Configurar SAML e SCIM com Google Workspace e Centro IAM de Identidade - AWS IAM Identity Center
ConsideraçõesEtapa 1: Google Workspace: Configurar o SAML aplicativoEtapa 2: IAM Identity Center e Google Workspace: Alterar a origem e a configuração da IAM identidade do Identity Center Google Workspace como provedor SAML de identidadeEtapa 3: Google Workspace: Ativar os aplicativosEtapa 4: IAM Identity Center: configurar o provisionamento automático do IAM Identity CenterEtapa 5: Google Workspace: Configurar o provisionamento automáticoPassagem de atributos para controle de acesso: opcionalAtribuir acesso a Contas da AWSPróximas etapasSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar SAML e SCIM com Google Workspace e Centro IAM de Identidade

Se sua organização estiver usando Google Workspace você pode integrar seus usuários a partir de Google Workspace no IAM Identity Center para lhes dar acesso aos AWS recursos. Você pode obter essa integração alterando sua fonte de IAM identidade do Identity Center da fonte de IAM identidade padrão do Identity Center para Google Workspace.

Informações do usuário de Google Workspace é sincronizado no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) 2.0. Para obter mais informações, consulte Uso de federação de identidades SAML e SCIM com provedores de identidade externos.

Você configura essa conexão no Google Workspace usando seu SCIM endpoint para o IAM Identity Center e um token portador do IAM Identity Center. Ao configurar a SCIM sincronização, você cria um mapeamento dos atributos do usuário no Google Workspace aos atributos nomeados no IAM Identity Center. Esse mapeamento corresponde aos atributos de usuário esperados entre o IAM Identity Center e Google Workspace. Para fazer isso, você precisa configurar Google Workspace como provedor de IAM identidade e provedor de IAM identidade do Identity Center.

Objetivo

As etapas deste tutorial ajudam você a estabelecer a SAML conexão entre Google Workspace AWS e. Posteriormente, você sincronizará os usuários de Google Workspace usando o SCIM. Para verificar se tudo está configurado corretamente, depois de concluir as etapas de configuração, você fará login como Google Workspace use e verifique o acesso aos AWS recursos. Observe que este tutorial é baseado em um pequeno Google Workspace ambiente de teste de diretório. Estruturas de diretórios, como grupos e unidades organizacionais, não estão incluídas neste tutorial. Depois de concluir este tutorial, seus usuários poderão acessar o portal de AWS acesso com seu Google Workspace credenciais.

nota

Para se inscrever para um teste gratuito do Google Workspace visita Google Workspaceem Google's site.

Se você ainda não ativou o IAM Identity Center, consulteHabilitando AWS IAM Identity Center.

Considerações

  • Antes de configurar o SCIM provisionamento entre Google Workspace e IAM Identity Center, recomendamos que você analise primeiroConsiderações sobre o uso do provisionamento automático.

  • SCIMsincronização automática de Google Workspace atualmente está limitado ao aprovisionamento de usuários. O aprovisionamento automático de grupos não é possível no momento. Os grupos podem ser criados manualmente com o comando create-group do AWS CLI Identity Store ou AWS Identity and Access Management (). IAM API CreateGroup Como alternativa, você pode usar o ssosync para sincronizar Google Workspace usuários e grupos no IAM Identity Center.

  • Cada Google Workspace o usuário deve ter um valor especificado para nome, sobrenome, nome de usuário e nome de exibição.

  • Cada Google Workspace o usuário tem apenas um único valor por atributo de dados, como endereço de e-mail ou número de telefone. Haverá falha na sincronização de usuários com vários valores. Se houver usuários com vários valores em seus atributos, remova os atributos duplicados antes de tentar provisionar o usuário no IAM Identity Center. Por exemplo, somente um único atributo de número de telefone pode ser sincronizado, já que o atributo de número de telefone padrão é "telefone comercial", use o atributo "telefone comercial" para armazenar o número de telefone do usuário, mesmo que o telefone do usuário seja residencial ou celular.

  • Os atributos ainda serão sincronizados se o usuário estiver desativado no IAM Identity Center, mas ainda estiver ativo no Google Workspace.

  • Se houver um usuário existente no diretório do Identity Center com o mesmo nome de usuário e e-mail, o usuário será sobrescrito e sincronizado usando de SCIM Google Workspace.

  • Há considerações adicionais ao alterar a fonte de identidades. Para obter mais informações, consulte Mudar do IAM Identity Center para um IdP externo.

Etapa 1: Google Workspace: Configurar o SAML aplicativo

  1. Faça login no seu Google Console de administração usando uma conta com privilégios de superadministrador.

  2. No painel de navegação esquerdo do seu Google Admin Console, escolha Aplicativos e, em seguida, escolha Aplicativos Web e Móveis.

  3. Na lista suspensa Adicionar aplicação, selecione Pesquisar aplicações.

  4. Na caixa de pesquisa, insira Amazon Web Services e selecione o aplicativo Amazon Web Services (SAML) na lista.

  5. Sobre o Google Detalhes do provedor de identidade - na página da Amazon Web Services, você pode fazer o seguinte:

    1. Baixe os metadados do IdP.

    2. Copie as SSO URL informaçõesURL, ID da entidade e certificado.

    Você precisará do XML arquivo ou das URL informações na Etapa 2.

  6. Antes de passar para a próxima etapa do Google Admin Console, deixe essa página aberta e vá para o console do IAM Identity Center.

Etapa 2: IAM Identity Center e Google Workspace: Alterar a origem e a configuração da IAM identidade do Identity Center Google Workspace como provedor SAML de identidade

  1. Faça login no console do IAM Identity Center usando uma função com permissões administrativas.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, escolha Ações e depois Alterar fonte de identidades.

    • Se você não ativou o IAM Identity Center, consulte Habilitando AWS IAM Identity Center para obter mais informações. Depois de ativar e acessar o IAM Identity Center pela primeira vez, você chegará ao Painel, onde poderá selecionar Escolha sua fonte de identidade.

  4. Em Escolher fonte de identidades, selecione Provedor de identidades externo e escolha Avançar.

  5. A página Configurar provedor de identidades externo é aberta. Para completar esta página e o Google Workspace página na Etapa 1, você precisará concluir o seguinte:

    1. Na seção Metadados do provedor de IAMidentidade no console do Identity Center, você precisará fazer o seguinte:

      1. Faça o upload do Google SAMLmetadados como metadados do SAMLIdP no console IAM do Identity Center.

      2. Copie e cole o Google SSOURLno campo de login URL do IdP, Google Emissor URL no campo emissor do IdP e URL faça o upload do Google Certificado como certificado IdP.

  6. Depois de fornecer o Google na seção de metadados do Identity Provider do console do IAMIdentity Center, copie o Identity Assertion Consumer Service (ACS) URL e o IAM emissor do IAMIdentity Center. URL Você precisará fornecê-los URLs no Google Admin Console na próxima etapa.

  7. Deixe a página aberta com o console do IAM Identity Center e retorne ao Google Console de administração. Você deve estar na página Amazon Web Services: detalhes do provedor de serviços. Selecione Continuar.

  8. Na página de detalhes do provedor de serviços, insira os valores ACSURLe ID da entidade. Você copiou esses valores na etapa anterior e eles podem ser encontrados no console do IAM Identity Center.

    • Cole o IAMIdentity Center Assertion Consumer Service (ACS) URL no campo ACSURL

    • Cole o emissor do IAM Identity Center URL no campo ID da entidade.

  9. Na página Detalhes do provedor de serviços, preencha os campos em ID do nome como se segue:

    • Para o formato de ID do nome, selecione EMAIL

    • Em ID do nome, selecione Informações básicas > E-mail principal

  10. Escolha Continuar.

  11. Na página Mapeamento de atributos, em Atributos ADDMAPPING, escolha e configure esses campos em Google Atributo do diretório:

    • Para o atributo do https://aws.amazon.com/SAML/Attributes/RoleSessionName aplicativo, selecione o campo Informações básicas, E-mail principal na Google Directory atributos.

    • Para o atributo do https://aws.amazon.com/SAML/Attributes/Role aplicativo, selecione qualquer Google Directory atributos. A Google O atributo do diretório pode ser Departamento.

  12. Escolha Concluir

  13. Retorne ao console do IAM Identity Center e escolha Avançar. Na página Revisar e confirmar, revise as informações e entre ACCEPTno espaço fornecido. Escolha Alterar origem de identidade.

Agora você está pronto para habilitar o aplicativo Amazon Web Services em Google Workspace para que seus usuários possam ser provisionados no IAM Identity Center.

Etapa 3: Google Workspace: Ativar os aplicativos

  1. Retorne ao Google Admin Console e seu AWS IAM Identity Center aplicativo, que podem ser encontrados em Aplicativos e Aplicativos Web e Móveis.

  2. No painel Acesso de usuários, ao lado de Acesso dos usuários, escolha a seta para baixo para expandir Acesso dos usuários para exibir o painel Status do serviço.

  3. No painel Status do serviço, escolha ATIVADO para todos e, em seguida, escolha SAVE.

nota

Para ajudar a manter o princípio do privilégio mínimo, recomendamos que, depois de concluir este tutorial, você altere o status do serviço OFF para para todos. O serviço deve ser habilitado apenas para os usuários que precisam acessar o AWS . Você pode usar: Google Workspace grupos ou unidades organizacionais para dar ao usuário acesso a um subconjunto específico de seus usuários.

Etapa 4: IAM Identity Center: configurar o provisionamento automático do IAM Identity Center

  1. Retorne ao console do IAM Identity Center.

  2. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso ativa imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do SCIM endpoint e do token de acesso.

  3. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Na Etapa 5 deste tutorial, você inserirá esses valores para configurar o provisionamento automático no Google Workspace.

    1. SCIMendpoint - Por exemplo, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Essa é a única vez em que você pode obter o SCIM endpoint e o token de acesso. Certifique-se de copiar esses valores antes de prosseguir.

  4. Escolha Fechar.

    Agora que você configurou o provisionamento no console do IAM Identity Center, na próxima etapa, você configurará o provisionamento automático no Google Workspace.

Etapa 5: Google Workspace: Configurar o provisionamento automático

  1. Retorne ao Google Console de administração e seu AWS IAM Identity Center aplicativo, que podem ser encontrados em Aplicativos e aplicativos Web e móveis. Na seção Provisionamento automático, escolha Configurar provisionamento automático.

  2. No procedimento anterior, você copiou o valor do token de acesso no console do IAM Identity Center. Cole esse valor no campo Token de acesso e escolha Continuar. Além disso, no procedimento anterior, você copiou o valor do SCIMendpoint no console do IAM Identity Center. Cole esse valor no URL campo Endpoint e escolha Continuar.

  3. Verifique se todos os atributos obrigatórios do IAM Identity Center (aqueles marcados com *) estão mapeados para Google Cloud Directory atributos. Caso contrário, escolha a seta para baixo e mapeie para o atributo apropriado. Escolha Continuar.

  4. Na seção Escopo de aprovisionamento, você pode escolher um grupo com seu Google Workspace diretório para fornecer acesso ao aplicativo Amazon Web Services. Pule esta etapa e selecione Continuar.

  5. Na seção Desprovisionamento, você pode escolher como responder aos diferentes eventos que removem o acesso de um usuário. Para cada situação, você pode especificar a quantidade de tempo antes do início do desprovisionamento como:

    • 24 horas

    • 1 dia

    • 7 dias

    • após 30 dias

    Cada situação tem uma configuração de tempo para quando suspender o acesso de uma conta e para quando excluir a conta.

    dica

    Sempre defina mais tempo para excluir uma conta de usuário do que para suspender uma conta de usuário.

  6. Escolha Terminar. Você será levado de volta à página da aplicação Amazon Web Services.

  7. Na seção Provisionamento automático, ative a chave seletora para alterá-la de Inativa para Ativa.

    nota

    O controle deslizante de ativação será desativado se o IAM Identity Center não estiver ativado para os usuários. Escolha Acesso do usuário e ative o aplicativo para ativar o controle deslizante.

  8. Na caixa de diálogo de confirmação, escolha Ligar.

  9. Para verificar se os usuários foram sincronizados com êxito com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. A página Usuários lista os usuários do seu Google Workspace diretório que foi criado porSCIM. Se os usuários ainda não estiverem listados, pode ser que o provisionamento ainda esteja em andamento. O provisionamento pode levar até 24 horas, embora, na maioria dos casos, seja concluído em minutos. Certifique-se de atualizar a janela do navegador a cada poucos minutos.

    Selecione um usuário e visualize seus detalhes. As informações devem corresponder às informações no Google Workspace diretório.

Parabéns!

Você configurou com sucesso uma SAML conexão entre Google Workspace AWS e verificaram se o provisionamento automático está funcionando. Agora você pode atribuir esses usuários a contas e aplicativos no IAMIdentity Center. Para este tutorial, na próxima etapa, vamos designar um dos usuários como administrador do IAM Identity Center, concedendo-lhes permissões administrativas para a conta de gerenciamento.

Passagem de atributos para controle de acesso: opcional

Opcionalmente, você pode usar o Atributos para controle de acesso recurso no IAM Identity Center para passar um Attribute elemento com o Name atributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} definido como. Esse elemento permite que você passe atributos como tags de sessão na SAML declaração. Para obter mais informações sobre tags de sessão, consulte Transmitir tags de sessão AWS STS no Guia IAM do usuário.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.

Atribuir acesso a Contas da AWS

As etapas a seguir são necessárias apenas para conceder acesso Contas da AWS somente a. Essas etapas não são necessárias para conceder acesso aos AWS aplicativos.

Etapa 1: IAM Identity Center: Grant Google Workspace acesso dos usuários às contas

  1. Retorne ao console do IAM Identity Center. No painel de navegação do IAM Identity Center, em Permissões de várias contas, escolha. Contas da AWS

  2. Na página Contas da AWS, a Estrutura organizacional exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione Atribuir usuários ou grupos.

  3. O fluxo de trabalho Atribuir usuários e grupos é exibido. Ele consiste em três etapas:

    1. Em Etapa 1: selecionar usuários e grupos, escolha o usuário que desempenhará a função de administrador. Escolha Próximo.

    2. Em Etapa 2: selecionar conjuntos de permissões, escolha Criar conjunto de permissões para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.

      1. Em Etapa 1: selecionar o tipo de conjunto de permissões, preencha o seguinte:

        • Em Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

        • Em Política para conjunto de permissões predefinido, escolha AdministratorAccess.

        Escolha Próximo.

      2. Em Etapa 2: especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Avançar.

        As configurações padrão criam um conjunto de permissões chamado AdministratorAccess com a duração da sessão definida em uma hora.

      3. Para a Etapa 3: revisar e criar, verifique se o tipo de conjunto de permissões usa a política AWS gerenciada AdministratorAccess. Escolha Criar. Na página Conjuntos de permissões, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.

      4. Na guia Atribuir usuários e grupos do navegador, você ainda está na Etapa 2: selecionar conjuntos de permissões na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.

      5. Na área Conjuntos de permissões, escolha o botão Atualizar. O conjunto de AdministratorAccess permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha Avançar.

    3. Em Etapa 3: revisar e enviar, revise o usuário e o conjunto de permissões selecionados e escolha Enviar.

      A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.

      Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher a AdministratorAccess função.

      nota

      SCIMsincronização automática de Google Workspace só oferece suporte ao provisionamento de usuários. O aprovisionamento automático de grupos não é possível no momento. Você não pode criar grupos para o seu Google Workspace usuários usando AWS Management Console o. Depois de provisionar usuários, você pode criar grupos usando o comando create-group do AWS CLI Identity Store ou. IAM API CreateGroup

Etapa 2: Google Workspace: Confirmar Google Workspace acesso dos usuários aos AWS recursos

  1. Faça login em Google usando uma conta de usuário de teste. Para saber como adicionar usuários ao Google Workspace, veja Google Workspace documentação.

  2. Selecione o Google apps ícone do lançador (waffle).

  3. Role até o final da lista de aplicativos onde você personaliza Google Workspace os aplicativos estão localizados. A aplicação Amazon Web Services é exibida.

  4. Escolha a aplicação Amazon Web Services. Você está conectado ao portal de AWS acesso e pode ver o Conta da AWS ícone. Expanda esse ícone para ver a lista Contas da AWS que o usuário pode acessar. Neste tutorial, você só trabalhou com uma conta, portanto, a expansão do ícone só mostra uma conta.

  5. Selecione a conta para exibir os conjuntos de permissões disponíveis para o usuário. Neste tutorial, você criou o conjunto de AdministratorAccesspermissões.

  6. Ao lado do conjunto de permissões, há links para o tipo de acesso disponível para aquele conjunto de permissões. Ao criar o conjunto de permissões, você especificou que o console de gerenciamento e o acesso programático fossem habilitados, assim sendo, essas duas opções estão presentes. Selecione Console de gerenciamento para abrir o AWS Management Console.

  7. O usuário fez login no console.

Próximas etapas

Agora que você configurou Google Workspace como provedor de identidade e usuários provisionados no IAM Identity Center, você pode:

  • Use o comando create-group do AWS CLI Identity Store ou IAM API CreateGrouppara criar grupos para seus usuários.

    Os grupos são úteis ao atribuir acesso a aplicativos Contas da AWS e aplicativos. Em vez de atribuir cada usuário individualmente, você concede permissões a um grupo. Posteriormente, à medida que você adiciona ou remove usuários de um grupo, o usuário obtém ou perde dinamicamente o acesso às contas e aplicações que você atribuiu ao grupo.

  • Configure as permissões baseadas nas funções do trabalho; consulte Criar um conjunto de permissões.

    Os conjuntos de permissões definem o nível de acesso que os usuários e grupos têm a uma Conta da AWS. Os conjuntos de permissões são armazenados no IAM Identity Center e podem ser provisionados para um ou mais. Contas da AWS Você pode atribuir mais de um conjunto de permissões a um usuário.

nota

Como administrador do IAM Identity Center, você ocasionalmente precisará substituir certificados IdP antigos por outros mais novos. Por exemplo, talvez seja necessário substituir um certificado IdP quando a data de expiração do certificado se aproximar. O processo de substituição de um certificado antigo por um mais recente é conhecido como rodízio de certificados. Certifique-se de revisar como gerenciar os SAML certificados para Google Workspace.

Solução de problemas

Para fins gerais SCIM e de SAML solução de problemas com Google Workspace, consulte as seções a seguir:

Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:

  • AWS re:Post- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.

  • AWS Support: obter suporte técnico