本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定SAML並SCIM使用 Google Workspace 和IAM身分識別中心
如果您的組織正在使用 Google Workspace 您可以從中整合您的使用者 Google Workspace 進入IAM身分識別中心,讓他們存取 AWS 的費用。您可以將IAM身分中心身分識別來源從預設的身分中心身分IAM識別來源變更為以達成此整合 Google Workspace.
使用者資訊來自 Google Workspace 使用系統進行跨網域IAM身分識別管理 (SCIM) 2.0 通訊協定同步處理至身分識別中心。您可以在中配置此連接 Google Workspace 將您的SCIM端點用於IAM身分識別中心和IAM身分識別中心承載權杖。當您配置SCIM同步時,您可以在中建立使用者屬性的對應 Google Workspace 至IAM身分識別中心中的具名屬性。此對應符合IAM身分識別中心與之間的預期使用者屬性 Google Workspace。 要做到這一點,你需要設置 Google Workspace IAM身分識別提供者和身IAM分識別中心身分提供者。
目的
本自學課程中的步驟有助於引導您建立兩者之間的SAML連接 Google Workspace 以及 AWS。 稍後,您將同步處理來源的使用者 Google Workspace 使用SCIM. 若要驗證一切設定正確,在完成設定步驟之後,您將以 Google Workspace 使用者並驗證存取權 AWS 的費用。請注意,本教程是基於一個小 Google Workspace 目錄測試環境。本教學課程不包括群組和組織單位等目錄結構。完成本教學課程後,您的使用者將能夠存取 AWS 使用您的訪問門戶 Google Workspace 認證。
注意
若要註冊免費試用 Google Workspace 訪問 Google Workspace
如果您尚未啟用IAM身分識別中心,請參閱啟用 AWS IAM Identity Center。
-
在您設定之間的SCIM佈建之前 Google Workspace 和IAM身分識別中心,我們建議您先檢閱使用自動佈建的考量。
-
SCIM自動同步處理 Google Workspace 目前僅限於使用者佈建。目前不支援自動群組佈建。可以手動建立群組 AWS CLI 識別身分存放區建立群組命令
或 AWS Identity and Access Management (IAM) API CreateGroup。或者,您可以使用 ssosync 進行同步 Google Workspace 使用者和群組進入IAM身分識別中心。 -
每 Google Workspace 使用者必須指定「名字」、「姓氏」、「使用者名稱」和「顯示名稱」值。
-
每個 Google Workspace 使用者每個資料屬性只有一個值,例如電子郵件地址或電話號碼。任何具有多個值的使用者將無法同步處理。如果使用者的屬性中有多個值,請先移除重複的屬性,然後再嘗試在 IAM Identity Center 中佈建使用者。例如,只能同步一個電話號碼屬性,因為預設的電話號碼屬性是「工作電話」,因此即使使用者的電話號碼是住家電話或行動電話,也可以使用「工作電話」屬性來儲存使用者的電話號碼。
-
如果在IAM身分識別中心中停用使用者,但在中仍處於作用中,則屬性仍然會同步 Google Workspace.
-
如果 Identity Center 目錄中存在具有相同使用者名稱和電子郵件的現有使用者,該使用SCIM者將被覆寫並同步處理 Google Workspace.
-
變更身分識別來源時,還有其他考量事項。如需詳細資訊,請參閱從 IAM 身分中心變更為外部 IdP。
-
登入您的 Google 使用具有超級管理員權限的帳戶的管理控制台。
-
在左側導航面板中 Google 管理員主控台,選擇 [應用程式],然後選擇 [Web 和行動應用
-
在新增應用程式下拉式清單中,選取 [搜尋應用程式]。
-
在搜索框中輸入 Amazon Web Services,然後從列表中選擇 Amazon Web Services(SAML)應用程序。
-
在「」Google 身分識別提供者詳細資訊-Amazon Web Services 頁面,您可以執行下列任一項作業:
-
下載 IdP 中繼資料。
-
複製SSOURL、實體 ID URL 和憑證資訊。
您將需要步驟 2 中的XML檔案或URL資訊。
-
-
移至中的下一個步驟之前 Google 管理員主控台中,保持此頁面開啟,然後移至IAM身分識別中心主控台。
-
使用具有系統管理權限的角色登入IAM身分識別中心主控台
。 -
在左側導覽窗格中選擇 [設定]。
-
在 [設定] 頁面上,選擇 [動作],然後選擇 [變更身分識別來源]。
-
如果您尚未啟用IAM身分識別中心,請參閱以啟用 AWS IAM Identity Center取得詳細資訊。首次啟用並存取IAM身分識別中心後,您將到達儀表板,您可以在其中選取 [選擇您的身分識別來源]。
-
-
在 [選擇身分識別來源] 頁面上,選取 [外部身分識別提供者],然後選擇 [下
-
將開啟 [設定外部身分識別提供者] 頁 若要完成此頁面和 Google Workspace 步驟 1 中的頁面,您將需要完成以下操作:
-
在身分識別中心主控台的 [IAM身分識別提供者中繼資料] 區段下,您將需要執行下列任一項作業:
-
上傳 Google SAML中繼資料做為IAM身分識別中心主控台中的 IdP 中SAML繼資料。
-
複製並粘貼 Google SSOURL進入 I dP 登錄URL字段中,Google 發行者URL至 I dP 簽發者URL欄位,然後上傳 Google 作為 IdP 憑證的憑證。
-
-
-
提供後 Google 身分識別中心主控台之身分識別提供者中IAM繼資料區段中的中繼資料,複製IAM身分辨識宣告用戶服務 (ACS) URL 和IAM身分識別中心簽發URL者。您將需要提供這些 URLs Google 下一個步驟中的管理控制台。
-
使用IAM身分識別中心主控台保持頁面開啟,然後返回 Google 管理控制台。您應該在 Amazon Web Services-服務提供商詳細信息頁面上。選取繼續。
-
在服務提供者詳細資訊頁面上,輸入ACSURL和實體 ID 值。您在上一個步驟中複製了這些值,可以在IAM身分識別中心主控台中找到這些值。
-
將IAM識別中心宣告用戶服務 (ACS) 貼URL到欄位 ACSURL
-
將IAM身分識別中心簽發者貼URL到 [實體 ID] 欄位中。
-
-
在 [服務提供者詳細資料] 頁面上,依下列方式完成 [名稱 ID] 下的欄位:
-
對於「名稱 ID」格式,選取 EMAIL
-
針對名稱 ID,選取基本資訊 > 主要電子郵件
-
-
選擇繼續。
-
在「屬性對應」頁面的「屬性」下,選擇 ADDMAPPING,然後在下面配置這些欄位 Google 目錄屬性:
-
對於
https://aws.amazon.com/SAML/Attributes/RoleSessionName應用程序屬性,請選擇字段基本信息,主要電子郵件 Google Directory 屬性。 -
對於
https://aws.amazon.com/SAML/Attributes/Role應用程序屬性,選擇任何 Google Directory 屬性。A Google 目錄屬性可以是「部門」。
-
-
選擇完成
-
返回IAM身分識別中心主控台,然後選擇下一步。在 [檢閱並確認] 頁面上,檢閱資訊,然後輸ACCEPT入提供的空格。選擇 [變更識別來源]。
您現在已準備好啟用 Amazon Web Services 應用 Google Workspace 以便您的使用者可以佈建到IAM身分識別中心。
-
返回 Google 管理控制台和您的 AWS IAM Identity Center 應用程序,在應用程序和 Web 和移動應用程序下找到。
-
在「使用者存取」旁的「使用者存取」面板中,選擇向下箭頭以展開「使用者存取權」以顯示「服務狀態」面板。
-
在 [服務狀態] 面板中,為所有人選擇 [開啟],然後選擇SAVE。
注意
為了協助維護最低權限的原則,我們建議您在完成本教學課程後,將「服務」狀態變更為「OFF適用於所有人」。只有需要存取的使用者 AWS 應該啟用該服務。您可以使用...Google Workspace 群組或組織單位,可讓使用者存取特定使用者子集。
-
返回IAM身分識別中心主控台。
-
在 [設定] 頁面上,找出 [自動佈建資訊] 方塊,然後選擇 [啟用]。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的SCIM端點和存取權杖資訊。
-
在「輸入自動佈建」對話方塊中,複製下列選項的每個值。在本教程的步驟 5 中,您將輸入這些值以配置自動佈建 Google Workspace.
-
SCIM端點-例如,https://scim。
us-east-2. 亞馬遜. COM/11111111111-2222-3333-4444-555555555555/scim/V2 -
存取權杖-選擇顯示權杖以複製值。
警告
這是您唯一可以獲取SCIM端點和訪問令牌的時間。請務必先複製這些值,然後再繼續前進。
-
-
選擇關閉。
現在,您已在 IAM Identity Center 主控台中設定佈建,在下一個步驟中,您將在 Google Workspace.
-
返回 Google 管理控制台和 AWS IAM Identity Center 應用程序,可以在應用程序和 Web 和移動應用程序中找到。在「自動啟動設定」段落中,選擇設定自動佈建。
-
在先前的程序中,您已複製IAM身分識別中心主控台中的存取權杖值。將該值粘貼到訪問令牌字段中,然後選擇繼續。此外,在先前的程序中,您已複製 IAM Identity Center 主控台中的SCIM端點值。將該值貼到「端點 URL」欄位中,然後選擇「繼續」。
-
確認所有必要的IAM身分識別中心屬性 (以 * 標記的屬性) 已對應至 Google Cloud Directory 屬性。如果不是,請選擇向下箭頭並對映至適當的屬性。選擇繼續。
-
在「佈建範圍」部分中,您可以選擇包含 Google Workspace 提供對 Amazon Web Services 應用程序訪問的目錄。略過此步驟,然後選取 [繼續]。
-
在取消佈建段落中,您可以選擇如何回應移除使用者存取權的不同事件。對於每種情況,您可以指定在取消佈建開始之前的時間長度:
-
24 小時內
-
一天后
-
七天后
-
使用三十天后
每種情況都有一個時間設置,用於何時暫停帳戶的訪問以及何時刪除帳戶。
提示
刪除使用者帳戶之前,請務必設定多於暫停使用者帳戶的時間。
-
-
選擇 Finish (完成)。您將返回 Amazon Web Services 應用程序頁面。
-
在「自動佈建」區段中,開啟切換開關,將其從「非作用中」變更為「作用中」。
注意
如果未為使用者開啟「IAM身分識別中心」,則會停用啟用滑桿。選擇 [使用者存取權限],然後開啟應用程式以啟用滑桿。
-
在確認對話方塊中,選擇「開啟」。
-
若要確認使用者已成功同步至IAM身分識別中心,請返回 IAM Identity Center 主控台並選擇 [使用者]。[使用者] 頁面會列出您的使用者 Google Workspace 由建立的目錄SCIM。如果尚未列出使用者,則可能是佈建仍在進行中。佈建最多可能需要 24 小時,但在大多數情況下,佈建可能會在幾分鐘內完成。確保每隔幾分鐘刷新一次瀏覽器窗口。
選取使用者並檢視其詳細資訊。該信息應與中的信息匹配 Google Workspace 目錄。
恭喜您!
您已成功設定兩者之間的SAML連線 Google Workspace 以及 AWS 並已驗證自動佈建正在運作。您現在可以將這些使用者指派給 IAMIdentity Center 中的帳戶和應用程式。在本教學課程中,在下一個步驟中,讓我們將其中一位使用者授與管理帳戶的系統管理權限,以指定其中一位使用者為 IAM Identity Center 管理員。
-
返回IAM身分識別中心主控台。在 [IAM身分識別中心] 功能窗格的 [多帳戶權限] 下,選擇 AWS 帳戶.
-
在「」AWS 帳戶頁面組織結構會在階層中顯示您的組織根目錄,並在其下方顯示您的帳戶。選取管理帳戶的核取方塊,然後選取 [指派使用者或群組]。
-
指派使用者和群組工作流程隨即顯示。它由三個步驟組成:
-
對於步驟 1:選取使用者和群組,請選擇要執行管理員工作職能的使用者。然後選擇下一步。
-
針對步驟 2:選取權限集選擇 [建立權限集] 以開啟新索引標籤,逐步引導您完成建立權限集所涉及的三個子步驟。
-
對於步驟 1:選取權限集類型,請完成下列步驟:
-
在 [權限集類型] 中,選擇 [預先定義的權限集
-
在預先定義權限集的原則中,選擇AdministratorAccess。
選擇 Next (下一步)。
-
-
針對 [步驟 2: 指定權限集詳細資料]、保留預設設定,然後選擇 [下一步]。
預設設定會建立名為的權限集
AdministratorAccess工作階段持續時間設定為一小時。 -
對於步驟 3:檢閱和建立,請確認「權限」集類型使用 AWS 受管理的策略AdministratorAccess。選擇 Create (建立)。在 [權限集] 頁面上會出現通知,通知您已建立權限集。您現在可以在 Web 瀏覽器中關閉此選項卡。
-
在 [指派使用者和群組] 瀏覽器索引標籤上,您仍在執行 [步驟 2: 選取啟動建立權限集工作流程的權限集] 中。
-
在「權限集」區域中,選擇「重新整理」按鈕。所以此
AdministratorAccess您建立的權限集會顯示在清單中。選取該權限集的核取方塊,然後選擇 [下一步]。
-
-
對於步驟 3:檢閱並提交檢閱選取的使用者和權限集,然後選擇 [提交]。
該頁面更新時會顯示一條消息 AWS 帳戶 正在配置中。等待,直到該過程完成。
您將返回 AWS 帳戶 頁面。通知訊息通知您 AWS 帳戶 已重新佈建並套用更新的權限集。當用戶登錄時,他們將可以選擇
AdministratorAccess角色。注意
SCIM自動同步處理 Google Workspace 僅支援佈建使用者。目前不支援自動群組佈建。您無法建立群組 Google Workspace 使用者使用 AWS Management Console。 佈建使用者之後,您可以使用 AWS CLI 識別身分存放區建立群組命令
或. IAM API CreateGroup
-
-
登入至 Google 使用測試用戶帳戶。若要瞭解如何將使用者新增至 Google Workspace,請參閱 Google Workspace 文件
。 -
選擇 Google apps 啟動器(華夫餅乾)圖標。
-
滾動到應用程序列表的底部,您的自定義 Google Workspace 應用程序位於。隨即顯示 Amazon Web Services 應用程式。
-
選擇 Amazon Web Services 應用程序。您已登入 AWS 訪問門戶,並可以看到 AWS 帳戶 圖示。展開該圖標以查看列表 AWS 帳戶 用戶可以訪問。在本教程中,您只使用一個帳戶,因此展開圖標僅顯示一個帳戶。
-
選取帳戶以顯示使用者可用的權限集。在本教學課程中,您建立了AdministratorAccess權限集。
-
權限集旁邊是該權限集可用存取類型的連結。建立權限集時,您已指定同時啟用管理主控台和程式設計存取,因此會出現這兩個選項。選取 [管理主控台] 以開啟 AWS Management Console.
-
使用者已登入主控台。
您可以選擇性地使用 IAM Identity Center 中的存取控制的屬性功能來傳遞Name屬性設定為的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:。此元素允許您將屬性作為SAML斷言中的會話標籤傳遞。如需工作階段標籤的詳細資訊,請參閱傳遞工作階段標籤 AWS STS (在 IAM 使用者指南中){TagKey}
若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵值配對CostCenter = blue,請使用下列屬性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要新增多個屬性,請為每個標籤包含單獨的Attribute元素。
現在,你已經配置 Google Workspace 身為身分識別提供者和身分IAM識別中心中佈建的使用者,您可以:
-
使用 AWS CLI 識別身分存放區建立群
組命令或為IAMAPICreateGroup您的使用者建立群組。 群組在指派存取權時很有用 AWS 帳戶 和應用程序。您可以將權限授予群組,而不是個別指派每個使用者。稍後,當您從群組中新增或移除使用者時,使用者會動態取得或失去指派給群組之帳戶和應用程式的存取權。
-
根據工作職能設定權限,請參閱建立權限集。
權限集定義了使用者和群組的存取層級 AWS 帳戶。 權限集儲存在IAM身分識別中心,可以佈建至一或多個 AWS 帳戶。 您可以將多個權限集指派給使用者。
注意
IAM身為身分識別中心系統管理員,您偶爾會需要將較舊的 IdP 憑證取代為較新的憑證。例如,當憑證的到期日臨近時,您可能需要取代 IdP 憑證。以較新的憑證取代舊憑證的程序稱為憑證輪替。請務必檢閱如何管理的SAML憑證 Google Workspace.
