Megazone PoPs 고객센터

Amazon AppStream 2.0 앱에 SAML SSO 설정하기

  • 만듦
팔로우

사전 확인 사항

Amazon AppStream 2.0의 SAML SSO를 설정하려면 아래 사항이 필요합니다.

- Amazon AppStream 2.0 설정 권한이 있는 AWS 계정이 필요합니다.

- AWS에 SAML 2.0 설정을 진행할 AppStream 2.0 Stack이 생성되어 있어야 합니다.

 

개요

Amazon AppStream 2.0 앱 인스턴스의 SAML SSO를 설정하면, PoPs에서 Amazon AppStream 2.0 앱 인스턴스의 Role Pair를 할당받은 사용자들이 역할 기반으로 AppStream에 접근할 수 있습니다.

 

PoPs에서 IdP 메타데이터 확인

  1. PoPs의 Amazon AppStream 2.0 앱 인스턴스의 상세 페이지에서 [통합] 탭으로 이동합니다.
  2. [접속 방식 설정]을 클릭합니다.
  3. 접속 방식으로 SAML을 선택합니다.
  4. [메타데이터 다운로드]를 선택하여 Megazone PoPs의 SAML IdP 메타데이터를 다운로드합니다.
  5. 일반 설정에서 Relay state를 아래 내용을 참고하여 입력합니다. Relay state 입력에 필요한 리전별 릴레이 상태 엔드포인트 및 추가적인 구성 정보는 이 링크를 참고하여 확인해주세요.
    - Relay state: https://{relay-state-region-endoint}?stack={stackname}&accountId={aws-account-id-without-hyphens}
    - ex: https://appstream2.ap-northeast-2.aws.amazon.com/saml?accountId=000011112222&stack=pops_test


  6. 실제 로그인을 위한 Role pair 설정에 필요한 값을 추가하기 위해 AWS Console로 이동합니다.

 

AWS Console에서 자격 증명 공급자 ARN 확인

  1. AWS Console로 이동하여 IAM(Identity and Access Management) 관리가 가능한 계정으로 로그인합니다.
  2. AWS Console의 IAM > 자격 증명 공급자 메뉴로 이동하여 [공급자 추가]를 클릭합니다.
  3. 자격 증명 공급자 추가 페이지에서 공급자 유형을 SAML로 선택하고, 메타데이터 문서에는 다운로드한 SAML IdP Metadata 파일을 업로드한 뒤 [공급자 추가]를 클릭합니다.
  4. 자격 증명 공급자 목록에서 추가한 자격 증명 공급자 이름를 클릭하여 상세 페이지로 이동합니다.
  5. 자격 증명 공급자 상세 페이지에서 자격 증명 공급자 ARN을 복사하여 보관합니다.
    awsconsole-mceclip4.png

 

AWS Console에서 역할 ARN 확인

  1. AWS Console에서 IAM > 액세스 관리 > 자격 증명 공급자 메뉴로 이동합니다.
  2. 자격 증명 공급자 목록에서 위 단계에서 추가한 자격 증명 공급자를 선택합니다.
  3. [역할 할당] 버튼을 클릭한 뒤 [새 역할 생성]을 클릭합니다.


  4. 역할 만들기 화면에서 아래 항목과 같이 선택한 뒤, [다음: 정책] 버튼을 클릭합니다.

    - 신뢰할 수 있는 유형의 개체 선택: SAML 2.0 연동
    -  SAML 공급자: 위 단계에서 추가한 자격 증명 공급자를 선택합니다. '프로그래밍 방식의 액세스만 허용'과 '프로그래밍 방식 및 AWS Management Console 액세스 허용'은 둘 다 선택하지 않습니다.
    - 속성: SAML:aud
    - 값: https://signin.aws.amazon.com/saml

  5. 권한 정책 연결 단계에서 별도 작업 없이 [다음: 태그] 버튼을 클릭합니다. 나중에 이 역할에 인라인 정책을 만들게 됩니다.
  6. 태그 추가 단계에서 필요한 태그를 추가한 뒤 [다음: 검토] 버튼을 클릭합니다.
  7. 검토 단계에서 필요한 정보를 모두 입력한 뒤 [역할 만들기] 버튼을 클릭합니다.
  8. 생성한 역할의 상세 화면에서 권한 탭을 선택한 다음, [권한 추가 > 인라인 정책 생성]을 클릭합니다.
  9. 정책 생성 페이지에서 [JSON] 탭을 선택한 후, JSON 정책을 입력합니다.

    이때 Resource 정보는 아래 내용에서 붉은색 텍스트 부분을 교체하여 입력합니다.
    - "arn:aws:appstream:{REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS}:stack/{STACK-NAME}"
    - ex: "arn:aws:appstream:ap-northeast-2:000011112222:stack/pops_test_stack"

  10. [정책 검토]를 클릭하여 정책 이름을 입력한 뒤 인라인 정책 생성을 완료합니다.


  11. 정책이 완료된 역할의 역할 ARN을 복사하여 보관합니다.


PoPs에서 Role pair를 추가하여 SAML 설정 완료하기

  1. PoPs의 Adobe 앱 인스턴스의 상세 페이지로 돌아와서 고급 설정의 [역할, 자격 증명 공급자] 필드에 AWS Console에서 복사하여 보관한 자격 증명 공급자 ARN과 역할 ARN을 다음과 같은 형식으로 입력한 다음 [저장]을 클릭합니다.
    {역할 ARN},{자격 증명 공급자 ARN}


  2. [사용자] 탭에서 앱 인스턴스를 사용할 사용자에게 할당합니다.


댓글

댓글 0개

댓글을 남기려면 로그인하세요.

관련 문서