기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS 관리형 Microsoft AD에서 AWS 애플리케이션 및 서비스에 액세스
<a name="ms_ad_manage_apps_services"></a>

 AWS 관리형 Microsoft AD 사용자에게 AWS 애플리케이션 및 서비스에 액세스할 수 있는 액세스 권한을 부여할 수 있습니다. 이러한 AWS 애플리케이션 및 서비스 중 일부는 다음과 같습니다.
+ Amazon Chime
+ Amazon EC2
+ Quick
+ AWS Management Console
+ Amazon WorkSpaces

 AWS 관리형 Microsoft ADURLs 및 Single Sign-On을 사용할 수도 있습니다.

**Topics**
+ [AWS 관리형 Microsoft AD의 애플리케이션 호환성](ms_ad_app_compatibility.md)
+ [AWS 관리형 Microsoft AD의 AWS 애플리케이션 및 서비스에 대한 액세스 활성화](ms_ad_enable_apps_services.md)
+ [AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화](ms_ad_management_console_access.md)
+ [AWS 관리형 Microsoft AD에 대한 액세스 URL 생성](ms_ad_create_access_url.md)
+ [AWS 관리형 Microsoft AD에 대한 Single Sign-On 활성화](ms_ad_single_sign_on.md)

# AWS 관리형 Microsoft AD의 애플리케이션 호환성
<a name="ms_ad_app_compatibility"></a>

AWS Directory Service for Microsoft Active Directory(AWS 관리형 Microsoft AD)는 여러 AWS 서비스 및 타사 애플리케이션과 호환됩니다.

다음은 호환되는 AWS 애플리케이션 및 서비스 목록입니다.
+ Amazon Chime 
+ Amazon Connect 
+ Amazon EC2 
+ Quick 
+ Amazon RDS 
+ WorkDocs 
+ Amazon WorkMail 
+ AWS Client VPN 
+ AWS IAM Identity Center 
+ AWS License Manager 
+ AWS Management Console 
+ FSx for Windows File Server 
+ WorkSpaces 

자세한 내용은 [AWS 관리형 Microsoft AD의 AWS 애플리케이션 및 서비스에 대한 액세스 활성화](ms_ad_enable_apps_services.md) 단원을 참조하십시오.

Active Directory를 사용하는 사용자 지정 및 상용 off-the-shelf 애플리케이션의 규모로 인해 AWS 는 Microsoft Active Directory용 AWS Directory Service(AWS 관리형 Microsoft AD)와의 타사 애플리케이션 호환성에 대한 공식 또는 광범위한 확인을 수행하지 않으며 수행할 수 없습니다. AWS 는 고객이 직면할 수 있는 잠재적 애플리케이션 설치 문제를 해결하기 위해 고객과 협력하지만 어떤 애플리케이션이 AWS 관리형 Microsoft AD와 호환되거나 계속 호환될 것이라고 보장할 수는 없습니다.

다음 타사 애플리케이션은 AWS 관리형 Microsoft AD와 호환됩니다.
+ Active Directory 기반 정품 인증(ADBA)
+ Active Directory Certificate Services (AD CS): Enterprise Certificate Authority
+ Active Directory Federation Services (AD FS)
+ Active Directory Users and Computers (ADUC)
+ Application Server(.NET)
+ Microsoft Entra (이전 명칭: Azure Active Directory (Azure AD))
+ Microsoft Entra Connect (이전 명칭: Azure Active Directory Connect)
+ 분산 파일 시스템 복제(DFSR)
+ 분산 파일 시스템 네임스페이스(DFSN)
+ Microsoft Remote Desktop Services Licensing Server
+ Microsoft SharePoint Server
+ Microsoft SQL Server (SQL Server Always On 가용성 그룹 포함)
+ Microsoft System Center Configuration Manager (SCCM) - SCCM을 배포하는 사용자는 AWS 위임된 시스템 관리 관리자 그룹의 구성원이어야 합니다.
+ Microsoft Windows and Windows Server OS
+ Office 365

이러한 애플리케이션의 모든 구성이 지원되지 않을 수 있다는 점에 유의하세요.

## 호환성 지침
<a name="compatabilityguidelines"></a>

애플리케이션에 호환되지 않는 구성이 있다 하더라도 애플리케이션 배포 구성을 통해 비호환성을 해결할 수 있는 경우가 많습니다. 다음은 애플리케이션이 호환되지 않는 가장 흔한 이유를 설명한 것입니다. 고객은 이 정보를 사용하여 원하는 애플리케이션의 호환성 관련 특성을 조사하고 있을 수 있는 배포 변경 사항을 알아낼 수 있습니다.
+ **도메인 관리자 또는 기타 특권 –** 일부 애플리케이션에서 도메인 관리자의 자격으로 설치해야 한다고 지시하는 경우가 있습니다. AWS 는 Active Directory를 관리형 서비스로 제공하기 위해이 권한 수준을 독점적으로 제어해야 하므로 이러한 애플리케이션을 설치하기 위해 도메인 관리자 역할을 할 수 없습니다. 그러나 설치를 수행하는 사람에게 구체적이고 권한이 적으며 AWS 지원되는 권한을 위임하여 이러한 애플리케이션을 설치할 수 있는 경우가 많습니다. 애플리케이션에 필요한 권한이 정확히 무엇인지에 관한 세부 정보는 해당 애플리케이션 공급자에게 문의하세요. 위임 AWS 할 수 있는 권한에 대한 자세한 내용은 섹션을 참조하세요[AWS 관리형 Microsoft AD로 생성되는 항목](ms_ad_getting_started_what_gets_created.md).
+ **권한이 있는 Active Directory 컨테이너에 대한 액세스 -** 디렉터리 내에서 AWS 관리형 Microsoft AD는 전체 관리 제어 권한이 있는 조직 단위(OU)를 제공합니다. 권한을 생성하거나 작성할 필요가 없고 Active Directory 트리에서 사용자의 OU보다 상위에 있는 컨테이너에 대한 읽기 권한이 제한될 수 있습니다. 사용자에게 권한이 없는 컨테이너를 생성하거나 그러한 컨테이너에 액세스하는 애플리케이션은 작동하지 않을 수 있습니다. 그러나 그러한 애플리케이션은 사용자가 대체 방법으로 OU에 생성하는 컨테이너를 사용할 수 있는 경우가 많습니다. 해당 애플리케이션 공급자에게 문의하여 대체 방법으로 OU에 컨테이너를 생성하여 사용할 수 있는 방법을 찾으세요. OU에 대한 자세한 내용은 [AWS 관리형 Microsoft AD로 생성되는 항목](ms_ad_getting_started_what_gets_created.md)을 참조하세요.
+ **설치 워크플로우 중 스키마 변경 –** 일부 Active Directory 애플리케이션에서는 기본 Active Directory 스키마를 변경할 것을 요구하며, 이러한 변경 사항을 애플리케이션 설치 워크플로우의 일부로 설치하려 할 수 있습니다. 스키마 확장의 권한 있는 특성으로 인해 AWS 는 Directory Service 콘솔, CLI 또는 SDK를 통해서만 Lightweight Directory Interchange Format(LDIF) 파일을 가져와 이를 가능하게 합니다. 이러한 애플리케이션은 스키마 업데이트 프로세스를 통해 디렉터리에 적용할 수 있는 Directory Service LDIF 파일과 함께 제공되는 경우가 많습니다. LDIF 가져오기 프로세스 작동 방식에 관한 자세한 내용은 [자습서: AWS 관리형 Microsoft AD 스키마 확장](ms_ad_tutorial_extend_schema.md) 단원을 참조하세요. 설치 프로세스 중에 스키마 설치를 무시하는 방식으로 애플리케이션을 설치할 수 있습니다.

## 호환되지 않는 것으로 알려진 애플리케이션
<a name="incompatibleapps"></a>

다음은 AWS Managed Microsoft AD에서 작동하는 구성을 찾을 수 없는 일반적으로 요청되는 상용 off-the-shelf 애플리케이션 목록입니다.는 비생산적인 작업을 방지하는 데 도움이 되도록 단독 재량에 따라이 목록을 수시로 AWS 업데이트합니다. AWS 는 현재 또는 향후 호환성에 대한 보증 또는 클레임 없이이 정보를 제공합니다.
+ Active Directory Certificate Services (AD CS): Certificate Enrollment Web Service
+ Active Directory Certificate Services (AD CS): Certificate Enrollment Policy Web Service
+ Microsoft Exchange Server
+ Microsoft Skype for Business Server

# AWS 관리형 Microsoft AD의 AWS 애플리케이션 및 서비스에 대한 액세스 활성화
<a name="ms_ad_enable_apps_services"></a>

사용자는 AWS Managed Microsoft AD에 Amazon WorkSpaces와 같은 AWS 애플리케이션 및 서비스에 Active Directory에 대한 액세스 권한을 부여할 수 있습니다. 다음 AWS 애플리케이션 및 서비스는 AWS 관리형 Microsoft AD에서 작동하도록 활성화하거나 비활성화할 수 있습니다.


| AWS 애플리케이션/서비스 | 추가 정보... | 
| --- | --- | 
| Amazon Chime | 자세한 내용은 [Active Directory에 연결](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html)을 참조하세요. | 
| Amazon Connect | 자세한 내용은 [Amazon Connect 관리 안내서](https://docs.aws.amazon.com/connect/latest/adminguide/related-services-amazon-connect.html#security-services)를 참조하세요. | 
| Amazon EC2 | 자세한 내용은 [Amazon EC2 인스턴스를 AWS 관리형 Microsoft AD에 조인하는 방법](ms_ad_join_instance.md) 단원을 참조하십시오. | 
| Amazon FSx for Windows File Server | 자세한 내용은 [Microsoft Active Directory용 AWS Directory Service에서 Amazon FSx 사용을](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html) 참조하세요. | 
| Quick | 자세한 내용은 [빠른 엔터프라이즈 에디션에서 Active Directory 사용을](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) 참조하세요. | 
| Amazon Relational Database Service | 자세한 내용은 다음을 참조하세요.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ms_ad_enable_apps_services.html) | 
| Amazon WorkDocs | 자세한 내용은 Amazon [ Amazon WorkDocs for AWS Managed Microsoft AD 활성화](https://docs.aws.amazon.com/workspaces/latest/adminguide/enable-workdocs-active-directory.html)를 참조하세요. | 
| Amazon WorkMail |  자세한 내용은 [조직 생성](https://docs.aws.amazon.com/workmail/latest/adminguide/add_new_organization.html)을 참조하세요.  | 
| Amazon WorkSpaces |  WorkSpaces에서 직접 Simple AD, AWS Managed Microsoft AD, AD Connector를 만들 수 있습니다. Workspace를 생성할 때 **고급 설정**을 시작하면 됩니다. 자세한 내용은 [WorkSpaces에 기존 Directory Service 디렉터리 등록을 참조하세요 WorkSpacesPersonal](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html).  | 
| AWS Client VPN | 자세한 내용은 [Client VPN에서 Active Directory 인증](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/ad.html)을 참조하세요. | 
| AWS IAM Identity Center | 자세한 내용은 [Microsoft AD 디렉터리에 연결](https://docs.aws.amazon.com/singlesignon/latest/userguide/connectawsad.html)을 참조하세요. | 
| AWS License Manager | 자세한 내용은 [License Manager의 사용자 기반 구독 관리](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html)를 참조하세요. | 
| AWS Management Console | 자세한 내용은 [AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화](ms_ad_management_console_access.md) 단원을 참조하십시오. | 
| AWS Private Certificate Authority | 자세한 내용은 [AWS Private CA Connector for Active Directory](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html)를 참조하세요. | 
| AWS Transfer Family | 자세한 내용은 [SFTP, FTPS 또는 FTP 서버 엔드포인트 구성](https://docs.aws.amazon.com/transfer/latest/userguide/sftp-for-transfer-family.html)을 참조하세요. | 

일단 활성화가 되면 디렉터리에 대한 액세스 권한을 부여하고자 하는 애플리케이션 또는 서비스의 콘솔에서 디렉터리에 대한 액세스를 관리합니다.

## AWS 애플리케이션 및 서비스 찾기
<a name="find-apps-and-services"></a>

 Directory Service 콘솔에서 이전에 설명한 애플리케이션 및 서비스를 찾으 AWS 려면 다음 단계를 수행합니다.

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **애플리케이션 관리** 탭을 선택합니다.

1. **AWS apps & services(앱 및 서비스)** 섹션에서 목록을 검토합니다.

를 사용하여 AWS 애플리케이션 및 서비스에 권한을 부여하거나 권한을 취소하는 방법에 대한 자세한 내용은 섹션을 Directory Service참조하세요[를 사용하여 AWS 애플리케이션 및 서비스에 대한 권한 부여 Directory Service](ad_manage_apps_services_authorization.md).

# AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화
<a name="ms_ad_management_console_access"></a>

Directory Service 를 사용하면 디렉터리의 멤버에게에 대한 액세스 권한을 부여할 수 있습니다 AWS Management Console. 기본적으로 디렉터리 멤버는 AWS 리소스에 액세스할 수 없습니다. 디렉터리 멤버에게 IAM 역할을 할당하여 다양한 AWS 서비스 및 리소스에 대한 액세스 권한을 부여합니다. IAM 역할은 디렉터리 멤버가 보유하고 있는 서비스, 리소스, 액세스 수준을 정의합니다.

디렉터리 멤버에게 콘솔 액세스 권한을 부여할 수 있으려면 디렉터리가 액세스 URL을 가지고 있어야 합니다. 디렉터리 세부 정보를 확인하고 액세스 URL을 얻을 수 있는 자세한 방법은 [AWS 관리형 Microsoft AD 디렉터리 정보 보기](ms_ad_view_directory_info.md)를 참조하세요. 액세스 URL을 생성하는 자세한 방법은 [AWS 관리형 Microsoft AD에 대한 액세스 URL 생성](ms_ad_create_access_url.md)를 참조하세요.

IAM 역할을 생성해서 디렉터리 멤버에게 할당하는 자세한 방법은 [관리 AWS 형 Microsoft AD 사용자 및 그룹에 IAM 역할이 있는 AWS 리소스에 대한 액세스 권한 부여](ms_ad_manage_roles.md) 단원을 참조하세요.

**Topics**
+ [AWS Management Console 액세스 활성화](#console_enable)
+ [AWS Management Console 액세스 비활성화](#console_disable)
+ [AWS Management Console 로그인 세션 길이 설정](#console_session)

**관련 AWS 보안 블로그 기사**
+ [AWS 관리형 Microsoft AD 및 온프레미스 자격 증명을 AWS Management Console 사용하여에 액세스하는 방법](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)

**관련 AWS re:Post 문서**
+ [온프레미스 Active Directory 사용자에게에 AWS Management Console 대한 액세스 권한을 부여하려면 어떻게 해야 하나요?](https://repost.aws/knowledge-center/enable-active-directory-console-access)

**참고**  
에 대한 액세스 AWS Management Console 는 AWS Managed Microsoft AD의 리전별 기능입니다. [다중 리전 복제](ms_ad_configure_multi_region_replication.md)를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 내용은 [글로벌 기능과 리전별 기능 비교](multi-region-global-region-features.md) 단원을 참조하십시오.

## AWS Management Console 액세스 활성화
<a name="console_enable"></a>

기본적으로 디렉터리에서는 콘솔 액세스가 활성화되어 있지 않습니다. 디렉터리 사용자 및 그룹에 대해 콘솔 액세스를 활성화하려면 다음 단계를 수행합니다.

**콘솔 액세스 활성화**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제** 아래에 여러 리전이 표시되는 경우에 대한 액세스를 활성화하려는 리전을 선택한 AWS Management Console다음 **애플리케이션 관리** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 표시된 리전이 없는 경우 **애플리케이션 관리** 탭을 선택합니다.

1. **AWS Management Console** 섹션에서 **활성화**를 선택합니다. 콘솔 액세스는 현재 디렉터리에서 활성화되어 있습니다.
**중요**  
사용자가 액세스 URL을 통해 콘솔에 로그인할 수 있으려면 우선 IAM 역할에 사용자를 추가해야 합니다. IAM 역할에 사용자를 할당하는 방법은 [기존 IAM 역할에 사용자 또는 그룹 할당](assign_role.md) 단원을 참조하세요. IAM 역할이 할당되고 나면 사용자는 액세스 URL을 이용해 콘솔에 액세스할 수 있습니다. 예를 들어 디렉터리 액세스 URL이 `example-corp.awsapps.com`인 경우 콘솔에 액세스할 URL은 `https://example-corp.awsapps.com/console/`입니다.

## AWS Management Console 액세스 비활성화
<a name="console_disable"></a>

 AWS 관리형 Microsoft AD 디렉터리 사용자 및 그룹에 대한 AWS Management Console 액세스를 비활성화하려면 다음 단계를 수행합니다.

**콘솔 액세스를 비활성화하는 방법**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제** 아래에 여러 리전이 표시되는 경우에 대한 액세스를 비활성화할 리전을 선택한 AWS Management Console다음 **애플리케이션 관리** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 표시된 리전이 없는 경우 **애플리케이션 관리** 탭을 선택합니다.

1. **AWS Management Console** 섹션에서 **비활성화**를 선택합니다. 콘솔 액세스는 현재 디렉터리에서 비활성화되어 있습니다.

1. 디렉터리 내 사용자나 그룹에 IAM 역할이 할당된 경우, **비활성화** 버튼을 사용할 수 없을 수 있습니다. 이 경우 계속 진행하기 전에 디렉터리에 대한 모든 IAM 역할 할당을 제거해야 합니다. 여기에는 디렉터리에서 삭제된 사용자 또는 그룹에 대한 할당 (**삭제된 사용자** 또는 **삭제된 그룹**으로 표시됨)이 포함됩니다.

   할당된 모든 IAM 역할이 삭제되고 나면 위의 단계들을 반복합니다.

## AWS Management Console 로그인 세션 길이 설정
<a name="console_session"></a>

기본적으로 사용자는 로그아웃되기 AWS Management Console 전에에 성공적으로 로그인한 후 1시간 동안 세션을 사용할 수 있습니다. 그 이후에는 다시 로그인을 해야 다음 세션을 1시간 동안 이용할 수 있고, 1시간이 지나면 다시 로그아웃이 됩니다. 아래 절차를 통해 세션당 최대 12시간까지 연장이 가능합니다.

**AWS Management Console 로그인 세션 길이를 설정하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 로그인 세션 길이를 설정할 리전을 선택한 다음 **애플리케이션 관리** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 표시된 리전이 없는 경우 **애플리케이션 관리** 탭을 선택합니다.

1. **AWS 앱 및 서비스** 섹션에서 **AWS Management Console(관리 콘솔)**을 선택합니다.

1. ** AWS 리소스에 대한 액세스 관리** 대화 상자에서 **계속**을 선택합니다.

1. **IAM 역할에 사용자 및 그룹 할당** 페이지의 **로그인 세션 길이 설정**에서 번호가 매겨진 값을 편집한 다음 **저장**을 선택합니다.

# AWS 관리형 Microsoft AD에 대한 액세스 URL 생성
<a name="ms_ad_create_access_url"></a>

액세스 URL은 Amazon WorkDocs와 같은 AWS 애플리케이션 및 서비스와 함께 디렉터리와 연결된 로그인 페이지에 도달하는 데 사용됩니다. 다음 단계를 수행하여 디렉터리에 대한 액세스 URL을 생성할 수 있습니다.

**고려 사항**
+ URL은 전역적으로 고유해야 합니다.
+ 다중 리전 디렉터리를 사용하는 경우 기본 리전에서만 액세스 URL을 구성할 수 있습니다.
+ 이 디렉터리에 대한 애플리케이션 액세스 URL을 생성한 후에는 변경할 수 없습니다. 액세스 URL이 생성되고 난 후에는 다른 계정에서 이를 사용할 수 없습니다. 디렉터리를 삭제하면 액세스 URL 역시 삭제가 되면서 다른 계정이 사용할 수 있게 됩니다.

**액세스 URL 생성 방법**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 **애플리케이션 관리** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 표시된 리전이 없는 경우 **애플리케이션 관리** 탭을 선택합니다.

1. 액세스 URL이 디렉터리에 할당되지 않은 경우 **애플리케이션 액세스 URL** 섹션에 **생성** 버튼이 표시됩니다. 디렉터리 별칭을 입력하고 **생성**을 선택합니다. **개체 이미 존재** 오류가 반환되면 지정된 디렉터리 별칭이 이미 할당되었다는 뜻입니다. 또 다른 별칭을 선택하고 이 절차를 반복합니다.

   액세스 URL이 *<alias>*.awsapps.com 형식으로 표시됩니다. 기본적으로 이 URL을 클릭하면 WorkDocs의 로그인 페이지로 이동합니다.

# AWS 관리형 Microsoft AD에 대한 Single Sign-On 활성화
<a name="ms_ad_single_sign_on"></a>

AWS Directory Service 는 사용자가 자격 증명을 별도로 입력하지 않고도 디렉터리에 조인된 컴퓨터에서 WorkDocs에 액세스할 수 있도록 허용하는 기능을 제공합니다.

Single Sign-On 기능을 활성화하려면 추가 단계를 수행하여 사용자의 웹 브라우저가 Single Sing-On을 지원하도록 해야 합니다. 사용자는 웹 브라우저 설정을 변경하여 Single Sign-On을 활성화해야 할 수도 있습니다.

**참고**  
Single Sign-On은 Directory Service 디렉터리에 조인된 컴퓨터에 사용할 때만 작동합니다. 이 디렉터리에 조인되지 않은 컴퓨터에서는 사용할 수 없습니다.

디렉터리가 AD Connector 디렉터리이고 AD Connector 서비스 계정에 서비스 보안 주체 이름 속성을 추가하거나 제거할 권한이 없는 경우 아래의 5단계와 6단계에 대해 두 가지 옵션이 있습니다.

1. 계속 진행하면 AD Connector 서비스 계정에 서비스 보안 주체 이름 속성을 추가하거나 제거할 권한이 있는 디렉터리 사용자의 사용자 이름과 암호를 묻는 메시지가 표시됩니다. 이러한 자격 증명은 Single Sign-On을 활성화하는 목적으로만 사용되며 서비스에 저장되지 않습니다. AD Connector 서비스 계정 사용 권한은 변경되지 않습니다.

1. AD Connector 서비스 계정이 자체적으로 서비스 보안 주체 이름 속성을 추가하거나 제거할 수 있도록 권한을 위임할 수 있습니다. AD Connector 서비스 계정에 대한 권한을 수정할 권한이 있는 계정을 사용하여 도메인이 조인된 컴퓨터에서 아래 PowerShell 명령을 실행할 수 있습니다. 아래 명령은 AD Connector 서비스 계정에 서비스 보안 주체 이름 속성을 추가 및 제거할 수 있는 기능을 제공합니다.

```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```

**WorkDocs에서 Single Sign-On을 활성화 또는 비활성화하는 방법**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **애플리케이션 관리** 탭을 선택합니다.

1. **애플리케이션 액세스 URL** 섹션에서 **활성화**를 선택하여 WorkDocs에 대한 Single Sign-On을 활성화합니다.

   **활성화** 버튼이 보이지 않으면 먼저 액세스 URL을 생성해야 이 옵션이 표시됩니다. 액세스 URL을 생성하는 자세한 방법은 [AWS 관리형 Microsoft AD에 대한 액세스 URL 생성](ms_ad_create_access_url.md)를 참조하세요.

1. **이 디렉터리에 대해 SSO(Single-Sign-On)를 활성화하시겠습니까?** 대화 상자에서 **활성화**를 선택합니다. Single Sign-On이 디렉터리에서 활성화됩니다.

1. 나중에 WorkDocs의 Single Sign-On을 비활성화하려면 **비활성화**를 선택한 후 **이 디렉터리에 대해 Single-Sign-On 비활성화** 대화 상자에서 **비활성화**를 다시 선택합니다.

**Topics**
+ [IE 및 Chrome에서의 Single Sign-On](#ie_sso)
+ [Firefox에서의 Single Sign-On](#firefox_sso)

## IE 및 Chrome에서의 Single Sign-On
<a name="ie_sso"></a>

Microsoft Internet Explorer(IE) 및 Google Chrome 브라우저가 Single Sign-On을 지원하도록 하려면 클라이언트 컴퓨터에서 아래 절차를 수행해야 합니다.
+ 액세스 URL(예: https://*<alias>*.awsapps.com)을 Single Sign-On이 승인된 사이트 목록에 추가합니다.
+ 액티브 스크립팅 (JavaScript) 활성화
+ 자동 로그인을 허용합니다.
+ 통합 인증을 활성화합니다.

도메인 관리자나 사용자가 이러한 작업을 수동으로 수행하거나, 도메인 관리자가 그룹 정책 설정을 이용해 이러한 설정값을 변경할 수 있습니다.

**Topics**
+ [Windows에서의 Single Sign-On을 위한 수동 업데이트](#ie_sso_manual_windows)
+ [OS X에서 Single Sign-On의 수동 업데이트](#chrome_sso_manual_mac)
+ [Single Sign-On을 위한 그룹 정책 설정](#ie_sso_gpo)

### Windows에서의 Single Sign-On을 위한 수동 업데이트
<a name="ie_sso_manual_windows"></a>

Windows 컴퓨터에서 Single Sign-On을 수동으로 활성화하려면 해당 컴퓨터에서 다음 단계를 수행합니다. 이러한 설정값 중 일부는 이미 올바르게 설정되어 있을 수 있습니다.

**Windows에서 IE 또는 Chrome을 위한 Single Sign-On을 수동으로 활성화하는 방법**

1. **인터넷 속성** 대화 상자를 열려면 **시작** 메뉴를 선택하고 검색 상자에 `Internet Options`를 입력한 후 **인터넷 옵션**을 선택합니다.

1. 다음 단계를 수행하여 Single Sign-On이 승인된 사이트 목록에 액세스 URL을 추가합니다.

   1. **인터넷 속성** 대화 상자에서 **보안** 탭을 선택합니다.

   1. **로컬 인트라넷**을 선택하고 **사이트**를 선택합니다.

   1. **로컬 인트라넷** 대화 상자에서 **고급**을 선택합니다.

   1. 웹 사이트 목록에 액세스 URL을 추가하고 **닫기**를 선택합니다.

   1. **로컬 인트라넷** 대화 상자에서 **확인**을 선택합니다.

1. 액티브 스크립팅을 활성화하려면 다음 단계를 수행합니다.

   1. **인터넷 속성** 대화 상자의 **보안** 탭에서 **사용자 지정 수준**을 선택합니다.

   1. **보안 설정 - 로컬 인트라넷 영역** 대화 상자에서 **스크립팅**까지 아래로 스크롤한 다음 **액티브 스크립팅**에서 **활성화**를 선택합니다.

   1. **보안 설정 - 로컬 인트라넷 영역** 대화 상자에서 **확인**을 선택합니다.

1. 자동 로그인을 활성화하려면 다음 단계를 수행합니다.

   1. **인터넷 속성** 대화 상자의 **보안** 탭에서 **사용자 지정 수준**을 선택합니다.

   1. **보안 설정 - 로컬 인트라넷 영역** 대화 상자에서 **사용자 인증**까지 아래로 스크롤한 다음 **로그인**에서 **인트라넷 영역에서만 자동 로그인**을 선택합니다.

   1. **보안 설정 - 로컬 인트라넷 영역** 대화 상자에서 **확인**을 선택합니다.

   1. **보안 설정 - 로컬 인트라넷 영역** 대화 상자에서 **확인**을 선택합니다.

1. 통합 인증을 활성화하려면 다음 단계를 수행합니다.

   1. **인터넷 속성** 대화 상자에서 **고급** 탭을 선택합니다.

   1. **보안**으로 스크롤하여 **통합된 Windows 인증 사용**을 선택합니다.

   1. **인터넷 속성** 대화 상자에서 **확인**을 선택합니다.

1. 이러한 변경 사항이 적용되도록 브라우저를 닫았다가 다시 엽니다.

### OS X에서 Single Sign-On의 수동 업데이트
<a name="chrome_sso_manual_mac"></a>

OS X에서 Chrome을 위해 Single Sign-On을 수동으로 활성화하려면 해당 컴퓨터에서 다음 단계를 수행합니다. 이 단계를 완료하려면 컴퓨터에서 관리자 권한이 필요합니다.

**OS X 기반 Chrome에서 Single Sign-On을 수동으로 활성화하는 방법**

1. 다음 명령을 실행하여 [AuthServerWhitelist](https://chromeenterprise.google/policies/#AuthServerAllowlist) 정책에 액세스 URL을 추가합니다.

   ```
   defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
   ```

1. **시스템 기본 설정**을 열고 **프로필** 패널로 이동하여 `Chrome Kerberos Configuration` 프로필을 삭제합니다.

1. Chrome을 다시 시작하고 Chrome에서 chrome://policy을 열어서 새로운 설정이 올바르게 되었는지 확인합니다.

### Single Sign-On을 위한 그룹 정책 설정
<a name="ie_sso_gpo"></a>

도메인 관리자는 그룹 정책 설정을 실행하여 도메인에 조인된 클라이언트 컴퓨터에서 Single Sign-On을 변경할 수 있습니다.

**참고**  
Chrome 정책을 사용하여 도메인의 컴퓨터에서 Chrome 웹 브라우저를 관리하는 경우에는 [AuthServerWhitelist](https://chromeenterprise.google/policies/#AuthServerAllowlist) 정책에 액세스 URL을 추가해야 합니다. Chrome 정책 설정에 대한 자세한 내용은 [Chrome의 정책 설정](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md)을 참조하세요.

**그룹 정책 설정을 사용하여 IE 또는 Chrome을 위한 Single Sign-On 활성화하는 방법**

1. 다음 단계를 수행하여 그룹 정책 객체를 새로 생성합니다.

   1. 그룹 정책 관리 도구를 열고 도메인을 탐색한 후 **그룹 정책 객체**를 선택합니다.

   1. 메인 메뉴에서 **작업**을 선택한 후 **새로 만들기**를 선택합니다.

   1. **새 GPO** 대화 상자에서 그룹 정책 객체를 설명하는 이름(예: `IAM Identity Center Policy`)을 입력하고 **원본 스타터 GPO** 설정은 **(없음)**으로 유지합니다. **확인**을 클릭합니다.

1. 다음 단계를 수행하여 Single Sign-On이 승인된 사이트 목록에 액세스 URL을 추가합니다.

   1. 그룹 정책 관리 도구에서 도메인을 탐색한 후 **그룹 정책 객체**를 선택하고 IAM Identity Center 정책의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열어 **편집**을 선택합니다.

   1. 정책 트리에서 **사용자 구성** > **기본 설정** > **Windows 설정**으로 이동합니다.

   1. **Windows 설정** 목록에서 **레지스트리**의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 **새 레지스트리 항목**을 선택합니다.

   1. **새 레지스트리 속성** 대화 상자에서 다음 설정을 입력하고 **확인**을 선택합니다.  
**작업**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**경로**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>`  
*<alias>*의 값은 액세스 URL에서 파생됩니다. 액세스 URL이 `https://examplecorp.awsapps.com`이면 별칭이 `examplecorp`이고 레지스트리 키가 `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`가 됩니다.  
**값 이름**  
`https`  
**값 유형**  
`REG_DWORD`  
**값 데이터**  
`1`

1. 액티브 스크립팅을 활성화하려면 다음 단계를 수행합니다.

   1. 그룹 정책 관리 도구에서 도메인을 탐색한 후 **그룹 정책 객체**를 선택하고 IAM Identity Center 정책의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열어 **편집**을 선택합니다.

   1. 정책 트리에서 **컴퓨터 구성** > **정책** > **관리 템플릿** > **Windows 구성 요소** > **Internet Explorer** > **인터넷 제어판** > **보안 페이지** > **인트라넷 영역**으로 이동합니다.

   1. **인트라넷 영역** 목록에서 **액티브 스크립팅 허용**의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 **편집**을 선택합니다.

   1. **액티브 스크립팅 허용** 대화 상자에서 다음 설정을 입력하고 **확인**을 선택합니다.
      + **사용** 라디오 버튼을 선택합니다.
      + **옵션**에서 **액티브 스크립팅 허용**을 **사용**으로 설정합니다.

1. 자동 로그인을 활성화하려면 다음 단계를 수행합니다.

   1. 그룹 정책 관리 도구를 열고 도메인을 탐색한 다음, 그룹 정책 객체를 선택하고 SSO 정책의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 **편집**을 선택합니다.

   1. 정책 트리에서 **컴퓨터 구성** > **정책** > **관리 템플릿** > **Windows 구성 요소** > **Internet Explorer** > **인터넷 제어판** > **보안 페이지** > **인트라넷 영역**으로 이동합니다.

   1. **인트라넷 영역** 목록에서 **로그온 옵션**의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 **편집**을 선택합니다.

   1. **로그온 옵션** 대화 상자에서 다음 설정을 입력하고 **확인**을 선택합니다.
      + **사용** 라디오 버튼을 선택합니다.
      + **옵션**에서 **로그온 옵션**을 **인트라넷 영역에서만 자동으로 로그온**으로 설정합니다.

1. 통합 인증을 활성화하려면 다음 단계를 수행합니다.

   1. 그룹 정책 관리 도구에서 도메인을 탐색한 후 **그룹 정책 객체**를 선택하고 IAM Identity Center 정책의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열어 **편집**을 선택합니다.

   1. 정책 트리에서 **사용자 구성** > **기본 설정** > **Windows 설정**으로 이동합니다.

   1. **Windows 설정** 목록에서 **레지스트리**의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 **새 레지스트리 항목**을 선택합니다.

   1. **새 레지스트리 속성** 대화 상자에서 다음 설정을 입력하고 **확인**을 선택합니다.  
**작업**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**경로**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`  
**값 이름**  
`EnableNegotiate`  
**값 유형**  
`REG_DWORD`  
**값 데이터**  
`1`

1. **그룹 정책 관리 편집기** 창이 아직 열려 있으면 닫습니다.

1. 이 단계에 따라 도메인에 새 정책을 할당합니다.

   1. 그룹 정책 관리 트리에서 도메인의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 **기존 GPO 연결**을 선택합니다.

   1. **그룹 정책 객체** 목록에서 IAM Identity Center 정책을 선택하고 **확인**을 선택합니다.

다음에 클라이언트에서 그룹 정책이 업데이트되고 나서, 또는 다음에 사용자가 로그인을 할 때 이러한 변경 사항이 적용됩니다.

## Firefox에서의 Single Sign-On
<a name="firefox_sso"></a>

Mozilla Firefox 브라우저가 Single Sign-On을 지원하도록 하려면 액세스 URL(예: https://*<alias>*.awsapps.com)을 Single Sign-On이 승인된 사이트 목록에 추가합니다. 수동 추가나 스크립트를 통한 자동 추가가 가능합니다.

**Topics**
+ [Single Sign-On의 수동 업데이트](#firefox_sso_manual)
+ [Single Sign-On의 자동 업데이트](#firefox_sso_script)

### Single Sign-On의 수동 업데이트
<a name="firefox_sso_manual"></a>

Firefox에서 승인된 사이트 목록에 액세스 URL을 수동으로 추가하려면 클라이언트 컴퓨터에서 다음 단계를 수행합니다.

**Firefox에서 승인된 사이트 목록에 액세스 URL을 수동으로 추가하는 방법**

1. Firefox를 열고 `about:config` 페이지를 엽니다.

1. `network.negotiate-auth.trusted-uris` 기본 설정을 열고 사이트 목록에 액세스 URL을 추가합니다. 쉼표(,)를 사용해 여러 항목을 구분합니다.

### Single Sign-On의 자동 업데이트
<a name="firefox_sso_script"></a>

도메인 관리자는 스크립트를 사용해 네트워크 상의 모든 컴퓨터에서 Firefox `network.negotiate-auth.trusted-uris` 사용자 기본 설정에 액세스 URL을 추가할 수 있습니다. 자세한 내용은 [https://support.mozilla.org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037)을 참조하세요.