기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Quick에서 페더레이션 사용자를 위한 이메일 동기화 구성
| |
| --- |
| 적용 대상: Enterprise Edition |
| |
| --- |
| 대상: 시스템 관리자 및 Amazon Quick 관리자 |
**참고**
IAM 자격 증명 연동은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
Amazon Quick Enterprise 에디션에서는 관리자가 자격 증명 공급자(IdP)를 통해 Quick에 직접 프로비저닝할 때 새 사용자가 개인 이메일 주소를 사용하지 못하도록 제한할 수 있습니다. 그러면 Quick은 계정에 새 사용자를 프로비저닝할 때 IdP를 통해 전달된 미리 구성된 이메일 주소를 사용합니다. 예를 들어 사용자가 IdP를 통해 Amazon Quick 계정에 프로비저닝될 때 회사에서 할당한 이메일 주소만 사용하도록 만들 수 있습니다.
**참고**
사용자가 IdP를 통해 Amazon Quick에 직접 페더레이션하는지 확인합니다. IdP를 AWS Management Console 통해에 페더레이션한 다음 Amazon Quick을 클릭하면 오류가 발생하고 Amazon Quick에 액세스할 수 없습니다.
Amazon Quick에서 페더레이션 사용자에 대한 이메일 동기화를 구성하면 Amazon Quick 계정에 처음 로그인하는 사용자에게 이메일 주소가 미리 할당됩니다. 이 정보는 계정을 등록하는 데 사용됩니다. 이 방법을 사용하면 사용자가 이메일 주소를 입력하여 수동으로 우회할 수 있습니다. 또한 관리자가 지정한 이메일 주소와 다를 수 있는 이메일 주소를 사용자는 사용할 수 없습니다.
Amazon Quick은 SAML 또는 OpenID Connect(OIDC) 인증을 지원하는 IdP를 통한 프로비저닝을 지원합니다. IdP를 통해 프로비저닝할 때 새 사용자의 이메일 주소를 구성하려면 해당 사용자가 `AssumeRoleWithSAML` 또는 `AssumeRoleWithWebIdentity`와(과) 함께 사용하는 IAM 역할에 대한 신뢰 관계를 업데이트해야 합니다. 그런 다음 해당 IdP에 SAML 속성 또는 OIDC 토큰을 추가합니다. 마지막으로 Amazon Quick에서 페더레이션 사용자의 이메일 동기화를 켭니다.
다음 절차에서는 이 단계를 자세히 설명합니다.
## 1단계: AssumeRoleWithSAML 또는 AssumeRoleWithWebIdentity을(를) 사용하여 IAM 역할에 대한 신뢰 관계를 업데이트합니다.
IdP를 통해 Amazon Quick으로 프로비저닝할 때 사용자가 사용할 이메일 주소를 구성할 수 있습니다. 이렇게 하려면 `AssumeRoleWithSAML` 또는 `AssumeRoleWithWebIdentity`와(과) 함께 사용하는 IAM 역할의 신뢰 관계에 `sts:TagSession` 작업을 추가하십시오. 이렇게 하면 사용자가 역할을 수임할 때 `principal` 태그를 전달할 수 있습니다.
다음 예는 IdP가 Okta인 업데이트된 IAM 역할을 보여줍니다. 이 예제를 사용하려면 서비스 공급자의 ARN으로 `Federated` Amazon 리소스 이름(ARN)을 업데이트하십시오. 빨간색 항목을 AWS 및 IdP 서비스별 정보로 바꿀 수 있습니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## 2단계: IdP의 IAM 기본 태그에 대한 SAML 속성 또는 OIDC 토큰 추가
이전 섹션에 설명된 대로 IAM 역할에 대한 신뢰 관계를 업데이트한 후 IdP의 IAM `Principal` 태그에 대한 SAML 속성 또는 OIDC 토큰을 추가합니다.
다음 예는 SAML 속성과 OIDC 토큰을 보여줍니다. 이 예제를 사용하려면 이메일 주소를 사용자의 이메일 주소를 가리키는 IdP의 변수로 바꾸십시오. 빨간색으로 강조 표시된 항목을 사용자 정보로 바꿀 수 있습니다.
+ **SAML 속성**: 다음 예는 SAML 속성을 보여줍니다.
```
john.doe@example.com
```
**참고**
Okta를 IdP로 사용하는 경우 SAML을 사용하려면 Okta 사용자 계정에서 기능 플래그를 켜야 합니다. 자세한 내용은 [Okta 블로그의 Okta 및 AWS Partner to Simplify Access Via Session Tags](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/)를 참조하세요.
+ **OIDC 토큰**: 다음 예는 OIDC 토큰의 예를 보여줍니다.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## 3단계: Amazon Quick에서 페더레이션 사용자의 이메일 동기화 활성화
앞서 설명한 대로 IAM 역할의 신뢰 관계를 업데이트하고 IdP의 IAM `Principal` 태그에 대한 SAML 속성 또는 OIDC 토큰을 추가합니다. 그런 다음 다음 절차에 설명된 대로 Amazon Quick에서 페더레이션 사용자에 대한 이메일 동기화를 켭니다.
**페더레이션 사용자를 위한 이메일 동기화 켜기**
1. Amazon Quick의 모든 페이지에서 오른쪽 상단의 사용자 이름을 선택한 다음 **Amazon Quick 관리를** 선택합니다.
1. 왼쪽 메뉴에서 **싱글 사인온(IAM 페더레이션)**을 선택합니다.
1. **서비스 제공자가 시작한 IAM 페더레이션** 페이지에서 **페더레이션 사용자를 위한 이메일 동기화**에 대해 **켜기**을 선택합니다.
페더레이션 사용자의 이메일 동기화가 켜져 있는 경우 Amazon Quick은 계정에 새 사용자를 프로비저닝할 때 1단계와 2단계에서 구성한 이메일 주소를 사용합니다. 사용자는 자신의 이메일 주소를 입력할 수 없습니다.
페더레이션 사용자의 이메일 동기화가 꺼져 있으면 Amazon Quick은 계정에 새 사용자를 프로비저닝할 때 사용자에게 이메일 주소를 수동으로 입력하도록 요청합니다. 사용자는 원하는 모든 이메일 주소를 사용할 수 있습니다.