안녕하세요~ 오늘은 D&A실 김동철 님이 작성해 주신 ‘AWS AD Connector 생성 및 SSO 연동 설정’에 대해 알아보겠습니다.
궁금한 부분이 있으시면 댓글을 달아 주세요.
1. SSO 연동 설정
Connector 은 2 가지 단계에 의해 설정됩니다.
1 단계, Directory Service 에서 AD Connector 를 Set up 합니다.
2 단계, SSO(IAM Identity Center)에서 Identity Source 를 변경합니다.
1-1. AD Connector 설정
Set up directory 클릭
AD Connector 선택 후 Next 클릭
Directory size 선택
VPC 및 Subnet 선택
Private subnet 을 선택
현재 AD 는 Public subnet 에 설치 되어 있으며 외부 AD 를 가정합니다.
Directory DNS name, DNS IP address 는 필수로 써줍니다.
Directory DNS name 은 AD 에서 정한 root 도메인을 입력해줍니다
DNS IP 는 AD 의 IP 를 기입합니다.
Service account user name 에는 AD 에서 생성 한 사용자 및 패스워드를 입력합니다.
Next 클릭
검토 후 create directory 클릭
Status에서 Active 확인합니다.
실패 시 Fail 로 표시되며 실패 원인을 로그로 확인합니다.
1-2. IAM Identity Center(SSO) 설정
IAM Identity Center 메뉴 – Settings 클릭 – Identity source 탭 – Actions – Change identity source 클릭
Active Directory 선택 – Next
Existing Directories – 위에서 생성한 AD Connector 선택 – Next 클릭
검토 후 Change identity source 클릭
몇분 뒤 모두 완료가 되면 초록색으로 변경된 후 팝업창이 자동으로 닫힙니다.
1-3. 동기화 설정
최상단의 Resume sync 클릭 시 상단에 팝업 창이 생성됩니다.
생성된 팝업 창의 Start guided setup 클릭
- 동기화할 범위를 미리 지정하기 위한 설정 입니다.
동기화는 바로 적용할 수 있는 방법은 없으며 주기적인 시간 이후 자동 동기화 됩니다.
D 와 동기화에서 넘어오는 값에 대해 파싱 옵션을 설정 해줄 수 있습니다. 여기서는 Default 설정을 그대로 사용합니다.
Next 클릭
User 입력 후 Add 클릭
추가된 User 확인 후 Next 클릭
검토 및 Save configuration 클릭
Sync된 user를 확인
User 상세 정보 확인
AD 에서 넣어준 email 이 Primary email로 잘 파싱 된 것을 확인 할 수 있습니다.
2. SSO 사용자 및 권한 설정
2-1. Permission sets 설정
Permission Set 생성
- 여기서는 AdministratorAccess 권한을 부여했으나 실제로는 필요 권한만 설정해줘야 합니다.
2-2. User 와 Permission set Mapping
Account 탭 – 해당 Account 선택 – Assign users or groups 클릭
맵핑 할 User 선택
Next 클릭
매핑할 Permission Set 선택(위에서 생성한 ad-admin 사용)
Next 클릭
검토 후 Submit 클릭
2-3. SSO 포탈 접속
Dashboard – AWS access portal 의 URL 클릭
SSO 로그인 포탈 접속
SSO 어카운트에 맵핑 시킨 User 를 입력합니다
AD 에서 사용자 생성 시 설정 한 password 를 입력합니다.
로그인 클릭
SSO 에서 맵핑 한 Account 와 Permissions Set 확인 후 원하는 인터페이스로 접근 합니다
- Management console 로 액세스
콘솔 액세스 확인
SSO User로 로그인 시 AD에서 설정한 이메일을 사용하기 때문에 AD 사용자 생성 시 E-mail을 필수로 넣어줘야 합니다
감사합니다 🙂
Written by 김 동철 / Dongcheol Kim
Cloud Engineer