일반

AWS Single Sign-On(AWS SSO)이란 무엇입니까?

AWS SSO는 SSO(single sign-on)를 사용하여 Microsoft Active Directory의 기존 자격 증명으로 AWS 계정과 비즈니스 애플리케이션(Office 365, Salesforce, Box) 같은 클라우드 기반 애플리케이션에 액세스할 수 있는 AWS 서비스입니다.

AWS SSO를 사용하면 어떤 이점이 있습니까?

AWS SSO를 사용하면 여러 AWS 계정, SAML 지원 클라우드 애플리케이션(Salesforce, Office 365, Box 등), 사용자 빌드 사내 애플리케이션에 대한 직원들의 액세스 권한을 중앙에서 쉽고 빠르게 할당하고 관리할 수 있습니다. 직원들은 개인에 맞게 설정된 사용자 포털에서 기존의 회사 Active Directory 사용자 이름과 암호로 로그인해 애플리케이션에 액세스함으로써 생산성을 높일 수 있습니다. 이제는 직원들이 여러 개의 자격 증명과 클라우드 애플리케이션에 대한 액세스 URL을 일일이 기억할 필요가 없으며, 신입 직원도 첫날부터 생산성을 발휘할 수 있습니다. 적절한 Active Directory 그룹에 사용자를 추가하면 해당 그룹의 구성원이 사용할 수 있는 계정과 애플리케이션에 대한 액세스 권한이 자동으로 부여됩니다. AWS CloudTrail에서 로그인 활동을 중앙 집중식으로 모니터링하고 감사할 수 있으므로 클라우드 애플리케이션에 대한 가시성이 향상됩니다.

AWS SSO로 어떤 문제를 해결할 수 있습니까?

AWS SSO는 AWS 계정과 비즈니스 애플리케이션에 대한 ID 프로비저닝 및 관리에 사용하는 사용자 지정 SSO 솔루션 관리의 복잡성을 해소합니다. 사용하는 AWS 계정이 여러 개이고 정기적으로 계정이 추가되므로 계정 액세스를 위해 Active Directory Federation Services(AD FS)를 사용하여 SSO를 설정하려면 사용자 지정 AD FS 클레임 프로그래밍 언어를 배워야 합니다. 또한 이러한 계정에 액세스하는 데 필요한 권한이 포함된 AWS 계정을 준비해야 합니다. AWS SSO는 추가 비용 없이 사용할 수 있으며, AWS와 긴밀히 통합되어 있어 반복적인 설정과 분산된 관리에 따르는 복잡성을 줄여 줍니다. AWS 계정이나 클라우드 애플리케이션마다 서로 다른 암호를 사용하여 액세스하는 경우, AWS SSO는 각 AWS 계정이나 클라우드 비즈니스 애플리케이션에 필요한 개별 암호를 제거함으로써 사용자 환경을 단순화하고 보안을 개선합니다. AWS SSO는 AWS CloudTrail과 통합되고 AWS 계정 및 Office 365, Salesforce, Box 등의 SAML 지원 클라우드 애플리케이션에 대한 SSO 액세스를 감사할 수 있는 중앙 위치를 제공함으로써 클라우드 애플리케이션에 대한 제한된 가시성 문제를 해결합니다.

AWS SSO를 사용해야 하는 이유는 무엇입니까?

사용자 지정 스크립트 작성이나 범용 SSO 솔루션에 대한 투자 없이 직원들에게 AWS 계정 및 비즈니스 클라우드 애플리케이션에 대한 액세스 권한을 부여하여 빠르게 생산성을 발휘하도록 지원하려면 AWS SSO가 필요합니다. SSO 액세스 설정 및 관리에 따르는 복잡성과 비용을 줄이기 위해서도 AWS SSO가 필요합니다.

AWS SSO는 직원들이 AWS SSO 사용자 포털에서 AWS 계정과 애플리케이션에 액세스할 수 있는 곳으로, 이러한 애플리케이션이 어디서 구축 또는 호스팅되었는지는 문제가 되지 않습니다.

AWS SSO로 무엇을 할 수 있습니까?

AWS SSO를 사용하여 AWS Organizations가 관리하는 AWS 계정, Salesforce, Office 365, Box 등의 비즈니스 클라우드 애플리케이션 및 Security Assertion Markup Language(SAML) 2.0을 지원하는 사용자 지정 애플리케이션에 대한 액세스 권한을 직원들에게 쉽고 빠르게 할당할 수 있습니다. 직원들은 단일 사용자 포털에서 기존의 회사 사용자 이름과 암호로 로그인하여 비즈니스 애플리케이션에 액세스할 수 있습니다. 또한 AWS SSO는 AWS CloudTrail을 사용하여 클라우드 서비스에 대한 사용자의 액세스를 감사할 수 있습니다.

AWS SSO를 사용하는 주체는 누구입니까?

AWS SSO는 관리하는 AWS 계정과 비즈니스 애플리케이션이 많고, 이러한 클라우드 서비스에 대한 사용자 액세스를 중앙에서 관리하려 하며, 새로운 암호를 외울 필요 없이 이러한 계정과 애플리케이션에 액세스할 수 있는 단일 위치를 직원들에게 제공하려는 관리자를 위한 솔루션입니다.

AWS SSO는 어떻게 시작해야 합니까?

새로 AWS SSO 고객이 되었다면 다음과 같이 하십시오.

  1. AWS 계정 내 마스터 계정의 AWS Management Console에 로그인하고 AWS SSO 콘솔로 갑니다.
  2. AWS SSO 콘솔에서 AWS SSO가 자동으로 계정에서 검색하는 Active Directory 목록과 Active Directory Connector 인스턴스를 클릭하여 사용자 및 그룹의 ID 저장에 사용할 디렉터리를 선택합니다. 아직 디렉터리를 설정하지 않았다면 시작하기를 참조하십시오.
  3. AWS SSO에 의해 채워지는 목록에서 AWS 계정을 선택하고 디렉터리에서 사용자 또는 그룹을 선택한 다음 이들에게 부여할 권한을 선택하여 조직 내 AWS 계정에 대한 SSO 액세스 권한을 사용자에게 부여하십시오. 
  4. 비즈니스 클라우드 애플리케이션에 대한 액세스 권한을 사용자에게 부여하는 방법은 다음과 같습니다.
    1. AWS SSO에서 지원되는 사전 통합된 애플리케이션 목록에서 애플리케이션을 하나 선택.
    2. 구성 지침에 따라 애플리케이션 구성.
    3. 이 애플리케이션에 액세스할 사용자 또는 그룹 선택.
  5. 디렉터리에 연결할 때 생성된 AWS SSO 로그인 웹 주소를 직원들에게 제공하면 직원들은 Active Directory 사용자 이름과 암호로 AWS SSO에 로그인하여 계정 및 비즈니스 애플리케이션에 액세스할 수 있습니다.

AWS SSO 사용료는 얼마입니까?

AWS SSO는 추가 요금 없이 제공됩니다.

AWS SSO는 어느 AWS 리전에서 사용할 수 있습니까?

AWS SSO를 사용할 수 있는 리전은 AWS 리전 표를 참조하십시오.

디렉터리 및 애플리케이션 지원

AWS SSO를 어떤 디렉터리에 사용할 수 있습니까?

온프레미스나 AWS 클라우드에서 실행되는 Microsoft Active Directory에 AWS SSO를 연결할 수 있습니다. AWS SSO는 AWS Managed Microsoft AD라고도 하는 Microsoft Active Directory용 AWS Directory Service와 AD Connector를 지원합니다. AWS SSO는 Simple AD를 지원하지 않습니다. 자세한 내용은 AWS Directory Service 시작하기를 참조하십시오.

Amazon Cognito 사용자 풀을 AWS SSO에서 연결된 디렉터리로 사용할 수 있습니까?

현재는 지원되지 않습니다. 현재 AWS SSO는 사용자 디렉터리로 Microsoft Active Directory만 지원합니다. 다른 디렉터리 유형은 시간이 지나면서 고객 피드백과 요구에 따라 추가될 수 있습니다.

AWS SSO를 사용하여 어떤 클라우드 기반 애플리케이션에 연결할 수 있습니까?

AWS SSO에 연결할 수 있는 애플리케이션은 다음과 같습니다.

  1. AWS Management Console: AWS Management Console에 대한 SSO 액세스를 설정할 수 있습니다.
  2. 타사 SaaS 애플리케이션: AWS SSO는 일반적으로 사용되는 비즈니스 애플리케이션이 사전 통합된 상태로 제공됩니다. 종합 목록은 AWS SSO 콘솔을 참조하십시오.
  3. 사용자 지정 SAML 애플리케이션: AWS SSO는 SAML 2.0을 사용한 자격 증명 연동을 허용하는 애플리케이션을 지원합니다. AWS SSO가 사전 통합되어 있지 않은 애플리케이션의 경우 AWS SSO 사용자 지정 애플리케이션 마법사를 사용하여 SSO를 설정할 수 있습니다.

온프레미스에서 Active Directory의 사용자와 그룹을 관리하고 있는데, 내 디렉터리를 AWS SSO에 연결하려면 어떻게 해야 합니까? 

온프레미스에서 호스팅되는 Active Directory를 AWS SSO에 연결하는 방법은 두 가지입니다. (1) AWS Managed Microsoft AD 트러스트 관계를 사용하거나 (2) AD Connector를 사용하는 것입니다.

AWS Managed Microsoft AD는 AWS 클라우드 내에 완전관리형 Active Directory를 생성하며, 온프레미스 디렉터리와 AWS Managed Microsoft AD 사이에 포리스트 트러스트 관계를 설정하는 데 사용할 수 있습니다. 트러스트 관계를 설정하려면 트러스트 관계 생성 시기를 참조하십시오.

AD Connector는 클라우드에서 어떤 정보도 캐싱하지 않고 디렉터리 요청을 온프레미스 Microsoft Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이입니다. AD Connector를 사용하여 온프레미스 디렉터리에 연결하려면 AD Connector를 참조하십시오.

AWS Identity and Access Management(IAM)의 사용자와 그룹을 관리하고 있는데, 내 디렉터리를 AWS SSO에 연결할 수 있습니까? 

현재 AWS SSO는 AWS IAM 사용자와 그룹을 지원하지 않습니다.

둘 이상의 디렉터리를 AWS SSO에 연결할 수 있습니까? 

아니요. 언제든 AWS SSO에 하나의 디렉터리만 연결할 수 있습니다. 다만 연결된 디렉터리를 다른 디렉터리로 변경할 수는 있습니다.

AWS 계정에 대한 SSO 액세스

어떤 AWS 계정을 AWS SSO에 연결할 수 있습니까?

AWS Organizations를 사용하여 관리되는 AWS 계정이라면 AWS SSO에 추가할 수 있습니다. 계정 SSO를 관리하려면 조직에서 모든 기능을 활성화해야 합니다.

우리 조직 내 조직 단위(OU)의 AWS 계정에 대한 SSO를 어떻게 설정해야 합니까?

조직 내 계정을 선택하거나 OU 기준으로 계정을 필터링하면 됩니다.

사용자가 SSO를 사용하여 계정에 액세스할 때 사용자에게 부여되는 권한을 제어하려면 어떻게 해야 합니까?

사용자에게 SSO 액세스 권한을 부여할 때 권한 집합을 선택하여 사용자의 권한을 제한할 수 있습니다. 권한 집합이란 AWS SSO에서 생성할 수 있는 권한의 모음으로, 직무에 대한 AWS 관리형 정책 또는 모든 AWS 관리형 정책을 기반으로 권한을 모델링합니다. 직무에 대한 AWS 관리형 정책은 IT 업계의 일반적인 직무와 긴밀하게 연결되도록 구성됩니다. 필요할 경우, 보안 요구 사항 충족을 위해 권한 집합을 완전히 사용자 지정할 수도 있습니다. AWS SSO는 선택한 계정에 이러한 권한을 자동으로 적용합니다. 권한 집합을 변경할 때 AWS SSO로 변경 내용을 관련 계정에 쉽게 적용할 수 있습니다. 사용자가 AWS SSO 사용자 포털을 통해 계정에 액세스할 때 이러한 권한은 사용자가 해당 계정 내에서 할 수 있는 작업을 제한합니다. 사용자에게 여러 권한 집합을 부여할 수도 있습니다. 사용자 포털을 통해 계정에 액세스할 때 사용자는 해당 세션에 사용할 권한 집합을 선택할 수 있습니다.

어떤 AWS 계정에서 AWS 명령줄 인터페이스(CLI) 자격 증명을 얻을 수 있습니까?

모든 AWS 계정, 그리고 AWS SSO 관리자에게 할당받은 사용자 권한에 대해 AWS CLI 자격 증명을 얻을 수 있습니다. 이러한 CLI 자격 증명을 사용하여 프로그래밍 방식으로 AWS 계정에 액세스할 수 있습니다.

AWS SSO 사용자 포털의 AWS 명령줄 인터페이스 자격 증명은 유효 기간이 얼마입니까?

AWS SSO 사용자 포털에서 가져온 AWS CLI 자격 증명은 60분간 유효합니다. 필요한 만큼 자주 새로운 자격 증명 세트를 얻을 수 있습니다.

비즈니스 애플리케이션에 대한 SSO 액세스

Salesforce 같은 비즈니스 애플리케이션에 대한 SSO는 어떻게 설정해야 합니까?

AWS SSO 콘솔에서 애플리케이션 창으로 간 다음 '새 애플리케이션 구성'을 선택하고 AWS SSO에 사전 통합된 클라우드 애플리케이션 목록에서 애플리케이션을 선택하십시오. 화면 안내에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 '액세스 할당'을 선택해 프로세스를 완료하십시오.

우리 회사는 AWS SSO에 사전 통합된 애플리케이션 목록에 없는 비즈니스 애플리케이션을 사용하고 있습니다. 그래도 AWS SSO를 사용할 수 있습니까? 

예. 애플리케이션이 SAML 2.0을 지원하는 경우, 애플리케이션을 사용자 지정 SAML 2.0 애플리케이션으로 구성할 수 있습니다. AWS SSO 콘솔에서 애플리케이션 창으로 간 다음 '새 애플리케이션 구성'을 선택하고 사용자 지정 SAML 2.0 애플리케이션을 선택하십시오. 지침에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 '액세스 할당'을 선택해 프로세스를 완료하십시오.

애플리케이션이 OpenID Connect(OIDC)만 지원하는데, AWS SSO로 SSO를 설정할 수 있습니까?

아니요. AWS SSO는 SAML 2.0 기반 애플리케이션만 지원합니다.

AWS SSO는 네이티브 모바일 및 데스크톱 애플리케이션에 대한 Single Sign-On을 지원합니까?

아니요. AWS SSO는 웹 브라우저를 통한 비즈니스 애플리케이션에 대해서만 Single Sign-On을 지원합니다. 

기타

AWS SSO는 사용자를 대신하여 어떤 데이터를 저장합니까?

AWS SSO는 어떤 사용자와 그룹에 어떤 AWS 계정과 클라우드 애플리케이션이 할당되는지, 그리고 AWS 계정에 액세스하기 위해 어떤 권한이 부여되었는지에 관한 데이터를 저장합니다. 또한 AWS SSO는 사용자에게 액세스를 부여하는 각 권한 집합을 위해 개별 AWS 계정에서 IAM 역할을 생성하고 관리합니다.

AWS SSO는 다단계 인증(MFA)을 지원합니까? 

예. RADIUS(Remote Authentication Dial-In User Service) 서버를 운영하고 Active Directory 또는 AD Connector와 연동하도록 RADIUS 서버를 구성하면 사용자가 추가 단계를 제공해야 AWS SSO 로그인이 가능하도록 만들 수 있습니다.

직원들이 AWS SSO를 시작하려면 어떻게 해야 합니까?

직원들은 AWS SSO에 디렉터리를 연결하면 생성되는 AWS SSO 사용자 포털을 방문해 AWS SSO를 시작할 수 있습니다. Active Directory 사용자 이름과 암호로 로그인한 다음 할당된 계정과 애플리케이션을 볼 수 있습니다. 계정 또는 애플리케이션에 액세스하려면 AWS SSO 사용자 포털에서 관련 아이콘을 선택하면 됩니다.

AWS SSO에 사용할 수 있는 API가 있습니까?

아니요. AWS SSO 콘솔을 사용하여 필요한 모든 작업을 할 수 있습니다.

AWS SSO에서 내 비즈니스 애플리케이션을 기본 통합으로 추가하는 데 관심이 있습니다. 자세히 알아보려면 어떻게 해야 합니까?

자세한 내용은 이메일로 문의하시기 바랍니다.

시작할 준비가 되셨습니까?

AWS Single Sign-On에 가입하기
질문이 있으십니까?
AWS에 문의하기