Configurar SAML Google Workspace e SCIM com um IAM Identity Center

Se sua organização estiver usando, Google Workspace você pode integrar seus usuários e grupos Google Workspace no IAM Identity Center para dar a eles acesso aos AWS recursos. Você pode obter essa integração alterando sua fonte de IAM identidade do Identity Center da fonte de IAM identidade padrão do Identity Center paraGoogle Workspace.

As informações do usuário Google Workspace são sincronizadas no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) 2.0. Você configura essa conexão Google Workspace usando seu SCIM endpoint para o IAM Identity Center e um token portador do IAM Identity Center. Ao configurar a SCIM sincronização, você cria um mapeamento dos atributos do usuário nos Google Workspace atributos nomeados no IAM Identity Center. Esse mapeamento corresponde aos atributos de usuário esperados entre o IAM Identity Center Google Workspace e. Para fazer isso, você precisa se configurar Google Workspace como provedor de IAM identidade e provedor de IAM identidade do Identity Center.

Objetivo

As etapas deste tutorial ajudam você a estabelecer a SAML conexão entre Google Workspace AWS e. Posteriormente, você sincronizará os usuários e deixará de Google Workspace usarSCIM. Para verificar se tudo está configurado corretamente, depois de concluir as etapas de configuração, você fará login como Google Workspace usuário e verificará o acesso aos AWS recursos. Observe que este tutorial é baseado em um ambiente de teste de um pequeno diretório do Google Workspace. Estruturas de diretórios, como grupos e unidades organizacionais, não estão incluídas neste tutorial. Depois de concluir este tutorial, seus usuários poderão acessar o portal de AWS acesso com suas Google Workspace credenciais.

nota

Para se cadastrar para fazer um teste gratuito do Google Workspace, visite Google Workspace no site da Goggle.

Se você ainda não ativou o IAM Identity Center, consulteHabilitando AWS IAM Identity Center.

Considerações

• Antes de configurar o SCIM provisionamento entre Google Workspace e o IAM Identity Center, recomendamos que você primeiro analise. Considerações sobre o uso do provisionamento automático

• SCIMatualmente, a sincronização automática de Google Workspace está limitada ao aprovisionamento de usuários. O aprovisionamento automático de grupos não é suportado no momento. Os grupos podem ser criados manualmente com o comando create-group do AWS CLI Identity Store ou AWS Identity and Access Management (). IAM API CreateGroup Como alternativa, você pode usar o ssosync para sincronizar Google Workspace usuários e grupos no IAM Identity Center.

• Todo usuário do Google Workspace deve ter um valor especificado de Nome, Sobrenome, Nome de usuário e Nome de exibição.

• Todo usuário do Google Workspace tem apenas um valor por atributo de dados, como endereço de e-mail ou número de telefone. Qualquer usuário que tenha vários valores não conseguirá sincronizar. Se houver usuários com vários valores em seus atributos, remova os atributos duplicados antes de tentar provisionar o usuário no IAM Identity Center. Por exemplo, somente um único atributo de número de telefone pode ser sincronizado, já que o atributo de número de telefone padrão é "telefone comercial", use o atributo "telefone comercial" para armazenar o número de telefone do usuário, mesmo que o telefone do usuário seja residencial ou celular.

• Os atributos ainda serão sincronizados se o usuário estiver desativado no IAM Identity Center, mas ainda estiver ativo noGoogle Workspace.

• Se houver um usuário existente no diretório do Identity Center com o mesmo nome de usuário e e-mail, o usuário será sobrescrito e sincronizado usando SCIM from. Google Workspace

• Há considerações adicionais ao alterar sua fonte de identidade. Para ter mais informações, consulte Mudar do IAM Identity Center para um IdP externo.

Etapa 1Google Workspace: Configurar o SAML aplicativo

1. Faça login no GoogleAdmin Console usando uma conta com privilégios de superadministrador.

2. No painel de navegação esquerdo do GoogleAdmin Console, escolha Aplicativos e, em seguida, escolha Aplicativos Web e Móveis.

3. Na lista suspensa Adicionar aplicativo, selecione Pesquisar aplicativos.

4. Na caixa de pesquisa, insira Amazon Web Services e selecione o aplicativo Amazon Web Services (SAML) na lista.

5. Na página Detalhes do provedor de Google identidade - Amazon Web Services, você pode fazer o seguinte:

   1. Baixe os metadados do IdP.

   2. Copie as SSO URL informaçõesURL, ID da entidade e certificado.

   Você precisará do XML arquivo ou das URL informações na Etapa 2.

6. Antes de passar para a próxima etapa no Google Admin Console, deixe essa página aberta e vá para o console do IAM Identity Center.

Etapa 2: IAM Identity Center eGoogle Workspace: Alterar a fonte de IAM identidade e a configuração do Identity Center Google Workspace como provedor de SAML identidade

1. Faça login no console do IAM Identity Center usando uma função com permissões administrativas.

2. Escolha Configurações no painel de navegação à esquerda.

3. Na página Configurações, escolha Ações e depois Alterar fonte de identidades.

   • Se você não ativou o IAM Identity Center, consulte Habilitando AWS IAM Identity Center para obter mais informações. Depois de ativar e acessar o IAM Identity Center pela primeira vez, você chegará ao Painel, onde poderá selecionar Escolha sua fonte de identidade.

4. Em Escolher fonte de identidades, selecione Provedor de identidades externo e escolha Avançar.

5. A página Configurar provedor de identidades externo é aberta. Para concluir esta página e a Google Workspace página na Etapa 1, você precisará concluir o seguinte:

   1. Na seção Metadados do provedor de IAMidentidade no console do Identity Center, você precisará fazer o seguinte:

      1. Faça upload dos GoogleSAMLmetadados como metadados do SAMLIdP no console IAM do Identity Center.

      2. Copie e GoogleSSOURLcole no campo Login do IdP, URL Emissor no URL campo GoogleURLEmissor do IdP e faça o upload do Certificado como certificado do IdP. Google

6. Depois de fornecer os Google metadados na seção de metadados do Identity Provider do console do IAMIdentity Center, copie o Identity Assertion Consumer Service (ACS) URL e o IAM emissor do IAMIdentity Center. URL Você precisará fornecê-los URLs no Google Admin Console na próxima etapa.

7. Deixe a página aberta com o console do IAM Identity Center e retorne ao Google Admin Console. Você deve estar na página de detalhes do Amazon Web Services - Service Provider. Selecione Continuar.

8. Na página de detalhes do provedor de serviços, insira os valores ACSURLe ID da entidade. Você copiou esses valores na etapa anterior e eles podem ser encontrados no console do IAM Identity Center.

   • Cole o IAMIdentity Center Assertion Consumer Service (ACS) URL no campo ACSURL

   • Cole o emissor do IAM Identity Center URL no campo ID da entidade.

9. Na página de detalhes do provedor de serviços, preencha os campos em ID do nome da seguinte forma:

   • Para o formato de ID do nome, selecione EMAIL

   • Em ID do nome, selecione Informações básicas > E-mail principal

10. Escolha Continuar.

11. Na página Mapeamento de atributos, em Atributos ADDMAPPING, escolha e configure esses campos em Atributo Google do diretório:

    • Para o atributo do https://aws.amazon.com/SAML/Attributes/RoleSessionName aplicativo, selecione o campo Informações básicas, E-mail principal nos Google Directoryatributos.

    • Para o atributo do https://aws.amazon.com/SAML/Attributes/Role aplicativo, selecione qualquer Google Directoryatributo. Um atributo de Google diretório pode ser Departamento.

12. Escolha Concluir

13. Retorne ao console do IAM Identity Center e escolha Avançar. Na página Revisar e confirmar, revise as informações e entre ACCEPTno espaço fornecido. Escolha Alterar origem de identidade.

Agora você está pronto para habilitar o aplicativo Amazon Web Services Google Workspace para que seus usuários possam ser provisionados no IAM Identity Center.

Etapa 3Google Workspace: ativar os aplicativos

1. Retorne ao GoogleAdmin Console e ao seu AWS IAM Identity Center aplicativo, que podem ser encontrados em Aplicativos e Aplicativos Web e Móveis.

2. No painel de acesso do usuário ao lado de Acesso do usuário, escolha a seta para baixo para expandir Acesso do usuário e exibir o painel Status do serviço.

3. No painel Status do serviço, escolha ATIVADO para todos e, em seguida, escolha SAVE.

nota

Para ajudar a manter o princípio do privilégio mínimo, recomendamos que, depois de concluir este tutorial, você altere o status do serviço OFF para para todos. Somente usuários que precisam acessar AWS devem ter o serviço ativado. Você pode usar os grupos ou as unidades organizacionais do Google Workspace para conceder acesso de usuário a um subconjunto específico de usuários.

Etapa 4: IAM Identity Center: configurar o provisionamento automático do IAM Identity Center

1. Retorne ao console do IAM Identity Center.

2. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso ativa imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do SCIM endpoint e do token de acesso.

3. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Na Etapa 5 deste tutorial, você inserirá esses valores para configurar o provisionamento automático em. Google Workspace

   • SCIMponto final

   • Token de acesso

   Atenção

   Essa é a única vez em que você pode obter o SCIM endpoint e o token de acesso. Certifique-se de copiar esses valores antes de prosseguir.

4. Escolha Fechar.

   Agora que você configurou o provisionamento no console do IAM Identity Center, na próxima etapa, você configurará o provisionamento automático em. Google Workspace

Etapa 5Google Workspace: Configurar o provisionamento automático

1. Retorne ao Google Admin Console e ao seu AWS IAM Identity Center aplicativo, que podem ser encontrados em Aplicativos e Aplicativos Web e Móveis. Na seção Provisionamento automático, escolha Configurar provisionamento automático.

2. No procedimento anterior, você copiou o valor do token de acesso no console do IAM Identity Center. Cole esse valor no campo Token de acesso e escolha Continuar. Além disso, no procedimento anterior, você copiou o valor do SCIMendpoint no console do IAM Identity Center. Cole esse valor no URL campo Endpoint. Certifique-se de remover a barra lateral no final do URL e escolher Continuar.

3. Verifique se todos os atributos obrigatórios do IAM Identity Center (aqueles marcados com *) estão mapeados para Google Cloud Directory atributos. Caso contrário, escolha a seta para baixo e mapeie para o atributo apropriado. Escolha Continuar.

4. Na seção Escopo de provisionamento, você pode escolher um grupo com seu Google Workspace diretório para fornecer acesso ao aplicativo Amazon Web Services. Pule esta etapa e selecione Continuar.

5. Na seção Desprovisionamento, você pode escolher como responder a diferentes eventos que removem o acesso de um usuário. Para cada situação, você pode especificar a quantidade de tempo antes do início do desprovisionamento como:

   • 24 horas

   • 1 dia

   • 7 dias

   • depois de 30 dias

   Cada situação tem uma configuração de tempo para quando suspender o acesso de uma conta e para quando excluir a conta.

   dica

   Sempre defina mais tempo para excluir uma conta de usuário do que para suspender uma conta de usuário.

6. Escolha Terminar. Você será levado de volta à página da aplicação Amazon Web Services.

7. Na seção Provisionamento automático, ative a chave seletora para alterá-la de Inativa para Ativa.

   nota

   O controle deslizante de ativação será desativado se o IAM Identity Center não estiver ativado para os usuários. Escolha Acesso do usuário e ative o aplicativo para ativar o controle deslizante.

8. Na caixa de diálogo de confirmação, escolha Ligar.

9. Para verificar se os usuários foram sincronizados com êxito com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. A página Usuários lista os usuários do seu Google Workspace diretório que foram criados porSCIM. Se os usuários ainda não estiverem listados, pode ser que o provisionamento ainda esteja em andamento. O provisionamento pode levar até 24 horas, embora, na maioria dos casos, seja concluído em minutos. Certifique-se de atualizar a janela do navegador a cada poucos minutos.

   Selecione um usuário e visualize seus detalhes. As informações devem corresponder às informações do Google Workspace diretório.

Parabéns!

Você configurou com êxito uma SAML conexão entre Google Workspace e AWS e verificou se o provisionamento automático está funcionando. Agora você pode atribuir esses usuários a contas e aplicativos no IAMIdentity Center. Para este tutorial, na próxima etapa, vamos designar um dos usuários como administrador do IAM Identity Center, concedendo-lhes permissões administrativas para a conta de gerenciamento.

Etapa 6: IAM Identity Center: conceder Google Workspace aos usuários acesso às contas

1. Retorne ao console do IAM Identity Center. No painel de navegação do IAM Identity Center, em Permissões de várias contas, escolha. Contas da AWS

2. Na página Contas da AWS, a Estrutura organizacional exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione Atribuir usuários ou grupos.

3. O fluxo de trabalho Atribuir usuários e grupos é exibido. Ele consiste em três etapas:

   1. Em Etapa 1: selecionar usuários e grupos, escolha o usuário que desempenhará a função de administrador. Em seguida, escolha Próximo.

   2. Em Etapa 2: selecionar conjuntos de permissões, escolha Criar conjunto de permissões para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.

      1. Em Etapa 1: selecionar o tipo de conjunto de permissões, preencha o seguinte:

         • Em Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

         • Em Política para conjunto de permissões predefinido, escolha AdministratorAccess.

         Escolha Próximo.

      2. Em Etapa 2: especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Avançar.

         As configurações padrão criam um conjunto de permissões chamado AdministratorAccess com a duração da sessão definida para uma hora.

      3. Para a Etapa 3: revisar e criar, verifique se o tipo de conjunto de permissões usa a política AWS gerenciada AdministratorAccess. Escolha Criar. Na página Conjuntos de permissões, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.

      4. Na guia Atribuir usuários e grupos do navegador, você ainda está na Etapa 2: selecionar conjuntos de permissões na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.

      5. Na área Conjuntos de permissões, escolha o botão Atualizar. A ferramenta AdministratorAccess o conjunto de permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha Avançar.

   3. Em Etapa 3: revisar e enviar, revise o usuário e o conjunto de permissões selecionados e escolha Enviar.

      A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.

      Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher o AdministratorAccess papel.

      nota

      SCIMa sincronização automática Google Workspace somente oferece suporte ao provisionamento de usuários. O aprovisionamento automático de grupos não é suportado no momento. Você não pode criar grupos para os usuários do Google Workspace usando o AWS Management Console. Depois de provisionar usuários, você pode criar grupos usando o comando create-group do AWS CLI Identity Store ou. IAM API CreateGroup

Etapa 7Google Workspace: confirmar o acesso Google Workspace dos usuários aos AWS recursos

1. Faça login Google usando uma conta de usuário de teste. Para saber como adicionar usuários aoGoogle Workspace, consulte a Google Workspacedocumentação.

2. Selecione o ícone do iniciador (waffle) do Google apps.

3. Role para o fim da lista de aplicações em que as aplicações personalizadas do Google Workspace se encontram. O aplicativo Amazon Web Services é exibido.

4. Selecione o aplicativo Amazon Web Services. Você está conectado ao portal de AWS acesso e pode ver o Conta da AWS ícone. Expanda esse ícone para ver a lista de Contas da AWS que o usuário pode acessar. Neste tutorial, você só trabalhou com uma conta, portanto, a expansão do ícone só mostra uma conta.

5. Selecione a conta para exibir os conjuntos de permissões disponíveis para o usuário. Neste tutorial, você criou o conjunto de AdministratorAccesspermissões.

6. Ao lado do conjunto de permissões, há links para o tipo de acesso disponível para aquele conjunto de permissões. Ao criar o conjunto de permissões, você especificou que o console de gerenciamento e o acesso programático fossem habilitados, assim sendo, essas duas opções estão presentes. Selecione Console de gerenciamento para abrir o AWS Management Console.

7. O usuário fez login no console.

(Opcional) Passar atributos para controle de acesso

Opcionalmente, você pode usar o Atributos para controle de acesso recurso no IAM Identity Center para passar um Attribute elemento com o Name atributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} definido como. Esse elemento permite que você passe atributos como tags de sessão na SAML declaração. Para obter mais informações sobre tags de sessão, consulte Transmitir tags de sessão AWS STS no Guia IAM do usuário.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.

Próximas etapas

Agora que você configurou Google Workspace como provedor de identidade e provisionou usuários no IAM Identity Center, você pode:

• Use o comando create-group do AWS CLI Identity Store ou IAM API CreateGrouppara criar grupos para seus usuários.

  Os grupos são úteis ao atribuir acesso a aplicativos Contas da AWS e aplicativos. Em vez de atribuir cada usuário individualmente, você concede permissões a um grupo. Posteriormente, à medida que você adiciona ou remove usuários de um grupo, o usuário obtém ou perde dinamicamente o acesso às contas e aplicações que você atribuiu ao grupo.

• Configure as permissões baseadas nas funções do trabalho; consulte Criar um conjunto de permissões.

  Os conjuntos de permissões definem o nível de acesso que os usuários e grupos têm a uma Conta da AWS. Os conjuntos de permissões são armazenados no IAM Identity Center e podem ser provisionados para um ou mais. Contas da AWS Você pode atribuir mais de um conjunto de permissões a um usuário.

nota

Como administrador do IAM Identity Center, você ocasionalmente precisará substituir certificados IdP mais antigos por outros mais novos. Por exemplo, talvez seja necessário substituir um certificado IdP quando a data de expiração do certificado se aproximar. O processo de substituição de um certificado antigo por um mais recente é conhecido como rodízio de certificados. Certifique-se de revisar como gerenciar os SAML certificados doGoogle Workspace.