일반

AWS Single Sign-On(AWS SSO)이란 무엇입니까?

AWS SSO는 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 중앙에서 손쉽게 관리하고 사용자에게 Single Sign-On 액세스를 제공하여 할당된 모든 계정 및 애플리케이션을 한 곳에서 액세스하도록 할 수 있는 AWS 서비스입니다. AWS SSO를 사용하면 AWS Organizations의 모든 내 계정에 대한 SSO 액세스와 사용자 권한을 중앙에서 손쉽게 관리할 수 있습니다. AWS SSO로 AWS SSO의 자격 증명 저장소에서 사용자 자격 증명을 생성 및 관리하거나 Microsoft Active Directory, Okta Universal Directory 및 Azure AD(Azure Active Directory)를 비롯한 기존 자격 증명 소스에 쉽게 연결할 수 있습니다.

AWS SSO를 사용하면 어떤 이점이 있습니까?

AWS SSO를 사용하면 여러 AWS 계정, SAML 지원 클라우드 애플리케이션(Salesforce, Office 365, Box 등), 내장된 사용자 지정 사내 애플리케이션에 대한 직원들의 액세스 권한을 중앙에서 쉽고 빠르게 할당하고 관리할 수 있습니다. 직원들은 개인에 맞게 설정된 사용자 포털의 애플리케이션에 액세스하기 위해 AWS SSO에서 구성한 자격 증명 또는 기존의 회사 Active Directory 자격 증명으로 로그인하여 생산성을 높일 수 있습니다. 이제는 직원들이 여러 개의 자격 증명과 클라우드 애플리케이션에 대한 액세스 URL을 일일이 기억할 필요가 없으며, 신입 직원도 첫날부터 생산성을 올릴 수 있습니다. 디렉터리의 적절한 그룹에 사용자를 추가하면 해당 그룹의 구성원이 사용할 수 있는 계정과 애플리케이션에 대한 액세스 권한이 자동으로 부여됩니다. AWS CloudTrail에서 로그인 활동을 중앙 집중식으로 모니터링하고 감사할 수 있으므로, 클라우드 애플리케이션에 대한 가시성이 향상됩니다.

AWS SSO로 어떤 문제를 해결할 수 있습니까?

AWS SSO는 AWS 계정과 비즈니스 애플리케이션에 대한 ID 프로비저닝 및 관리에 사용하는 사용자 지정 SSO 솔루션 관리의 복잡성을 해소합니다. 사용하는 AWS 계정이 여러 개이고 정기적으로 계정이 추가되므로 계정 액세스를 위해 Active Directory Federation Services(AD FS)를 사용하여 SSO를 설정하려면 사용자 지정 AD FS 클레임 프로그래밍 언어를 배워야 합니다. 또한 이러한 계정에 액세스하는 데 필요한 권한이 포함된 AWS 계정을 준비해야 합니다. AWS SSO는 추가 비용 없이 사용할 수 있으며, AWS와 긴밀히 통합되어 있어 반복적인 설정과 분산된 관리에 따르는 복잡성을 줄여 줍니다. AWS 계정이나 클라우드 애플리케이션마다 서로 다른 암호를 사용하여 액세스하는 경우, AWS SSO는 각 AWS 계정이나 클라우드 비즈니스 애플리케이션에 필요한 개별 암호를 제거함으로써 사용자 환경을 단순화하고 보안을 개선합니다. AWS SSO는 AWS CloudTrail과 통합되고 AWS 계정 및 Office 365, Salesforce, Box 등의 SAML 지원 클라우드 애플리케이션에 대한 SSO 액세스를 감사할 수 있는 중앙 위치를 제공함으로써 클라우드 애플리케이션에 대한 제한된 가시성 문제를 해결합니다.

AWS SSO를 사용해야 하는 이유는 무엇입니까?

사용자 지정 스크립트 작성이나 범용 SSO 솔루션에 대한 투자 없이 직원들에게 AWS 계정 및 비즈니스 클라우드 애플리케이션에 대한 액세스 권한을 부여하여 빠르게 생산성을 발휘하도록 지원하려면 AWS SSO가 필요합니다. SSO 액세스 설정 및 관리에 따르는 복잡성과 비용을 줄이기 위해서도 AWS SSO가 필요합니다.

AWS SSO는 직원들이 AWS SSO 사용자 포털에서 AWS 계정과 애플리케이션에 액세스할 수 있는 곳으로, 이러한 애플리케이션이 어디서 구축 또는 호스팅되었는지는 문제가 되지 않습니다.

AWS SSO로 무엇을 할 수 있습니까?

AWS SSO를 사용하여 AWS Organizations가 관리하는 AWS 계정, Salesforce, Office 365, Box 등의 비즈니스 클라우드 애플리케이션 및 Security Assertion Markup Language(SAML) 2.0을 지원하는 사용자 지정 애플리케이션에 대한 액세스 권한을 직원들에게 쉽고 빠르게 할당할 수 있습니다. 직원들은 단일 사용자 포털의 비즈니스 애플리케이션에 액세스하기 위해 AWS SSO에서 구성한 자격 증명이나 기존의 회사 자격 증명을 사용하여 로그인할 수 있습니다. 또한 AWS SSO는 AWS CloudTrail을 사용하여 클라우드 서비스에 대한 사용자의 액세스를 감사할 수 있습니다.

AWS SSO를 사용하는 주체는 누구입니까?

AWS SSO는 관리하는 AWS 계정과 비즈니스 애플리케이션이 많고, 이러한 클라우드 서비스에 대한 사용자 액세스를 중앙에서 관리하려 하며, 새로운 암호를 외울 필요 없이 이러한 계정과 애플리케이션에 액세스할 수 있는 단일 위치를 직원들에게 제공하려는 관리자를 위한 솔루션입니다.

AWS SSO는 어떻게 시작해야 합니까?

새로 AWS SSO 고객이 되었다면 다음과 같이 하십시오.

  1. AWS 계정 내 마스터 계정의 AWS Management Console에 로그인하고 AWS SSO 콘솔로 이동합니다.
  2. AWS SSO 콘솔에서 사용자 및 그룹의 자격 증명을 저장하는 데 사용할 디렉터리를 선택합니다. AWS SSO는 AWS SSO에서 사용자 및 그룹을 관리하는 데 사용할 수 있는 디렉터리를 기본적으로 제공합니다. AWS SSO가 계정에서 자동으로 검색하는 Managed Microsoft AD 및 AD Connector 인스턴스의 목록에서 Microsoft AD 디렉터리에 연결할 디렉터리를 클릭하여 변경할 수도 있습니다. Microsoft AD 디렉터리에 연결하려는 경우 AWS Directory Service 시작하기를 참조하십시오.
  3. AWS SSO에 의해 채워지는 목록에서 AWS 계정을 선택하고 디렉터리에서 사용자 또는 그룹을 선택한 다음, 이들에게 부여할 권한을 선택하여 조직 내 AWS 계정에 대한 SSO 액세스 권한을 부여합니다. 
  4. 비즈니스 클라우드 애플리케이션에 대한 액세스 권한을 사용자에게 부여하는 방법은 다음과 같습니다.
    1. AWS SSO에서 지원되는 사전 통합된 애플리케이션 목록에서 애플리케이션을 하나 선택합니다.
    2. 구성 지침에 따라 애플리케이션을 구성합니다.
    3. 이 애플리케이션에 액세스할 사용자 또는 그룹을 선택합니다.
  5. 사용자가 AWS SSO에 로그인하여 계정 및 비즈니스 애플리케이션에 액세스할 수 있도록 디렉터리를 구성할 때 생성된 AWS SSO 로그인 웹 주소를 사용자에게 제공합니다.

AWS SSO 사용료는 얼마입니까?

AWS SSO는 추가 요금 없이 제공됩니다.

AWS SSO는 어느 AWS 리전에서 사용할 수 있습니까?

지역별 AWS SSO의 가용성은 AWS 리전 표를 참조하십시오.

자격 증명 소스 및 애플리케이션 지원

AWS SSO에 어떤 자격 증명 소스를 사용할 수 있습니까?

AWS SSO를 사용하면 AWS SSO의 자격 증명 저장소에서 사용자 자격 증명을 생성 및 관리하거나 Microsoft Active Directory, Okta Universal Directory, Azure AD(Azure Active Directory) 또는 지원되는 다른 IdP를 비롯한 기존 자격 증명 소스에 쉽게 연결할 수 있습니다. 자세히 알아보려면 AWS SSO 사용자 안내서를 참조하십시오.

둘 이상의 자격 증명 소스를 AWS SSO에 연결할 수 있습니까? 

아니요. 언제든 하나의 디렉터리 또는 하나의 SAML 2.0 자격 증명 공급자만 AWS SSO에 연결할 수 있습니다. 다만 연결된 자격 증명 소스를 다른 자격 증명 소스로 변경할 수는 있습니다.

AWS SSO에서 어떤 SAML 2.0 IdP를 사용할 수 있습니까?

AWS SSO는 Okta Universal Directory 또는 Azure Active Directory와 같은 대부분의 SAML 2.0 IdP에 연결할 수 있습니다. 자세히 알아보려면 AWS SSO 사용자 안내서를 참조하십시오.

기존 IdP에서 AWS SSO에 자격 증명을 프로비저닝하려면 어떻게 해야 합니까?

권한을 할당하려면 먼저 기존 IdP의 자격 증명을 AWS SSO에 프로비저닝해야 합니다. System for Cross-domain Identity Management(SCIM) 표준을 사용하여 Okta Universal Directory, Azure AD 및 OneLogin에서 자동으로 사용자 및 그룹 정보를 동기화할 수 있습니다. 다른 IdP의 경우, AWS SSO 콘솔을 사용하여 IdP에서 사용자를 프로비저닝할 수 있습니다. 자세히 알아보려면 AWS SSO 사용자 안내서를 참조하십시오.

내 IdP에서 AWS SSO로의 ID 동기화를 자동화할 수 있습니까?

예. Okta Universal Directory, Azure AD 또는 OneLogin을 사용하는 경우 SCIM을 사용하여 IdP의 사용자 및 그룹 정보를 자동으로 AWS SSO로 동기화할 수 있습니다. 자세히 알아보려면 AWS SSO 사용자 안내서를 참조하십시오.

AWS SSO를 내 Microsoft Active Directory에 어떻게 연결합니까?

AWS Directory Service를 사용하여 AWS SSO를 온프레미스 Active Directory(AD) 또는 AWS Managed Microsoft AD 디텍터리에 연결할 수 있습니다. 자세히 알아보려면 AWS SSO 사용자 안내서를 참조하십시오.

온프레미스에서 Active Directory의 사용자와 그룹을 관리하고 있습니다. 이러한 사용자 및 그룹을 어떻게 AWS SSO에 활용합니까? 

온프레미스에서 호스팅되는 Active Directory를 AWS SSO에 연결하는 방법은 두 가지입니다. (1) AWS Connector를 사용하거나 (2) AWS Managed Microsoft AD 트러스트 관계를 사용하는 것입니다.

AD Connector는 기존 온프레미스 Active Directory를 AWS에 간단히 연결합니다. AD Connector는 클라우드에서 어떤 정보도 캐싱하지 않고 디렉터리 요청을 온프레미스 Microsoft Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이입니다. AD Connector를 사용하여 온프레미스 디렉터리를 연결하려면 AWS Directory Service 관리 안내서를 참조하십시오.

AWS Managed Microsoft AD를 사용하면 Microsoft Active Directory를 AWS에서 쉽게 설정하고 실행할 수 있습니다. 이는 온프레미스 디렉터리와 AWS Managed Microsoft AD 간에 포리스트 신뢰 관계를 설정하는 데 사용할 수 있습니다. 신뢰 관계를 설정하려면 AWS Directory Service 관리 안내서를 참조하십시오.

AWS Identity and Access Management(IAM)의 사용자와 그룹을 관리하고 있습니다. IAM 사용자와 그룹을 AWS SSO에 사용할 수 있습니까?

현재 AWS SSO는 AWS IAM 사용자와 그룹을 지원하지 않습니다.

Amazon Cognito 사용자 풀을 AWS SSO에서 자격 증명 소스로 사용할 수 있습니까?

Amazon Cognito는 고객과 대면하는 애플리케이션의 자격 증명 관리에 도움을 제공하는 서비스이며 AWS SSO에서 지원되는 자격 증명 소스가 아닙니다. AWS SSO나 Microsoft Active Directory, Okta Universal Directory, Azure AD(Azure Active Directory) 또는 지원되는 다른 IdP를 비롯한 외부 자격 증명 소스에서 직원 자격 증명을 생성 및 관리할 수 있습니다.

AWS SSO가 브라우저, 명령줄 및 모바일 인터페이스를 지원합니까?

네. AWS SSO를 사용하여 AWS Management Console 및 CLI v2에 대한 액세스를 제어할 수 있습니다. AWS SSO를 사용하여 사용자는 Single Sign-On 환경을 통해 CLI 및 AWS Management Console에 액세스할 수 있습니다. 또한 AWS Mobile 콘솔 앱이 AWS SSO를 지원하므로 브라우저, 모바일 및 명령줄 인터페이스에 관계없이 일관된 로그인 환경이 제공됩니다.

AWS SSO에 어떤 클라우드 애플리케이션을 연결할 수 있습니까?

AWS SSO에 연결할 수 있는 애플리케이션은 다음과 같습니다.

  1. AWS SSO 통합 애플리케이션: SageMaker StudioIoT SiteWise와 같은 AWS SSO 통합 애플리케이션은 인증에 AWS SSO를 사용하고 AWS SSO에 보유하고 있는 자격 증명과 작동합니다. 이러한 애플리케이션으로 자격 증명을 동기화하거나 별도로 연동을 설정하기 위한 추가 구성은 필요하지 않습니다.
  2. 사전 통합된 SAML 애플리케이션: AWS SSO는 일반적으로 사용되는 비즈니스 애플리케이션과 사전 통합된 상태로 제공됩니다. 종합 목록은 AWS SSO 콘솔을 참조하십시오.
  3. 사용자 지정 SAML 애플리케이션: AWS SSO는 SAML 2.0을 사용한 자격 증명 연동을 허용하는 애플리케이션을 지원합니다. 사용자 지정 애플리케이션 마법사를 사용하여 AWS SSO가 이러한 애플리케이션을 지원하도록 할 수 있습니다.

AWS 계정에 Single Sign-On 액세스

어떤 AWS 계정을 AWS SSO에 연결할 수 있습니까?

AWS Organizations를 사용하여 관리되는 AWS 계정이라면 AWS SSO에 추가할 수 있습니다. 계정 SSO를 관리하려면 조직에서 모든 기능을 활성화해야 합니다.

우리 조직 내 조직 단위(OU)의 AWS 계정에 대한 SSO를 어떻게 설정해야 합니까?

조직 내 계정을 선택하거나 OU 기준으로 계정을 필터링하면 됩니다.

사용자가 AWS SSO를 사용하여 계정에 액세스할 때 사용자에게 부여되는 권한을 제어하려면 어떻게 해야 합니까?

사용자에게 액세스 권한을 부여할 때 권한 집합을 선택하여 사용자의 권한을 제한할 수 있습니다. 권한 집합이란 AWS SSO에서 생성할 수 있는 권한의 모음으로, 직무에 대한 AWS 관리형 정책 또는 모든 AWS 관리형 정책을 기반으로 권한을 모델링합니다. 직무에 대한 AWS 관리형 정책은 IT 업계의 일반적인 직무와 긴밀하게 연결되도록 구성됩니다. 필요할 경우, 보안 요구 사항 충족을 위해 권한 집합을 완전히 사용자 지정할 수도 있습니다. AWS SSO는 선택한 계정에 이러한 권한을 자동으로 적용합니다. 권한 집합을 변경할 때 AWS SSO로 변경 내용을 관련 계정에 쉽게 적용할 수 있습니다. 사용자가 AWS SSO 사용자 포털을 통해 계정에 액세스할 때 이러한 권한은 사용자가 해당 계정 내에서 할 수 있는 작업을 제한합니다. 사용자에게 여러 권한 집합을 부여할 수도 있습니다. 사용자 포털을 통해 계정에 액세스할 때 사용자는 해당 세션에 사용할 권한 집합을 선택할 수 있습니다.

여러 계정에서 권한 관리를 자동화하려면 어떻게 해야 합니까?

AWS SSO는 여러 계정을 사용하는 환경에서 권한 관리를 자동화하고 감사 및 거버넌스 목적으로 프로그래밍을 통해 권한을 검색할 수 있는 API와 AWS CloudFormation 지원을 제공합니다.

어떤 AWS 계정에서 AWS 명령줄 인터페이스(CLI) 자격 증명을 얻을 수 있습니까?

모든 AWS 계정, 그리고 AWS SSO 관리자에게 할당받은 사용자 권한에 대해 AWS CLI 자격 증명을 얻을 수 있습니다. 이러한 CLI 자격 증명을 사용하여 프로그래밍 방식으로 AWS 계정에 액세스할 수 있습니다.

AWS SSO 사용자 포털의 AWS 명령줄 인터페이스 자격 증명은 유효 기간이 얼마입니까?

AWS SSO 사용자 포털에서 가져온 AWS CLI 자격 증명은 60분간 유효합니다. 필요한 만큼 자주 새로운 자격 증명 세트를 얻을 수 있습니다.

비즈니스 애플리케이션에 대한 SSO 액세스

Salesforce 같은 비즈니스 애플리케이션에 대한 SSO는 어떻게 설정해야 합니까?

AWS SSO 콘솔에서 애플리케이션 창으로 간 다음 '새 애플리케이션 구성'을 선택하고 AWS SSO에 사전 통합된 클라우드 애플리케이션 목록에서 애플리케이션을 선택하십시오. 화면 안내에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 '액세스 할당'을 선택해 프로세스를 완료하십시오.

우리 회사는 AWS SSO에 사전 통합된 애플리케이션 목록에 없는 비즈니스 애플리케이션을 사용하고 있습니다. 그래도 AWS SSO를 사용할 수 있습니까? 

예. 애플리케이션이 SAML 2.0을 지원하는 경우, 애플리케이션을 사용자 지정 SAML 2.0 애플리케이션으로 구성할 수 있습니다. AWS SSO 콘솔에서 애플리케이션 창으로 간 다음 '새 애플리케이션 구성'을 선택하고 사용자 지정 SAML 2.0 애플리케이션을 선택하십시오. 지침에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 '액세스 할당'을 선택해 프로세스를 완료하십시오.

애플리케이션이 OpenID Connect(OIDC)만 지원하는데, AWS SSO를 통해 해당 애플리케이션을 사용할 수 있습니까?

아니요. AWS SSO는 SAML 2.0 기반 애플리케이션만 지원합니다.

AWS SSO는 네이티브 모바일 및 데스크톱 애플리케이션에 대한 Single Sign-On을 지원합니까?

아니요. AWS SSO는 웹 브라우저를 통한 비즈니스 애플리케이션에 대해서만 Single Sign-On을 지원합니다.

기타

AWS SSO는 사용자를 대신하여 어떤 데이터를 저장합니까?

AWS SSO는 어떤 사용자와 그룹에 어떤 AWS 계정과 클라우드 애플리케이션이 할당되는지, 그리고 AWS 계정에 액세스하기 위해 어떤 권한이 부여되었는지에 관한 데이터를 저장합니다. 또한 AWS SSO는 사용자에게 액세스를 부여하는 각 권한 집합을 위해 개별 AWS 계정에서 IAM 역할을 생성하고 관리합니다.

AWS SSO는 다단계 인증(MFA)을 지원합니까?

예. 사용자가 휴대폰에서 멀티 팩터 애플리케이션을 활성화하거나 설정하도록 할 수도 있고, RADIUS(Remote Authentication Dial-In User Service) 서버를 운영하고 Active Directory 또는 AD Connector와 연동하도록 RADIUS 서버를 구성하면 사용자가 추가 단계를 제공해야 AWS SSO 로그인이 가능하도록 만들 수도 있습니다.

직원들이 AWS SSO를 시작하려면 어떻게 해야 합니까?

직원들은 AWS SSO에서 자격 증명 소스를 구성할 때 생성되는 AWS SSO 사용자 포털을 방문하여 AWS SSO를 시작할 수 있습니다. AWS SSO에서 사용자를 관리하는 경우, 직원은 사용자 포털에 로그인하기 위해 AWS SSO에서 구성한 이메일 주소 및 암호를 사용할 수 있습니다. Microsoft Active Directory 또는 SAML 2.0 자격 증명 공급자에 AWS SSO를 연결하는 경우, 직원은 기존 기업 자격 증명으로 사용자 포털에 로그인한 다음 계정 및 할당된 애플리케이션을 볼 수 있습니다. 계정 또는 애플리케이션에 액세스하려면 직원은 AWS SSO 사용자 포털에서 관련 아이콘을 선택하면 됩니다.

AWS SSO에 사용할 수 있는 API가 있습니까?

예. AWS SSO는 여러 계정을 사용하는 환경에서 권한 관리를 자동화하고 감사 및 거버넌스를 위해 프로그래밍을 통해 권한을 검색할 수 있는 계정 할당 API를 제공합니다.

시작할 준비가 되셨습니까?

AWS Single Sign-On에 가입하기
질문이 있으십니까?
문의처