AWS Client VPN

1. AWS Client VPN의 SAML 인증 흐름

1. 처음으로 SAML 통합을 설정하는 경우, IdP와 SP(이 경우 AWS Client VPN) 간에 신뢰를 설정해야 합니다. ➡ 2.[AWS] IAM 구성

2. 사용자가 AWS 클라이언트 VPN 소프트웨어를 사용하여 클라이언트 VPN 엔드포인트에 대한 VPN 연결을 생성하려고 시도합니다. 해당 사용자가 이전에 인증되지 않은 경우, 기본 브라우저에서 IdP로 리디렉션됩니다.

3. 사용자는 자격 증명과 두 번째 인증 요소(활성화된 경우)를 제공하여 브라우저에서 IdP를 인증합니다.

4. 인증이 성공하면 IdP는 "Signed SAML Response"를 생성합니다. 이는 "SAML Assertion"이라고도 하며 이메일 및 그룹 멤버십과 같은 사용자에 대한 세부 정보를 포함합니다.

5. 클라이언트 VPN 소프트웨어는 "SAML Assertion"을 클라이언트 VPN 엔드포인트로 전달합니다. 클라이언트 VPN에 해당 IdP가 신뢰 대상으로 등록된 경우, "SAML Assetion"을 통해서 사용자가 인증되고 세션을 설정될 수 있다는 증거로 사용됩니다. 추가로 "SAML Assetion"안의 그룹 멤버십 정보를 사용하여 특정 리소스에 대한 액세스 권한을 부여할 수 있습니다.

2. [Okta] AWS Client VPN 앱 생성

경로: Application ➡ Application ➡ Browse App Catalog

1. Application label: 사용자 대시보드에 표시될 어플리케이션의 이름을 설정합니다.

3. [AWS] IAM 구성

경로: IAM ➡ Identity Providers(자격 증명 공급자) ➡ Add provider(공급자 추가)

1. Provider type: SAML로 선택합니다.

2. Provider name: 설정할 Identity Provider에 대한 이름을 설정합니다.

3. Metadata document: Okta에서 생성한 AWS Client VPN에 대한 metadata를 xml 파일로 첨부합니다.

4. [AWS] VPC 구성

경로: VPC ➡ Client VPN 엔드포인트 ➡ 클라이언트 VPN 엔드포인트 생성

• 인증 정보

  • 서버 인증서 ARN(Server certificate ARN): 사전 요구 사항으로 생성한 인증서를 선택합니다.

  • 인증 옵션(Authentication Options): "사용자 기반 인증 사용(User user-based authentication)"을 선택합니다.

  • 사용자 기반 인증 옵션(User user-based authentication): "연동 인증(Federate authentication)"을 선택합니다.

    • SAML 공급자 ARN(SAML provider ARN): 이전에 구성한 자격 증명 공급자(Identity Provider)를 선택합니다.

• 셀프 서비스 포털 활성화(Enable self-service portal): 사용자가 엔드포인트의 클라이언트 구성 및 클라이언트 애플리케이션을 다운로드할 수 있도록 엔드포인트에 대한 셀프 서비스 포털을 활성화합니다.

5. [AWS Client VPN] 구성 프로필 등록

6. [Okta] 앱에 사용자 및 그룹 할당

경로: Application ➡ Application ➡ AWS Client VPN ➡ Assignments ➡ Assign

7. 최종 사용자 경험