개요
이 실습에서는 Active Directory 사용자 및 그룹이 AWS 관리 콘솔에 액세스할 수 있도록 AWS Identity and Access Management(IAM)를 사용하여 Active Directory Federation Services(AD FS)를 구성하는 프로세스를 안내합니다. 많은 자격 증명 공급자(IdP)에서 사용되는 개방형 표준인 SAML(Security Assertion Markup Language)에 대한 AWS 지원을 사용하게 됩니다. 이 기능은 페더레이션 통합 인증(SSO)을 활성화하여 사용자가 콘솔에 로그인하거나 AD FS와 같은 SAML 준수 IdP의 어설션을 사용하여 AWS 애플리케이션 프로그래밍 인터페이스(API)를 프로그래밍 방식으로 호출할 수 있습니다. ID 페더레이션을 사용하면 IAM 사용자를 생성하지 않고 외부 자격 증명 또는 페더레이션 사용자로 AWS 계정의 리소스에 안전하게 액세스할 수 있습니다.
목표
이 실습을 완료하면 다음을 수행할 수 있습니다.
- Windows 서버에 AD FS 설치 및 설정
- 기존 Active Directory 서버를 사용하여 AWS 관리 콘솔에 대한 페더레이션 액세스 활성화
- IAM에 새 역할을 생성하여 페더레이션 사용자에 매핑
- 페더레이션 사용자가 AWS 관리 콘솔에 액세스하도록 허용
필수 기술 지식
이 실습을 성공적으로 완료하려면 기본적인 Windows Server 관리에 대해 잘 알고 있어야 할 뿐 아니라 일반적인 페더레이션 ID 및 IdP, 특히 SAML, LDAP(Lightweight Directory Access Protocol), Active Directory, IAM의 기술에 매우 능하고 개념이 탄탄해야 합니다.
소요 시간
이 실습을 완료하는 데 약 60분이 소요됩니다.
참고: Start Lab을 선택한 후 환경이 구축되려면 약 10분 정도 걸립니다.
아이콘 설명
이 실습에서는 다양한 유형의 지침 및 참고 사항에 대한 주의를 환기하기 위해 다양한 아이콘이 사용됩니다. 각 아이콘의 목적은 다음과 같습니다.
- 명령: 실행해야 하는 명령입니다.
- 예상 출력: 명령 또는 편집된 파일의 출력을 확인하는 데 사용할 수 있는 샘플 출력입니다.
- 참고: 힌트, 팁 또는 중요한 가이드입니다.
AD FS 페더레이션 인증 프로세스
다음 프로세스는 사용자가 Active Directory 및 AD FS를 사용하여 AWS에 인증하는 방법을 자세히 설명합니다.
1단계. 사용자가 도메인 내의 AD FS 샘플 사이트(https://Fully.Qualified.Domain.Name.Here/adfs/ls/IdpInitiatedSignOn.aspx)로 이동하면 흐름이 시작됩니다. AD FS를 설치하면 이 페이지를 포함하는 AD FS라는 새 가상 디렉터리가 기본 웹 사이트에 대해 제공됩니다.
2단계. 로그인 페이지는 Active Directory에 대해 사용자를 인증합니다. 사용자의 브라우저에 따라 Active Directory 사용자 이름과 암호를 입력하라는 메시지가 표시될 수 있습니다.
3단계. 사용자의 브라우저는 AD FS로부터 인증 응답 형태로 SAML 어설션을 수신합니다.
4단계. 사용자의 브라우저가 SAML의 AWS 로그인 엔드포인트에 SAML 어설션을 게시합니다(https://signin.aws.amazon.com/saml). 백그라운드에서는 로그인이 AssumeRoleWithSAML API를 사용하여 임시 보안 자격 증명을 요청한 다음 AWS 관리 콘솔에 대한 로그인 URL을 구성합니다.
5단계. 사용자의 브라우저가 로그인 URL을 수신하고 콘솔로 리디렉션됩니다.
프로비저닝된 인프라
본 실습의 주제에 집중할 수 있도록 자동으로 생성된 환경이 제공됩니다. 이 환경에는 mydomain.local이라는 도메인과 함께 사전 설치된 Active Directory 도메인 컨트롤러가 포함되어 있습니다.
도메인 컨트롤러 인스턴스는 프라이빗 서브넷에 있습니다. 네트워크 주소 변환(NAT)용 인스턴스 하나와 원격 데스크톱 게이트웨이(RD 게이트웨이)용 인스턴스 하나가 있는 퍼블릭 서브넷도 있습니다. 퍼블릭 서브넷은 DMZ라고도 합니다. 필요에 따라 라우팅 테이블, 서브넷, 인터넷 게이트웨이도 Active Directory에서 프로비저닝되었습니다. 다음 다이어그램은 실습 중에 프라이빗 서브넷에서 시작할 AD FS 인스턴스를 포함하여 이 설정을 보여줍니다.
NAT 인스턴스는 프라이빗 서브넷의 인스턴스에 아웃바운드 인터넷 액세스(예: Windows 업데이트 또는 IAM 연결을 위해)를 허용합니다. RD 게이트웨이 인스턴스는 RDP(원격 데스크톱 프로토콜)를 통해 프라이빗 서브넷의 인스턴스에 대한 인바운드 관리 액세스만 허용합니다.
참고: 프라이빗 서브넷 인스턴스에 로그인하려면 먼저 RDP 클라이언트를 사용하여 퍼블릭 RD 게이트웨이 인스턴스에 연결해야 합니다. 그런 다음 프라이빗 IP 주소를 사용하여 RD 게이트웨이 인스턴스에서 프라이빗 서브넷의 도메인 컨트롤러 인스턴스 또는 AD FS 인스턴스로의 RDP 연결을 열 수 있습니다. 이 경우 RD 게이트웨이 인스턴스는 배스천(점프) 호스트 역할을 합니다.