Configurar SAML e SCIM com o Google Workspace e o IAM Identity Center - AWS IAM Identity Center
ConsideraçõesEtapa 1: Google Workspace: configurar a aplicação SAMLEtapa 2: IAM Identity Center e Google Workspace: alterar a fonte de identidades do IAM Identity Center e configurar o Google Workspace como um provedor de identidades SAMLEtapa 3: Google Workspace: habilitar as aplicaçõesEtapa 4: IAM Identity Center: configurar o provisionamento automático do IAM Identity CenterEtapa 5: Google Workspace: configurar o provisionamento automáticoPassagem de atributos para controle de acesso: opcionalAtribuir acesso a Contas da AWSPróximas etapasSolução de problemas

Configurar SAML e SCIM com o Google Workspace e o IAM Identity Center

Se sua organização estiver usando o Google Workspace, você poderá integrar os usuários do Google Workspace no IAM Identity Center para dar a eles acesso aos recursos da AWS. Você pode conseguir essa integração alterando sua fonte de identidades do IAM Identity Center, da fonte de identidades padrão do IAM Identity Center para o Google Workspace.

As informações do usuário do Google Workspace são sincronizadas no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) 2.0. Para ter mais informações, consulte Uso de federação de identidades SAML e SCIM com provedores de identidade externos.

Você configura essa conexão no Google Workspace usando o endpoint SCIM para o IAM Identity Center e um token ao portador do IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no Google Workspace para os atributos nomeados no IAM Identity Center. Esse mapeamento faz a correspondência dos atributos de usuário esperados entre o IAM Identity Center e o Google Workspace. Para fazer isso, você precisa configurar o Google Workspace como um provedor de identidades do IAM e um provedor de identidades do IAM Identity Center.

Objetivo

As etapas deste tutorial guiam você pelo processo de estabelecer a conexão SAML entre o Google Workspace e o AWS. Posteriormente, você sincronizará os usuários do Google Workspace usando o SCIM. Para verificar se tudo está configurado corretamente, depois de concluir as etapas de configuração, você fará login como usuário do Google Workspace e verificará o acesso aos recursos da AWS. Observe que este tutorial é baseado em um ambiente de teste de um pequeno diretório do Google Workspace. Estruturas de diretórios, como grupos e unidades organizacionais, não estão incluídas neste tutorial. Depois de concluir este tutorial, seus usuários poderão acessar o portal de acesso AWS com suas credenciais do Google Workspace.

nota

Para se cadastrar para fazer um teste gratuito do Google Workspace, visite Google Workspace no site da Goggle.

Se você ainda não habilitou o IAM Identity Center, consulte Habilitar o AWS IAM Identity Center.

Considerações

  • Antes de configurar o provisionamento SCIM entre o Google Workspace e o IAM Identity Center, é recomendável que você revise as Considerações sobre o uso do provisionamento automático.

  • Atualmente, a sincronização automática SCIM do Google Workspace está limitada ao provisionamento de usuários. O aprovisionamento automático de grupos não é possível no momento. Os grupos podem ser criados manualmente com o comando da AWS CLI create-group do repositório de identidades ou a API CreateGroup do AWS Identity and Access Management (IAM). Como alternativa, você pode usar ssosync para sincronizar os usuários e grupos do Google Workspace no IAM Identity Center.

  • Todo usuário do Google Workspace deve ter um valor especificado de Nome, Sobrenome, Nome de usuário e Nome de exibição.

  • Todo usuário do Google Workspace tem apenas um valor por atributo de dados, como endereço de e-mail ou número de telefone. Haverá falha na sincronização de usuários com vários valores. Se houver usuários com vários valores em seus atributos, remova os atributos duplicados antes de tentar provisionar o usuário no IAM Identity Center. Por exemplo, somente um único atributo de número de telefone pode ser sincronizado, já que o atributo de número de telefone padrão é "telefone comercial", use o atributo "telefone comercial" para armazenar o número de telefone do usuário, mesmo que o telefone do usuário seja residencial ou celular.

  • Os atributos ainda serão sincronizados se o usuário estiver desativado no IAM Identity Center, mas ainda estiver ativo no Google Workspace.

  • Se já houver algum um usuário no diretório do Identity Center com o mesmo nome de usuário e e-mail, ele será substituído e sincronizado usando o SCIM do Google Workspace.

  • Há considerações adicionais ao alterar a fonte de identidades. Para ter mais informações, consulte Mudar do IAM Identity Center para um IdP externo.

Etapa 1: Google Workspace: configurar a aplicação SAML

  1. Faça login no console do administrador do Google usando uma conta com privilégios de superadministrador.

  2. No painel de navegação esquerdo do console do administrador do Google, expanda Aplicações e escolha Aplicações Web e móveis.

  3. Na lista suspensa Adicionar aplicação, selecione Pesquisar aplicações.

  4. Na caixa de pesquisa, insira Amazon Web Services e selecione a aplicação Amazon Web Services (SAML) na lista.

  5. Na página Detalhes do provedor de identidades do Google - Amazon Web Services, você pode fazer uma das seguintes alternativas:

    1. Baixe os metadados do IdP.

    2. Copie o URL do SSO, o URL do ID da entidade e as informações de certificado.

    Você precisará do arquivo XML ou das informações de URL da etapa 2.

  6. Antes de passar para a próxima etapa no console de administração do Google, deixe essa página aberta e vá para o console do IAM Identity Center.

Etapa 2: IAM Identity Center e Google Workspace: alterar a fonte de identidades do IAM Identity Center e configurar o Google Workspace como um provedor de identidades SAML

  1. Faça login no console do IAM Identity Center usando um perfil com permissões de administrador.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, escolha Ações e depois Alterar fonte de identidades.

    • Se ainda não habilitou o IAM Identity Center, consulte Habilitar o AWS IAM Identity Center para obter mais informações. Depois de habilitar e acessar o IAM Identity Center pela primeira vez, você chegará ao painel onde poderá selecionar Escolher a fonte de identidades.

  4. Em Escolher fonte de identidades, selecione Provedor de identidades externo e escolha Avançar.

  5. A página Configurar provedor de identidades externo é aberta. Para concluir essa página e a página Google Workspace na etapa 1, você precisará fazer o seguinte:

    1. Na seção Metadados do provedor de identidades do console do IAM Identity Center, você precisará fazer uma das seguintes alternativas:

      1. Faça o upload dos metadados SAML do Google como os metadados SAML do IdP no console do IAM Identity Center.

      2. Copie e cole o URL do SSO do Google no campo URL de login do IdP, o URL do emissor do Google no campo URL do emissor do IdP e carregue o certificado do Google como o certificado do IdP.

  6. Depois de fornecer os metadados do Google na seção Metadados do provedor de identidades do console do IAM Identity Center, copie o URL do Assertion Consumer Service (ACS) do IAM Identity Center e o URL do emissor do IAM Identity Center. Será necessário fornecer esses URLs no console do administrador do Google na próxima etapa.

  7. Deixe a página aberta no console do IAM Identity Center e volte para o console do administrador do Google. Você deve estar na página Amazon Web Services: detalhes do provedor de serviços. Selecione Continuar.

  8. Na página Detalhes do provedor de serviços, insira os valores URL do ACS e ID da entidade. Você copiou esses valores na etapa anterior e eles podem ser encontrados no console do IAM Identity Center.

    • Cole o URL do Assertion Consumer Service (ACS) do IAM Identity Center no campo URL do ACS

    • Cole o URL do emissor do IAM Identity Center no campo ID da entidade.

  9. Na página Detalhes do provedor de serviços, preencha os campos em ID do nome como se segue:

    • Em Formato do ID do nome, selecione EMAIL

    • Em ID do nome, selecione Informações básicas > E-mail principal

  10. Escolha Continuar.

  11. Na página Mapeamento de atributos, em Atributos, escolha ADICIONAR MAPEMENTO e configure esses campos em Atributo do Google Directory:

    • Para o atributo da aplicação https://aws.amazon.com/SAML/Attributes/RoleSessionName, selecione o campo Informações básicas, e-mail principal dos Atributos do Google Directory.

    • Para o atributo da aplicação do https://aws.amazon.com/SAML/Attributes/Role, selecione quaisquer atributos do Google Directory. Um atributo do Google Directory poderia ser Departamento.

  12. Escolha Concluir

  13. Volte para o console do IAM Identity Center e escolha Avançar. Na página Revisar e confirmar, revise as informações e insira ACEITAR no espaço fornecido. Escolha Alterar origem de identidade.

Agora você está pronto para habilitar a aplicação Amazon Web Services no Google Workspace para que seus usuários possam ser provisionados para o IAM Identity Center.

Etapa 3: Google Workspace: habilitar as aplicações

  1. Volte ao console de administrador do Google e à aplicação AWS IAM Identity Center que podem ser encontrados em Aplicações e Aplicações Web e móveis.

  2. No painel Acesso de usuários, ao lado de Acesso dos usuários, escolha a seta para baixo para expandir Acesso dos usuários para exibir o painel Status do serviço.

  3. No painel Status do serviço, escolha ATIVADO para todos e escolha SALVAR.

nota

Para ajudar a manter o princípio de privilégio mínimo, recomendamos que, após concluir este tutorial, você altere o Status do serviço para DESATIVADO para todos. O serviço deve ser habilitado apenas para os usuários que precisam acessar o AWS. Você pode usar os grupos ou as unidades organizacionais do Google Workspace para conceder acesso de usuário a um subconjunto específico de usuários.

Etapa 4: IAM Identity Center: configurar o provisionamento automático do IAM Identity Center

  1. Volte para o console do IAM Identity Center.

  2. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.

  3. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Na etapa 5 deste tutorial, você vai inserir esses valores para configurar o provisionamento no Google Workspace.

    1. SCIM endpoint - por exemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir.

  4. Escolha Fechar.

    Agora que você configurou o provisionamento no console do IAM Identity Center, na próxima etapa, você vai configurar o provisionamento automático do Google Workspace.

Etapa 5: Google Workspace: configurar o provisionamento automático

  1. Volte ao console de administrador do Google e à aplicação AWS IAM Identity Center que podem ser encontrados em Aplicações e Aplicações Web e móveis. Na seção Provisionamento automático, escolha Configurar provisionamento automático.

  2. No procedimento anterior, você copiou o valor de Token de acesso no console do IAM Identity Center. Cole esse valor no campo Token de acesso e escolha Continuar. Além disso, no procedimento anterior, você copiou o valor de Endpoint SCIM no console do IAM Identity Center. Cole esse valor no campo URL do endpoint e escolha Continuar.

  3. Verifique se todos os atributos obrigatórios do IAM Identity Center (os que estão marcados com *) estão mapeados para os atributos do Google Cloud Directory. Caso contrário, escolha a seta para baixo e mapeie para o atributo apropriado. Escolha Continuar.

  4. Na seção Escopo do provisionamento, você pode escolher um grupo com o seu diretório do Google Workspace para fornecer acesso à aplicação Amazon Web Services. Pule esta etapa e selecione Continuar.

  5. Na seção Desprovisionamento, você pode escolher como responder aos diferentes eventos que removem o acesso de um usuário. Para cada situação, você pode especificar a quantidade de tempo antes do início do desprovisionamento como:

    • 24 horas

    • 1 dia

    • 7 dias

    • após 30 dias

    Cada situação tem uma configuração de tempo para quando suspender o acesso de uma conta e para quando excluir a conta.

    dica

    Sempre defina mais tempo para excluir uma conta de usuário do que para suspender uma conta de usuário.

  6. Escolha Terminar. Você será levado de volta à página da aplicação Amazon Web Services.

  7. Na seção Provisionamento automático, ative a chave seletora para alterá-la de Inativa para Ativa.

    nota

    O controle deslizante de ativação será desativado se o IAM Identity Center não estiver ativado para os usuários. Escolha Acesso do usuário e ative o aplicativo para ativar o controle deslizante.

  8. Na caixa de diálogo de confirmação, escolha Ligar.

  9. Para verificar se os usuários estão sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. A página Usuários lista os usuários do diretório do Google Workspace que foram criados pelo SCIM. Se os usuários ainda não estiverem listados, pode ser que o provisionamento ainda esteja em andamento. O provisionamento pode levar até 24 horas, embora, na maioria dos casos, seja concluído em minutos. Certifique-se de atualizar a janela do navegador a cada poucos minutos.

    Selecione um usuário e visualize seus detalhes. As informações devem corresponder às informações no diretório do Google Workspace.

Parabéns!

Você configurou com sucesso uma conexão SAML entre o Google Workspace e o AWS, e verificou que o provisionamento automático está funcionando. Agora você pode atribuir esses usuários a contas no IAM Identity Center. Para este tutorial, na próxima etapa, vamos designar um dos usuários como administrador do IAM Identity Center, concedendo a ele permissões administrativas para a conta de gerenciamento.

Passagem de atributos para controle de acesso: opcional

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.

Atribuir acesso a Contas da AWS

As próximas etapas só são necessárias para conceder acesso apenas a Contas da AWS. Essas etapas não são necessárias para conceder acesso a aplicações da AWS.

Etapa 1: IAM Identity Center: conceder aos usuários do Google Workspace acesso a contas

  1. Volte para o console do IAM Identity Center. No painel de navegação do IAM Identity Center, em Permissões multicontas, escolha Contas da AWS.

  2. Na página Contas da AWS, a Estrutura organizacional exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione Atribuir usuários ou grupos.

  3. O fluxo de trabalho Atribuir usuários e grupos é exibido. Ele consiste em três etapas:

    1. Em Etapa 1: selecionar usuários e grupos, escolha o usuário que desempenhará a função de administrador. Em seguida, escolha Próximo.

    2. Em Etapa 2: selecionar conjuntos de permissões, escolha Criar conjunto de permissões para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.

      1. Em Etapa 1: selecionar o tipo de conjunto de permissões, preencha o seguinte:

        • Em Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

        • Em Política para conjunto de permissões predefinido, escolha AdministratorAccess.

        Escolha Próximo.

      2. Em Etapa 2: especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Avançar.

        As configurações padrão criam um conjunto de permissões denominado AdministratorAccess com a duração da sessão definida como uma hora.

      3. Em Etapa 3: revisar e criar, verifique se o Tipo de conjunto de permissões usa a política gerenciada pela AWS AdministratorAccess. Escolha Criar. Na página Conjuntos de permissões, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.

      4. Na guia Atribuir usuários e grupos do navegador, você ainda está na Etapa 2: selecionar conjuntos de permissões na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.

      5. Na área Conjuntos de permissões, escolha o botão Atualizar. O conjunto de permissões AdministratorAccess que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha Avançar.

    3. Em Etapa 3: revisar e enviar, revise o usuário e o conjunto de permissões selecionados e escolha Enviar.

      A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.

      Você será levado de volta para a página Contas da AWS. Uma mensagem informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando fizer login, o usuário terá a opção de escolher o perfil AdministratorAccess.

      nota

      A sincronização automática SCIM do Google Workspace só é compatível com o provisionamento de usuários. O aprovisionamento automático de grupos não é possível no momento. Você não pode criar grupos para os usuários do Google Workspace usando o AWS Management Console. Depois de provisionar os usuários, você pode criar grupos usando o comando create-group da AWS CLI do repositório de identidades ou a API CreateGroup do IAM.

Etapa 2: Google Workspace: confirmar o acesso dos usuários do Google Workspace aos recursos da AWS

  1. Faça login no Google usando uma conta de usuário de teste. Para saber como adicionar usuários ao Google Workspace, consulte a documentação do Google Workspace.

  2. Selecione o ícone do iniciador (waffle) do Google apps.

  3. Role para o fim da lista de aplicações em que as aplicações personalizadas do Google Workspace se encontram. A aplicação Amazon Web Services é exibida.

  4. Escolha a aplicação Amazon Web Services. Você fez login no portal de acesso AWS e pode ver o ícone da Conta da AWS. Expanda esse ícone para ver a lista de Contas da AWS que o usuário pode acessar. Neste tutorial, você só trabalhou com uma conta, portanto, a expansão do ícone só mostra uma conta.

  5. Selecione a conta para exibir os conjuntos de permissões disponíveis para o usuário. Neste tutorial, você criou o conjunto de permissões AdministratorAccess.

  6. Ao lado do conjunto de permissões, há links para o tipo de acesso disponível para aquele conjunto de permissões. Ao criar o conjunto de permissões, você especificou que o console de gerenciamento e o acesso programático fossem habilitados, assim sendo, essas duas opções estão presentes. Selecione Console de gerenciamento para abrir o AWS Management Console.

  7. O usuário fez login no console.

Próximas etapas

Agora que você configurou o Google Workspace como provedor de identidades e provisionou usuários no IAM Identity Center, você pode:

  • Use o comando da AWS CLI create-group do repositório de identidades ou a API CreateGroup do IAM para criar grupos para os usuários.

    Os grupos são úteis ao atribuir acesso a Contas da AWS e aplicações. Em vez de atribuir cada usuário individualmente, você concede permissões a um grupo. Posteriormente, à medida que você adiciona ou remove usuários de um grupo, o usuário obtém ou perde dinamicamente o acesso às contas e aplicações que você atribuiu ao grupo.

  • Configure as permissões baseadas nas funções do trabalho; consulte Criar um conjunto de permissões.

    Os conjuntos de permissões definem o nível de acesso que os usuários e grupos têm a uma Conta da AWS. Os conjuntos de permissões são armazenados no IAM Identity Center e podem ser provisionados para um ou mais Contas da AWS. Você pode atribuir mais de um conjunto de permissões a um usuário.

nota

Como administrador do IAM Identity Center, você ocasionalmente precisará substituir certificados IdP antigos por outros mais novos. Por exemplo, talvez seja necessário substituir um certificado IdP quando a data de expiração do certificado se aproximar. O processo de substituição de um certificado antigo por um mais recente é conhecido como rodízio de certificados. Certifique-se de revisar como gerenciar os certificados SAML para o Google Workspace.

Solução de problemas

Para solucionar problemas gerais de SCIM e SAML com o Google Workspace, consulte as seguintes seções:

Os seguintes recursos podem ajudar você a solucionar problemas ao trabalhar com o AWS:

  • AWS re:Post: encontre as perguntas frequentes e links para outros recursos para ajudar você a solucionar problemas.

  • AWS Support: obter suporte técnico