Configurer SAML et SCIM avec Google Workspace et IAM Identity Center - AWS IAM Identity Center
ConsidérationsÉtape 1 : Google Workspace: Configuration de l'SAMLapplicationÉtape 2 : IAM Identity Center et Google Workspace: Modifier la source IAM d'identité et la configuration de l'Identity Center Google Workspace en tant que fournisseur SAML d'identitéÉtape 3 : Google Workspace: Activez les applicationsÉtape 4 : IAM Identity Center : configurer le provisionnement automatique IAM d'Identity CenterÉtape 5 : Google Workspace: Configurer le provisionnement automatiqueTransmission d'attributs pour le contrôle d'accès - FacultatifAttribuez l'accès à Comptes AWSÉtapes suivantesRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer SAML et SCIM avec Google Workspace et IAM Identity Center

Si votre organisation utilise Google Workspace vous pouvez intégrer vos utilisateurs depuis Google Workspace dans IAM Identity Center pour leur donner accès aux AWS ressources. Vous pouvez réaliser cette intégration en remplaçant la source IAM d'identité par défaut de votre source IAM d'identité Identity Center par Google Workspace.

Informations sur l'utilisateur provenant de Google Workspace est synchronisé avec IAM Identity Center à l'aide du protocole System for Cross-Domain Identity Management (SCIM) 2.0. Pour de plus amples informations, veuillez consulter Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes.

Vous configurez cette connexion dans Google Workspace en utilisant votre SCIM point de terminaison pour IAM Identity Center et un jeton porteur IAM d'Identity Center. Lorsque vous configurez SCIM la synchronisation, vous créez un mappage de vos attributs utilisateur dans Google Workspace aux attributs nommés dans IAM Identity Center. Ce mappage correspond aux attributs utilisateur attendus entre IAM Identity Center et Google Workspace. Pour ce faire, vous devez configurer Google Workspace en tant que fournisseur IAM d'identité et fournisseur d'IAMidentité du centre d'identité.

Objectif

Les étapes de ce didacticiel vous aideront à établir la SAML connexion entre Google Workspace et AWS. Plus tard, vous synchroniserez les utilisateurs depuis Google Workspace à l'aide d'SCIM. Pour vérifier que tout est correctement configuré, après avoir terminé les étapes de configuration, vous vous connecterez en tant que Google Workspace utilisateur et vérifiez l'accès aux AWS ressources. Notez que ce tutoriel est basé sur un petit Google Workspace environnement de test de répertoire. Les structures de répertoires telles que les groupes et les unités organisationnelles ne sont pas incluses dans ce didacticiel. Après avoir terminé ce didacticiel, vos utilisateurs pourront accéder au portail AWS d'accès avec votre Google Workspace informations d'identification.

Note

Pour vous inscrire à un essai gratuit de Google Workspace visite Google Workspacesur Google's site Web.

Si vous n'avez pas encore activé IAM Identity Center, consultezActivant AWS IAM Identity Center.

Considérations

  • Avant de configurer le SCIM provisionnement entre Google Workspace et IAM Identity Center, nous vous recommandons de les consulter d'abordConsidérations relatives à l'utilisation du provisionnement automatique.

  • SCIMsynchronisation automatique depuis Google Workspace est actuellement limité au provisionnement des utilisateurs. Le provisionnement automatique des groupes n'est pas pris en charge pour le moment. Les groupes peuvent être créés manuellement à AWS CLI l'aide de la commande Create-group ou AWS Identity and Access Management () IAM d'Identity Store. API CreateGroup Vous pouvez également utiliser ssosync pour synchroniser Google Workspace utilisateurs et groupes dans IAM Identity Center.

  • Chaque Google Workspace l'utilisateur doit avoir un prénom, un nom de famille, un nom d'utilisateur et une valeur de nom d'affichage spécifiés.

  • Chaque Google Workspace L'utilisateur n'a qu'une seule valeur par attribut de données, tel qu'une adresse e-mail ou un numéro de téléphone. Les utilisateurs possédant plusieurs valeurs ne parviendront pas à se synchroniser. Si certains utilisateurs ont plusieurs valeurs dans leurs attributs, supprimez les attributs dupliqués avant de tenter de configurer l'utilisateur dans IAM Identity Center. Par exemple, un seul attribut de numéro de téléphone peut être synchronisé, étant donné que l'attribut de numéro de téléphone par défaut est « téléphone professionnel », utilisez l'attribut « téléphone professionnel » pour stocker le numéro de téléphone de l'utilisateur, même si le numéro de téléphone de l'utilisateur est un téléphone fixe ou un téléphone mobile.

  • Les attributs sont toujours synchronisés si l'utilisateur est désactivé dans IAM Identity Center, mais toujours actif dans Google Workspace.

  • Si un utilisateur existe déjà dans le répertoire Identity Center avec le même nom d'utilisateur et le même e-mail, il sera remplacé et synchronisé à l'aide de SCIM Google Workspace.

  • Des considérations supplémentaires doivent être prises en compte lors de la modification de votre source d'identité. Pour de plus amples informations, veuillez consulter Passage d'IAM Identity Center à un IdP externe.

Étape 1 : Google Workspace: Configuration de l'SAMLapplication

  1. Connectez-vous à votre Google Console d'administration utilisant un compte doté de privilèges de super administrateur.

  2. Dans le panneau de navigation de gauche de votre Google Console d'administration, choisissez Apps, puis choisissez Web and Mobile Apps.

  3. Dans la liste déroulante Ajouter une application, sélectionnez Rechercher des applications.

  4. Dans le champ de recherche, saisissez Amazon Web Services, puis sélectionnez l'application Amazon Web Services (SAML) dans la liste.

  5. Dans la page Google Informations sur le fournisseur d'identité : page Amazon Web Services, vous pouvez effectuer l'une des opérations suivantes :

    1. Téléchargez les métadonnées de l'IdP.

    2. Copiez les SSO URL informations relatives à l'ID URL de l'entité et au certificat.

    Vous aurez besoin du XML fichier ou URL des informations à l'étape 2.

  6. Avant de passer à l'étape suivante du Google Console d'administration, laissez cette page ouverte et passez à la console IAM Identity Center.

Étape 2 : IAM Identity Center et Google Workspace: Modifier la source IAM d'identité et la configuration de l'Identity Center Google Workspace en tant que fournisseur SAML d'identité

  1. Connectez-vous à la console IAM Identity Center à l'aide d'un rôle doté d'autorisations administratives.

  2. Choisissez Paramètres dans le volet de navigation de gauche.

  3. Sur la page Paramètres, choisissez Actions, puis Modifier la source d'identité.

    • Si vous n'avez pas activé IAM Identity Center, consultez Activant AWS IAM Identity Center pour plus d'informations. Après avoir activé et accédé à IAM Identity Center pour la première fois, vous arriverez au tableau de bord où vous pourrez sélectionner Choisissez votre source d'identité.

  4. Sur la page Choisir une source d'identité, sélectionnez Fournisseur d'identité externe, puis cliquez sur Suivant.

  5. La page Configurer le fournisseur d'identité externe s'ouvre. Pour compléter cette page et le Google Workspace à l'étape 1, vous devrez effectuer les opérations suivantes :

    1. Dans la section des métadonnées du fournisseur IAM d'identité de la console Identity Center, vous devez effectuer l'une des opérations suivantes :

      1. Téléchargez le Google SAMLmétadonnées en tant que métadonnées IdP SAML dans la console IAM Identity Center.

      2. Copiez et collez Google SSOURLdans le champ de connexion URL à l'IdP, Google Émetteur URL dans le champ URL émetteur de l'IdP, puis téléchargez le Google Certificat en tant que certificat IdP.

  6. Après avoir fourni le Google dans la section des métadonnées du fournisseur d'identité de la console IAMIdentity Center, copiez le service client IAM Identity Assertion (ACS) URL et IAMl'émetteur URL d'Identity Center. Vous devrez les fournir URLs dans le Google Console d'administration à l'étape suivante.

  7. Laissez la page ouverte avec la console IAM Identity Center et revenez au Google Console d'administration. Vous devriez vous trouver sur la page de détails d'Amazon Web Services - Service Provider. Sélectionnez Continuer.

  8. Sur la page de détails du fournisseur de services, entrez les valeurs ACSURLet de l'ID d'entité. Vous avez copié ces valeurs à l'étape précédente et elles se trouvent dans la console IAM Identity Center.

    • Collez le IAMIdentity Center Assertion Consumer Service (ACS) URL dans le ACSURLchamp

    • Collez l'émetteur du IAM Identity Center URL dans le champ Entity ID.

  9. Sur la page de détails du fournisseur de services, complétez les champs sous le nom ID comme suit :

    • Pour le format du nom et de l'identifiant, sélectionnez EMAIL

    • Pour le nom et l'identifiant, sélectionnez Informations de base > E-mail principal

  10. Choisissez Continuer.

  11. Sur la page Mappage des attributs, sous Attributs ADDMAPPING, choisissez, puis configurez ces champs sous Google Attribut de répertoire  :

    • Pour l'attribut de l'https://aws.amazon.com/SAML/Attributes/RoleSessionNameapplication, sélectionnez le champ Informations de base, e-mail principal dans le Google Directory attributs.

    • Pour l'attribut de https://aws.amazon.com/SAML/Attributes/Role l'application, sélectionnez n'importe quel Google Directory attributs. A Google L'attribut de répertoire peut être Department.

  12. Choisissez Finish

  13. Retournez à la console IAMIdentity Center et choisissez Next. Sur la page Vérifier et confirmer, passez en revue les informations, puis entrez ACCEPTdans l'espace prévu à cet effet. Choisissez Modifier la source d'identité.

Vous êtes maintenant prêt à activer l'application Amazon Web Services dans Google Workspace afin que vos utilisateurs puissent être approvisionnés dans IAM Identity Center.

Étape 3 : Google Workspace: Activez les applications

  1. Retournez au Google Console d'administration et votre AWS IAM Identity Center application qui se trouvent sous Applications et applications Web et mobiles.

  2. Dans le panneau Accès utilisateur situé à côté de Accès utilisateur, cliquez sur la flèche vers le bas pour étendre l'accès utilisateur afin d'afficher le panneau d'état du service.

  3. Dans le panneau d'état du service, sélectionnez Activé pour tout le monde, puis choisissez SAVE.

Note

Pour aider à maintenir le principe du moindre privilège, nous vous recommandons de modifier le statut du service en « OFFpour tous » une fois que vous aurez terminé ce didacticiel. Le service AWS doit être activé uniquement pour les utilisateurs ayant besoin d'un accès. Vous pouvez utiliser … Google Workspace groupes ou unités organisationnelles pour donner aux utilisateurs l'accès à un sous-ensemble particulier de vos utilisateurs.

Étape 4 : IAM Identity Center : configurer le provisionnement automatique IAM d'Identity Center

  1. Retournez à la console IAM Identity Center.

  2. Sur la page Paramètres, recherchez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de SCIM terminaison et le jeton d'accès.

  3. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes. À l'étape 5 de ce didacticiel, vous allez entrer ces valeurs pour configurer le provisionnement automatique dans Google Workspace.

    1. SCIMpoint de terminaison : par exemple, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Jeton d'accès : choisissez Afficher le jeton pour copier la valeur.

    Avertissement

    C'est le seul moment où vous pouvez obtenir le SCIM point de terminaison et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer.

  4. Choisissez Close (Fermer).

    Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, à l'étape suivante, vous allez configurer le provisionnement automatique dans Google Workspace.

Étape 5 : Google Workspace: Configurer le provisionnement automatique

  1. Retournez au Google Console d'administration et votre AWS IAM Identity Center application qui se trouvent sous Applications et applications Web et mobiles. Dans la section Approvisionnement automatique, choisissez Configurer le provisionnement automatique.

  2. Dans la procédure précédente, vous avez copié la valeur du jeton d'accès dans la console IAM Identity Center. Collez cette valeur dans le champ du jeton d'accès et choisissez Continuer. Dans la procédure précédente, vous avez également copié la valeur du SCIMpoint de terminaison dans la console IAM Identity Center. Collez cette valeur dans le URL champ Endpoint et choisissez Continuer.

  3. Vérifiez que tous les attributs obligatoires du centre IAM d'identité (ceux marqués d'un *) sont mappés à Google Cloud Directory attributs. Si ce n'est pas le cas, cliquez sur la flèche vers le bas et mappez vers l'attribut approprié. Choisissez Continuer.

  4. Dans la section Étendue du provisionnement, vous pouvez choisir un groupe avec votre Google Workspace répertoire permettant d'accéder à l'application Amazon Web Services. Ignorez cette étape et sélectionnez Continuer.

  5. Dans la section Déprovisionnement, vous pouvez choisir comment répondre aux différents événements qui suppriment l'accès à un utilisateur. Pour chaque situation, vous pouvez spécifier le délai avant le début du déprovisionnement afin de :

    • dans les 24 heures

    • après une journée

    • après sept jours

    • après 30 jours

    Dans chaque situation, l'heure à laquelle il faut suspendre l'accès à un compte et le moment où il faut le supprimer est définie.

    Astuce

    Prévoyez toujours plus de temps avant de supprimer le compte d'un utilisateur que pour le suspendre.

  6. Choisissez Finish (Terminer). Vous êtes redirigé vers la page de l'application Amazon Web Services.

  7. Dans la section Provisionnement automatique, activez le commutateur pour le faire passer d'Inactif à Actif.

    Note

    Le curseur d'activation est désactivé si IAM Identity Center n'est pas activé pour les utilisateurs. Choisissez Accès utilisateur et activez l'application pour activer le curseur.

  8. Dans la boîte de dialogue de confirmation, choisissez Activer.

  9. Pour vérifier que les utilisateurs sont correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs. La page Utilisateurs répertorie les utilisateurs de votre Google Workspace répertoire créé parSCIM. Si les utilisateurs ne figurent pas encore dans la liste, il se peut que le provisionnement soit toujours en cours. Le provisionnement peut prendre jusqu'à 24 heures, mais dans la plupart des cas, il ne prend que quelques minutes. Assurez-vous d'actualiser la fenêtre du navigateur toutes les quelques minutes.

    Sélectionnez un utilisateur et consultez ses informations. Les informations doivent correspondre à celles du Google Workspace annuaire.

Félicitations !

Vous avez correctement établi une SAML connexion entre Google Workspace AWS et ont vérifié que le provisionnement automatique fonctionne. Vous pouvez désormais attribuer ces utilisateurs à des comptes et à des applications dans IAMIdentity Center. Pour ce didacticiel, à l'étape suivante, désignons l'un des utilisateurs comme administrateur IAM d'Identity Center en lui accordant des autorisations administratives sur le compte de gestion.

Transmission d'attributs pour le contrôle d'accès - Facultatif

Vous pouvez éventuellement utiliser la Attributs pour le contrôle d’accès fonctionnalité d'IAMIdentity Center pour transmettre un Attribute élément dont l'Nameattribut est défini surhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Cet élément vous permet de transmettre des attributs sous forme de balises de session dans l'SAMLassertion. Pour plus d'informations sur les balises de session, consultez la section Transmission de balises de session AWS STS dans le guide de IAM l'utilisateur.

Pour transmettre des attributs en tant que balises de session, incluez l'élément AttributeValue qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tagCostCenter = blue, utilisez l'attribut suivant.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si vous devez ajouter plusieurs attributs, incluez un Attribute élément distinct pour chaque balise.

Attribuez l'accès à Comptes AWS

Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.

Étape 1 : IAM Identity Center : subvention Google Workspace accès des utilisateurs aux comptes

  1. Retournez à la console IAMIdentity Center. Dans le volet de navigation IAM Identity Center, sous Autorisations multi-comptes, sélectionnez Comptes AWS.

  2. Sur la Comptes AWSpage, la structure organisationnelle affiche la racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez Attribuer des utilisateurs ou des groupes.

  3. Le flux de travail Attribuer des utilisateurs et des groupes s'affiche. Il se compose de trois étapes :

    1. Pour l'étape 1 : Sélectionnez les utilisateurs et les groupes, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez Suivant.

    2. Pour l'étape 2 : Sélectionnez des ensembles d'autorisations, choisissez Créer un ensemble d'autorisations pour ouvrir un nouvel onglet qui vous indique les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.

      1. Pour l'étape 1 : Sélectionnez le type d'ensemble d'autorisations, procédez comme suit :

        • Dans Type d'ensemble d'autorisations, choisissez Ensemble d'autorisations prédéfini.

        • Dans Politique pour un ensemble d'autorisations prédéfini, sélectionnez AdministratorAccess.

        Choisissez Suivant.

      2. Pour l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations, conservez les paramètres par défaut et choisissez Next.

        Les paramètres par défaut créent un ensemble d'autorisations nommé AdministratorAccess avec une durée de session fixée à une heure.

      3. Pour l'étape 3 : révision et création, vérifiez que le type d'ensemble d'autorisations utilise la politique AWS gérée AdministratorAccess. Sélectionnez Create (Créer). Sur la page Ensembles d'autorisations, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.

      4. Dans l'onglet du navigateur Attribuer des utilisateurs et des groupes, vous êtes toujours à l'étape 2 : sélectionnez les ensembles d'autorisations à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.

      5. Dans la zone Ensembles d'autorisations, cliquez sur le bouton Actualiser. L'ensemble AdministratorAccess d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez Next.

    3. Pour l'étape 3 : vérifier et envoyer, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez Soumettre.

      La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.

      Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le AdministratorAccess rôle.

      Note

      SCIMsynchronisation automatique depuis Google Workspace prend uniquement en charge le provisionnement des utilisateurs. Le provisionnement automatique des groupes n'est pas pris en charge pour le moment. Vous ne pouvez pas créer de groupes pour votre Google Workspace utilisateurs utilisant le AWS Management Console. Après avoir configuré les utilisateurs, vous pouvez créer des groupes à l'aide de la commande AWS CLI Identity Store create-group ou. IAM API CreateGroup

Étape 2 : Google Workspace: Confirmer Google Workspace accès des utilisateurs aux AWS ressources

  1. Connectez-vous à Google à l'aide d'un compte utilisateur de test. Pour savoir comment ajouter des utilisateurs à Google Workspace, voir Google Workspace documentation.

  2. Sélectionnez le Google apps icône du lanceur (gaufre).

  3. Faites défiler vers le bas de la liste des applications où vous avez personnalisé Google Workspace les applications sont localisées. L'application Amazon Web Services s'affiche.

  4. Sélectionnez l'application Amazon Web Services. Vous êtes connecté au portail AWS d'accès et vous pouvez voir l' Compte AWS icône. Développez cette icône pour voir la liste des Comptes AWS objets auxquels l'utilisateur peut accéder. Dans ce didacticiel, vous n'avez travaillé qu'avec un seul compte. Par conséquent, l'extension de l'icône ne permet d'afficher qu'un seul compte.

  5. Sélectionnez le compte pour afficher les ensembles d'autorisations disponibles pour l'utilisateur. Dans ce didacticiel, vous avez créé l'ensemble AdministratorAccessd'autorisations.

  6. À côté de l'ensemble d'autorisations se trouvent des liens indiquant le type d'accès disponible pour cet ensemble d'autorisations. Lorsque vous avez créé l'ensemble d'autorisations, vous avez indiqué que la console de gestion et l'accès par programmation devaient être activés. Ces deux options sont donc présentes. Sélectionnez Console de gestion pour ouvrir le AWS Management Console.

  7. L'utilisateur est connecté à la console.

Étapes suivantes

Maintenant que vous avez configuré Google Workspace en tant que fournisseur d'identité et utilisateurs provisionnés dans IAM Identity Center, vous pouvez :

  • Utilisez la commande AWS CLI Identity Store create-group ou IAM API CreateGrouppour créer des groupes pour vos utilisateurs.

    Les groupes sont utiles lors de l'attribution de l'accès aux applications Comptes AWS et de leur attribution. Plutôt que d'attribuer des autorisations à chaque utilisateur individuellement, vous accordez des autorisations à un groupe. Plus tard, lorsque vous ajoutez ou supprimez des utilisateurs d'un groupe, l'utilisateur obtient ou perd l'accès dynamique aux comptes et aux applications que vous avez affectés au groupe.

  • Configurez les autorisations en fonction des fonctions du travail, voir Création d'un ensemble d'autorisations.

    Les ensembles d'autorisations définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Les ensembles d'autorisations sont stockés dans IAM Identity Center et peuvent être fournis à une ou plusieurs Comptes AWS personnes. Vous pouvez attribuer plus d'un jeu d'autorisations à un utilisateur.

Note

En tant qu'administrateur IAM d'Identity Center, vous devrez parfois remplacer les anciens certificats IdP par des certificats plus récents. Par exemple, il se peut que vous deviez remplacer un certificat IdP lorsque la date d'expiration du certificat approche. Le processus de remplacement d'un ancien certificat par un nouveau est appelé rotation des certificats. Assurez-vous de vérifier comment gérer les SAML certificats pour Google Workspace.

Résolution des problèmes

Pour des questions générales SCIM et pour le SAML dépannage avec Google Workspace, consultez les sections suivantes :

Les ressources suivantes peuvent vous aider à résoudre les problèmes au fur et à mesure que vous travaillez avec AWS :

  • AWS re:Post- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.

  • AWS Support- Bénéficiez d'un support technique