Konfigurasikan SAML dan SCIM dengan Google Workspace dan Pusat IAM Identitas - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan SAML dan SCIM dengan Google Workspace dan Pusat IAM Identitas

Jika organisasi Anda menggunakan Google Workspace Anda dapat mengintegrasikan pengguna Anda dari Google Workspace ke Pusat IAM Identitas untuk memberi mereka akses ke AWS sumber daya. Anda dapat mencapai integrasi ini dengan mengubah sumber IAM identitas Pusat Identitas Anda dari sumber IAM identitas Pusat Identitas default ke Google Workspace.

Informasi pengguna dari Google Workspace disinkronkan ke Pusat IAM Identitas menggunakan protokol System for Cross-domain Identity Management (SCIM) 2.0. Anda mengonfigurasi koneksi ini di Google Workspace menggunakan SCIM titik akhir Anda untuk IAM Identity Center dan token pembawa Pusat IAM Identitas. Saat mengonfigurasi SCIM sinkronisasi, Anda membuat pemetaan atribut pengguna di Google Workspace ke atribut bernama di Pusat IAM Identitas. Pemetaan ini cocok dengan atribut pengguna yang diharapkan antara Pusat IAM Identitas dan Google Workspace. Untuk melakukan ini, Anda perlu mengatur Google Workspace sebagai penyedia IAM identitas dan penyedia IAM identitas Pusat Identitas.

Tujuan

Langkah-langkah dalam tutorial ini membantu memandu Anda melalui membangun SAML hubungan antara Google Workspace dan AWS. Nanti, Anda akan menyinkronkan pengguna dari Google Workspace menggunakanSCIM. Untuk memverifikasi semuanya dikonfigurasi dengan benar, setelah menyelesaikan langkah-langkah konfigurasi Anda akan masuk sebagai Google Workspace pengguna dan verifikasi akses ke AWS sumber daya. Perhatikan bahwa tutorial ini didasarkan pada Google Workspace lingkungan uji direktori. Struktur direktori seperti grup dan unit organisasi tidak disertakan dalam tutorial ini. Setelah menyelesaikan tutorial ini, pengguna Anda akan dapat mengakses portal AWS akses dengan Anda Google Workspace kredensi.

catatan

Untuk mendaftar untuk uji coba gratis Google Workspace mengunjungi Google Workspacepada Google's situs web.

Jika Anda belum mengaktifkan Pusat IAM Identitas, lihatMengaktifkan AWS IAM Identity Center.

  • Sebelum Anda mengonfigurasi SCIM penyediaan antara Google Workspace dan Pusat IAM Identitas, kami sarankan Anda meninjau terlebih dahuluPertimbangan untuk menggunakan penyediaan otomatis.

  • SCIMsinkronisasi otomatis dari Google Workspace saat ini terbatas pada penyediaan pengguna. Penyediaan grup otomatis tidak didukung saat ini. Grup dapat dibuat secara manual dengan perintah AWS CLI Identity Store create-group atau AWS Identity and Access Management (). IAM API CreateGroup Atau, Anda dapat menggunakan ssosync untuk menyinkronkan Google Workspace pengguna dan grup ke dalam Pusat IAM Identitas.

  • Setiap Google Workspace pengguna harus memiliki nilai Nama depan, Nama belakang, Nama pengguna dan nama Tampilan yang ditentukan.

  • Masing-masing Google Workspace pengguna hanya memiliki satu nilai per atribut data, seperti alamat email atau nomor telepon. Setiap pengguna yang memiliki banyak nilai akan gagal untuk menyinkronkan. Jika ada pengguna yang memiliki beberapa nilai dalam atributnya, hapus atribut duplikat sebelum mencoba menyediakan pengguna di Pusat IAM Identitas. Misalnya, hanya satu atribut nomor telepon yang dapat disinkronkan, karena atribut nomor telepon default adalah “telepon kerja”, gunakan atribut “telepon kerja” untuk menyimpan nomor telepon pengguna, bahkan jika nomor telepon untuk pengguna adalah telepon rumah atau ponsel.

  • Atribut masih disinkronkan jika pengguna dinonaktifkan di Pusat IAM Identitas, tetapi masih aktif di Google Workspace.

  • Jika ada pengguna yang ada di direktori Identity Center dengan nama pengguna dan email yang sama, pengguna akan ditimpa dan disinkronkan menggunakan from SCIM Google Workspace.

  • Ada pertimbangan tambahan saat mengubah sumber identitas Anda. Untuk informasi selengkapnya, lihat Mengubah dari IAM Identity Center ke iDP eksternal.

  1. Masuk ke Anda Google Konsol admin menggunakan akun dengan hak administrator super.

  2. Di panel navigasi kiri Anda Google Konsol admin, pilih Aplikasi lalu pilih Aplikasi Web dan Seluler.

  3. Dalam daftar tarik-turun Tambah aplikasi, pilih Cari aplikasi.

  4. Di kotak pencarian, masukkan Amazon Web Services, lalu pilih aplikasi Amazon Web Services (SAML) dari daftar.

  5. Pada Google Detail Penyedia Identitas - Halaman Amazon Web Services, Anda dapat melakukan salah satu hal berikut:

    1. Unduh metadata iDP.

    2. Salin informasi SSOURL, ID EntitasURL, dan Sertifikat.

    Anda akan memerlukan XML file atau URL informasi di Langkah 2.

  6. Sebelum pindah ke langkah berikutnya di Google Konsol admin, biarkan halaman ini terbuka dan pindah ke konsol Pusat IAM Identitas.

  1. Masuk ke konsol Pusat IAM Identitas menggunakan peran dengan izin administratif.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, pilih Tindakan, lalu pilih Ubah sumber identitas.

    • Jika Anda belum mengaktifkan Pusat IAM Identitas, lihat Mengaktifkan AWS IAM Identity Center untuk informasi selengkapnya. Setelah mengaktifkan dan mengakses Pusat IAM Identitas untuk pertama kalinya, Anda akan tiba di Dasbor tempat Anda dapat memilih Pilih sumber identitas Anda.

  4. Pada halaman Pilih sumber identitas, pilih Penyedia identitas eksternal, lalu pilih Berikutnya.

  5. Halaman Konfigurasi penyedia identitas eksternal terbuka. Untuk melengkapi halaman ini dan Google Workspace halaman di Langkah 1, Anda harus menyelesaikan yang berikut:

    1. Di bawah bagian metadata Penyedia IAM Identitas di konsol Pusat Identitas, Anda perlu melakukan salah satu hal berikut:

      1. Unggah Google SAMLmetadata sebagai SAMLmetadata iDP di konsol Pusat Identitas. IAM

      2. Salin dan tempel Google SSOURLke bidang URLSign-in IDP, Google Penerbit URL ke bidang URL penerbit iDP, dan unggah Google Sertifikat sebagai sertifikat IDP.

  6. Setelah memberikan Google metadata di bagian metadata Penyedia Identitas di konsol Pusat IAM Identitas, salin Identity Assertion Consumer Service () ACS dan penerbit IAM Identity Center. URL IAM URL Anda harus menyediakan ini URLs di Google Konsol admin di langkah berikutnya.

  7. Biarkan halaman terbuka dengan konsol Pusat IAM Identitas dan kembali ke Google Konsol admin. Anda harus berada di halaman detail Amazon Web Services - Penyedia Layanan. Pilih Lanjutkan.

  8. Pada halaman detail penyedia layanan, masukkan nilai ACSURLdan Entity ID. Anda menyalin nilai-nilai ini di langkah sebelumnya dan mereka dapat ditemukan di konsol Pusat IAM Identitas.

    • Tempelkan IAMIdentity Center Assertion Consumer Service (ACS) URL ke dalam bidang ACSURL

    • Tempelkan penerbit Pusat IAM Identitas URL ke bidang ID Entitas.

  9. Pada halaman detail penyedia layanan, lengkapi kolom di bawah ID Nama sebagai berikut:

    • Untuk format ID Nama, pilih EMAIL

    • Untuk ID Nama, pilih Informasi Dasar > Email utama

  10. Pilih Lanjutkan.

  11. Pada halaman Pemetaan Atribut, di bawah Atribut, pilih ADDMAPPING, lalu konfigurasikan bidang ini di bawah Google Atribut direktori:

    • Untuk atribut https://aws.amazon.com/SAML/Attributes/RoleSessionName app, pilih bidang Informasi Dasar, Email Utama dari Google Directory atribut.

    • Untuk atribut https://aws.amazon.com/SAML/Attributes/Role app, pilih salah satu Google Directory atribut. A Google Atribut direktori bisa menjadi Departemen.

  12. Pilih Selesai

  13. Kembali ke konsol Pusat IAM Identitas dan pilih Berikutnya. Pada halaman Tinjau dan Konfirmasi, tinjau informasi dan kemudian masukkan ACCEPTke ruang yang disediakan. Pilih Ubah sumber identitas.

Anda sekarang siap untuk mengaktifkan aplikasi Amazon Web Services di Google Workspace sehingga pengguna Anda dapat disediakan ke Pusat IAM Identitas.

  1. Kembali ke Google Konsol Admin dan AWS IAM Identity Center aplikasi Anda yang dapat ditemukan di bawah Aplikasi dan Web dan Aplikasi Seluler.

  2. Di panel akses Pengguna di sebelah Akses pengguna, pilih panah bawah untuk memperluas akses Pengguna untuk menampilkan panel status Layanan.

  3. Di panel status Layanan, pilih ON untuk semua orang, lalu pilih SAVE.

catatan

Untuk membantu mempertahankan prinsip hak istimewa yang paling rendah, kami sarankan setelah Anda menyelesaikan tutorial ini, Anda mengubah status Layanan menjadi OFFuntuk semua orang. Hanya pengguna yang membutuhkan akses yang AWS harus mengaktifkan layanan. Anda dapat menggunakan Google Workspace grup atau unit organisasi untuk memberikan akses pengguna ke subset tertentu dari pengguna Anda.

  1. Kembali ke konsol Pusat IAM Identitas.

  2. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di Pusat IAM Identitas dan menampilkan SCIM titik akhir yang diperlukan dan informasi token akses.

  3. Dalam kotak dialog Penyediaan otomatis masuk, salin setiap nilai untuk opsi berikut. Pada Langkah 5 tutorial ini, Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di Google Workspace.

    1. SCIMtitik akhir - Misalnya, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token akses - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh SCIM titik akhir dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju.

  4. Pilih Tutup.

    Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat IAM Identitas, pada langkah berikutnya Anda akan mengonfigurasi penyediaan otomatis di Google Workspace.

  1. Kembali ke Google Konsol admin dan AWS IAM Identity Center aplikasi Anda yang dapat ditemukan di bawah Aplikasi dan Aplikasi Web dan Seluler. Di bagian Auto provisioning, pilih Configure auto provisioning.

  2. Pada prosedur sebelumnya, Anda menyalin nilai token Access di konsol Pusat IAM Identitas. Tempelkan nilai itu ke bidang Access token dan pilih Continue. Juga, dalam prosedur sebelumnya, Anda menyalin nilai SCIMtitik akhir di konsol Pusat IAM Identitas. Tempelkan nilai itu ke URL bidang Endpoint dan pilih Lanjutkan.

  3. Verifikasi bahwa semua atribut Pusat IAM Identitas wajib (yang ditandai dengan*) dipetakan ke Google Cloud Directory atribut. Jika tidak, pilih panah bawah dan petakan ke atribut yang sesuai. Pilih Lanjutkan.

  4. Di bagian cakupan penyediaan, Anda dapat memilih grup dengan Google Workspace direktori untuk menyediakan akses ke aplikasi Amazon Web Services. Lewati langkah ini dan pilih Lanjutkan.

  5. Di bagian Deprovisioning, Anda dapat memilih cara merespons berbagai peristiwa yang menghapus akses dari pengguna. Untuk setiap situasi Anda dapat menentukan jumlah waktu sebelum deprovisioning mulai:

    • dalam waktu 24 jam

    • setelah satu hari

    • setelah tujuh hari

    • setelah 30 hari

    Setiap situasi memiliki pengaturan waktu kapan harus menangguhkan akses akun dan kapan harus menghapus akun.

    Tip

    Selalu atur lebih banyak waktu sebelum menghapus akun pengguna daripada menangguhkan akun pengguna.

  6. Pilih Selesai. Anda dikembalikan ke halaman aplikasi Amazon Web Services.

  7. Di bagian Penyediaan otomatis, aktifkan sakelar sakelar untuk mengubahnya dari Tidak Aktif menjadi Aktif.

    catatan

    Penggeser aktivasi dinonaktifkan jika Pusat IAM Identitas tidak diaktifkan untuk pengguna. Pilih Akses pengguna dan nyalakan aplikasi untuk mengaktifkan slider.

  8. Di kotak dialog konfirmasi, pilih Aktifkan.

  9. Untuk memverifikasi bahwa pengguna berhasil disinkronkan ke Pusat IAM Identitas, kembali ke konsol Pusat IAM Identitas dan pilih Pengguna. Halaman Pengguna mencantumkan pengguna dari Google Workspace direktori yang dibuat oleh SCIM Jika pengguna belum terdaftar, mungkin penyediaan masih dalam proses. Penyediaan dapat memakan waktu hingga 24 jam, meskipun dalam banyak kasus selesai dalam beberapa menit. Pastikan untuk menyegarkan jendela browser setiap beberapa menit.

    Pilih pengguna dan lihat detailnya. Informasi harus sesuai dengan informasi di Google Workspace direktori.

Selamat!

Anda telah berhasil mengatur SAML koneksi antara Google Workspace dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi. Anda sekarang dapat menetapkan pengguna ini ke akun dan aplikasi di Pusat IAM Identitas. Untuk tutorial ini, pada langkah berikutnya mari kita tentukan salah satu pengguna sebagai administrator Pusat IAM Identitas dengan memberi mereka izin administratif ke akun manajemen.

  1. Kembali ke konsol Pusat IAM Identitas. Di panel navigasi Pusat IAM Identitas, di bawah izin Multi-akun, pilih. Akun AWS

  2. Pada Akun AWShalaman, struktur Organisasi menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih Tetapkan pengguna atau grup.

  3. Tampilan alur kerja Tetapkan pengguna dan grup. Ini terdiri dari tiga langkah:

    1. Untuk Langkah 1: Pilih pengguna dan grup pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih Berikutnya.

    2. Untuk Langkah 2: Pilih set izin pilih Buat set izin untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.

      1. Untuk Langkah 1: Pilih jenis set izin lengkapi yang berikut ini:

        • Dalam Jenis set izin, pilih Set izin yang telah ditentukan sebelumnya.

        • Dalam Kebijakan untuk set izin yang telah ditentukan, pilih AdministratorAccess.

        Pilih Berikutnya.

      2. Untuk Langkah 2: Tentukan detail set izin, pertahankan pengaturan default, dan pilih Berikutnya.

        Pengaturan default membuat set izin bernama AdministratorAccess dengan durasi sesi diatur ke satu jam.

      3. Untuk Langkah 3: Tinjau dan buat, verifikasi bahwa jenis set Izin menggunakan kebijakan AWS terkelola AdministratorAccess. Pilih Buat. Pada halaman Set izin, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.

      4. Pada tab Tetapkan pengguna dan grup browser, Anda masih pada Langkah 2: Pilih set izin dari mana Anda memulai alur kerja set izin buat.

      5. Di area set Izin, pilih tombol Refresh. Bagian AdministratorAccess set izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih Berikutnya.

    3. Untuk Langkah 3: Tinjau dan kirimkan ulasan pengguna dan set izin yang dipilih, lalu pilih Kirim.

      Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.

      Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Ketika pengguna masuk, mereka akan memiliki opsi untuk memilih AdministratorAccess peran.

      catatan

      SCIMsinkronisasi otomatis dari Google Workspace hanya mendukung pengguna penyediaan. Penyediaan grup otomatis tidak didukung saat ini. Anda tidak dapat membuat grup untuk Google Workspace pengguna yang menggunakan AWS Management Console. Setelah menyediakan pengguna, Anda dapat membuat grup menggunakan perintah create-group AWS CLI Identity Store atau. IAM API CreateGroup

  1. Masuk ke Google menggunakan akun pengguna uji. Untuk mempelajari cara menambahkan pengguna ke Google Workspace, lihat Google Workspace dokumentasi.

  2. Pilih Google apps ikon peluncur (wafel).

  3. Gulir ke bagian bawah daftar aplikasi tempat kustom Anda Google Workspace aplikasi berada. Aplikasi Amazon Web Services ditampilkan.

  4. Pilih aplikasi Amazon Web Services. Anda masuk ke portal AWS akses dan dapat melihat Akun AWS ikonnya. Perluas ikon itu untuk melihat daftar Akun AWS yang dapat diakses pengguna. Dalam tutorial ini Anda hanya bekerja dengan satu akun, jadi memperluas ikon hanya menampilkan satu akun.

  5. Pilih akun untuk menampilkan set izin yang tersedia bagi pengguna. Dalam tutorial ini Anda membuat set AdministratorAccessizin.

  6. Di samping set izin adalah tautan untuk jenis akses yang tersedia untuk set izin tersebut. Saat Anda membuat set izin, Anda menetapkan konsol manajemen dan akses terprogram diaktifkan, sehingga dua opsi tersebut ada. Pilih Konsol manajemen untuk membuka AWS Management Console.

  7. Pengguna masuk ke konsol.

Anda dapat secara opsional menggunakan Atribut untuk kontrol akses fitur di Pusat IAM Identitas untuk meneruskan Attribute elemen dengan Name atribut yang disetel kehttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tag sesi dalam SAML pernyataan. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan IAM Pengguna.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.

Sekarang Anda telah mengkonfigurasi Google Workspace sebagai penyedia identitas dan pengguna yang disediakan di Pusat IAM Identitas, Anda dapat:

  • Gunakan perintah AWS CLI Identity Store create-group atau IAM API CreateGroupuntuk membuat grup untuk pengguna Anda.

    Grup berguna saat menetapkan akses ke Akun AWS dan aplikasi. Daripada menetapkan setiap pengguna satu per satu, Anda memberikan izin ke grup. Kemudian, saat Anda menambah atau menghapus pengguna dari grup, pengguna secara dinamis mendapatkan atau kehilangan akses ke akun dan aplikasi yang Anda tetapkan ke grup.

  • Mengkonfigurasi izin berdasarkan fungsi pekerjaan, lihat Membuat set izin.

    Set izin menentukan tingkat akses yang dimiliki pengguna dan grup ke file Akun AWS. Set izin disimpan di Pusat IAM Identitas dan dapat disediakan untuk satu atau lebih. Akun AWS Anda dapat menetapkan lebih dari satu izin yang disetel ke pengguna.

catatan

Sebagai administrator Pusat IAM Identitas, Anda kadang-kadang perlu mengganti sertifikat iDP yang lebih lama dengan yang lebih baru. Misalnya, Anda mungkin perlu mengganti sertifikat IDP saat tanggal kedaluwarsa sertifikat mendekati. Proses penggantian sertifikat yang lebih lama dengan yang lebih baru disebut sebagai rotasi sertifikat. Pastikan untuk meninjau cara mengelola SAML sertifikat untuk Google Workspace.

Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS

  • AWS re:Post- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.

  • AWS Support- Dapatkan dukungan teknis