Konfigurasikan SAMP dan SCIM dengan Google Workspace dan IAM Identity Center

Jika organisasi Anda menggunakan, Google Workspace Anda dapat mengintegrasikan pengguna dan grup Anda dari Google Workspace Pusat Identitas IAM untuk memberi mereka akses ke AWS sumber daya. Anda dapat mencapai integrasi ini dengan mengubah sumber identitas Pusat Identitas IAM Anda dari sumber identitas Pusat Identitas IAM default menjadi. Google Workspace

Informasi pengguna dari Google Workspace disinkronkan ke IAM Identity Center menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Anda mengonfigurasi koneksi ini Google Workspace dengan menggunakan endpoint SCIM Anda untuk IAM Identity Center dan token pembawa IAM Identity Center. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna Google Workspace ke atribut bernama di Pusat Identitas IAM. Pemetaan ini cocok dengan atribut pengguna yang diharapkan antara IAM Identity Center dan. Google Workspace Untuk melakukan ini, Anda perlu mengatur Google Workspace sebagai penyedia identitas IAM dan penyedia identitas Pusat Identitas IAM.

Objektif

Langkah-langkah dalam tutorial ini membantu memandu Anda melalui membangun koneksi SAMP antara Google Workspace dan AWS. Nanti, Anda akan menyinkronkan pengguna dari Google Workspace menggunakan SCIM. Untuk memverifikasi semuanya dikonfigurasi dengan benar, setelah menyelesaikan langkah-langkah konfigurasi Anda akan masuk sebagai Google Workspace pengguna dan memverifikasi akses ke AWS sumber daya. Perhatikan bahwa tutorial ini didasarkan pada lingkungan pengujian Google Workspace direktori kecil. Struktur direktori seperti grup dan unit organisasi tidak disertakan. Setelah menyelesaikan tutorial ini, pengguna Anda akan dapat mengakses portal AWS akses dengan Google Workspace kredensil Anda.

catatan

Untuk mendaftar untuk uji coba Google Workspace kunjungan gratis Google Workspacedi situs Google's web.

Jika Anda belum mengaktifkan IAM Identity Center, lihatMengaktifkan AWS IAM Identity Center.

Pertimbangan

• Sebelum Anda mengonfigurasi penyediaan SCIM antara Google Workspace dan IAM Identity Center, kami sarankan Anda meninjau terlebih dahulu. Pertimbangan untuk menggunakan penyediaan otomatis

• Sinkronisasi otomatis SCIM dari saat Google Workspace ini terbatas pada penyediaan pengguna. Penyediaan grup otomatis tidak didukung saat ini. Grup dapat dibuat secara manual dengan perintah AWS CLI Identity Store create-group atau AWS Identity and Access Management (IAM) API. CreateGroup Atau, Anda dapat menggunakan ssosync untuk menyinkronkan Google Workspace pengguna dan grup ke Pusat Identitas IAM.

• Setiap Google Workspace pengguna harus memiliki nilai Nama depan, nama belakang, nama pengguna dan nama tampilan yang ditentukan.

• Setiap Google Workspace pengguna hanya memiliki satu nilai per atribut data, seperti alamat email atau nomor telepon. Setiap pengguna yang memiliki banyak nilai akan gagal untuk menyinkronkan. Jika ada pengguna yang memiliki beberapa nilai dalam atributnya, hapus atribut duplikat sebelum mencoba menyediakan pengguna di Pusat Identitas IAM. Misalnya, hanya satu atribut nomor telepon yang dapat disinkronkan, karena atribut nomor telepon default adalah “telepon kerja”, gunakan atribut “telepon kerja” untuk menyimpan nomor telepon pengguna, bahkan jika nomor telepon untuk pengguna adalah telepon rumah atau ponsel.

• Atribut masih disinkronkan jika pengguna dinonaktifkan di Pusat Identitas IAM, tetapi masih aktif di. Google Workspace

• Jika ada pengguna yang ada di direktori Identity Center dengan nama pengguna dan email yang sama, pengguna akan ditimpa dan disinkronkan menggunakan SCIM dari. Google Workspace

• Ada pertimbangan tambahan saat mengubah sumber identitas Anda. Untuk informasi selengkapnya, lihat Mengubah dari IAM Identity Center ke iDP eksternal.

Langkah 1:Google Workspace: Konfigurasikan aplikasi SAMP

1. Masuk ke konsol Google Admin Anda menggunakan akun dengan hak administrator super.

2. Di panel navigasi kiri konsol Google Admin Anda, pilih Aplikasi, lalu pilih Aplikasi Web dan Seluler.

3. Dalam daftar tarik-turun Tambah aplikasi, pilih Cari aplikasi.

4. Di kotak pencarian, masukkan Amazon Web Services, lalu pilih aplikasi Amazon Web Services (SAMP) dari daftar.

5. Pada detail Penyedia Google Identitas - halaman Amazon Web Services, Anda dapat melakukan salah satu hal berikut:

   1. Unduh metadata iDP.

   2. Salin URL SSO, URL ID Entitas, dan informasi Sertifikat.

   Anda akan memerlukan file XHTML atau informasi URL di Langkah 2.

6. Sebelum pindah ke langkah berikutnya di konsol Google Admin, biarkan halaman ini terbuka dan pindah ke konsol Pusat Identitas IAM.

Langkah 2: Pusat Identitas IAM danGoogle Workspace: Ubah sumber identitas Pusat Identitas IAM dan atur Google Workspace sebagai penyedia identitas SAMP

1. Masuk ke konsol Pusat Identitas IAM menggunakan peran dengan izin administratif.

2. Pilih Pengaturan di panel navigasi kiri.

3. Pada halaman Pengaturan, pilih Tindakan, lalu pilih Ubah sumber identitas.

   • Jika Anda belum mengaktifkan Pusat Identitas IAM, lihat Mengaktifkan AWS IAM Identity Center untuk informasi selengkapnya. Setelah mengaktifkan dan mengakses Pusat Identitas IAM untuk pertama kalinya, Anda akan tiba di Dasbor tempat Anda dapat memilih Pilih sumber identitas Anda.

4. Pada halaman Pilih sumber identitas, pilih Penyedia identitas eksternal, lalu pilih Berikutnya.

5. Halaman Konfigurasi penyedia identitas eksternal terbuka. Untuk melengkapi halaman ini dan Google Workspace halaman di Langkah 1, Anda harus menyelesaikan yang berikut:

   1. Di bawah bagian metadata Penyedia Identitas di konsol Pusat Identitas IAM, Anda perlu melakukan salah satu hal berikut:

      1. Unggah metadata GoogleSAMP sebagai metadata IDP SAMP di konsol IAM Identity Center.

      2. Salin dan tempel URL GoogleSSO ke kolom URL Masuk iDP Google, URL Penerbit ke bidang URL penerbit iDP, dan unggah Sertifikat sebagai sertifikat iDP. Google

6. Setelah memberikan Google metadata di bagian metadata Penyedia Identitas dari konsol Pusat Identitas IAM, salin URL masuk portal AWS akses, URL IAM Identity Assertion Consumer Service (ACS), dan URL penerbit IAM Identity Center. Anda harus memberikan URL ini di konsol Google Admin pada langkah berikutnya.

7. Biarkan halaman terbuka dengan konsol IAM Identity Center dan kembali ke konsol Google Admin. Anda harus berada di halaman detail Amazon Web Services - Penyedia Layanan. Pilih Lanjutkan.

8. Pada halaman detail penyedia layanan, masukkan nilai URL ACS, ID Entitas, dan URL Mulai. Anda menyalin nilai-nilai ini di langkah sebelumnya dan mereka dapat ditemukan di konsol Pusat Identitas IAM.

   • Tempelkan URL IAM Identity Center Assertion Consumer Service (ACS) ke kolom URL ACS

   • Rekatkan URL penerbit Pusat Identitas IAM ke bidang ID Entitas.

   • Rekatkan URL masuk portal AWS akses ke bidang URL Mulai.

9. Pada halaman detail penyedia layanan, lengkapi kolom di bawah ID Nama sebagai berikut:

   • Untuk format ID Nama, pilih EMAIL

   • Untuk ID Nama, pilih Informasi Dasar > Email utama

10. Pilih Lanjutkan.

11. Pada halaman Pemetaan Atribut, di bawah Atribut, pilih ADD MAPPING, lalu konfigurasikan bidang ini di bawah atribut GoogleDirektori:

    • Untuk atribut https://aws.amazon.com/SAML/Attributes/RoleSessionName app, pilih bidang Informasi Dasar, Email Utama dari Google Directoryatribut.

    • Untuk atribut https://aws.amazon.com/SAML/Attributes/Role app, pilih Google Directoryatribut apa saja. Atribut Google Direktori bisa menjadi Departemen.

12. Pilih Selesai

13. Kembali ke konsol Pusat Identitas IAM dan pilih Berikutnya. Pada halaman Tinjau dan Konfirmasi, tinjau informasi dan kemudian masukkan TERIMA ke dalam ruang yang disediakan. Pilih Ubah sumber identitas.

Anda sekarang siap untuk mengaktifkan aplikasi Amazon Web Services Google Workspace sehingga pengguna Anda dapat disediakan ke IAM Identity Center.

Langkah 3:Google Workspace: Aktifkan aplikasi

1. Kembali ke Konsol Google Admin dan AWS IAM Identity Center aplikasi Anda yang dapat ditemukan di bawah Aplikasi dan Web dan Aplikasi Seluler.

2. Di panel akses Pengguna di sebelah Akses pengguna, pilih panah bawah untuk memperluas akses Pengguna untuk menampilkan panel status Layanan.

3. Di panel status Layanan, pilih ON untuk semua orang, lalu pilih SIMPAN.

catatan

Untuk membantu mempertahankan prinsip hak istimewa yang paling rendah, kami sarankan setelah Anda menyelesaikan tutorial ini, Anda mengubah status Layanan menjadi OFF untuk semua orang. Hanya pengguna yang membutuhkan akses yang AWS harus mengaktifkan layanan. Anda dapat menggunakan Google Workspace grup atau unit organisasi untuk memberikan akses pengguna ke subset tertentu dari pengguna Anda.

Langkah 4: Pusat Identitas IAM: Siapkan penyediaan otomatis Pusat Identitas IAM

1. Kembali ke konsol Pusat Identitas IAM.

2. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

3. Dalam kotak dialog Penyediaan otomatis masuk, salin setiap nilai untuk opsi berikut. Pada Langkah 5 tutorial ini, Anda akan memasukkan nilai-nilai ini untuk mengonfigurasi penyediaan otomatis. Google Workspace

   • Titik akhir SCIM

   • Token akses

   Awas

   Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju.

4. Pilih Tutup.

   Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, pada langkah berikutnya Anda akan mengonfigurasi penyediaan otomatis. Google Workspace

Langkah 5:Google Workspace: Konfigurasikan penyediaan otomatis

1. Kembali ke konsol Google Admin dan AWS IAM Identity Center aplikasi Anda yang dapat ditemukan di bawah Aplikasi dan Aplikasi Web dan Seluler. Di bagian Auto provisioning, pilih Configure auto provisioning.

2. Pada prosedur sebelumnya, Anda menyalin nilai token Access di konsol IAM Identity Center. Tempelkan nilai itu ke bidang Access token dan pilih Continue. Juga, dalam prosedur sebelumnya, Anda menyalin nilai endpoint SCIM di konsol IAM Identity Center. Tempelkan nilai itu ke bidang URL Endpoint. Pastikan Anda menghapus garis miring di akhir URL dan pilih Lanjutkan.

3. Verifikasi bahwa semua atribut Pusat Identitas IAM wajib (yang ditandai dengan*) dipetakan ke Google Cloud Directory atribut. Jika tidak, pilih panah bawah dan petakan ke atribut yang sesuai. Pilih Lanjutkan.

4. Di bagian cakupan penyediaan, Anda dapat memilih grup dengan Google Workspace direktori Anda untuk menyediakan akses ke aplikasi Amazon Web Services. Lewati langkah ini dan pilih Lanjutkan.

5. Di bagian Deprovisioning, Anda dapat memilih cara merespons berbagai peristiwa yang menghapus akses dari pengguna. Untuk setiap situasi Anda dapat menentukan jumlah waktu sebelum deprovisioning mulai:

   • dalam waktu 24 jam

   • setelah satu hari

   • setelah tujuh hari

   • setelah 30 hari

   Setiap situasi memiliki pengaturan waktu kapan harus menangguhkan akses akun dan kapan harus menghapus akun.

   Tip

   Selalu atur lebih banyak waktu sebelum menghapus akun pengguna daripada menangguhkan akun pengguna.

6. Pilih Selesai. Anda dikembalikan ke halaman aplikasi Amazon Web Services.

7. Di bagian Penyediaan otomatis, aktifkan sakelar sakelar untuk mengubahnya dari Tidak Aktif menjadi Aktif.

   catatan

   Penggeser aktivasi dinonaktifkan jika IAM Identity Center tidak diaktifkan untuk pengguna. Pilih Akses pengguna dan nyalakan aplikasi untuk mengaktifkan slider.

8. Di kotak dialog konfirmasi, pilih Aktifkan.

9. Untuk memverifikasi bahwa pengguna berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna. Halaman Pengguna mencantumkan pengguna dari Google Workspace direktori Anda yang dibuat oleh SCIM. Jika pengguna belum terdaftar, mungkin penyediaan masih dalam proses. Penyediaan dapat memakan waktu hingga 24 jam, meskipun dalam banyak kasus selesai dalam beberapa menit. Pastikan untuk menyegarkan jendela browser setiap beberapa menit.

   Pilih pengguna dan lihat detailnya. Informasi harus sesuai dengan informasi dalam Google Workspace direktori.

Selamat!

Anda telah berhasil mengatur koneksi SAMP antara Google Workspace dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi. Anda sekarang dapat menetapkan pengguna ini ke akun dan aplikasi di IAM Identity Center. Untuk tutorial ini, pada langkah berikutnya mari kita menunjuk salah satu pengguna sebagai administrator IAM Identity Center dengan memberikan mereka izin administratif ke akun manajemen.

Langkah 6: Pusat Identitas IAM: Berikan Google Workspace pengguna akses ke akun

1. Kembali ke konsol Pusat Identitas IAM. Di panel navigasi Pusat Identitas IAM, di bawah izin Multi-akun, pilih. Akun AWS

2. Pada Akun AWShalaman, struktur Organisasi menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih Tetapkan pengguna atau grup.

3. Tampilan alur kerja Tetapkan pengguna dan grup. Ini terdiri dari tiga langkah:

   1. Untuk Langkah 1: Pilih pengguna dan grup pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih Selanjutnya.

   2. Untuk Langkah 2: Pilih set izin pilih Buat set izin untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.

      1. Untuk Langkah 1: Pilih jenis set izin lengkapi yang berikut ini:

         • Dalam Jenis set izin, pilih Set izin yang telah ditentukan sebelumnya.

         • Dalam Kebijakan untuk set izin yang telah ditentukan sebelumnya, pilih AdministratorAccess.

         Pilih Selanjutnya.

      2. Untuk Langkah 2: Tentukan detail set izin, pertahankan pengaturan default, dan pilih Berikutnya.

         Pengaturan default membuat set izin bernama AdministratorAccessdengan durasi sesi diatur ke satu jam.

      3. Untuk Langkah 3: Tinjau dan buat, verifikasi bahwa jenis set Izin menggunakan kebijakan AWS terkelola AdministratorAccess. Pilih Buat. Pada halaman Set izin, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.

      4. Pada tab Tetapkan pengguna dan grup browser, Anda masih pada Langkah 2: Pilih set izin dari mana Anda memulai alur kerja set izin buat.

      5. Di area set Izin, pilih tombol Refresh. Set AdministratorAccessizin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih Berikutnya.

   3. Untuk Langkah 3: Tinjau dan kirimkan ulasan pengguna dan set izin yang dipilih, lalu pilih Kirim.

      Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.

      Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Saat pengguna masuk, mereka akan memiliki opsi untuk memilih AdministratorAccessperan.

      catatan

      Sinkronisasi otomatis SCIM dari Google Workspace hanya mendukung penyediaan pengguna. Penyediaan grup otomatis tidak didukung saat ini. Anda tidak dapat membuat grup untuk Google Workspace pengguna menggunakan AWS Management Console. Setelah menyediakan pengguna, Anda dapat membuat grup menggunakan perintah create-group AWS CLI Identity Store atau IAM API. CreateGroup

Langkah 7Google Workspace: Konfirmasikan akses Google Workspace pengguna ke AWS sumber daya

1. Masuk Google menggunakan akun pengguna uji. Untuk mempelajari cara menambahkan penggunaGoogle Workspace, lihat Google Workspacedokumentasi.

2. Pilih ikon Google apps peluncur (wafel).

3. Gulir ke bagian bawah daftar aplikasi tempat Google Workspace aplikasi kustom Anda berada. Dua aplikasi ditampilkan Amazon Web Services dan portal AWS akses.

4. Pilih aplikasi portal AWS akses. Anda masuk ke portal dan dapat melihat Akun AWS ikonnya. Perluas ikon itu untuk melihat daftar Akun AWS yang dapat diakses pengguna. Dalam tutorial ini Anda hanya bekerja dengan satu akun, jadi memperluas ikon hanya menampilkan satu akun.

   catatan

   Jika Anda memilih aplikasi Amazon Web Services, Anda akan menerima kesalahan SAMP. Aplikasi itu digunakan untuk Google Workspace pengguna yang telah disediakan sebagai pengguna IAM dan tutorial ini menyediakan pengguna Anda sebagai pengguna di IAM Google Workspace Identity Center.

5. Pilih akun untuk menampilkan set izin yang tersedia bagi pengguna. Dalam tutorial ini Anda membuat set AdministratorAccessizin.

6. Di samping set izin adalah tautan untuk jenis akses yang tersedia untuk set izin tersebut. Saat Anda membuat set izin, Anda menetapkan konsol manajemen dan akses terprogram diaktifkan, sehingga dua opsi tersebut ada. Pilih Konsol manajemen untuk membuka AWS Management Console.

7. Pengguna masuk ke konsol.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat secara opsional menggunakan Atribut untuk kontrol akses fitur di IAM Identity Center untuk meneruskan Attribute elemen dengan Name atribut yang disetel ke. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan Pengguna IAM.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.

Langkah selanjutnya

Sekarang setelah Anda mengonfigurasi Google Workspace sebagai penyedia identitas dan pengguna yang disediakan di Pusat Identitas IAM, Anda dapat:

• Gunakan perintah AWS CLI Identity Store create-group atau IAM API CreateGroupuntuk membuat grup bagi pengguna Anda.

  Grup berguna saat menetapkan akses ke Akun AWS dan aplikasi. Daripada menetapkan setiap pengguna satu per satu, Anda memberikan izin ke grup. Kemudian, saat Anda menambah atau menghapus pengguna dari grup, pengguna secara dinamis mendapatkan atau kehilangan akses ke akun dan aplikasi yang Anda tetapkan ke grup.

• Mengkonfigurasi izin berdasarkan fungsi pekerjaan, lihat Membuat set izin.

  Set izin menentukan tingkat akses yang dimiliki pengguna dan grup ke file Akun AWS. Set izin disimpan di Pusat Identitas IAM dan dapat disediakan untuk satu atau lebih. Akun AWS Anda dapat menetapkan lebih dari satu izin yang disetel ke pengguna.

catatan

Sebagai administrator Pusat Identitas IAM, Anda kadang-kadang perlu mengganti sertifikat iDP yang lebih lama dengan yang lebih baru. Misalnya, Anda mungkin perlu mengganti sertifikat IDP saat tanggal kedaluwarsa sertifikat mendekati. Proses penggantian sertifikat yang lebih lama dengan yang lebih baru disebut sebagai rotasi sertifikat. Pastikan untuk meninjau cara mengelola sertifikat SAMP untukGoogle Workspace.