증가하는 직원의 IT 관리자라면 사용자가 점점 더 많은 수의 비즈니스 애플리케이션 및 AWS 계정에 액세스해야 합니다. AWS SSO(AWS Single Sign-On)를 사용하여 중앙에서 사용자를 생성 및 관리하고 Salesforce, Box 및 Slack과 같은 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다. AWS SSO를 사용하면 사용자가 중앙 포털에 로그인하여 모든 AWS 계정 및 응용 프로그램에 액세스합니다. AWS SSO 사용자 포털에 로그인하는 사용자에게 추가적인 보안 계층을 제공하는 이메일 기반 검증을 시작했습니다. AWS SSO는 사용자의 전자 메일에 전송된 OTP(One-Time Passcode)를 지원하므로 로그인 중에 사용자가 인증 코드로 사용합니다. 활성화된 경우 AWS SSO는 사용자에게 사용자 이름과 암호를 묻는 메시지를 표시한 다음 전자 메일 주소로 전송된 확인 코드를 입력합니다. AWS SSO 사용자 포털에 로그인하려면 세 가지 정보가 모두 필요합니다.
컨텍스트 인식 또는 상시(Always-on) 모드에서 전자 메일 기반 검증을 사용하도록 설정할 수 있습니다. 기본 AWS SSO 디렉토리를 사용하여 생성된 사용자에 대해 켄텍스트 인식 모드로 전자 메일 기반 검증을 사용하도록 설정하는 것이 좋습니다. 이 모드에서는 사용자가 대부분의 로그인에 대해 사용자 이름과 암호로 쉽게 로그인하지만 새 장치 또는 알 수 없는 위치에서 로그인할 때와 같이 로그인 컨텍스트가 변경되면 추가 확인을 제공해야 합니다. 또는 회사에서 사용자가 모든 로그인에 대해 확인을 완료하도록 요구하는 경우 항상 상시 모드를 사용할 수 있습니다.
이 글에서는 AWS SSO 콘솔을 사용하여 SSO 디렉토리의 사용자를 위해 컨텍스트 인식 모드로 검증하는 방법을 시연합니다. 그런 다음 전자 메일 기반 검증을 사용하여 AWS SSO 사용자 포털에 로그인하는 방법을 시연합니다.
SSO 디렉토리의 사용자에 대해 컨텍스트 인식 모드에서 전자 메일 기반 검증을 사용
전자 메일 기반 검증을 사용하도록 설정하기 전에 모든 사용자가 전자 메일에 액세스하여 확인 코드를 검색할 수 있는지 확인해야 합니다. 사용자가 전자 메일에 액세스하기 위해 AWS SSO 사용자 포털이 필요한 경우 전자 메일 기반 검증을 사용하도록 설정하지 않습니다. 예를 들어 AWS SSO를 사용하여 Office 365에 액세스하는 경우 이메일 기반 검증을 사용하도록 설정할 때 사용자가 AWS SSO 사용자 포털에 액세스하지 못할 수 있습니다.
SSO 디렉토리의 사용자에 대해 전자 메일 기반 검증을 사용하려면 다음 단계를 수행합니다.
- AWS SSO 콘솔에 로그인합니다. 왼쪽 탐색 창에서 설정을 선택한 다음 2단계 검증 설정에서 구성을 선택합니다.
- 검증 모드에서 컨텍스트 인식, 검증 방법에서 전자 메일 기반 검증을 선택한 다음 변경 내용 저장을 선택합니다.
그림 1: 검증 모드와 검증 방법을 선택합니다.
3. 전자 메일 기반 검증 사용 창에서 변경 내용을 확인하도록 선택하기 전에 모든 사용자가 AWS SSO를 사용하여 로그인하지 않고 AWS SSO 사용자 포털에 로그인하는 데 필요한 검증 코드를 검색하기 위해 전자 메일에 액세스할 수 있는지 확인합니다. 선택을 확인하려면 텍스트 입력 필드에 CONFIRM(대소문자 구분)을 입력한 다음 확인을 선택하십시오.
그림 2: “전자 메일 기반 검증 사용” 창입니다.
AWS SSO 디렉토리의 모든 사용자에 대해 컨텍스트 인식 모드에서 성공적으로 전자 메일 기반 검증을 사용하도록 설정했음을 확인할 수 있습니다.
그림 3: 설정을 확인합니다.
다음으로, 사용자가 사용자 이름 및 암호 외에 전자 메일 기반 검증을 통해 AWS SSO 사용자 포털에 로그인하는 방법을 시연합니다.
전자 메일 기반 검증을 통해 AWS SSO 사용자 포털에 로그인
컨텍스트 인식 모드에서 전자 메일 기반 검증을 사용하도록 설정하면 로그인 컨텍스트가 변경될 때 전자 메일로 전송된 확인 코드를 사용합니다. 다음과 같은 방식으로 작동합니다.
- AWS SSO 사용자 포털로 이동합니다.
- 전자 메일 주소와 암호를 입력한 다음 로그인을 선택합니다.
그림 4: “Single Sign-On” 창입니다.
3. AWS에서 로그인 컨텍스트의 변경 사항을 감지하면 다음 단계에서 입력하는 6자리 검증 코드가 포함된 전자 메일을 받게 됩니다.
그림 5: 검증 전자 메일의 예입니다.
4. 검증 코드 상자에 코드를 입력한 다음 로그인을 선택합니다. 검증 코드를 받지 못한 경우 새 코드를 수신하려면 전자 메일 다시 보내기를 선택하고 스팸 폴더를 확인합니다. 여러분의 디바이스를 신뢰하도록 하려면 신뢰할 수 있는 장치를 선택하여 새 브라우저 또는 알 수 없는 위치에서 로그인하는 등 로그인 컨텍스트가 다시 변경되지 않는 한 검증 코드를 입력할 필요가 없습니다.
그림 6: 검증 코드를 입력합니다.
이제 사용자는 관리자가 구성한 AWS 계정 및 비즈니스 애플리케이션에 액세스할 수 있습니다.
요약
이 글에서는 컨텍스트 인식 모드에서 전자 메일 기반 검증의 이점을 공유했습니다. SSO 콘솔을 통해 사용자의 전자 메일 기반 검증을 사용하도록 설정하는 방법을 시연했습니다. 전자 메일 기반 검증을 통해 AWS SSO 사용자 포털에 로그인하는 방법도 보여 드렸습니다. 위에서 설명한 프로세스를 따라 연결된 AD 디렉토리에서 SSO 사용자에 대해 전자 메일 기반 검증을 사용하도록 설정할 수도 있습니다.
의견이 있으시면 아래 Comments 섹션에 제출해 주십시오. 사용자에 대해 전자 메일 기반 검증을 사용하도록 설정하는 데 문제가 있는 경우 AWS SSO 포럼에서 스레드를 시작하거나 AWS 지원에 문의합니다.
원문 URL : https://aws.amazon.com/ko/blogs/security/add-a-layer-of-security-for-aws-sso-user-portal-sign-in-with-context-aware-email-based-verification/
** 메가존클라우드 TechBlog는 AWS BLOG 영문 게재글중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.
