search

AWS Identity Center

AWS Identity Center를 통해 Okta를 연동하는 초간단 설명서

circle-info

Okta 공식문서

How to Configure SAML 2.0 for IAM Identity Centerarrow-up-right

AWS 공식문서

Supported identity providers: Oktaarrow-up-right

circle-exclamation

주요 사항

  • IAM Identity Center 활성화가 필요합니다.

  • IAM identity Center는 한 번 활성화 시키면 비활성화가 불가합니다.

  • External identity provider를 Okta로 연결하면, User 또는 Group 추가/삭제와 같은 관리는 Okta에서만 가능합니다.

  • 앱을 연동하고 사용자에게 할당하기 전에, 연동된 Okta User 또는 Group를 AWS account에 할당하고 Permission set를 지정해야합니다.

hashtag
Ⅰ. Okta-AWS Identity Center 연동

hashtag
1. SSO 통합 기능

AWS IAM Identity Center와 연동하면 AWS 콘솔, AWS 명령줄 인터페이스 및 AWS IAM Identity Center 지원 애플리케이션에 대한 액세스를 중앙에서 관리할 수 있습니다. 모든 AWS Organizations 계정에서 관리자는 Okta를 AWS IAM Identity Center에 한 번 연동하고 AWS IAM Identity Center에서 중앙 집중식으로 역할 및 액세스를 구성할 수 있습니다.

Okta에서 지원하는 SSO 방식은 2가지입니다.

  • Okta 대시보드 로그인(IdP initiated SSO)

  • AWS Identity Center로 직접 로그인(SP-initiated SSO)

hashtag
2. 프로비저닝 기능

circle-exclamation

해당 기능은 Okta의 Life Cycle Management License가 필요합니다.

◎ Okta에서 IAM Identity Center 앱이 할당된 사용자는 IAM Identity Center에서 프로비저닝됩니다.

◎ Okta에서 변경된 사용자의 Attribute는 IAM Identity Center에도 업데이트됩니다.

◎ Okta에서 IAM Identity Center 앱이 할당되지 않은 사용자는 IAM Identity Center에서 비활성화됩니다.

◎ Okta의 그룹 및 해당 구성원이 IAM Identity Center와 동기화됩니다.

hashtag
Ⅱ. Okta-AWS Account 연동 구성

hashtag
1. AWS Identity Center

hashtag
1.1 [Okta] AWS 앱 추가 및 설정

경로: Application Application Browse App Catalog AWS Identity Center App integration

1. Application label: AWS Identity Center 앱을 할당 받은 사람들의 Dashboard에 보여지는 앱의 이름입니다.

circle-info

  • AWS Identity Center 앱에서 Sign On 탭으로 들어가면, SAML Signing Certificates에 있는 "View IdP metadata" 클릭하고 해당 데이터 XML 파일로 저장합니다.

hashtag
1.2 [AWS] IAM Identity Center 등록 및 설정

경로: AWS console IAM Identity Center Enable IAM Identity Center

circle-info

  • IAM Identity Center를 사용하기 위해 "Enable" 버튼을 클릭합니다.

circle-info

  • "Setting" 또는 "Go to Setting"를 눌러 Identity Source를 수정해줍니다.

circle-info

  • Identity source에서 "Change identity source" 선택합니다.

circle-info

  • Okta를 Identity source로 지정하기 위해 "External Identity provider"를 선택합니다.

circle-info

  • AWS의 "IAM Identity Center Assertion Consumer Service(ACS) URL""IAM Identity Center Issuer URL"를 Okta의 Advanced Sign-on Settings에 복사 붙여넣기 합니다.

  • Okta에서 AWS Identity Center 앱을 만들었을 때 저장해두었던 XML형태의 metadata를 "IdP SAML provider metadata"에 업로드합니다.

hashtag
2. 프로비저닝 구성

hashtag
2.1 [AWS] API integration 설정

circle-info

  • "SCIM endpoint""Access token" 값을 복사합니다.

hashtag
2.2 [Okta] API integration 설정

  1. Create Users: Okta에 사용자를 생성하면 IAM Identity Center에도 사용자가 생성됩니다.

  2. Update User Attributes: Okta에서 사용자 속성을 업데이트하면 AWS Identity Center에도 사용자와 연결된 계정의 속성이 업데이트 됩니다.

  3. Deactivate Users: Okta에서 AWS IAM Identity Center를 할당 받았던 사용자가 앱 할당이 제거되거나 Okta 계정이 Deactivate되면, AWS IAM Identity Center 계정이 Deactivate됩니다.

circle-info

위에서 복사한 "SCIM endpoint""Access token"을 아래와 같이 붙여넣기 합니다.

  • SCIM endpoint -> Base URL

  • Access token -> API Token

hashtag
III. 앱 할당

circle-exclamation

  • 앱을 할당은 개별 사용자 또는 그룹으로 할당할 수 있습니다.

hashtag
IV. 최종 사용자 경험

hashtag
1. Okta Dashboard 로그인

Okta Dashboard 로그인 (IdP initiated SSO)

hashtag
2. AWS Identity Center로 직접 로그인

circle-info

  • AWS access portal URL을 통해서 SP initiated SSO 로그인이 가능합니다.

AWS Identity Center로 직접 로그인(SP initiated SSO)
PreviousAWS Federation: Multi AccountNextAWS CLI

Last updated