OpenAM을 사용한 AWS 관리 콘솔 SSO

3802 단어 OpenAMAWSSSO

개요


OpenAM을 사용하여 AWS 관리 콘솔(AMC)에 IdP-initiated의 Single-Ssign-ON(SSO) 절차를 적습니다.

전제 조건

  • OpenAM 설치 완료여기.

    • 절차.


    대략적인 절차는 다음과 같다.
  • Circle of Trust(CoT) 구성
  • ID 공동 작업

    • CoT 구성


    먼저 IdP와 SP 간에 메타데이터 스왑(상호 설정)을 수행합니다.
  • 관리자 계정을 통해 OpenAM에 로그인하여 [Top Level Realm]]]][Create SAMLv2 Providers]]]]][Create Hosted Identity Provider]의 순서대로 선택한 후 다음 값을 입력하고 "Configure"를 클릭합니다.
    - Signing Key = test
    - New Circle of Trust = AWSSSO
    또한 metadata는 [title] (http:/~) [여기] (https://signin.aws.amazon.com/static/saml-metadata.xml)를 검색하여 업로드합니다.
    "Your Identity Provider has been configured"를 표시한 후 "register a Service provider"링크를 클릭합니다.
  • AMC의 메타데이터 OpenAM에 등록
    • AMC에 로그인하여 IAM의 ID 공급자 화면에 액세스하고 공급자의 제작을 클릭합니다.공급자 설정 창에서 다음 값을 설정하고 다음을 클릭합니다.
    - 협력업체 유형 = SAML
    - 공급자 이름 = OpenAM
    - 메타데이터 문서 =http://sso.xxxx.com:8080/openam/saml2/jsp/exportmetadata.jsp다운로드하여 업로드합니다.(확장자를 XML로 설정)
    협력업체 정보 유효성 검사 창으로 이동하여 작성을 클릭하여 SAML 협력업체 작성을 완료합니다.

    ID 공동 작업 수행

  • IAM 스크롤 막대 만들기
    여기서'SAMLRole'이라는 캐릭터를 만듭니다.
  • 스크롤 화면에서'새 캐릭터 만들기'를 클릭합니다.
  • 캐릭터 이름에 "SAMLRole"을 입력하고 "다음"을 클릭합니다.
  • 역할 유형 선택에서 "ID 롤러 공급자 접근용 역할""SAML 공급자에 대한 WebSSO 접근 권한 부여"를 선택합니다.
  • 추가된 ID 공급자를 선택하고 "다음"을 클릭합니다.
  • 전략 문서를 확인하고'다음'을 클릭하세요.
  • 정책 "ReadOnlyAccess"를 첨부하고 "다음"을 클릭합니다.
  • 내용을 확인하고 "캐릭터 만들기"를 클릭합니다.
  • 제작된 캐릭터 개요를 열고'캐릭터 ARN','믿을 만한 실체'를 제어한다.

  • SSO를 작성한 IAM 사용자
    여기서 "samluser"라는 IAM 사용자를 만듭니다.비밀번호를 설정할 필요가 없습니다.
  • OpeAM에 해당하는 사용자 만들기
  • Top Level Realm Subjects 순으로 선택하고 New 를 클릭합니다.
  • 다음 값을 입력하고 "OK"를 클릭합니다.
    ID: samluser
    First Name: samluser
    Last Name: samluser
    Full Name: samluser test
    Password: samluser3
    User Status: Active
  • "samluser"의 사용자 정의 속성 "Employee Number"에 볼륨 ARN"및"신뢰할 수 있는 솔리드"를 쉼표로 연결하는 값을 입력하고"Save"를 클릭합니다.
  • SP "urn:amazon:web 서비스"설정 화면을 열고 "Asserion Processing"탭의 "Attribute Map"에 다음 내용을 추가하여 "Save"를 클릭합니다.
    https://aws.amazon.com/SAML/Attributes/Role=employeeNumber
    https://aws.amazon.com/SAML/Attributes/RoleSessionName=uid
    (Email과 함께 사용하려는 경우https://aws.amazon.com/SAML/Attributes/RoleSessionName=mail

    • 동작 확인


    아래 URL에 액세스하여 Samluser로 로그인합니다.
    http://sso.xxxx.com:8080/openam/idpssoinit?metaAlias=/idp&spEntityID=urn:amazon:webservices

    그래서 AMC가 열렸습니다!

    수정

  • 2016.4.4 AWS 측은 SSO용 사용자를 만들 필요가 없습니다.
    • Ajax 및 .NET으로 실시간 검색 만들기
    ELB를 사용하여 세션을 유지할 수 없는 문제

    좋은 웹페이지 즐겨찾기

    개발자 우수 사이트 수집

    개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다
    best100-homepage