OpenAM을 사용하여 AWS 관리 콘솔의 SSO를 Multi-Role에 대응하는 방법

3481 단어 OpenAMAWSSSO

개요


저번까지 Single-Role의 경우 OpenAM의 계기판을 통해 AWS 관리 콘솔(앞으로 AMC)에 SSO를 진행할 수 있다.이번에도 멀티-롤의 경우 SSO 단계를 동일하게 작성해야 합니다.

설정

  • OpenAM 측면의 개체 사용자의 편집 화면을 열고 AWS 역할에 쉼표로 연결된 "Role ARN"및 "Trusted Enities"값을 [User Alias List]에서 추적합니다.
  • SP[urn:amazon:web 서비스스]의 [Assiertion Processing] 페이지로 가서 [Attribute Map]에 추가https://aws.amazon.com/SAML/Attributes/Role=iplanet-am-user-alias-list합니다.https://aws.amazon.com/SAML/Attributes/Role=employeeNumber가 있으면 삭제됩니다.
  • 이만 마치겠습니다.

    액션

  • OpenAM에 로그인하여 대시보드를 통해 AMC를 시작합니다.
  • 롤러를 선택하는 화면이 표시되기 때문에 목적 롤러를 선택하고 로그인합니다.
  • ↑↑ AWS 역할 "Administrator""OpenAMSAML"을 로그인 사용자와 연결할 때

    총결산


    그게 다야.하지만SAML Response에 여러 롤을 올려서 AMC에게 보내는 게 고민이에요.
    처음에는 그룹 설정의 관리성도 예쁘다고 생각했는데 애서션에 여분의 해시태그가 생겨 제대로 진행되지 못했다.
    결국'User Alias List'를 사용하기로 했지만, 더 좋은 방법이 있을 것 같다고 생각한다.Okta, OneLogin, Pingfederate를 통해 간단하게 설정할 수 있습니다.

    참고 자료

  • Chapter 4. Configuring Realms
  • CONFIGURING SAML MULTI-ROLE FOR AMAZON WEB SERVICE (AWS)
  • How to Set Up SSO to the AWS Management Console for Multiple Accounts by Using AD FS and SAML 2.0
  • Configure Amazon Web Services SSO for multiple roles and accounts
  • Mapping user roles/groups from LDAP to SAML assertions in OpenAM
  • Configuring SAML Assertions for the Authentication Response
  • 좋은 웹페이지 즐겨찾기