1. SAML 2.0 기능
Okta를 SAML을 통해 IAM Identity Center에 연결할 때 다음과 같은 기능이 지원됩니다.
•
IdP-initiated SSO (로그인 시작 위치: Okta Dashboard)
사용자가 Okta 포털에 로그인한 후 AWS 애플리케이션을 선택하면, SAML 인증을 통해 IAM Identity Center에 자동으로 로그인됩니다.
•
SP-initiated SSO (로그인 시작 위치: AWS Access Portal)
사용자가 AWS Access Portal에 접속하면 Okta 로그인 페이지로 리디렉션되며, 인증 후 IAM Identity Center에 접근할 수 있습니다.
Step 1. Okta: 앱 등록 및 SAML metadata 저장
경로: Application → Application → Browse App Catalog
•
Application label: 사용자 대시보드에 보이는 앱 이름
•
Application Visibility: 사용자 대시보드에서 앱이 보일지 안보일지 설정
→ 설정 내용을 모두 기입했으면 “Done” 클릭
•
Okta에 등록된 AWS IAM Identity Center 앱에서 Authentication → SAML Signing Certificates으로 이동
•
View IdP metadata를 클릭한 후, XML 파일로 저장합니다.
•
AWS 외부 자격 증명 공급자 설정 시 필요합니다.
Step 2. AWS: Okta를 Identity Source로 등록
경로: AWS 콘솔 → 검색창에 IAM Identity Center → 활성화
경로: IAM Identity Center → 설정 → 자격 증명 소스 → 자격 증명 소스 변경
경로: 자격 증명 소스 선택 → 외부 자격 증명 공급자 → 다음
2. 프로비저닝 기능
주요 사항•
Okta → IAM Identity Center 프로비저닝은 SCIM 2.0 프로토콜로 동작합니다
•
Okta와 IAM Identity Center 모두에서 관리 부담을 최소화하려면 개별 사용자대신 그룹을 할당하고 푸시하는 것이 좋습니다.
•
Permission Set 할당 및 AWS 계정별 접근 권한은 IAM Identity Center에서 직접 설정해야 하며, Okta에서 동기화되지 않습니다
•
해당 기능을 사용하기 위해서 Okta의 Life cycle Management 라이선스가 필요합니다.
•
권한 및 역할 속성은 동기화되지 않으며 IAM Identity center에서 설정이 필요합니다.
•
모든 okta 사용자는 이름, 성, 사용자 이름 및 표시 이름 값이 지정되있어야합니다.
•
사용자와 그룹 생성, 수정, 삭제는 Okta에서만 관리됩니다.
◦
즉, 사용자 및 그룹 Source of Truth는 Okta가 됩니다.
◦
AWS에서 사용자 정보를 직접 생성하거나 수정하지 않습니다.
기능 | 설명 |
사용자 생성 | Okta의 IAM Identity Center 애플리케이션에 할당된 사용자는 IAM Identity Center에 프로비저닝됩니다. |
사용자 속성 업데이트 | Okta의 IAM Identity Center 애플리케이션에 할당된 사용자의 속성 변경 사항은 IAM Identity Center에 업데이트됩니다. |
사용자 비활성화 | Okta의 IAM Identity Center 애플리케이션에서 할당되지 않은 사용자는 IAM Identity Center에서 계정 삭제가 아니라 계정 비활성화됩니다. |
그룹 푸시 | Okta의 그룹(및 그룹 구성원)은 IAM Identity Center와 동기화됩니다. |
사용자 가져오기 | IAM Identity Center에서 Okta로 사용자를 가져올 수 있습니다. |
Step 3. IAM Identity Center & Okta 프로비저닝 설정
경로: AWS IAM Identity Center → 설정 → 자동 프로비저닝 활성화
경로: Okta 관리자 콘솔 → Application → Application → AWS IAM Identity Center → Provisioning → Configure API Integration
•
Base URL 및 API Token를 모두 입력하고 “Test API Credentials”를 클릭하고 문제가 없다면 Verified successfully!라는 문구가 표기되면 “Save”를 클릭합니다.
•
Create Users: Okta에서 AWS IAM Identity Center 어플리케이션이 할당된 사용자는 AWS IAM Identity Center에도 새 사용자로 자동 생성됩니다.
•
Update User Attributes: Okta에서 사용자 정보가 변경되면 AWS IAM Identity Center의 사용자 정보에도 자동으로 동기화됩니다.
•
Deactivate Users: Okta에서 AWS IAM Identity Center 애플리케이션 할당이 제거되면 AWS IAM Identity Center에서 해당 사용자는 비활성화됩니다. 이후 사용자가 다시 애플리케이션을 할당받으면 AWS에서도 계정이 다시 활성화됩니다.
