[공유] Single Sign-On: Integrating AWS, OpenLDAP, and Shibboleth
122 views
Skip to first unread message
문태준
Aug 17, 2016, 10:35:23 PM8/17/16
to sysadminstudy
Single Sign-On: Integrating AWS, OpenLDAP, and Shibboleth 관련한 문서 간단히 테스팅을 한 것 공유합니다.
AWS 콘솔에서 따로 IAM 사용자를 만들어서 AWS role을 할당할 수 있습니다. 그렇지만 이런 경우에는 기존에 있는 사용자 DB와 별개로 사용자를 관리해야 하는 이슈가 있습니다.
자체 LDAP서버를 이미 가지고 있는 경우 IdentIty Provider 라는 것을 구성하여 identity Provider에서 사용자 정보와 AWS role 정보를 서로 매핑할수 있습니다. 그러면 사내 포털같은데서 identity provider 와 연동을 하여 사내 포털에서 인증을 받고 나서 AWS로 가는 경우 해당 사용자에게 허용된 AWS role을 부여하고 SSO을 통한 자동인증을 할 수 있습니다.
장점 : 기존에 LDAP에 있는 사용자 정보, 그룹정보를 이용하여 AWS role을 제어할 수 있음.
아래 문서는 오픈소스 idp인 Shibboleth 를 이용하여 AWS와의 연동한 것을 간단히 정리하고 있습니다. 자세한 내용은 원래의 영문문서를 참고하세요. 실제 서비스 구현을 할 때는 AWS 에서 지원하는 다른 상용 SSO 솔루션을 이용할까 고민중입니다.
http://wiki.tunelinux.pe.kr/pages/viewpage.action?pageId=3277071
AWS에서 SAML 2.0 기반 연동에 대하여
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_providers_saml.html
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html
AWS 콘솔에서 따로 IAM 사용자를 만들어서 AWS role을 할당할 수 있습니다. 그렇지만 이런 경우에는 기존에 있는 사용자 DB와 별개로 사용자를 관리해야 하는 이슈가 있습니다.
자체 LDAP서버를 이미 가지고 있는 경우 IdentIty Provider 라는 것을 구성하여 identity Provider에서 사용자 정보와 AWS role 정보를 서로 매핑할수 있습니다. 그러면 사내 포털같은데서 identity provider 와 연동을 하여 사내 포털에서 인증을 받고 나서 AWS로 가는 경우 해당 사용자에게 허용된 AWS role을 부여하고 SSO을 통한 자동인증을 할 수 있습니다.
장점 : 기존에 LDAP에 있는 사용자 정보, 그룹정보를 이용하여 AWS role을 제어할 수 있음.
아래 문서는 오픈소스 idp인 Shibboleth 를 이용하여 AWS와의 연동한 것을 간단히 정리하고 있습니다. 자세한 내용은 원래의 영문문서를 참고하세요. 실제 서비스 구현을 할 때는 AWS 에서 지원하는 다른 상용 SSO 솔루션을 이용할까 고민중입니다.
http://wiki.tunelinux.pe.kr/pages/viewpage.action?pageId=3277071
AWS에서 SAML 2.0 기반 연동에 대하여
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_providers_saml.html
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html
Reply all
Reply to author
Forward
0 new messages