Configurer SAML et SCIM avec Google Workspace et IAM Identity Center

Si votre organisation utilise Google Workspace vous pouvez intégrer vos utilisateurs depuis Google Workspace dans IAM Identity Center pour leur donner accès à AWS ressources. Vous pouvez réaliser cette intégration en remplaçant votre source IAM d'identité Identity Center par la source d'IAMidentité par défaut par Google Workspace.

Informations sur l'utilisateur provenant de Google Workspace est synchronisé avec IAM Identity Center à l'aide du protocole System for Cross-Domain Identity Management (SCIM) 2.0. Vous configurez cette connexion dans Google Workspace en utilisant votre SCIM point de terminaison pour IAM Identity Center et un jeton porteur IAM d'Identity Center. Lorsque vous configurez SCIM la synchronisation, vous créez un mappage de vos attributs utilisateur dans Google Workspace aux attributs nommés dans IAM Identity Center. Ce mappage correspond aux attributs utilisateur attendus entre IAM Identity Center et Google Workspace. Pour ce faire, vous devez configurer Google Workspace en tant que fournisseur IAM d'identité et fournisseur d'IAMidentité du centre d'identité.

Objectif

Les étapes de ce didacticiel vous aideront à établir la SAML connexion entre Google Workspace and AWS. Plus tard, vous synchroniserez les utilisateurs depuis Google Workspace en utilisantSCIM. Pour vérifier que tout est correctement configuré, après avoir terminé les étapes de configuration, vous vous connecterez en tant que Google Workspace utilisateur et vérifiez l'accès à AWS ressources. Notez que ce tutoriel est basé sur un petit Google Workspace environnement de test de répertoire. Les structures de répertoires telles que les groupes et les unités organisationnelles ne sont pas incluses dans ce didacticiel. Après avoir terminé ce didacticiel, vos utilisateurs pourront accéder au AWS accédez au portail avec votre Google Workspace informations d'identification.

Note

Pour vous inscrire à un essai gratuit de Google Workspace visite Google Workspacesur Google's site Web.

Si vous n'avez pas encore activé IAM Identity Center, consultezActivation AWS IAM Identity Center.

Considérations

• Avant de configurer le SCIM provisionnement entre Google Workspace et IAM Identity Center, nous vous recommandons de les consulter d'abordConsidérations relatives à l'utilisation du provisionnement automatique.

• SCIMsynchronisation automatique depuis Google Workspace est actuellement limité au provisionnement des utilisateurs. Le provisionnement automatique des groupes n'est pas pris en charge pour le moment. Les groupes peuvent être créés manuellement avec AWS CLI commande Create-group d'Identity Store ou AWS Identity and Access Management (IAM) API CreateGroup. Vous pouvez également utiliser ssosync pour synchroniser Google Workspace utilisateurs et groupes dans IAM Identity Center.

• Chaque Google Workspace l'utilisateur doit avoir un prénom, un nom de famille, un nom d'utilisateur et une valeur de nom d'affichage spécifiés.

• Chaque Google Workspace L'utilisateur n'a qu'une seule valeur par attribut de données, tel qu'une adresse e-mail ou un numéro de téléphone. Les utilisateurs possédant plusieurs valeurs ne parviendront pas à se synchroniser. Si certains utilisateurs ont plusieurs valeurs dans leurs attributs, supprimez les attributs dupliqués avant de tenter de configurer l'utilisateur dans IAM Identity Center. Par exemple, un seul attribut de numéro de téléphone peut être synchronisé, étant donné que l'attribut de numéro de téléphone par défaut est « téléphone professionnel », utilisez l'attribut « téléphone professionnel » pour stocker le numéro de téléphone de l'utilisateur, même si le numéro de téléphone de l'utilisateur est un téléphone fixe ou un téléphone mobile.

• Les attributs sont toujours synchronisés si l'utilisateur est désactivé dans IAM Identity Center, mais toujours actif dans Google Workspace.

• Si un utilisateur existe déjà dans le répertoire Identity Center avec le même nom d'utilisateur et le même e-mail, il sera remplacé et synchronisé à l'aide de SCIM Google Workspace.

• Des considérations supplémentaires doivent être prises en compte lors de la modification de votre source d'identité. Pour de plus amples informations, veuillez consulter Passage d'IAM Identity Center à un IdP externe.

Étape 1 : Google Workspace: Configuration de l'SAMLapplication

1. Connectez-vous à votre Google Console d'administration utilisant un compte doté de privilèges de super administrateur.

2. Dans le panneau de navigation de gauche de votre Google Console d'administration, choisissez Apps, puis choisissez Web and Mobile Apps.

3. Dans la liste déroulante Ajouter une application, sélectionnez Rechercher des applications.

4. Dans le champ de recherche, saisissez Amazon Web Services, puis sélectionnez l'application Amazon Web Services (SAML) dans la liste.

5. Dans la page Google Informations sur le fournisseur d'identité : page Amazon Web Services, vous pouvez effectuer l'une des opérations suivantes :

   1. Téléchargez les métadonnées de l'IdP.

   2. Copiez les SSO URL informations relatives à l'ID URL de l'entité et au certificat.

   Vous aurez besoin du XML fichier ou URL des informations à l'étape 2.

6. Avant de passer à l'étape suivante du Google Console d'administration, laissez cette page ouverte et passez à la console IAM Identity Center.

Étape 2 : IAM Identity Center et Google Workspace: Modifier la source IAM d'identité et la configuration de l'Identity Center Google Workspace en tant que fournisseur SAML d'identité

1. Connectez-vous à la console IAM Identity Center à l'aide d'un rôle doté d'autorisations administratives.

2. Choisissez Paramètres dans le volet de navigation de gauche.

3. Sur la page Paramètres, choisissez Actions, puis Modifier la source d'identité.

   • Si vous n'avez pas activé IAM Identity Center, consultez Activation AWS IAM Identity Center pour plus d'informations. Après avoir activé et accédé à IAM Identity Center pour la première fois, vous arriverez au tableau de bord où vous pourrez sélectionner Choisissez votre source d'identité.

4. Sur la page Choisir une source d'identité, sélectionnez Fournisseur d'identité externe, puis cliquez sur Suivant.

5. La page Configurer le fournisseur d'identité externe s'ouvre. Pour compléter cette page et le Google Workspace à l'étape 1, vous devrez effectuer les opérations suivantes :

   1. Dans la section des métadonnées du fournisseur IAM d'identité de la console Identity Center, vous devez effectuer l'une des opérations suivantes :

      1. Téléchargez le Google SAMLmétadonnées en tant que métadonnées IdP SAML dans la console IAM Identity Center.

      2. Copiez et collez le Google SSOURLdans le champ de connexion URL à l'IdP, Google Émetteur URL dans le champ URL émetteur de l'IdP, puis téléchargez le Google Certificat en tant que certificat IdP.

6. Après avoir fourni le Google dans la section des métadonnées du fournisseur d'identité de la console IAMIdentity Center, copiez le service client IAM Identity Assertion (ACS) URL et IAMl'émetteur URL d'Identity Center. Vous devrez les fournir URLs dans le Google Console d'administration à l'étape suivante.

7. Laissez la page ouverte avec la console IAM Identity Center et revenez au Google Console d'administration. Vous devriez vous trouver sur la page de détails d'Amazon Web Services - Service Provider. Sélectionnez Continuer.

8. Sur la page de détails du fournisseur de services, entrez les valeurs ACSURLet de l'ID d'entité. Vous avez copié ces valeurs à l'étape précédente et elles se trouvent dans la console IAM Identity Center.

   • Collez le IAMIdentity Center Assertion Consumer Service (ACS) URL dans le ACSURLchamp

   • Collez l'émetteur du IAM Identity Center URL dans le champ Entity ID.

9. Sur la page de détails du fournisseur de services, complétez les champs sous le nom ID comme suit :

   • Pour le format du nom et de l'identifiant, sélectionnez EMAIL

   • Pour Name ID, sélectionnez Informations de base > E-mail principal

10. Choisissez Continuer.

11. Sur la page Mappage des attributs, sous Attributs ADDMAPPING, choisissez, puis configurez ces champs sous Google Attribut de répertoire  :

    • Pour l'attribut de l'https://aws.amazon.com/SAML/Attributes/RoleSessionNameapplication, sélectionnez le champ Informations de base, e-mail principal dans le Google Directory attributs.

    • Pour l'attribut de https://aws.amazon.com/SAML/Attributes/Role l'application, sélectionnez n'importe lequel Google Directory attributs. A Google L'attribut de répertoire peut être Department.

12. Choisissez Finish

13. Retournez à la console IAMIdentity Center et choisissez Next. Sur la page Vérifier et confirmer, passez en revue les informations, puis entrez ACCEPTdans l'espace prévu à cet effet. Choisissez Modifier la source d'identité.

Vous êtes maintenant prêt à activer l'application Amazon Web Services dans Google Workspace afin que vos utilisateurs puissent être approvisionnés dans IAM Identity Center.

Étape 3 : Google Workspace: Activez les applications

1. Retournez au Google La console d'administration et votre AWS IAM Identity Center application qui se trouve sous Applications et applications Web et mobiles.

2. Dans le panneau Accès utilisateur situé à côté de Accès utilisateur, cliquez sur la flèche vers le bas pour étendre l'accès utilisateur afin d'afficher le panneau d'état du service.

3. Dans le panneau d'état du service, sélectionnez Activé pour tout le monde, puis choisissez SAVE.

Note

Pour aider à maintenir le principe du moindre privilège, nous vous recommandons de modifier le statut du service en « OFFpour tous » une fois que vous aurez terminé ce didacticiel. Uniquement les utilisateurs qui ont besoin d'accéder à AWS le service doit être activé. Vous pouvez utiliser … Google Workspace groupes ou unités organisationnelles pour donner aux utilisateurs l'accès à un sous-ensemble particulier de vos utilisateurs.

Étape 4 : IAM Identity Center : configurer le provisionnement automatique IAM d'Identity Center

1. Retournez à la console IAM Identity Center.

2. Sur la page Paramètres, recherchez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de SCIM terminaison et le jeton d'accès.

3. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes. À l'étape 5 de ce didacticiel, vous allez entrer ces valeurs pour configurer le provisionnement automatique dans Google Workspace.

   1. SCIMpoint de terminaison : par exemple, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Jeton d'accès : choisissez Afficher le jeton pour copier la valeur.

   Avertissement

   C'est le seul moment où vous pouvez obtenir le SCIM point de terminaison et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer.

4. Choisissez Close (Fermer).

   Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, à l'étape suivante, vous allez configurer le provisionnement automatique dans Google Workspace.

Étape 5 (non requise pour accéder à AWS applications) : Google Workspace: Configurer le provisionnement automatique

1. Retournez au Google La console d'administration et votre AWS IAM Identity Center application qui se trouve sous Applications et applications Web et mobiles. Dans la section Approvisionnement automatique, choisissez Configurer le provisionnement automatique.

2. Dans la procédure précédente, vous avez copié la valeur du jeton d'accès dans la console IAM Identity Center. Collez cette valeur dans le champ du jeton d'accès et choisissez Continuer. Dans la procédure précédente, vous avez également copié la valeur du SCIMpoint de terminaison dans la console IAM Identity Center. Collez cette valeur dans le URL champ Endpoint et choisissez Continuer.

3. Vérifiez que tous les attributs obligatoires du centre IAM d'identité (ceux marqués d'un *) sont mappés à Google Cloud Directory attributs. Si ce n'est pas le cas, cliquez sur la flèche vers le bas et mappez vers l'attribut approprié. Choisissez Continuer.

4. Dans la section Étendue du provisionnement, vous pouvez choisir un groupe avec votre Google Workspace répertoire permettant d'accéder à l'application Amazon Web Services. Ignorez cette étape et sélectionnez Continuer.

5. Dans la section Déprovisionnement, vous pouvez choisir comment répondre aux différents événements qui suppriment l'accès à un utilisateur. Pour chaque situation, vous pouvez spécifier le délai avant le début du déprovisionnement afin de :

   • dans les 24 heures

   • après une journée

   • après sept jours

   • après 30 jours

   Dans chaque situation, l'heure à laquelle il faut suspendre l'accès à un compte et le moment où il faut le supprimer est définie.

   Astuce

   Prévoyez toujours plus de temps avant de supprimer le compte d'un utilisateur que pour le suspendre.

6. Choisissez Finish (Terminer). Vous êtes redirigé vers la page de l'application Amazon Web Services.

7. Dans la section Provisionnement automatique, activez le commutateur pour le faire passer d'Inactif à Actif.

   Note

   Le curseur d'activation est désactivé si IAM Identity Center n'est pas activé pour les utilisateurs. Choisissez Accès utilisateur et activez l'application pour activer le curseur.

8. Dans la boîte de dialogue de confirmation, choisissez Activer.

9. Pour vérifier que les utilisateurs sont correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs. La page Utilisateurs répertorie les utilisateurs de votre Google Workspace répertoire créé parSCIM. Si les utilisateurs ne figurent pas encore dans la liste, il se peut que le provisionnement soit toujours en cours. Le provisionnement peut prendre jusqu'à 24 heures, mais dans la plupart des cas, il ne prend que quelques minutes. Assurez-vous d'actualiser la fenêtre du navigateur toutes les quelques minutes.

   Sélectionnez un utilisateur et consultez ses informations. Les informations doivent correspondre à celles du Google Workspace annuaire.

Félicitations !

Vous avez correctement établi une SAML connexion entre Google Workspace and AWS et ont vérifié que le provisionnement automatique fonctionne. Vous pouvez désormais attribuer ces utilisateurs à des comptes et à des applications dans IAMIdentity Center. Pour ce didacticiel, à l'étape suivante, désignons l'un des utilisateurs comme administrateur IAM d'Identity Center en lui accordant des autorisations administratives sur le compte de gestion.

Étape 6 (non requise pour accéder à AWS (applications) : Centre IAM d'identité : Subvention Google Workspace accès des utilisateurs aux comptes

1. Retournez à la console IAMIdentity Center. Dans le volet de navigation IAM Identity Center, sous Autorisations multi-comptes, sélectionnez Comptes AWS.

2. Dans la page Comptes AWSla page Structure organisationnelle affiche la racine de votre organisation avec vos comptes situés en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez Attribuer des utilisateurs ou des groupes.

3. Le flux de travail Attribuer des utilisateurs et des groupes s'affiche. Il se compose de trois étapes :

   1. Pour l'étape 1 : Sélectionnez les utilisateurs et les groupes, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez Suivant.

   2. Pour l'étape 2 : Sélectionnez des ensembles d'autorisations, choisissez Créer un ensemble d'autorisations pour ouvrir un nouvel onglet qui vous indique les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.

      1. Pour l'étape 1 : Sélectionnez le type d'ensemble d'autorisations, procédez comme suit :

         • Dans Type d'ensemble d'autorisations, choisissez Ensemble d'autorisations prédéfini.

         • Dans Politique pour un ensemble d'autorisations prédéfini, sélectionnez AdministratorAccess.

         Choisissez Suivant.

      2. Pour l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations, conservez les paramètres par défaut et choisissez Next.

         Les paramètres par défaut créent un ensemble d'autorisations nommé AdministratorAccess avec une durée de session fixée à une heure.

      3. Pour l'étape 3 : révision et création, vérifiez que le type d'ensemble d'autorisations utilise AWS politique gérée AdministratorAccess. Sélectionnez Create (Créer). Sur la page Ensembles d'autorisations, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.

      4. Dans l'onglet du navigateur Attribuer des utilisateurs et des groupes, vous êtes toujours à l'étape 2 : sélectionnez les ensembles d'autorisations à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.

      5. Dans la zone Ensembles d'autorisations, cliquez sur le bouton Actualiser. Le AdministratorAccess le jeu d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez Next.

   3. Pour l'étape 3 : vérifier et envoyer, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez Soumettre.

      La page est mise à jour avec un message indiquant que votre Compte AWS est en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.

      Vous êtes renvoyé au Comptes AWS page. Un message de notification vous informe que votre Compte AWS a été réapprovisionné et l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le AdministratorAccess rôle.

      Note

      SCIMsynchronisation automatique depuis Google Workspace prend uniquement en charge le provisionnement des utilisateurs. Le provisionnement automatique des groupes n'est pas pris en charge pour le moment. Vous ne pouvez pas créer de groupes pour votre Google Workspace utilisateurs utilisant le AWS Management Console. Après avoir configuré les utilisateurs, vous pouvez créer des groupes à l'aide de AWS CLI commande Create-group d'Identity Store ou. IAM API CreateGroup

Étape 7 (non requise pour accéder à AWS applications) : Google Workspace: Confirmer Google Workspace accès des utilisateurs à AWS resources

1. Connectez-vous à Google à l'aide d'un compte utilisateur de test. Pour savoir comment ajouter des utilisateurs à Google Workspace, voir Google Workspace documentation.

2. Sélectionnez le Google apps icône du lanceur (gaufre).

3. Faites défiler vers le bas de la liste des applications où vous avez personnalisé Google Workspace les applications sont localisées. L'application Amazon Web Services s'affiche.

4. Sélectionnez l'application Amazon Web Services. Vous êtes connecté au AWS accédez au portail et pouvez voir le Compte AWS . Agrandissez cette icône pour voir la liste des Comptes AWS auxquels l'utilisateur peut accéder. Dans ce didacticiel, vous n'avez travaillé qu'avec un seul compte. Par conséquent, l'extension de l'icône ne permet d'afficher qu'un seul compte.

5. Sélectionnez le compte pour afficher les ensembles d'autorisations disponibles pour l'utilisateur. Dans ce didacticiel, vous avez créé l'ensemble AdministratorAccessd'autorisations.

6. À côté de l'ensemble d'autorisations se trouvent des liens indiquant le type d'accès disponible pour cet ensemble d'autorisations. Lorsque vous avez créé l'ensemble d'autorisations, vous avez indiqué que la console de gestion et l'accès par programmation devaient être activés. Ces deux options sont donc présentes. Sélectionnez la console de gestion pour ouvrir le AWS Management Console.

7. L'utilisateur est connecté à la console.

(Facultatif) Transmission d'attributs pour le contrôle d'accès

Vous pouvez éventuellement utiliser la Attributs pour le contrôle d’accès fonctionnalité d'IAMIdentity Center pour transmettre un Attribute élément dont l'Nameattribut est défini surhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Cet élément vous permet de transmettre des attributs sous forme de balises de session dans l'SAMLassertion. Pour plus d'informations sur les balises de session, voir Transmission de balises de session dans AWS STS dans le guide de l'utilisateur IAM.

Pour transmettre des attributs en tant que balises de session, incluez l'élément AttributeValue qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tagCostCenter = blue, utilisez l'attribut suivant.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si vous devez ajouter plusieurs attributs, incluez un Attribute élément distinct pour chaque balise.

Étapes suivantes

Maintenant que vous avez configuré Google Workspace en tant que fournisseur d'identité et utilisateurs provisionnés dans IAM Identity Center, vous pouvez :

• Utilisez la commande AWS CLI Commande Create-group d'Identity Store ou IAM API CreateGrouppour créer des groupes pour vos utilisateurs.

  Les groupes sont utiles lors de l'attribution d'un accès à Comptes AWS et applications. Plutôt que d'affecter chaque utilisateur individuellement, vous accordez des autorisations à un groupe. Plus tard, lorsque vous ajoutez ou supprimez des utilisateurs d'un groupe, l'utilisateur obtient ou perd l'accès dynamique aux comptes et aux applications que vous avez affectés au groupe.

• Configurez les autorisations en fonction des fonctions du travail, voir Création d'un ensemble d'autorisations.

  Les ensembles d'autorisations définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Les ensembles d'autorisations sont stockés dans IAM Identity Center et peuvent être fournis à un ou plusieurs Comptes AWS. Vous pouvez attribuer plusieurs ensembles d'autorisations à un utilisateur.

Note

En tant qu'administrateur IAM d'Identity Center, vous devrez parfois remplacer les anciens certificats IdP par des certificats plus récents. Par exemple, il se peut que vous deviez remplacer un certificat IdP lorsque la date d'expiration du certificat approche. Le processus de remplacement d'un ancien certificat par un nouveau est appelé rotation des certificats. Assurez-vous de vérifier comment gérer les SAML certificats pour Google Workspace.