IAM Identity Center를 QuickSight의 ID 제공업체(IdP)로 설정하려면 어떻게 해야 하나요?

최종 업데이트 날짜: 2022년 12월 19일

IAM Identity Center와 Amazon QuickSight 모두에 대해 AWS IAM Identity Center(AWS Single Sign-On의 후속 서비스)를 사용하고 싶습니다. IAM Identity Center를 ID 제공업체(IdP)로 추가하려면 어떻게 해야 하나요?

간략한 설명

IAM Identity Center를 ID 제공업체(IdP)로 사용하려면 다음 단계를 따르세요.

  1. QuickSight를 IAM Identity Center에 애플리케이션으로 추가합니다.
  2. SAML ID 제공업체(IdP)를 생성합니다.
  3. SAML 2.0 페더레이션에 대한 AWS Identity and Access Management(IAM) 역할을 생성합니다.
  4. IAM Identity Center에서 속성을 구성합니다.
  5. 사용자를 IAM Identity Center에 할당합니다.
  6. QuickSight 계정을 구성합니다.

해결 방법

QuickSight를 IAM Identity Center에 애플리케이션으로 추가

  1. IAM Identity Center 콘솔을 엽니다.
  2. 좌측 탐색 창에서 Applications(애플리케이션)를 선택한 다음 Add application(애플리케이션 추가)을 선택합니다.
  3. Preintegrated applications(사전 통합된 애플리케이션) 섹션에서 Amazon QuickSight를 선택합니다. 그런 다음, Next(다음)를 선택합니다.
  4. Configure application(애플리케이션 구성) 페이지에서 애플리케이션의 Display name(디스플레이 이름)을 입력합니다. Amazon QuickSight 작성자를 예로 들 수 있습니다.
  5. IAM Identity Center metadata(IAM Identity Center 메타데이터) 섹션의 IAM Identity Center SAML metadata file(IAM Identity Center SAML 메타데이터 파일)에서 Download(다운로드) 아이콘을 선택합니다.
  6. Application properties(애플리케이션 속성)에서 https://quicksight.aws.amazon.comRelay(릴레이) 상태의 값으로 설정합니다.
    참고: Application start URL(애플리케이션 시작 URL)이 비어 있는 것을 확인해야 합니다.
  7. Submit(제출)을 선택합니다.

참고: Okta, Azure Active Directory(Azure AD), Google Workspace, PingFederate, 또는 PingOne 등의 다른 ID 제공업체(IdP)를 사용할 수도 있습니다.

SAML 자격 증명 공급자 생성

  1. IAM 콘솔을 엽니다.
  2. 좌측 탐색 창에서 ID 공급자를 선택한 다음 공급자 추가를 선택합니다.
  3. 공급자 유형에서 SAML을 선택합니다.
  4. 공급자 이름에 자격 증명 공급자의 이름을 입력합니다.
  5. 메타데이터 문서에서 파일 선택을 선택한 다음, 다운로드한 SAML 메타데이터 문서를 선택합니다.
  6. 선택 사항: 태그 추가의 경우 ID 공급자를 식별하고 구성하는 데 도움이 되는 키-값 쌍을 추가합니다.
  7. ID 제공업체(IdP)의 ARN을 기록해 둡니다. 이를 사용하여 IAM Identity Center 애플리케이션의 속성을 구성해야 합니다.
  8. Add provider(제공자 추가)를 선택합니다.

SAML 2.0 페더레이션 IAM 역할을 생성합니다.

  1. IAM 콘솔을 엽니다.
  2. 왼쪽 탐색 창에서 역할을 선택한 후 역할 생성을 선택합니다.
  3. Trusted entity type(신뢰할 수 있는 엔터티 유형)에서 SAML 2.0 federation(SAML 2.0 페더레이션)을 선택합니다.
  4. SAML 2.0–based provider(SAML 2.0 기반 공급자)의 경우 생성한 SAML 공급자를 선택합니다. Allow programmatic and AWS Management Console access(프로그래밍 방식 및 AWS Management Console 액세스 허용)를 선택합니다.
  5. Next(다음)를 선택합니다.
  6. 이름, 검토 및 생성 페이지의 역할 세부 정보 아래에 역할 이름을 입력합니다.
  7. 선택 사항: 태그 추가의 경우 역할을 식별하고 구성하는 데 도움이 되는 키-값 쌍을 추가합니다.
  8. 역할의 ARN을 기록해 둡니다. 이를 사용하여 IAM Identity Center 애플리케이션의 속성을 구성해야 합니다.
  9. Create role(역할 생성)을 선택합니다.
  10. 역할을 생성한 후 권한 추가 페이지에 액세스합니다. 역할에 인라인 정책을 연결하여 IAM Identity Center 사용자가 QuickSight에서 수행할 수 있는 작업을 제한합니다.
    참고: QuickSight는 Just In Time(JIT) 사용자 프로비저닝을 지원합니다. 사용자가 처음으로 QuickSight에 페더레이션하면 QuickSight가 자동으로 새 사용자를 생성합니다. 사용자 역할은 SAML 2.0 페더레이션을 위한 IAM 역할에 연결된 권한에 따라 달라집니다. 자세한 내용은 AWS에서 페더레이션 사용자에 대한 권한 구성을 참조하세요.

중요: QuickSight 계정당 하나의 IAM 역할과 IAM Identity Center 인스턴스당 하나의 IAM 역할 속성 매핑만 매핑할 수 있습니다. 따라서 각 역할에 대해 IAM Identity Center 애플리케이션을 생성해야 합니다.

IAM Identity Center에서 속성 구성

  1. IAM Identity Center 콘솔을 엽니다.
  2. 왼쪽 탐색 창에서 Applications(애플리케이션)을 선택합니다. 그런 다음 이 문서의 Add QuickSight as an application in IAM Identity Center(IAM Identity Center에서 QuickSight를 애플리케이션으로 추가) 섹션에서 생성한 애플리케이션을 선택합니다.
  3. Actions(작업)를 선택한 다음 드롭다운에서 Edit attribute mappings(속성 매핑 편집)을 선택합니다.
  4. User attribute in the application(애플리케이션의 사용자 속성)에 https://aws.amazon.com/SAML/Attributes/Role을 입력합니다.
  5. Maps to this string value or user attribute in IAM Identity Center(IAM Identity Center에서 이 문자열 값 또는 사용자 속성에 대한 맵)에는 ID 제공업체(IdP) 및 역할 ARN을 다음 형식으로 입력합니다.
    arn:aws:iam::ACCOUNTID:role/ROLENAME,arn:aws:iam::ACCOUNTID:saml-provider/SAMLPROVIDERNAME
  6. Save changes(변경 사항 저장)를 선택합니다.

사용자를 IAM Identity Center에 할당

  1. IAM Identity Center 콘솔에서 Assigned users(할당된 사용자) 탭을 선택한 다음, Assign users(사용자 할당)을 선택합니다.
  2. Users(사용자) 탭을 선택한 다음 필요한 사용자를 추가합니다.
  3. 사용자 할당을 선택합니다.
  4. 그룹 탭을 선택한 다음 필요한 그룹을 추가합니다.
  5. 사용자 할당을 선택합니다.

QuickSight 계정 구성

IAM Identity Center에 인증 요청을 보내도록 QuickSight 설정

  1. IAM Identity Center 콘솔의 왼쪽 탐색 창에서 Dashboard(대시보드)를 선택합니다.
  2. AWS 액세스 포털에서 IAM Identity Center 사용자 이름 및 암호로 로그인합니다.
  3. Amazon QuickSight 아이콘을 선택하고 새 브라우저 탭에서 엽니다. 그런 다음 URL을 복사합니다.
  4. 다른 브라우저 탭에서 관리자로 QuickSight에 로그인합니다.
  5. QuickSight 관리를 선택합니다.
  6. 왼쪽 탐색 창에서 Single sign-on(SSO)을 선택합니다.
  7. IdP URL 구성의 경우 3단계의 URL을 추가합니다.
  8. IdP 리디렉션 URL 파라미터RelayState를 입력합니다.
  9. Save(저장)를 선택합니다.
  10. Service Provider Initiated SSO(서비스 공급업체 개시 SSO)를 끕니다. 이 기능이 꺼져 있는지 확인합니다.

페더레이션 사용자에 대한 이메일을 동기화하도록 email 속성을 구성

1.    IAM 콘솔에서 AssumeRoleWithSAML 또는 AssumeRoleWithWebIdentity를 사용하여 IAM 역할에 대한 신뢰 관계를 업데이트합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:TagSession",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/Email": "*"
        }
      }
    }
  ]
}

2.    이메일 속성을 구성하려면 앞의 Configure attributes in IAM Identity Center(IAM Identity Center에서 속성 구성) 섹션에 나온 단계를 따릅니다.
       애플리케이션의 사용자 속성에 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email을 입력합니다.
       IAM Identity Center에서 이 문자열 값 또는 사용자 속성에 매핑하려면 ${user:email}을 입력합니다.

3.    QuickSight에서 페더레이션 사용자에 대한 이메일 동기화 켜기
       관리자로 QuickSight에 로그인합니다.
       QuickSight 관리를 선택한 다음 Single sign-on(SSO)을 선택합니다.
       서비스 공급자가 시작한 SSO 페이지에서 Email Syncing for Federated users(페더레이션 사용자의 이메일 동기화)에 대해 On(켜짐)을 선택합니다.

설정이 완료되면 IAM Identity Center 포털에서 QuickSight 계정으로 로그인할 수 있습니다.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?