AWS SSO를 QuickSight의 자격 증명 공급자로 설정하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 7월 19일

AWS SSO 포털과 Amazon QuickSight 모두에 AWS Single Sign-On(AWS SSO)을 사용하려 합니다. AWS SSO를 자격 증명 공급자로 추가하려면 어떻게 해야 합니까?

간략한 설명

AWS SSO 포털 및 QuickSight의 자격 증명 공급자로 AWS SSO를 사용하려면 다음 단계를 따르십시오.

  1. AWS SSO에서 QuickSight를 애플리케이션으로 추가합니다.
  2. SAML 자격 증명 공급자를 생성합니다.
  3. SAML 2.0 페더레이션에 대한 Identity and Access Management(IAM) 역할을 생성합니다.
  4. AWS SSO에서 속성을 구성합니다.
  5. 사용자를 AWS SSO에 할당합니다.
  6. QuickSight 계정을 구성합니다.

해결 방법

AWS SSO에서 QuickSight를 애플리케이션으로 추가

  1. AWS SSO 콘솔을 엽니다.
  2. 좌측 탐색 창에서 애플리케이션을 선택한 다음 새 애플리케이션 추가를 선택합니다.
  3. AWS SSO 애플리케이션 카탈로그 섹션에서 Amazon QuickSight를 선택합니다.
  4. Amazon QuickSight 구성 페이지의 세부 정보 아래에 애플리케이션의 표시 이름을 입력합니다. Amazon QuickSight 작성자를 예로 들 수 있습니다.
  5. AWS SSO 메타데이터 섹션에서 AWS SSO SAML 메타데이터 파일용 다운로드를 선택합니다.
  6. 애플리케이션 속성에서 https://quicksight.aws.amazon.comRelay 상태 값으로 설정합니다.
    참고: 애플리케이션 시작 URL이 비어 있는지 확인하십시오.
  7. 변경 사항 저장을 선택합니다.

참고: Okta, Azure Active Directory (Azure AD), Google Workspace, PingFederate, 또는 PingOne 등의 다른 ID 공급자를 사용할 수도 있습니다.

SAML 자격 증명 공급자 생성

  1. IAM 콘솔을 엽니다.
  2. 좌측 탐색 창에서 ID 공급자를 선택한 다음 공급자 추가를 선택합니다.
  3. 공급자 유형에서 SAML을 선택합니다.
  4. 공급자 이름에 자격 증명 공급자의 이름을 입력합니다.
  5. 메타데이터 문서에서 파일 선택을 선택한 다음, 다운로드한 SAML 메타데이터 문서를 선택합니다.
  6. 선택 사항: 태그 추가의 경우 ID 공급자를 식별하고 구성하는 데 도움이 되는 키-값 쌍을 추가합니다.
  7. 자격 증명 공급자의 ARN을 기록해 둡니다. 이를 사용하여 AWS SSO 애플리케이션에서 속성을 구성해야 합니다.
  8. 제공자 추가를 선택합니다.

SAML 2.0 페더레이션 IAM 역할을 생성합니다.

  1. IAM 콘솔을 엽니다.
  2. 왼쪽 탐색 창에서 역할을 선택한 후 역할 생성을 선택합니다.
  3. 신뢰할 수 있는 엔터티 유형에서 SAML 2.0 페더레이션을 선택합니다.
  4. SAML 2.0 공급자 선택에서 생성한 SAML 공급자를 선택한 다음, 프로그래밍 방식 및 AWS Management Console 액세스 허용 옵션을 선택합니다.
  5. 다음을 선택합니다.
  6. 권한 추가 페이지에서 역할에 인라인 정책을 연결하여, AWS SSO 사용자가 QuickSight에서 수행할 수 있는 작업을 제한합니다.
    참고: QuickSight는 Just In Time(JIT) 사용자 프로비저닝을 지원합니다. 사용자가 처음으로 QuickSight에 페더레이션하면 QuickSight가 자동으로 새 사용자를 생성합니다. 사용자 역할은 SAML 2.0 페더레이션을 위한 IAM 역할에 연결된 권한에 따라 달라집니다. 자세한 내용은 AWS에서 페더레이션 사용자에 대한 권한 구성을 참조하십시오.
  7. 다음을 선택합니다.
  8. 이름, 검토 및 생성 페이지의 역할 세부 정보 아래에 역할 이름을 입력합니다.
  9. 선택 사항: 태그 추가의 경우 역할을 식별하고 구성하는 데 도움이 되는 키-값 쌍을 추가합니다.
  10. 역할의 ARN을 기록해 둡니다. 이를 사용하여 AWS SSO 애플리케이션에서 속성을 구성해야 합니다.
  11. 역할 생성을 선택합니다.

중요: QuickSight 계정당 하나의 IAM 역할과 AWS SSO 인스턴스당 하나의 IAM 역할 속성 매핑만 매핑할 수 있습니다. 따라서 각 역할에 대해 AWS SSO 애플리케이션을 생성해야 합니다.

AWS SSO에서 속성 구성

  1. AWS SSO 콘솔을 엽니다.
  2. 좌측 탐색 창에서 애플리케이션을 선택한 다음 Amazon QuickSight를 선택합니다.
  3. 속성 매핑 탭을 선택한 다음 새 속성 매핑 추가를 선택합니다.
  4. 애플리케이션의 사용자 속성에 https://aws.amazon.com/SAML/Attributes/Role을 입력합니다.
  5. AWS SSO에서 이 문자열 값 또는 사용자 속성에 대한 맵에는 자격 증명 공급자 및 역할 ARN을 다음 형식으로 입력합니다.
    arn:aws:iam::ACCOUNTID:role/ROLENAME,arn:aws:iam::ACCOUNTID:saml-provider/SAMLPROVIDERNAME
  6. 변경 사항 저장을 선택합니다.

사용자를 AWS SSO에 할당

  1. AWS SSO 콘솔에서 할당된 사용자 탭을 선택한 다음 사용자 할당을 선택합니다.
  2. 사용자 탭을 선택한 다음 필요한 사용자를 추가합니다.
  3. 사용자 할당을 선택합니다.
  4. 그룹 탭을 선택한 다음 필요한 그룹을 추가합니다.
  5. 사용자 할당을 선택합니다.

QuickSight 계정 구성

AWS SSO에 인증 요청을 보내도록 QuickSight 설정

  1. AWS SSO 콘솔의 왼쪽 탐색 창에서 대시보드를 선택합니다.
  2. 사용자 포털에서 AWS SSO 사용자 이름과 암호로 로그인합니다.
  3. Amazon QuickSight 아이콘을 선택하고 새 브라우저 탭에서 엽니다. 그런 다음 URL을 복사합니다.
  4. 다른 브라우저 탭에서 관리자로 QuickSight에 로그인합니다.
  5. QuickSight 관리를 선택합니다.
  6. 왼쪽 탐색 창에서 Single sign-on(SSO)을 선택합니다.
  7. IdP URL 구성의 경우 3단계의 URL을 추가합니다.
  8. IdP 리디렉션 URL 파라미터RelayState를 입력합니다.
  9. 저장을 선택합니다.
  10. 서비스 공급업체 개시 SSO를 끕니다. 이 기능이 꺼져 있는지 확인합니다.

페더레이션 사용자에 대한 이메일을 동기화하도록 email 속성을 구성

1.    AWS SSO 콘솔에서 AssumeRoleWithSAML 또는 AssumeRoleWithWebIdentity을 사용하여 IAM 역할에 대한 신뢰 관계를 업데이트합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:TagSession",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/Email": "*"
        }
      }
    }
  ]
}

2.    이메일 속성을 구성하려면 앞의 AWS SSO에서 속성 구성 섹션의 단계를 수행합니다.
       애플리케이션의 사용자 속성에 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email을 입력합니다.
       AWS SSO에서 이 문자열 값 또는 사용자 속성에 매핑하려면 ${user:email}을 입력합니다.

3.    QuickSight에서 페더레이션 사용자에 대한 이메일 동기화 켜기
       관리자로 QuickSight에 로그인합니다.
       QuickSight 관리를 선택한 다음 Single sign-on(SSO)을 선택합니다.
       서비스 공급자가 시작한 SSO 페이지에서, 켜짐페더레이션 사용자의 이메일 동기화에 대해 선택합니다.

설정이 완료되면 AWS SSO 포털에서 QuickSight 계정으로 로그인할 수 있습니다.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?