Azure Active Directory > 엔터프라이즈 애플리케이션 > 페더레이션 메타데이터 XML 다운로드 참고로 위 화면의 Role RoleSessionName SessionDuration 부분에 오타가 있으면 가장 마지막 단계인 테스트 단계에서 에러가 발생한다.. 조심할 것 ("" ")
AWS > IAM > Identity providers(자격 증명 공급자) 에 Azure AD 등록 (메타데이터는 직전 과정 XML 파일 업로드)
테스트를 위한 NetworkAdmin 및 Support User IAM Role 생성 (신뢰할 수 있는 개체에 SAML 2.0 Federation 선택)
Azure Active Directory에서 AWS IAM 역할을 프로비저닝 하기 위한 IAM Policy 생성 IAM Policy
AzureActive Directory에서AWS IAM 역할을 프로비저닝 하기 위한 IAM User 생성 (직전의 Policy를 연결하며, 사용자 생성 시 발급되는 Access Key와 Secret Key는 별도로 저장 필요)
Azure Active Directory > 엔터프라이즈 애플리케이션 > AWS > Provisionig > 생성한 IAM User 등록 > 프로비전 시작 (프로비저닝 모드는 Automatic)
Azure Active Directory > 엔터프라이즈 애플리케이션 >AWS > 사용자 및 그룹에서 사용자(그룹) 생성 및 역할 설정
myapps.microsoft.com 에서 접속 확인 위와 같이 역할 선택이 나타나는 이유는 1개의 계정에 여러개의 IAM Role을 부여했기 때문이다. 실제 운영할때도 1명의 사용자가 여러개의 역할을 사용하는 경우가 있을텐데, 그때마다 역할을 바꾸는 것은 좀 불편할 것 같다. 그럼 1명의 사용자에 1개의 Role을 연결시키는 것이 맞는것인지? 고민이 필요할 듯 하다.
그리고 위와 같은 방식은 장기 자격 증명이 아닌 단기 자격 증명이다. 역할 선택 시간에 대한 제한(5분) 및 세션 사용에 대한 타임아웃 시간(필자는 1시간으로 설정)이 존재한다.
또한, 위와 같이 구성한 경우 직원이 퇴사한 경우 AWS에서는 별도로 계정 삭제가 필요하지 않고, AD 쪽에서만 계정을 삭제해주면 된다.
