Configure SAML y SCIM con Google Workspace y el Centro de identidad de IAM - AWS IAM Identity Center
ConsideracionesPaso 1: Google Workspace: Configure la aplicación SAMLPaso 2: Centro de identidad de IAM y Google Workspace: Cambie la fuente de identidad y la configuración del Centro de identidad de IAM Google Workspace como proveedor de identidades SAMLPaso 3: Google Workspace: Habilite las aplicacionesPaso 4: IAM Identity Center: configuración del aprovisionamiento automático de IAM Identity CenterPaso 5: Google Workspace: Configurar el aprovisionamiento automáticoPaso de atributos para el control de acceso: opcionalAsigne acceso a Cuentas de AWSPasos a seguir a continuaciónSolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure SAML y SCIM con Google Workspace y el Centro de identidad de IAM

Si su organización utiliza Google Workspace puede integrar a sus usuarios desde Google Workspace al Centro de identidad de IAM para darles acceso a AWS los recursos. Puede lograr esta integración cambiando la fuente de identidad del Centro de Identidad de IAM de la fuente de identidad predeterminada del Centro de Identidad de IAM a Google Workspace.

Información de usuario de Google Workspace se sincroniza con el Centro de Identidad de IAM mediante el protocolo System for Cross-Domain Identity Management (SCIM) 2.0. Para obtener más información, consulte Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos.

Esta conexión se configura en Google Workspace utilizando su terminal SCIM para el Centro de Identidad de IAM y un token portador del Centro de Identidad de IAM. Al configurar la sincronización de SCIM, se crea un mapeo de los atributos de usuario en Google Workspace a los atributos nombrados en el Centro de identidades de IAM. Este mapeo coincide con los atributos de usuario esperados entre el Centro de Identidad de IAM y Google Workspace. Para hacer esto, necesitas configurar Google Workspace como proveedor de identidades de IAM y proveedor de identidades del IAM Identity Center.

Objetivo

Los pasos de este tutorial le ayudarán a establecer la conexión SAML entre Google Workspace y. AWS Más adelante, sincronizará los usuarios de Google Workspace utilizando SCIM. Para comprobar que todo está configurado correctamente, tras completar los pasos de configuración, iniciará sesión como Google Workspace usuario y verificará el acceso a AWS los recursos. Tenga en cuenta que este tutorial se basa en un pequeño Google Workspace entorno de prueba de directorios. No se incluyen en este tutorial las estructuras de directorios, como los grupos y las unidades organizativas. Tras completar este tutorial, sus usuarios podrán acceder al portal de AWS acceso con su Google Workspace credenciales.

nota

Para suscribirse a una versión de prueba gratuita de Google Workspace visita Google Workspaceen Google's sitio web.

Si aún no ha habilitado IAM Identity Center, consulte Activar IAM Identity Center.

Consideraciones

  • Antes de configurar el aprovisionamiento de SCIM entre Google Workspace e IAM Identity Center, le recomendamos que revise primero. Consideraciones para utilizar el aprovisionamiento automático

  • Sincronización automática de SCIM desde Google Workspace actualmente se limita al aprovisionamiento de usuarios. Por el momento, no se admite el aprovisionamiento automático de grupos. Los grupos se pueden crear manualmente con el comando create-group de AWS CLI Identity Store o la API AWS Identity and Access Management (IAM). CreateGroup Como alternativa, puede usar ssosync para sincronizar Google Workspace usuarios y grupos en el Centro de identidades de IAM.

  • Cada Google Workspace el usuario debe tener un nombre, apellidos, nombre de usuario y nombre para mostrar especificados.

  • Cada Google Workspace cada usuario tiene un único valor por atributo de datos, como la dirección de correo electrónico o el número de teléfono. Los usuarios que tengan varios valores no se sincronizarán. Si hay usuarios que tienen varios valores en sus atributos, elimine los atributos duplicados antes de intentar aprovisionar el usuario en IAM Identity Center. Por ejemplo, solo se puede sincronizar un atributo de número de teléfono. Como el atributo de número de teléfono predeterminado es “teléfono del trabajo”, utilice el atributo “teléfono del trabajo” para almacenar el número de teléfono del usuario, incluso si el número de teléfono del usuario es un teléfono fijo o móvil.

  • Los atributos siguen sincronizados si el usuario está deshabilitado en el Centro de Identidad de IAM, pero sigue activo en Google Workspace.

  • Si existe un usuario en el directorio de Identity Center con el mismo nombre de usuario y correo electrónico, el usuario se sobrescribirá y sincronizará mediante SCIM desde Google Workspace.

  • Hay algunas consideraciones adicionales a la hora de cambiar la fuente de identidad. Para obtener más información, consulte Cómo cambiar de IAM Identity Center a un IdP externo.

Paso 1: Google Workspace: Configure la aplicación SAML

  1. Inicie sesión en su Google Consola de administración mediante una cuenta con privilegios de superadministrador.

  2. En el panel de navegación izquierdo de tu Google Consola de administración, selecciona Aplicaciones y, a continuación, selecciona Aplicaciones web y móviles.

  3. En la lista desplegable Agregar aplicación, seleccione Buscar aplicaciones.

  4. En el cuadro de búsqueda, ingrese Amazon Web Services y, a continuación, seleccione la aplicación Amazon Web Services (SAML) de la lista.

  5. En la página Google Detalles del proveedor de identidad: página Amazon Web Services, puede realizar una de las siguientes acciones:

    1. Descargar los metadatos del IdP.

    2. Copie la URL del SSO, la URL del ID de la entidad y la información del certificado.

    Necesitará el archivo XML o la información de la URL en el paso 2.

  6. Antes de pasar al siguiente paso de la Google Consola de administración, deje esta página abierta y diríjase a la consola del IAM Identity Center.

Paso 2: Centro de identidad de IAM y Google Workspace: Cambie la fuente de identidad y la configuración del Centro de identidad de IAM Google Workspace como proveedor de identidades SAML

  1. Inicie sesión en la consola de IAM Identity Center con un rol con permisos administrativos.

  2. Elija Configuración en el panel de navegación izquierdo.

  3. En la página Configuración, seleccione Acciones y, a continuación, seleccione Cambiar el origen de identidad.

    • Si no ha habilitado el IAM Identity Center,, consulte Activar IAM Identity Center para obtener más información. Tras activar y acceder al IAM Identity Center por primera vez, accederá al panel, donde podrá seleccionar la fuente de identidad.

  4. En la página Elegir el origen de identidad, seleccione Proveedor de identidades externo y, a continuación, seleccione Siguiente.

  5. Se abre la página Configurar un proveedor de identidad externo. Para completar esta página y el Google Workspace en la página del paso 1, deberá completar lo siguiente:

    1. En la sección metadatos del proveedor de identidad de la consola de IAM Identity Center, deberá realizar una de las siguientes acciones:

      1. Cargue el Google Metadatos SAML como metadatos SAML del IdP en la consola del IAM Identity Center.

      2. Copie y pegue los Google URL del SSO en el campo URL de inicio de sesión del IdP, Google Introduzca la URL del emisor en el campo URL del emisor del IdP y cargue la Google Certificado como certificado de IdP.

  6. Después de proporcionar el Google En la sección de metadatos del proveedor de identidad de la consola del IAM Identity Center, copie la URL del IAM Identity Assertion Consumer Service (ACS) y la URL del emisor del IAM Identity Center. Deberá proporcionarlos en el URLs Google La consola de administración en el siguiente paso.

  7. Deje la página abierta con la consola del IAM Identity Center y vuelva a Google Consola de administración. Debería estar en la página de Amazon Web Services: detalles del proveedor de servicios. Seleccione Continuar.

  8. En la página Service provider details, ingrese los valores de ACS URL y Entity ID. Ha copiado estos valores en el paso anterior y se encuentran en la consola de IAM Identity Center.

    • Pegue la URL del IAM Identity Center Assertion Consumer Service (ACS) en el campo URL de ACS.

    • Pegue la URL del emisor del IAM Identity Center en el campo ID de entidad.

  9. En la página Detalles del proveedor del servicio, rellene los campos que aparecen debajo de ID de nombre de la siguiente manera:

    • En Name ID format, seleccione EMAIL.

    • En Name ID, seleccione Basic Information > Primary email.

  10. Elija Continuar.

  11. En la página Asignación de atributos, en Atributos, elija AÑADIR ASIGNACIÓN y, a continuación, configure estos campos en Google Atributo de directorio:

    • Para el atributo de la https://aws.amazon.com/SAML/Attributes/RoleSessionName aplicación, seleccione el campo Información básica, correo electrónico principal en el Google Directory atributos.

    • Para el atributo de la https://aws.amazon.com/SAML/Attributes/Role aplicación, seleccione cualquier Google Directory atributos. A Google El atributo del directorio podría ser Departamento.

  12. Seleccione Finish.

  13. Vuelva a la consola de IAM Identity Center y seleccione Siguiente. En la página Revisar y confirmar, revise la información y, a continuación, ingrese ACEPTAR en el espacio correspondiente. Elija Cambiar fuente de identidad.

Ya está listo para activar la aplicación Amazon Web Services en Google Workspace para que sus usuarios puedan ser aprovisionados en el Centro de Identidad de IAM.

Paso 3: Google Workspace: Habilite las aplicaciones

  1. Regrese a Google La Consola de administración y su AWS IAM Identity Center aplicación, que se encuentran en Aplicaciones y Aplicaciones web y móviles.

  2. En el panel User access, junto a User access, seleccione la flecha hacia abajo para expandir User access para mostrar el panel Service status.

  3. En el panel Service status, seleccione ON for everyone y, a continuación, seleccione SAVE.

nota

Para ayudar a mantener el principio de privilegios mínimos, le recomendamos que, después de completar este tutorial, cambie Service status a OFF for everyone. Solo los usuarios que necesiten acceder a AWS deben tener el servicio habilitado. Puede usar… Google Workspace grupos o unidades organizativas para dar acceso a los usuarios a un subconjunto concreto de sus usuarios.

Paso 4: IAM Identity Center: configuración del aprovisionamiento automático de IAM Identity Center

  1. Vuelva a la consola de IAM Identity Center.

  2. En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.

  3. En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. En el paso 5 de este tutorial, introducirá estos valores para configurar el aprovisionamiento automático en Google Workspace.

    1. Punto final SCIM: por ejemplo, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token de acceso: seleccione Mostrar token para copiar el valor.

    aviso

    Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar.

  4. Seleccione Cerrar.

    Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, en el siguiente paso configurará el aprovisionamiento automático en Google Workspace.

Paso 5: Google Workspace: Configurar el aprovisionamiento automático

  1. Regrese a Google La consola de administración y su AWS IAM Identity Center aplicación, que se encuentran en Aplicaciones y Aplicaciones web y móviles. En la sección Aprovisionamiento automático, elija Configurar aprovisionamiento automático.

  2. En el procedimiento anterior, copió el valor del token de acceso en la consola de IAM Identity Center. Pegue ese valor en el campo Token de acceso y seleccione Continuar. Además, en el procedimiento anterior, copió el valor del punto de conexión de SCIM en la consola del IAM Identity Center. Pegue ese valor en el campo URL del punto de conexión y elija Continuar.

  3. Compruebe que todos los atributos obligatorios del Centro de identidad de IAM (los marcados con un asterisco) estén asignados a Google Cloud Directory atributos. Si no es así, haga clic en la flecha hacia abajo y asigne el atributo correspondiente. Elija Continuar.

  4. En la sección Alcance del aprovisionamiento, puede elegir un grupo con sus Google Workspace directorio para proporcionar acceso a la aplicación Amazon Web Services. Omita este paso y seleccione Continue.

  5. En la sección Deprovisioning, puede elegir cómo responder a los diferentes eventos que impiden el acceso de un usuario. Para cada situación, puede especificar el tiempo que debe transcurrir antes de que comience el desaprovisionamiento:

    • en menos de 24 horas

    • después de un día

    • después de siete días

    • después de 30 días

    Cada situación tiene una configuración de tiempo para cuándo suspender el acceso a una cuenta y cuándo eliminarla.

    sugerencia

    Configure siempre más tiempo antes de eliminar la cuenta de un usuario que para suspenderla.

  6. Seleccione Finalizar. Volverá a la página de la aplicación de Amazon Web Services.

  7. En la sección Autoaprovisionamiento, active el conmutador para cambiarlo de Inactivo a Activo.

    nota

    El control deslizante de activación está deshabilitado si IAM Identity Center no está activado para los usuarios. Seleccione Acceso de usuario y active la aplicación para activar el control deslizante.

  8. En el cuadro de diálogo de confirmación, elija Activar.

  9. Para comprobar que los usuarios se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione Usuarios. La página de usuarios muestra los usuarios de su Google Workspace directorio creado por SCIM. Si los usuarios aún no aparecen en la lista, es posible que el aprovisionamiento aún esté en proceso. El aprovisionamiento puede tardar hasta 24 horas, aunque en la mayoría de los casos se completa en cuestión de minutos. Asegúrese de actualizar la ventana del navegador cada pocos minutos.

    Seleccione un usuario y consulte sus detalles. La información debe coincidir con la información del Google Workspace directorio.

¡Enhorabuena!

Ha configurado correctamente una conexión SAML entre Google Workspace AWS y has comprobado que el aprovisionamiento automático funciona. Ahora puede asignar a estos usuarios cuentas y aplicaciones en IAM Identity Center. Para este tutorial, en el siguiente paso designaremos a uno de los usuarios como administrador de IAM Identity Center mediante la concesión de permisos administrativos en la cuenta de administración.

Paso de atributos para el control de acceso: opcional

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de IAM Identity Center para transferir un elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.

Asigne acceso a Cuentas de AWS

Los siguientes pasos solo son necesarios para conceder acceso Cuentas de AWS únicamente a. Estos pasos no son necesarios para conceder el acceso a AWS las solicitudes.

Paso 1: Centro de identidad de IAM: subvención Google Workspace acceso de los usuarios a las cuentas

  1. Vuelva a la consola de IAM Identity Center. En el panel de navegación del IAM Identity Center, en Permisos para varias cuentas, seleccione Cuentas de AWS.

  2. En la página Cuentas de AWS, la opción Estructura organizativa muestra la raíz organizativa con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione Asignar usuarios o grupos.

  3. Aparecerá el flujo de trabajo Asignar usuarios y grupos. Consta de tres pasos:

    1. En Paso 1: selección de usuarios y grupos, elija el usuario que realizará la función del trabajo de administrador. A continuación, elija Siguiente.

    2. En Paso 2: selección de conjuntos de permisos, elija Crear conjunto de permisos para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.

      1. En Paso 1: selección del tipo de conjunto de permisos, haga lo siguiente:

        • En Tipo de conjunto de permisos, seleccione Conjunto de permisos predefinido.

        • En Política para un conjunto de permisos predefinido, elija AdministratorAccess.

        Elija Next (Siguiente).

      2. En Paso 2: especificación de los detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente.

        La configuración predeterminada crea un conjunto de permisos denominado AdministratorAccess con una duración de sesión establecida en una hora.

      3. En el paso 3: revisar y crear, compruebe que el tipo de conjunto de permisos utiliza la política AWS gestionada AdministratorAccess. Seleccione Crear. En la página Conjuntos de permisos, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.

      4. En la pestaña Asignar usuarios y grupos del navegador, todavía está en Paso 2: selección de los conjuntos de permisos, donde empezó el flujo de trabajo de creación de conjuntos de permisos.

      5. En el área Conjuntos de permisos, pulse el botón Actualizar. El conjunto de AdministratorAccess permisos que ha creado aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione Siguiente.

    3. En Paso 3: revisión y envío, revise el usuario y el conjunto de permisos seleccionados y, a continuación, seleccione Enviar.

      La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.

      Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado. Cuando el usuario inicie sesión, tendrá la opción de elegir el AdministratorAccess rol.

      nota

      Sincronización automática de SCIM desde Google Workspace solo admite el aprovisionamiento de usuarios. Por el momento, no se admite el aprovisionamiento automático de grupos. No puedes crear grupos para tu Google Workspace usuarios que utilizan AWS Management Console. Tras aprovisionar a los usuarios, puede crear grupos mediante el comando create-group de AWS CLI Identity Store o la API de IAM. CreateGroup

Paso 2: Google Workspace: Confirme Google Workspace el acceso de los usuarios a AWS los recursos

  1. Inicie sesión en Google mediante una cuenta de usuario de prueba. Para obtener información sobre cómo añadir usuarios a Google Workspace, consulte Google Workspace documentación.

  2. Seleccione el Google apps icono de lanzador (gofre).

  3. Desplázate hasta la parte inferior de la lista de aplicaciones, donde está tu aplicación personalizada Google Workspace se encuentran las aplicaciones. Aparece la aplicación de Amazon Web Services.

  4. Seleccione la aplicación Amazon Web Services. Ha iniciado sesión en el portal de AWS acceso y puede ver el Cuenta de AWS icono. Amplíe ese icono para ver la lista a la Cuentas de AWS que puede acceder el usuario. En este tutorial, solo trabajó con una cuenta, por lo que al expandir el icono solo se muestra una cuenta.

  5. Seleccione la cuenta para ver los conjuntos de permisos disponibles para el usuario. En este tutorial, creó el conjunto de AdministratorAccesspermisos.

  6. Junto al conjunto de permisos hay enlaces para el tipo de acceso disponible para ese conjunto de permisos. Cuando creó el conjunto de permisos, especificó que se habilitó el acceso mediante programación y con la Consola de administración, por lo que esas dos opciones están presentes. Seleccione Consola de administración para abrir la AWS Management Console.

  7. El usuario ha iniciado sesión en la consola.

Pasos a seguir a continuación

Ahora que lo has configurado Google Workspace como proveedor de identidades y usuarios aprovisionados en el Centro de identidades de IAM, puede:

  • Utilice el comando create-group de AWS CLI Identity Store o la API de IAM CreateGrouppara crear grupos para sus usuarios.

    Los grupos son útiles a la hora de asignar el acceso a las aplicaciones y a ellas. Cuentas de AWS En lugar de asignarlo a cada usuario de manera individual, concede permisos a un grupo. Más adelante, al agregar o eliminar usuarios de un grupo, el usuario obtiene o pierde de forma dinámica el acceso a las cuentas y aplicaciones que haya asignado al grupo.

  • Para configurar los permisos en función de los cargos en el trabajo; consulte Create a permission set.

    Los conjuntos de permisos definen el nivel de acceso que tienen los usuarios y grupos en una Cuenta de AWS. Los conjuntos de permisos se almacenan en IAM Identity Center y se pueden aprovisionar a una o varias Cuentas de AWS. Puedes asignar más de un conjunto de permisos a un usuario.

nota

Como administrador de IAM Identity Center, en ocasiones tendrá que sustituir los certificados de IdP antiguos por otros más nuevos. Por ejemplo, debe sustituir un certificado cuando se aproxime la fecha de vencimiento del certificado. El proceso de sustituir un certificado antiguo por uno más nuevo se denomina rotación de certificados. Asegúrese de revisar cómo administrar los certificados SAML para Google Workspace.

Solución de problemas

Para solucionar problemas generales de SCIM y SAML con Google Workspace, consulte las siguientes secciones:

Los siguientes recursos pueden ayudarle a solucionar problemas mientras trabaja con AWS:

  • AWS re:Post- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.

  • AWS Support: obtenga soporte técnico