질문 16

A company uses Lightweight Directory Access Protocol (LDAP) for its employee authentication and authorization. The company plans to release a mobile app that can be installed on employee’s smartphones. The mobile application will allow users to have federated access to AWS resources. Due to strict security and compliance requirements, the mobile application must use a custom-built solution for user authentication. It must also use IAM roles for granting user permissions to AWS resources. The Solutions Architect was tasked to create a solution that meets these requirements. Which of the following options should the Solutions Architect implement to enable authentication and authorization for the application? (Select TWO.)

회사는 직원 인증 및 권한 부여를 위해 LDAP(Lightweight Directory Access Protocol)를 사용합니다. 회사는 직원의 스마트폰에 설치할 수 있는 모바일 앱을 출시할 계획이다. 모바일 애플리케이션을 통해 사용자는 AWS 리소스에 연합 액세스할 수 있습니다. 엄격한 보안 및 규정 준수 요구 사항으로 인해 모바일 애플리케이션은 사용자 인증을 위해 맞춤형 솔루션을 사용해야 합니다. 또한 AWS 리소스에 대한 사용자 권한을 부여하기 위해 IAM 역할을 사용해야 합니다. Solutions Architect는 이러한 요구 사항을 충족하는 솔루션을 만드는 임무를 받았습니다. 애플리케이션에 대한 인증 및 권한 부여를 활성화하기 위해 Solutions Architect가 구현해야 하는 옵션은 다음 중 무엇입니까? (2개를 선택하세요.)

1. Build a custom OpenID Connect-compatible solution for the user authentication functionality. Use Amazon Cognito Identity Pools for authorizing access to AWS resources.

사용자 인증 기능을 위한 맞춤형 OpenID Connect 호환 솔루션을 구축하십시오. Amazon Cognito 자격 증명 풀을 사용하여 AWS 리소스에 대한 액세스 권한을 부여합니다.

1. Build a custom SAML-compatible solution to handle authentication and authorization. Configure the solution to use LDAP for user authentication and use SAML assertion to perform authorization to the IAM identity provider.

인증 및 권한 부여를 처리하기 위해 사용자 정의 SAML 호환 솔루션을 구축하십시오. 사용자 인증에 LDAP를 사용하고 SAML 어설션을 사용하여 IAM 자격 증명 공급자에 대한 권한 부여를 수행하도록 솔루션을 구성합니다.

1. Build a custom LDAP connector using Amazon API Gateway with AWS Lambda function for user authentication. Use Amazon DynamoDB to store user authorization tokens. Write another Lambda function that will validate user authorization requests based on the token stored on DynamoDB.

사용자 인증을 위해 AWS Lambda 함수와 함께 Amazon API Gateway를 사용하여 사용자 지정 LDAP 커넥터를 구축합니다. Amazon DynamoDB를 사용하여 사용자 인증 토큰을 저장합니다. DynamoDB에 저장된 토큰을 기반으로 사용자 인증 요청을 검증하는 다른 Lambda 함수를 작성합니다.

1. Build a custom OpenID Connect-compatible solution in combination with AWS IAM Identity Center to create authentication and authorization functionality for the application.

AWS IAM Identity Center와 함께 사용자 지정 OpenID Connect 호환 솔루션을 구축하여 애플리케이션에 대한 인증 및 권한 부여 기능을 만듭니다.

1. Build a custom SAML-compatible solution for user authentication. Leverage AWS IAM Identity Center for authorizing access to AWS resources.

사용자 인증을 위한 맞춤형 SAML 호환 솔루션을 구축하십시오. AWS IAM Identity Center를 활용하여 AWS 리소스에 대한 액세스 권한을 부여합니다.

풀이 및 공부

직접 인증을 구현해본적이없어서.. 어려웠다.

답은 1번 2번.

문제부터 이해해보자

1. 직원들이 쓰는 application 이다.

2. aws resource 에 federeation access…

• authentication : 로그인과 같이 사용자 또는 프로세스의 신원을 확인하는 프로세스
• authorization : 권한부여는 누가 무엇을 할 수 있는지 결정하는 규칙

1번, 2번

identity providers 2가지 종류

open id ?

role - saml federation

open id - identity pool

이런식으로 identity pool 사용 가능

become openid provider

iam에서 saml 로 identity provider 선택 시 xml file을 import 해야하는데 이런식으로 AD 서버에서 xml download 를 할 수 있다.

4번, 5번

=> AWS IAM Identity Center supports single sign-on to business applications through web browsers only

참고