택합니다.

중요: IdP의 Amazon 리소스 이름(ARN)을 기록해 둡니다. Amazon Connect 인스턴스의 사용자 속성을 AWS SSO 속성에 매핑할 때 필요합니다.

Amazon Connect 인스턴스에 대해 GetFederationToken 작업을 허용하는 IAM 정책 생성

다음 JSON 템플릿을 사용하여 Connect-SSO-Policy라는 IAM 정책을 생성합니다.

중요: <connect instance ARN>Amazon Connect 인스턴스의 ARN으로 교체합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "<connect instance ARN>/user/${aws:userid}"
            ]
        }
    ]
}

자세한 내용은 IAM 정책 생성GetFederationToken 단원을 참조하세요.

페더레이션 사용자에게 Amazon Connect 인스턴스에 대한 액세스 권한을 부여하는 IAM 역할 생성

AWS IAM 사용 설명서의 SAML 역할 생성의 지침을 따릅니다. IAM 역할을 생성할 때 다음을 수행해야 합니다.

  • SAML 공급자의 경우 Connect-SSO를 입력합니다.
  • 프로그래밍 방식 및 AWS 관리 콘솔 액세스 허용을 선택합니다.
  • 정책에서 이전 단계에서 만든 Connect-SSO 정책을 선택합니다.
  • 역할 이름Connect-SSO를 입력합니다.

중요: IAM 역할의 ARN을 기록해 둡니다. Amazon Connect 인스턴스의 사용자 속성을 AWS SSO 속성에 매핑할 때 필요합니다.

Amazon Connect 인스턴스의 사용자 속성을 AWS SSO 속성에 매핑

애플리케이션의 속성을 AWS SSO 속성에 매핑의 지침을 따릅니다. 속성을 매핑할 때 다음 속성 및 값을 추가해야 합니다.

중요: <IAM role ARN>IAM 역할의 ARN으로 교제합니다. <IAM IdP ARN>IAM IdP의 ARN으로 교체합니다.

속성
제목 ${user:email}
https://aws.amazon.com/SAML/Attributes/RoleSessionName ${user:email}
https://aws.amazon.com/SAML/Attributes/Role <IAM role ARN>,<IAM IdP ARN>

자세한 내용은 속성 매핑을 참조하세요.

AWS SSO에서 사용자를 생성하고 AWS SSO 클라우드 애플리케이션에 할당

AWS SSO에서 자격 증명 관리의 지침을 따릅니다.

IdP와 생성한 AWS SSO 사용자 자격 증명 중 하나를 사용하여 Amazon Connect에 로그인하여 설정 테스트

AWS SSO 사용 설명서의 사용자 포털에 로그인하는 방법의 지침을 따릅니다.