SSO(싱글사인온), 효율성과 보안성을 동시에

최근 조직에서 다양한 SaaS(Software as a Service) 애플리케이션을 사용하면서 계정 관리의 복잡성이 커지고 있습니다. 각각의 애플리케이션에 대한 개별 로그인은 번거로울 뿐만 아니라 보안 위협을 초래할 수도 있습니다. 이러한 문제를 해결하기 위해 많은 조직이 SSO(Single Sign-On) 솔루션을 도입하고 있습니다. SSO는 한 번의 로그인으로 여러 애플리케이션에 접근할 수 있게 해주어 사용자 편의성과 보안성을 동시에 제공합니다. 특히 AWS(Amazon Web Service)와 같은 중요한 클라우드 서비스에 SSO를 적용하면 계정 관리의 효율성을 크게 향상시킬 수 있습니다.

‍

SaaS 관리 플랫폼인 PoPs도 하나의 계정, 한 번의 로그인으로 임직원들이 허용된 모든 SaaS 앱에 손쉽게 접근할 수 있도록 지원하는데요, 이번 글에서는 PoPs가 제공하는 SSO 기능으로 AWS Console에 쉽게 접속하는 방법에 대해 다룹니다.

‍

‍

‍

SSO가 중요한 이유

SSO(Single Sign-On)는 현대 비즈니스 환경에서 필수적인 요소로 자리 잡고 있습니다. 

‍

1. 사용 편의성 극대화

SSO는 사용자가 여러 SaaS 애플리케이션에 접근할 때마다 별도의 로그인 과정을 거칠 필요 없이 한 번의 인증으로 모든 서비스에 접속할 수 있게 합니다. 이는 사용자 경험을 크게 향상시킵니다.

‍

2. 보안 강화

SSO를 통해 중앙집중식 인증 관리가 가능해지며, 비밀번호 재사용이나 약한 비밀번호 사용을 줄여 보안 사고를 예방할 수 있습니다. 이는 기업의 데이터 보안을 강화하는 데 중요한 역할을 합니다.

‍

3. IT 부서의 업무 효율성 향상

SSO는 계정 관리와 접근 권한 부여, 회수 과정을 단순화하여 IT 인력의 부담을 줄여줍니다. 이는 조직의 운영 효율성을 높이는 데 기여합니다.

‍

4. 컴플라이언스 준수 용이

SSO는 접근 로그를 중앙에서 관리할 수 있어 규제 요구 사항을 쉽게 충족할 수 있습니다. 이는 기업이 법적 요구 사항을 준수하는 데 도움이 됩니다.

‍

이러한 이유로 SSO는 기업의 IT 전략에서 중요한 역할을 하며, 사용 편의성, 보안 강화, 업무 효율성, 컴플라이언스 준수를 동시에 달성할 수 있습니다.

‍

‍

‍

PoPs에서 SSO로 AWS Console 접속하기

PoPs에 로그인하면 Single Sign On하여 이용할 수 있는, 할당 받은 모든 SaaS 앱을 한 눈에 볼 수 있습니다. 런처에서 AWS Console 앱을 클릭하면 SSO로 바로 접속이 가능합니다. 이를 위해 먼저 PoPs 어드민에서 AWS Console 앱을 추가해야 합니다.

‍

‍

‍

PoPs에 AWS Console 앱 추가하기

‍

1. PoPs에서 AWS Console 앱 추가에 필요한 메타데이터 다운로드

1. PoPs 어드민에 관리자 계정으로 로그인합니다.

2. 메뉴에서 앱을 선택한 후 [앱 카탈로그 보기]를 클릭합니다.

3. 앱 카탈로그에서 AWS Console 앱을 클릭합니다.

4. AWS Console 앱 상세 화면에서 [앱 추가하기]를 클릭합니다.

5. 앱 추가하기 화면에서 [메타데이터 다운]을 클릭하여 SAML IdP Metadata 파일을 다운로드합니다.

‍

‍

2. AWS Console로 이동하여 로그인 후 자격 증명 공급자 ARN 확인

1. AWS Console의 IAM > 자격 증명 공급자 메뉴로 이동하여 [공급자 추가]를 클릭합니다.

2. 자격 증명 공급자 추가 페이지에서 공급자 유형을 SAML로 선택하고, 메타데이터 문서에는 다운로드한 SAML IdP Metadata 파일을 업로드한 뒤 [공급자 추가]를 클릭합니다.

3. 자격 증명 공급자 목록에서 추가한 자격 증명 공급자 이름을 클릭하여 상세 페이지로 이동합니다.

4. 자격 증명 공급자 상세 페이지에서 자격 증명 공급자 ARN을 복사하여 보관합니다.

‍

‍

3. AWS Console에서 자격 증명 공급자의 역할 ARN 확인

1. AWS Console에서 IAM > 액세스 관리 > 자격 증명 공급자 메뉴로 이동합니다.

2. 자격 증명 공급자 목록에서 PoPs를 선택합니다.

3. [역할 할당] 버튼을 클릭하여 역할을 할당합니다. 역할을 할당하는 방법으로는 새 역할을 만들어서 할당하는 방법과 기존의 역할 중 적절한 권한이 부여된 역할을 선택하여 할당하는 방법의 2가지가 있습니다.

‍

‍

• 새 역할 할당하기

1. 자격 증명 공급자 상세 화면에서 [역할 할당] 버튼을 클릭한 뒤 [새 역할 생성]을 선택합니다.

2. 역할 만들기 화면에서 아래 항목과 같이 선택한 뒤 [다음: 정책] 버튼을 클릭합니다.

• 신뢰할 수 있는 유형의 개체 선택: SAML 2.0 연동
• SAML 공급자: 추가한 자격 증명 공급자 선택 후 ‘프로그래밍 방식 및 AWS Management Console 액세스 허용’ 선택

3. 권한 정책 연결 단계에서 역할에 연결할 정책을 선택한 뒤 [다음: 태그] 버튼을 클릭합니다.

4. 태그 추가 단계에서 필요한 태그를 추가한 뒤 [다음: 검토] 버튼을 클릭합니다.

5. 검토 단계에서 필요한 정보를 모두 입력한 뒤 [역할 만들기] 버튼을 클릭합니다.

6. 생성한 역할의 상세 화면에서 역할 ARN을 복사하여 보관합니다.

‍

‍

• 기존 역할 할당하기

1. 자격 증명 공급자 상세화면에서 [역할 할당] 버튼을 클릭한 뒤 [기존 역할 사용]을 선택합니다.

2. 역할 목록에서 할당할 역할을 선택하여 해당 역할의 상세 화면으로 이동합니다.

3. 역할 상세 화면의 권한 탭에서 [정책 연결]을 클릭하여 연결할 정책을 선택하고 [정책 연결] 버튼을 클릭합니다.

4. 역할 상세 화면의 신뢰 관계 탭에서 [신뢰 관계 편집]을 클릭하고 “Principal”을 아래와 같이 교체한 뒤 [신뢰 정책 업데이트] 버튼을 클릭합니다.

"Federated":"{{자격 증명 공급자 ARN}}"

5. 다시 역할 상세 화면으로 돌아와서 역할 ARN을 복사하여 보관합니다.

‍

‍

4. PoPs 어드민으로 돌아와 AWS Console 앱 추가 마무리

1. PoPs 어드민의 앱 추가 화면에서 SAML 설정에 필요한 값을 모두 입력합니다.

2. 필수 로그인 속성의 Role pair 필드에는 AWS Console에서 복사하여 보관한 자격 증명 공급자 ARN과 역할 ARN을 다음과 같은 형식으로 입력합니다. 입력한 필드값은 앱을 추가한 뒤 사용자에게 AWS Console 앱을 할당할 때 함께 부여할 역할의 선택지로 제공됩니다. Role pair는 여러 개를 추가할 수 있습니다.

arn:aws:iam::123456789012:role/역할이름,arn:aws:iam::123456789012:saml-provider/자격증명공급자명

3. [앱 추가]를 클릭하여 AWS Console 앱 추가를 마무리합니다.

‍

‍

‍

마치며

PoPs를 만든 메가존클라우드는 심리스한 업무 진행이 직원 경험에 중요한 요소라고 생각합니다. SaaS에 대한 개별 로그인 인증 과정을 SSO로 통합하여 직원들이 원하는 SaaS 제품을 간편하게 실행하도록 합니다. 메가존클라우드 직원들은 필요한 SaaS에 접속하기 위해 PoPs를 사용하지 않는 날이 단 하루도 없습니다 : )

‍

👉SSO 기능 더 알아보기