Konfigurieren Sie SAML und SCIM mit Google Workspace und IAM Identity Center

Wenn Ihre Organisation verwendet Google Workspace Sie können Ihre Benutzer von integrieren Google Workspace in das IAM Identity Center, um ihnen Zugriff auf AWS Ressourcen zu geben. Sie können diese Integration erreichen, indem Sie Ihre IAM Identity Center-Identitätsquelle von der standardmäßigen IAM Identity Center-Identitätsquelle auf ändern Google Workspace.

Benutzerinformationen von Google Workspace wird mithilfe des SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) mit dem IAM Identity Center synchronisiert. Weitere Informationen finden Sie unter Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern.

Sie konfigurieren diese Verbindung in Google Workspace mit Ihrem SCIM-Endpunkt für IAM Identity Center und einem IAM Identity Center-Bearer-Token. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in Google Workspace zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und Google Workspace. Um dies zu tun, müssen Sie Folgendes einrichten Google Workspace als Identitätsanbieter und stellen Sie eine Verbindung zu Ihrem IAM Identity Center her.

Zielsetzung

Die Schritte in diesem Tutorial helfen Ihnen beim Herstellen der SAML-Verbindung zwischen Google Workspace und. AWS Später synchronisieren Sie Benutzer von Google Workspace mit SCIM. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Google Workspace Benutzer und verifizieren den Zugriff auf AWS Ressourcen. Beachten Sie, dass dieses Tutorial auf einem kleinen basiert Google Workspace Verzeichnistestumgebung. Verzeichnisstrukturen wie Gruppen und Organisationseinheiten sind in diesem Tutorial nicht enthalten. Nach Abschluss dieses Tutorials können Ihre Benutzer mit Ihrem auf das AWS Zugriffsportal zugreifen Google Workspace Anmeldeinformationen.

Anmerkung

Um sich für eine kostenlose Testversion von anzumelden Google Workspace besuchen Google Workspaceauf Google's Webseite.

Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unterIAM Identity Center aktivieren.

Überlegungen

• Bevor Sie die SCIM-Bereitstellung konfigurieren zwischen Google Workspace und IAM Identity Center, wir empfehlen Ihnen, zunächst die Informationen zu überprüfen. Überlegungen zur Verwendung der automatischen Bereitstellung

• Automatische SCIM-Synchronisierung von Google Workspace ist derzeit auf die Benutzerbereitstellung beschränkt. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Gruppen können manuell mit dem AWS CLI Identity Store-Befehl create-group oder der AWS Identity and Access Management (IAM) -API erstellt werden. CreateGroup Alternativ können Sie ssosync zum Synchronisieren verwenden Google Workspace Benutzer und Gruppen in IAM Identity Center.

• Jeder Google Workspace Für den Benutzer müssen die Werte Vorname, Nachname, Benutzername und Anzeigename angegeben werden.

• Jeder Google Workspace Ein Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer, die mehrere Werte haben, können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer des Benutzers um ein Festnetz oder ein Mobiltelefon handelt.

• Attribute werden weiterhin synchronisiert, wenn der Benutzer in IAM Identity Center deaktiviert, aber immer noch aktiv ist Google Workspace.

• Wenn im Identity Center-Verzeichnis bereits ein Benutzer mit demselben Benutzernamen und derselben E-Mail-Adresse vorhanden ist, wird der Benutzer überschrieben und mit SCIM von synchronisiert Google Workspace.

• Bei der Änderung Ihrer Identitätsquelle sind weitere Überlegungen zu beachten. Weitere Informationen finden Sie unter Wechsel von IAM Identity Center zu einem externen IdP.

Schritt 1: Google Workspace: Konfigurieren Sie die SAML-Anwendung

1. Melden Sie sich bei Ihrem an Google Admin-Konsole mit einem Konto mit Superadministratorrechten.

2. Im linken Navigationsbereich Ihres Google Wählen Sie in der Admin-Konsole Apps und dann Web- und Mobilanwendungen aus.

3. Wählen Sie in der Dropdownliste App hinzufügen die Option Nach Apps suchen aus.

4. Geben Sie im Suchfeld Amazon Web Services ein und wählen Sie dann die Amazon Web Services (SAML) -App aus der Liste aus.

5. Auf der Google Angaben zum Identitätsanbieter — Auf der Seite Amazon Web Services können Sie einen der folgenden Schritte ausführen:

   1. Laden Sie IdP-Metadaten herunter.

   2. Kopieren Sie die SSO-URL, die Entitäts-ID-URL und die Zertifikatsinformationen.

   In Schritt 2 benötigen Sie entweder die XML-Datei oder die URL-Informationen.

6. Bevor Sie mit dem nächsten Schritt in der Google Lassen Sie diese Seite in der Admin-Konsole geöffnet und wechseln Sie zur IAM Identity Center-Konsole.

Schritt 2: IAM Identity Center und Google Workspace: Ändern Sie die Identitätsquelle und das Setup von IAM Identity Center Google Workspace als SAML-Identitätsanbieter

1. Melden Sie sich mit einer Rolle mit Administratorrechten bei der IAM Identity Center-Konsole an.

2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

3. Wählen Sie auf der Seite Einstellungen die Option Aktionen und dann Identitätsquelle ändern aus.

   • Wenn Sie IAM Identity Center nicht aktiviert haben, finden Sie IAM Identity Center aktivieren weitere Informationen unter. Nachdem Sie IAM Identity Center zum ersten Mal aktiviert und darauf zugegriffen haben, gelangen Sie zum Dashboard, wo Sie Ihre Identitätsquelle auswählen können.

4. Wählen Sie auf der Seite Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

5. Die Seite Externen Identitätsanbieter konfigurieren wird geöffnet. Um diese Seite zu vervollständigen und Google Workspace Auf der Seite in Schritt 1 müssen Sie die folgenden Schritte ausführen:

   1. Im Abschnitt mit den Metadaten des Identitätsanbieters in der IAM Identity Center-Konsole müssen Sie einen der folgenden Schritte ausführen:

      1. Laden Sie das hoch Google SAML-Metadaten als IdP-SAML-Metadaten in der IAM Identity Center-Konsole.

      2. Kopieren und fügen Sie die Google SSO-URL in das Feld IdP-Anmelde-URL, Google Aussteller-URL in das Feld IdP-Aussteller-URL und laden Sie die Google Zertifikat als IdP-Zertifikat.

6. Nach der Bereitstellung der Google Kopieren Sie die Metadaten im Abschnitt mit den Metadaten des Identitätsanbieters der IAM Identity Center-Konsole die URL des IAM Identity Assertion Consuer Service (ACS) und die IAM Identity Center-Aussteller-URL. Sie müssen diese in der URLs Google Admin-Konsole im nächsten Schritt.

7. Lassen Sie die Seite mit der IAM Identity Center-Konsole geöffnet und kehren Sie zur Google Admin-Konsole. Sie sollten sich auf der Seite Amazon Web Services — Service Provider-Details befinden. Wählen Sie Weiter aus.

8. Geben Sie auf der Seite mit den Service Provider-Details die ACS-URL und die Entitäts-ID ein. Sie haben diese Werte im vorherigen Schritt kopiert und sie befinden sich in der IAM Identity Center-Konsole.

   • Fügen Sie die URL des IAM Identity Center Assertion Consumer Service (ACS) in das ACS-URL-Feld ein

   • Fügen Sie die IAM Identity Center-Aussteller-URL in das Feld Entitäts-ID ein.

9. Füllen Sie auf der Seite mit den Service Provider-Details die Felder unter Name ID wie folgt aus:

   • Wählen Sie für das Format Name ID die Option EMAIL

   • Wählen Sie für Name ID die Option Basisinformationen > Primäre E-Mail-Adresse aus

10. Klicken Sie auf Weiter.

11. Wählen Sie auf der Seite Attributzuordnung unter Attribute die Option ZUORDNUNG HINZUFÜGEN aus, und konfigurieren Sie diese Felder dann unter Google Verzeichnisattribut:

    • Wählen Sie für das https://aws.amazon.com/SAML/Attributes/RoleSessionName App-Attribut das Feld Basisinformationen, Primäre E-Mail-Adresse aus der Google Directory Attribute.

    • Wählen Sie für das https://aws.amazon.com/SAML/Attributes/Role App-Attribut ein beliebiges Google Directory Attribute. A Google Das Verzeichnisattribut könnte Abteilung sein.

12. Wählen Sie Fertig stellen

13. Kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Weiter. Überprüfen Sie auf der Seite Überprüfen und Bestätigen die Informationen und geben Sie dann ACCEPT in das dafür vorgesehene Feld ein. Wählen Sie Identitätsquelle ändern aus.

Sie sind jetzt bereit, die Amazon Web Services Services-App in zu aktivieren Google Workspace sodass Ihre Benutzer im IAM Identity Center bereitgestellt werden können.

Schritt 3: Google Workspace: Aktivieren Sie die Apps

1. Kehren Sie zurück zum Google Admin-Konsole und Ihre AWS IAM Identity Center Anwendung, die Sie unter Apps und Web- und Mobil-Apps finden.

2. Klicken Sie im Bereich Benutzerzugriff neben Benutzerzugriff auf den Abwärtspfeil, um Benutzerzugriff zu erweitern und den Dienststatusbereich anzuzeigen.

3. Wählen Sie im Bereich „Dienststatus“ die Option für alle aktiviert und anschließend SPEICHERN aus.

Anmerkung

Um das Prinzip der geringsten Rechte beizubehalten, empfehlen wir, den Dienststatus nach Abschluss dieses Tutorials für alle auf AUS zu ändern. Nur für Benutzer, die Zugriff auf benötigen, AWS sollte der Dienst aktiviert sein. Sie können Folgendes verwenden … Google Workspace Gruppen oder Organisationseinheiten, um Benutzern Zugriff auf eine bestimmte Untergruppe Ihrer Benutzer zu gewähren.

Schritt 4: IAM Identity Center: Richten Sie die automatische Bereitstellung von IAM Identity Center ein

1. Kehren Sie zur IAM Identity Center-Konsole zurück.

2. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

3. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten die einzelnen Werte für die folgenden Optionen. In Schritt 5 dieses Tutorials geben Sie diese Werte ein, um die automatische Bereitstellung in zu konfigurieren Google Workspace.

   1. SCIM-Endpunkt — Zum Beispiel https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

   2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

   Warnung

   Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.

4. Klicken Sie auf Close.

   Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, konfigurieren Sie im nächsten Schritt die auto Bereitstellung in Google Workspace.

Schritt 5: Google Workspace: auto Bereitstellung konfigurieren

1. Kehren Sie zurück zum Google Admin-Konsole und Ihre AWS IAM Identity Center Anwendung, die Sie unter Apps und Web- und Mobil-Apps finden. Wählen Sie im Abschnitt auto Bereitstellung die Option Automatische Bereitstellung konfigurieren aus.

2. Im vorherigen Verfahren haben Sie den Wert des Zugriffstokens in die IAM Identity Center-Konsole kopiert. Fügen Sie diesen Wert in das Feld Zugriffstoken ein und wählen Sie Weiter. Außerdem haben Sie im vorherigen Verfahren den SCIM-Endpunktwert in die IAM Identity Center-Konsole kopiert. Fügen Sie diesen Wert in das Feld Endpunkt-URL ein und wählen Sie Weiter.

3. Stellen Sie sicher, dass alle obligatorischen IAM Identity Center-Attribute (die mit einem* markierten) zugeordnet sind Google Cloud Directory Attribute. Wenn nicht, wählen Sie den Abwärtspfeil und ordnen Sie das entsprechende Attribut zu. Klicken Sie auf Weiter.

4. Im Abschnitt Umfang der Bereitstellung können Sie eine Gruppe mit Ihrem auswählen Google Workspace Verzeichnis für den Zugriff auf die Amazon Web Services Services-App. Überspringen Sie diesen Schritt und wählen Sie Weiter.

5. Im Abschnitt Deprovisioning können Sie auswählen, wie auf verschiedene Ereignisse reagiert werden soll, die einem Benutzer den Zugriff entziehen. Für jede Situation können Sie den Zeitraum bis zum Beginn der Deprovisionierung angeben, um:

   • innerhalb von 24 Stunden

   • nach einem Tag

   • nach sieben Tagen

   • nach 30 Tagen

   In jeder Situation gibt es eine Zeiteinstellung, in der festgelegt wird, wann der Zugriff auf ein Konto gesperrt und wann das Konto gelöscht werden soll.

   Tipp

   Lege immer mehr Zeit für das Löschen eines Benutzerkontos fest als für die Sperrung eines Benutzerkontos.

6. Wählen Sie Finish (Abschließen). Sie werden zur Amazon Web Services Services-App-Seite zurückgeleitet.

7. Schalten Sie im Bereich Automatische Bereitstellung den Kippschalter ein, um ihn von Inaktiv in Aktiv zu ändern.

   Anmerkung

   Der Aktivierungsschieberegler ist deaktiviert, wenn IAM Identity Center für Benutzer nicht aktiviert ist. Wählen Sie Benutzerzugriff und schalten Sie die App ein, um den Schieberegler zu aktivieren.

8. Wählen Sie im Bestätigungsdialogfeld die Option Einschalten aus.

9. Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Auf der Seite Benutzer werden die Benutzer aus Ihrem Google Workspace Verzeichnis, die von SCIM erstellt wurden. Wenn Benutzer noch nicht aufgeführt sind, kann es sein, dass die Bereitstellung noch im Gange ist. Die Bereitstellung kann bis zu 24 Stunden dauern, obwohl sie in den meisten Fällen innerhalb von Minuten abgeschlossen ist. Achten Sie darauf, das Browserfenster alle paar Minuten zu aktualisieren.

   Wählen Sie einen Benutzer aus und sehen Sie sich dessen Details an. Die Informationen sollten mit den Informationen in der übereinstimmen Google Workspace Verzeichnis.

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML-Verbindung eingerichtet zwischen Google Workspace AWS und haben überprüft, ob die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in IAM Identity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.

Übergabe von Attributen für die Zugriffskontrolle — optional

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAM-Benutzerhandbuch unter Sitzungs-Tags übergeben.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Weisen Sie Zugriff zu AWS-Konten

Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.

Anmerkung

Um diesen Schritt abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter Organisations- und Kontoinstanzen von IAM Identity Center.

Schritt 1: IAM Identity Center: Grant Google Workspace Benutzerzugriff auf Konten

1. Kehren Sie zur IAM Identity Center-Konsole zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter Berechtigungen für mehrere Konten die Option. AWS-Konten

2. Auf der AWS-KontenSeite „Organisationsstruktur“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.

3. Der Workflow „Benutzer und Gruppen zuweisen“ wird angezeigt. Er besteht aus drei Schritten:

   1. Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Wählen Sie anschließend Weiter.

   2. Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte zur Erstellung eines Berechtigungssatzes führt.

      1. Gehen Sie für Schritt 1: Berechtigungssatztyp auswählen wie folgt vor:

         • Wählen Sie unter Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz aus.

         • Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option aus AdministratorAccess.

         Wählen Sie Weiter aus.

      2. Für Schritt 2: Geben Sie die Details zum Berechtigungssatz an, behalten Sie die Standardeinstellungen bei und wählen Sie Weiter aus.

         Mit den Standardeinstellungen wird ein Berechtigungssatz AdministratorAccess mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.

      3. Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Typ Berechtigungssatz die AWS verwaltete Richtlinie verwendet AdministratorAccess. Wählen Sie Erstellen aus. Auf der Seite Berechtigungssätze wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.

      4. Auf der Browser-Registerkarte „Benutzer und Gruppen zuweisen“ befinden Sie sich immer noch in Schritt 2: Wählen Sie die Berechtigungssätze aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.

      5. Wählen Sie im Bereich „Berechtigungssätze“ die Schaltfläche „Aktualisieren“. Der von Ihnen erstellte AdministratorAccess Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter.

   3. Überprüfen Sie für Schritt 3: Überprüfen und Absenden den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann Senden aus.

      Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.

      Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. AdministratorAccess

      Anmerkung

      Automatische SCIM-Synchronisierung von Google Workspace unterstützt nur die Bereitstellung von Benutzern. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Sie können keine Gruppen für Ihre erstellen Google Workspace Benutzer, die die verwenden AWS Management Console. Nach der Bereitstellung von Benutzern können Sie Gruppen mit dem AWS CLI Identity Store-Befehl create-group oder der IAM-API erstellen. CreateGroup

Schritt 2: Google Workspace: Bestätigen Google Workspace Benutzerzugriff auf AWS Ressourcen

1. Melden Sie sich an bei Google mit einem Testbenutzerkonto. Um zu erfahren, wie Sie Benutzer hinzufügen Google Workspace, siehe Google Workspace Dokumentation.

2. Wählen Sie die Google apps Launcher-Symbol (Waffel).

3. Scrollen Sie zum Ende der Apps-Liste, wo sich Ihre benutzerdefinierten Google Workspace Apps befinden sich. Die Amazon Web Services Services-App wird angezeigt.

4. Wählen Sie die Amazon Web Services Services-App aus. Sie sind im AWS Zugangsportal angemeldet und können das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste der Elemente anzuzeigen AWS-Konten , auf die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.

5. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den AdministratorAccessBerechtigungssatz erstellt.

6. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie angegeben, dass sowohl die Verwaltungskonsole als auch der programmgesteuerte Zugriff aktiviert werden sollen, sodass diese beiden Optionen verfügbar sind. Wählen Sie Managementkonsole aus, um die zu öffnen. AWS Management Console

7. Der Benutzer ist an der Konsole angemeldet.

Nächste Schritte

Jetzt, da Sie konfiguriert haben Google Workspace Als Identitätsanbieter und bereitgestellte Benutzer in IAM Identity Center können Sie:

• Verwenden Sie den AWS CLI Identity Store-Befehl create-group oder die IAM-API, um Gruppen CreateGroupfür Ihre Benutzer zu erstellen.

  Gruppen sind nützlich, wenn Sie Zugriff auf Anwendungen zuweisen möchten. AWS-Konten Anstatt jeden Benutzer einzeln zuzuweisen, erteilen Sie einer Gruppe Berechtigungen. Wenn Sie später Benutzer zu einer Gruppe hinzufügen oder daraus entfernen, erhält oder verliert der Benutzer dynamisch Zugriff auf Konten und Anwendungen, die Sie der Gruppe zugewiesen haben.

• Konfigurieren Sie Berechtigungen auf der Grundlage von Aufgabenfunktionen. Weitere Informationen finden Sie unter Erstellen von Berechtigungssätzen.

  Berechtigungssätze definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können AWS-Konto. Berechtigungssätze werden im IAM Identity Center gespeichert und können für einen oder mehrere Personen bereitgestellt werden. AWS-Konten Sie können einem Benutzer mehrere Berechtigungssätze zuweisen.

Anmerkung

Als IAM Identity Center-Administrator müssen Sie gelegentlich ältere IdP-Zertifikate durch neuere ersetzen. Beispielsweise müssen Sie möglicherweise ein IdP-Zertifikat ersetzen, wenn sich das Ablaufdatum des Zertifikats nähert. Der Vorgang, bei dem ein älteres Zertifikat durch ein neueres ersetzt wird, wird als Zertifikatsrotation bezeichnet. Lesen Sie unbedingt, wie Sie die SAML-Zertifikate für verwalten Google Workspace.

Fehlerbehebung

Für allgemeine SCIM- und SAML-Problembehebungen mit Google Workspace, siehe die folgenden Abschnitte:

• Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren

• Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden

• Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten

• Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Google Workspace Problembehandlung, siehe Google Workspace Dokumentation.

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:

• AWS re:Post- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.

• AWS Support- Holen Sie sich technischen Support