Konfiguration von SAML und SCIM mit einem IAM Google Workspace Identity Center

Wenn Ihr Unternehmen IAM Identity Center verwendet, können Google Workspace Sie Ihre Benutzer und Gruppen aus dem Google Workspace IAM Identity Center integrieren, um ihnen Zugriff auf Ressourcen zu AWS gewähren. Sie können diese Integration erreichen, indem Sie Ihre IAM Identity Center-Identitätsquelle von der standardmäßigen IAM Identity Center-Identitätsquelle auf ändern. Google Workspace

Benutzerinformationen von Google Workspace werden mithilfe des SCIM-Protokolls (System for Cross-Domain Identity Management) v2.0 mit IAM Identity Center synchronisiert. Sie konfigurieren diese Verbindung Google Workspace mithilfe Ihres SCIM-Endpunkts für IAM Identity Center und eines IAM Identity Center-Trägertoken. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Google Workspace zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und. Google Workspace Dazu müssen Sie sich als IAM-Identitätsanbieter und Google Workspace als IAM Identity Center-Identitätsanbieter einrichten.

Zielsetzung

Die Schritte in diesem Tutorial helfen Ihnen beim Herstellen der SAML-Verbindung zwischen Google Workspace und AWS. Später werden Sie Benutzer Google Workspace mithilfe von SCIM synchronisieren. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Google Workspace Benutzer an und überprüfen den Zugriff AWS auf Ressourcen. Beachten Sie, dass dieses Tutorial auf einer Testumgebung mit kleinen Google Workspace Verzeichnissen basiert. Verzeichnisstrukturen wie Gruppen und Organisationseinheiten sind nicht enthalten. Nach Abschluss dieses Tutorials können Ihre Benutzer mit Ihren Google Workspace Anmeldeinformationen auf das AWS Zugangsportal zugreifen.

Anmerkung

Um sich für eine kostenlose Testversion anzumelden, Google Workspace besuchen Sie Google Workspaceunsere Google's Website.

Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unterAktivieren AWS IAM Identity Center.

Überlegungen

• Bevor Sie die SCIM-Bereitstellung zwischen Google Workspace und IAM Identity Center konfigurieren, empfehlen wir Ihnen, dies zunächst zu überprüfen. Überlegungen zur Verwendung der automatischen Bereitstellung

• Die automatische SCIM-Synchronisierung von Google Workspace ist derzeit auf die Benutzerbereitstellung beschränkt. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Gruppen können manuell mit dem AWS CLI Identity Store-Befehl create-group oder der AWS Identity and Access Management (IAM) -API erstellt werden. CreateGroup Alternativ können Sie ssosync verwenden, um Google Workspace Benutzer und Gruppen mit dem IAM Identity Center zu synchronisieren.

• Für jeden Google Workspace Benutzer müssen die Werte Vorname, Nachname, Benutzername und Anzeigename angegeben werden.

• Jeder Google Workspace Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer mit mehreren Werten können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer des Benutzers um ein Festnetz oder ein Mobiltelefon handelt.

• Attribute werden weiterhin synchronisiert, wenn der Benutzer in IAM Identity Center deaktiviert, aber immer noch aktiv ist. Google Workspace

• Wenn im Identity Center-Verzeichnis bereits ein Benutzer mit demselben Benutzernamen und derselben E-Mail-Adresse vorhanden ist, wird der Benutzer überschrieben und mit SCIM von synchronisiert. Google Workspace

• Bei der Änderung Ihrer Identitätsquelle sind weitere Überlegungen zu beachten. Weitere Informationen finden Sie unter Wechseln von IAM Identity Center zu einem externen IdP.

Schritt 1Google Workspace: Konfigurieren Sie die SAML-Anwendung

1. Melden Sie sich mit einem Konto mit GoogleSuperadministratorrechten bei Ihrer Admin-Konsole an.

2. Wählen Sie im linken Navigationsbereich Ihrer GoogleAdmin-Konsole Apps und dann Web- und Mobilanwendungen aus.

3. Wählen Sie in der Dropdownliste App hinzufügen die Option Nach Apps suchen aus.

4. Geben Sie in das Suchfeld Amazon Web Services ein und wählen Sie dann die Amazon Web Services (SAML) -App aus der Liste aus.

5. Auf der Seite GoogleIdentity Provider-Details — Amazon Web Services können Sie einen der folgenden Schritte ausführen:

   1. Laden Sie IdP-Metadaten herunter.

   2. Kopieren Sie die SSO-URL, die Entitäts-ID-URL und die Zertifikatsinformationen.

   In Schritt 2 benötigen Sie entweder die XML-Datei oder die URL-Informationen.

6. Lassen Sie diese Seite geöffnet und wechseln Sie zur IAM Identity Center-Konsole, bevor Sie mit dem nächsten Schritt in der Google Admin-Konsole fortfahren.

Schritt 2: IAM Identity Center undGoogle Workspace: Ändern Sie die IAM Identity Center-Identitätsquelle und richten Sie sie Google Workspace als SAML-Identitätsanbieter ein

1. Melden Sie sich mit einer Rolle mit Administratorrechten bei der IAM Identity Center-Konsole an.

2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

3. Wählen Sie auf der Seite Einstellungen die Option Aktionen und dann Identitätsquelle ändern aus.

   • Wenn Sie IAM Identity Center nicht aktiviert haben, finden Sie Aktivieren AWS IAM Identity Center weitere Informationen unter. Nachdem Sie IAM Identity Center zum ersten Mal aktiviert und darauf zugegriffen haben, gelangen Sie zum Dashboard, wo Sie Ihre Identitätsquelle auswählen können.

4. Wählen Sie auf der Seite Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

5. Die Seite Externen Identitätsanbieter konfigurieren wird geöffnet. Um diese Seite und die Google Workspace Seite in Schritt 1 abzuschließen, müssen Sie Folgendes ausführen:

   1. Im Abschnitt mit den Metadaten des Identitätsanbieters in der IAM Identity Center-Konsole müssen Sie einen der folgenden Schritte ausführen:

      1. Laden Sie die GoogleSAML-Metadaten als IdP-SAML-Metadaten in die IAM Identity Center-Konsole hoch.

      2. Kopieren Sie die GoogleSSO-URL und fügen Sie sie in das Feld IdP-Anmelde-URL und die GoogleAussteller-URL in das Feld IdP-Aussteller-URL ein und laden Sie das GoogleZertifikat als IdP-Zertifikat hoch.

6. Nachdem Sie die Google Metadaten im Abschnitt mit den Metadaten des Identitätsanbieters der IAM Identity Center-Konsole angegeben haben, kopieren Sie die Anmelde-URL für das AWS Zugriffsportal, die URL des IAM Identity Assertion Consumer Service (ACS) und die IAM Identity Center-Aussteller-URL. Sie müssen diese URLs im nächsten Schritt in der Google Admin-Konsole angeben.

7. Lassen Sie die Seite mit der IAM Identity Center-Konsole geöffnet und kehren Sie zur Google Admin-Konsole zurück. Sie sollten sich auf der Seite Amazon Web Services — Service Provider-Details befinden. Wählen Sie Weiter aus.

8. Geben Sie auf der Seite mit den Service Provider-Details die Werte ACS-URL, Entitäts-ID und Start-URL ein. Sie haben diese Werte im vorherigen Schritt kopiert und sie befinden sich in der IAM Identity Center-Konsole.

   • Fügen Sie die URL des IAM Identity Center Assertion Consumer Service (ACS) in das ACS-URL-Feld ein

   • Fügen Sie die IAM Identity Center-Aussteller-URL in das Feld Entitäts-ID ein.

   • Fügen Sie die Anmelde-URL für das AWS Access Portal in das Feld Start-URL ein.

9. Füllen Sie auf der Seite mit den Service Provider-Details die Felder unter Name ID wie folgt aus:

   • Wählen Sie für das Format Name ID die Option EMAIL aus

   • Wählen Sie für Name ID die Option Basisinformationen > Primäre E-Mail-Adresse

10. Klicken Sie auf Weiter.

11. Wählen Sie auf der Seite Attributzuordnung unter Attribute die Option ZUORDNUNG HINZUFÜGEN aus, und konfigurieren Sie dann diese Felder unter GoogleVerzeichnisattribut:

    • Wählen Sie für das https://aws.amazon.com/SAML/Attributes/RoleSessionName App-Attribut das Feld Basisinformationen, Primäre E-Mail-Adresse aus den Google DirectoryAttributen aus.

    • Wählen Sie für das https://aws.amazon.com/SAML/Attributes/Role App-Attribut beliebige Google DirectoryAttribute aus. Ein Google Verzeichnisattribut könnte Abteilung sein.

12. Wählen Sie Fertig stellen

13. Kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Weiter. Überprüfen Sie auf der Seite Überprüfen und Bestätigen die Informationen und geben Sie dann ACCEPT in das dafür vorgesehene Feld ein. Wählen Sie Identitätsquelle ändern aus.

Sie sind jetzt bereit, die Amazon Web Services Services-App zu aktivieren, Google Workspace damit Ihre Benutzer im IAM Identity Center bereitgestellt werden können.

Schritt 3Google Workspace: Aktivieren Sie die Apps

1. Kehren Sie zur GoogleAdmin-Konsole und Ihrer AWS IAM Identity Center Anwendung zurück, die Sie unter Apps sowie Web- und Mobil-Apps finden.

2. Klicken Sie im Bereich Benutzerzugriff neben Benutzerzugriff auf den Abwärtspfeil, um den Benutzerzugriff zu erweitern und den Dienststatusbereich anzuzeigen.

3. Wählen Sie im Bereich „Servicestatus“ die Option für alle aktiviert und anschließend SPEICHERN aus.

Anmerkung

Um das Prinzip der geringsten Rechte beizubehalten, empfehlen wir, den Dienststatus nach Abschluss dieses Tutorials für alle auf AUS zu ändern. Nur für Benutzer, die Zugriff auf benötigen, AWS sollte der Dienst aktiviert sein. Sie können Google Workspace Gruppen oder Organisationseinheiten verwenden, um Benutzern Zugriff auf eine bestimmte Teilmenge Ihrer Benutzer zu gewähren.

Schritt 4: IAM Identity Center: Richten Sie die automatische Bereitstellung von IAM Identity Center ein

1. Kehren Sie zur IAM Identity Center-Konsole zurück.

2. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

3. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten die einzelnen Werte für die folgenden Optionen. In Schritt 5 dieses Tutorials geben Sie diese Werte ein, um die automatische Bereitstellung zu konfigurieren. Google Workspace

   • SCIM-Endpunkt

   • Zugriffstoken

   Warnung

   Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken erhalten können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.

4. Klicken Sie auf Schließen.

   Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, konfigurieren Sie im nächsten Schritt die auto Bereitstellung in. Google Workspace

Schritt 5Google Workspace: auto Bereitstellung konfigurieren

1. Kehren Sie zur Google Admin-Konsole und zu Ihrer AWS IAM Identity Center Anwendung zurück, die Sie unter Apps sowie Web- und Mobil-Apps finden. Wählen Sie im Abschnitt auto Bereitstellung die Option Automatische Bereitstellung konfigurieren aus.

2. Im vorherigen Verfahren haben Sie den Wert des Zugriffstokens in die IAM Identity Center-Konsole kopiert. Fügen Sie diesen Wert in das Feld Zugriffstoken ein und wählen Sie Weiter. Außerdem haben Sie im vorherigen Verfahren den SCIM-Endpunktwert in die IAM Identity Center-Konsole kopiert. Fügen Sie diesen Wert in das Feld Endpunkt-URL ein. Stellen Sie sicher, dass Sie den abschließenden Schrägstrich am Ende der URL entfernen, und wählen Sie Weiter.

3. Stellen Sie sicher, dass alle obligatorischen IAM Identity Center-Attribute (die mit einem* markierten) Attributen zugeordnet sind. Google Cloud Directory Wenn nicht, wählen Sie den Abwärtspfeil und ordnen Sie das entsprechende Attribut zu. Klicken Sie auf Weiter.

4. Im Abschnitt Bereitstellungsbereich können Sie eine Gruppe mit Ihrem Google Workspace Verzeichnis auswählen, um Zugriff auf die Amazon Web Services Services-App zu gewähren. Überspringen Sie diesen Schritt und wählen Sie Weiter.

5. Im Abschnitt Deprovisioning können Sie auswählen, wie auf verschiedene Ereignisse reagiert werden soll, die einem Benutzer den Zugriff entziehen. Für jede Situation können Sie den Zeitraum bis zum Beginn der Deprovisionierung angeben, um:

   • innerhalb von 24 Stunden

   • nach einem Tag

   • nach sieben Tagen

   • nach 30 Tagen

   In jeder Situation gibt es eine Zeiteinstellung, in der festgelegt wird, wann der Zugriff auf ein Konto gesperrt und wann das Konto gelöscht werden soll.

   Tipp

   Lege immer mehr Zeit für das Löschen eines Benutzerkontos fest als für die Sperrung eines Benutzerkontos.

6. Wählen Sie Finish (Abschließen). Sie werden zur Amazon Web Services Services-App-Seite zurückgeleitet.

7. Schalten Sie im Bereich Automatische Bereitstellung den Kippschalter ein, um ihn von Inaktiv in Aktiv zu ändern.

   Anmerkung

   Der Aktivierungsschieberegler ist deaktiviert, wenn IAM Identity Center für Benutzer nicht aktiviert ist. Wählen Sie Benutzerzugriff und schalten Sie die App ein, um den Schieberegler zu aktivieren.

8. Wählen Sie im Bestätigungsdialogfeld die Option Einschalten aus.

9. Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Auf der Seite Benutzer werden die Benutzer aus Ihrem Google Workspace Verzeichnis aufgeführt, die von SCIM erstellt wurden. Wenn Benutzer noch nicht aufgeführt sind, ist die Bereitstellung möglicherweise noch im Gange. Die Bereitstellung kann bis zu 24 Stunden dauern, obwohl sie in den meisten Fällen innerhalb von Minuten abgeschlossen ist. Achten Sie darauf, das Browserfenster alle paar Minuten zu aktualisieren.

   Wählen Sie einen Benutzer aus und sehen Sie sich dessen Details an. Die Informationen sollten mit den Informationen im Google Workspace Verzeichnis übereinstimmen.

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML-Verbindung zwischen Google Workspace und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in IAM Identity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.

Schritt 6: IAM Identity Center: Gewähren Sie Google Workspace Benutzern Zugriff auf Konten

1. Kehren Sie zur IAM Identity Center-Konsole zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter Berechtigungen für mehrere Konten die Option. AWS-Konten

2. Auf der AWS-KontenSeite „Organisationsstruktur“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.

3. Der Workflow „Benutzer und Gruppen zuweisen“ wird angezeigt. Er besteht aus drei Schritten:

   1. Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Wählen Sie anschließend Weiter.

   2. Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte führt, die zur Erstellung eines Berechtigungssatzes erforderlich sind.

      1. Gehen Sie für Schritt 1: Berechtigungssatztyp auswählen wie folgt vor:

         • Wählen Sie unter Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz aus.

         • Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option aus AdministratorAccess.

         Wählen Sie Weiter aus.

      2. Für Schritt 2: Geben Sie Details zum Berechtigungssatz an, behalten Sie die Standardeinstellungen bei und wählen Sie Weiter aus.

         Mit den Standardeinstellungen wird ein Berechtigungssatz AdministratorAccessmit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.

      3. Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Typ Berechtigungssatz die AWS verwaltete Richtlinie verwendet AdministratorAccess. Wählen Sie Erstellen. Auf der Seite Berechtigungssätze wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.

      4. Auf der Browser-Registerkarte „Benutzer und Gruppen zuweisen“ befinden Sie sich immer noch in Schritt 2: Wählen Sie die Berechtigungssätze aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.

      5. Wählen Sie im Bereich „Berechtigungssätze“ die Schaltfläche „Aktualisieren“. Der von Ihnen erstellte AdministratorAccessBerechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter.

   3. Überprüfen Sie für Schritt 3: Überprüfen und Absenden den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann Senden aus.

      Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.

      Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. AdministratorAccess

      Anmerkung

      Die automatische SCIM-Synchronisierung von unterstützt Google Workspace nur die Bereitstellung von Benutzern. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Mit dem können Sie keine Gruppen für Ihre Google Workspace Benutzer erstellen. AWS Management Console Nachdem Sie Benutzer bereitgestellt haben, können Sie Gruppen mit dem AWS CLI Identity Store-Befehl create-group oder der IAM-API erstellen. CreateGroup

Schritt 7Google Workspace: Bestätigen Sie Google Workspace den Benutzerzugriff auf Ressourcen AWS

1. Melden Sie sich Google mit einem Testbenutzerkonto an. Informationen zum Hinzufügen von Benutzern finden Sie in Google Workspace der Google WorkspaceDokumentation.

2. Wählen Sie das Google apps Launcher-Symbol (Waffel) aus.

3. Scrollen Sie zum Ende der App-Liste, in der sich Ihre benutzerdefinierten Google Workspace Apps befinden. Zwei Apps werden angezeigt: Amazon Web Services und AWS Access Portal.

4. Wählen Sie die AWS Access-Portal-App aus. Sie sind im Portal angemeldet und können das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste der Symbole anzuzeigen AWS-Konten , auf die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.

   Anmerkung

   Wenn Sie die Amazon Web Services Services-App auswählen, erhalten Sie einen SAML-Fehler. Diese App wird für Google Workspace Benutzer verwendet, die als IAM-Benutzer bereitgestellt wurden. In diesem Tutorial werden Ihre Benutzer als Google Workspace Benutzer im IAM Identity Center bereitgestellt.

5. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den AdministratorAccessBerechtigungssatz erstellt.

6. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie angegeben, dass sowohl die Verwaltungskonsole als auch der programmgesteuerte Zugriff aktiviert werden sollen, sodass diese beiden Optionen verfügbar sind. Wählen Sie Managementkonsole aus, um die zu öffnen. AWS Management Console

7. Der Benutzer ist an der Konsole angemeldet.

(Optional) Übergabe von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAM-Benutzerhandbuch unter Sitzungs-Tags übergeben.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Nächste Schritte

Nachdem Sie nun Google Workspace als Identitätsanbieter konfiguriert und Benutzer in IAM Identity Center bereitgestellt haben, können Sie:

• Verwenden Sie den AWS CLI Identity Store-Befehl create-group oder die IAM-API, um Gruppen CreateGroupfür Ihre Benutzer zu erstellen.

  Gruppen sind nützlich, wenn Sie Zugriff auf Anwendungen zuweisen möchten. AWS-Konten Anstatt jeden Benutzer einzeln zuzuweisen, erteilen Sie einer Gruppe Berechtigungen. Wenn Sie später Benutzer zu einer Gruppe hinzufügen oder daraus entfernen, erhält oder verliert der Benutzer dynamisch Zugriff auf Konten und Anwendungen, die Sie der Gruppe zugewiesen haben.

• Konfigurieren Sie Berechtigungen auf der Grundlage von Aufgabenfunktionen. Weitere Informationen finden Sie unter Erstellen von Berechtigungssätzen.

  Berechtigungssätze definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können AWS-Konto. Berechtigungssätze werden im IAM Identity Center gespeichert und können für einen oder mehrere Personen bereitgestellt werden. AWS-Konten Sie können einem Benutzer mehrere Berechtigungssätze zuweisen.

Anmerkung

Als IAM Identity Center-Administrator müssen Sie gelegentlich ältere IdP-Zertifikate durch neuere ersetzen. Beispielsweise müssen Sie möglicherweise ein IdP-Zertifikat ersetzen, wenn sich das Ablaufdatum des Zertifikats nähert. Der Vorgang des Ersetzens eines älteren Zertifikats durch ein neueres wird als Zertifikatsrotation bezeichnet. Lesen Sie unbedingt, wie Sie die SAML-Zertifikate für Google Workspace verwalten.