配置SAML和SCIM使用 Google Workspace 和IAM身份中心 - AWS IAM Identity Center
注意事项第 1 步:Google Workspace:配置SAML应用程序第 2 步:IAM身份中心和 Google Workspace: 更改IAM身份中心身份来源和设置 Google Workspace 作为SAML身份提供者步骤 3:Google Workspace: 启用应用程序步骤 4:IAM身份中心:设置IAM身份中心自动配置步骤 5:Google Workspace: 配置 auto 配置传递访问控制属性 – 可选将访问权限分配给 AWS 账户后续步骤故障排除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置SAML和SCIM使用 Google Workspace 和IAM身份中心

如果您的组织正在使用 Google Workspace 你可以整合你的用户 Google Workspace 进入IAM身份中心,让他们能够访问 AWS 资源。您可以通过将IAM身份中心身份源从默认的 Identity Center IAM 身份源更改为 Google Workspace.

用户信息来自 Google Workspace 使用跨域IAM身份管理系统 (SCIM) 2.0 协议同步到身份中心。有关更多信息,请参阅 对外部身份提供者使用 SAML 和 SCIM 身份联合验证

您可以在中配置此连接 Google Workspace 使用您的IAM身份中心SCIM终端节点和IAM身份中心持有者令牌。配置SCIM同步时,可以在中创建用户属性的映射 Google Workspace 到 Ident IAM ity Center 中的命名属性。此映射与 Ident IAM ity Center 和之间的预期用户属性相匹配 Google Workspace。 为此,你需要设置 Google Workspace 作为IAM身份提供商和IAM身份中心身份提供商。

目标

本教程中的步骤有助于指导您建立两者之间的SAML连接 Google Workspace 和 AWS。稍后,您将同步来自的用户 Google Workspace 使用SCIM。要验证所有配置是否正确,完成配置步骤后,您将以身份登录 Google Workspace 用户并验证对 AWS 资源的访问权限。请注意,本教程基于一个小教程 Google Workspace 目录测试环境。本教程不包括组和组织单位等目录结构。完成本教程后,您的用户将能够使用您的 AWS 访问门户 Google Workspace 证书。

注意

要注册免费试用 Google Workspace 参观 Google Workspaceon Google's 网站。

如果您尚未启用 Ident IAM ity Center,请参阅启用 AWS IAM Identity Center

注意事项

  • 在配置SCIM配置之前 Google Workspace 和 IAM Identity Center,我们建议您先查看使用自动预置的注意事项

  • SCIM自动同步来自 Google Workspace 目前仅限于用户配置。目前不支持自动组预置。可以使用 Ident AWS CLI ity Store create-group 命令或 AWS Identity and Access Management () IAM 手动创建群组。API CreateGroup或者,您可以使用 ssosync 进行同步 Google Workspace 用户和群组进入IAM身份中心。

  • 每个 Google Workspace 用户必须指定名字、姓用户名显示名称值。

  • 每个 Google Workspace 用户的每个数据属性只有一个值,例如电子邮件地址或电话号码。若用户有多个值,则无法同步。如果有用户的属性中有多个值,请先移除重复的属性,然后再尝试在 Ident IAM ity Center 中配置用户。例如,只能同步一个电话号码属性,因为默认的电话号码属性是“工作电话”,所以即使用户的电话号码是家庭电话号码或移动电话号码,也将使用“工作电话”属性存储其电话号码。

  • 如果用户在 Ident IAM ity Center 中被禁用,但仍处于活动状态,则属性仍处于同步状态 Google Workspace.

  • 如果 Identity Center 目录中存在具有相同用户名和电子邮件地址的现有用户,则将使用SCIM以下方式覆盖和同步该用户 Google Workspace.

  • 更改身份源还需注意其他事项。有关更多信息,请参阅 从 IAM Identity Center 更改为外部 IdP

第 1 步:Google Workspace:配置SAML应用程序

  1. 登录到你的 Google 使用具有超级管理员权限的帐户的管理员控制台。

  2. 在你的左侧导航面板中 Google 管理员控制台,选择 “应用程序”,然后选择 “Web 和移动应用程序”。

  3. 添加应用程序下拉列表中选择搜索应用程序

  4. 在搜索框中输入 Amazon Web Services,然后从列表中选择亚马逊网络服务 (SAML) 应用程序。

  5. 在存储库的 Google 身份提供商详情-Amazon Web Services 页面,您可以执行以下任一操作:

    1. 下载 IdP 元数据。

    2. 复制SSOURL、实体 ID URL 和证书信息。

    在步骤 2 中,您将需要XML文件或URL信息。

  6. 在进入下一步之前 Google 管理员控制台,将此页面保持打开状态并移至 Identity C IAM enter 控制台。

第 2 步:IAM身份中心和 Google Workspace: 更改IAM身份中心身份来源和设置 Google Workspace 作为SAML身份提供者

  1. 使用具有管理权限的角色登录IAM身份中心控制台

  2. 在左侧导航窗格中,选择设置

  3. 设置页面,选择操作,然后选择更改身份源

    • 如果您尚未启用 Ident IAM ity Center,请参阅了解启用 AWS IAM Identity Center更多信息。首次启用并访问 IAM Identity Center 后,您将进入控制面板,在那里您可以选择 “选择您的身份来源”。

  4. 选择身份源页面,选择外部身份提供商,然后选择下一步

  5. 将打开配置外部身份提供商页面。要完成本页和 Google Workspace 在步骤 1 中,您需要完成以下操作:

    1. Identity Cent er 控制台的 “IAM身份提供商元数据” 部分下,您需要执行以下任一操作:

      1. 上传 Google SAML元数据作为IAM身份中心控制台中的 IdP SAML 元数据

      2. 复制并粘贴 Google SSOURL进入 I dP 登录字URL段Google 签发者URL进入 IdP 颁发者URL字段,然后上传 Google 证书作为 I dP 证书。

  6. 在提供之后 Google 元数据在 Identity Cent er 控制台的 “IAM身份提供者元数据” 部分中,复制IAM身份断言消费者服务 (ACS) URLIAM身份中心颁发URL者。你需要URLs在中提供这些信息 Google 下一步是管理员控制台。

  7. 使用 Ident IAM ity Center 控制台让页面保持打开状态,然后返回 Google 管理员控制台。此时应位于 Amazon Web Services – 服务提供商详细信息页面。选择继续

  8. 服务提供者详细信息页面上,输入ACSURL实体 ID 值。您在上一步中复制了这些值,它们可以在 Ident IAM ity Center 控制台中找到。

    • IAM身份中心断言消费者服务 (ACS) 粘贴URL到字段中 ACSURL

    • IAM身份中心颁发者粘贴URL到 “实体 ID” 字段中。

  9. 服务提供商详细信息页面,按如下所示在名称 ID 下填写字段:

    • 在 “姓名 ID 格式” 中,选择 EMAIL

    • 对于名称 ID,请选择基本信息 > 主电子邮件

  10. 选择继续

  11. “属性映射” 页面的 “属性” 下,选择 ADDMAPPING,然后在下配置这些字段 Google 目录属性

    • https://aws.amazon.com/SAML/Attributes/RoleSessionName应用程序属性中,从 “基本信息”、“主电子邮件” 字段中选择 Google Directory 属性

    • https://aws.amazon.com/SAML/Attributes/Role应用程序属性中,选择任何 Google Directory 属性。A Google 目录属性可以是 “部门”。

  12. 选择完成

  13. 返回IAM身份中心控制台并选择下一步。在 “查看并确认” 页面上,查看信息,然后ACCEPT进入提供的空间。选择更改身份源

现在,您已准备好在中启用 Amazon Web Services 应用程序 Google Workspace 以便您的用户可以配置到IAM身份中心。

步骤 3:Google Workspace: 启用应用程序

  1. 返回到 Google 管理员控制台和您的 AWS IAM Identity Center 应用程序,可在 “应用程序” 和 “Web 和移动应用程序” 下找到。

  2. 用户访问权限面板,选择用户访问权限旁边的向下箭头,展开用户访问权限,以显示服务状态面板。

  3. 在 “服务状态” 面板中,为所有人选择 “开”,然后选择SAVE

注意

为了帮助维护最低权限原则,我们建议您在完成本教程后,将服务状态更改为OFF适用于所有人。只应为需要访问 AWS 的用户启用该服务。您可以使用 … Google Workspace 群组或组织单位,允许用户访问您的特定用户子集。

步骤 4:IAM身份中心:设置IAM身份中心自动配置

  1. 返回IAM身份中心控制台。

  2. 设置页面上,找到自动预置信息框,然后选择启用。这将立即启用 Ident IAM ity Center 中的自动配置,并显示必要的SCIM端点和访问令牌信息。

  3. 入站自动预置对话框中,复制以下选项的每个值。在本教程的第 5 步中,您将输入这些值来配置自动配置 Google Workspace.

    1. SCIM端点 ——例如,https://scim。 us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. 访问令牌 - 选择显示令牌以复制该值。

    警告

    这是您唯一一次可以获取SCIM端点和访问令牌。在继续操作之前,务必复制这些值。

  4. 选择关闭

    现在,您已经在 Ident IAM ity Center 控制台中设置了配置,下一步将在中配置自动配置 Google Workspace.

步骤 5:Google Workspace: 配置 auto 配置

  1. 返回到 Google 管理员控制台和您的 AWS IAM Identity Center 应用程序,可在 “应用程序” 和 “Web 和移动应用程序” 下找到。在自动预置部分,选择配置自动预置

  2. 在前面的步骤中,您在 Ident IAM ity Center 控制台中复制了访问令牌值。将该值粘贴到访问令牌字段,然后选择继续。此外,在前面的步骤中,您在 Ident IAM ity Center 控制台中复制了SCIM终端节点值。将该值粘贴到 “终端节点” URL 字段中,然后选择 “继续”。

  3. 确认所有必填的IAM身份中心属性(标有* 的属性)都映射到 Google Cloud Directory 属性。如果没有,请选择向下箭头并映射到适当的属性。选择继续

  4. 在 “配置范围” 部分中,您可以选择一个包含您的群组 Google Workspace 目录用于提供对亚马逊 Web Services 应用程序的访问权限。跳过此步骤并选择继续

  5. 取消预置部分,您可以选择如何响应移除用户访问权限的不同事件。对于每种情况,您都可以指定在多久之后开始取消预置:

    • 24 小时内

    • 一天后

    • 七天后

    • 30 天后

    对于每种情况,都有一个时间设置,用来确定何时暂停账户的访问权限,以及何时删除账户。

    提示

    设置删除用户账户前的等待时间时,其长度应始终长于暂停用户账户前的等待时间。

  6. 选择完成。您将返回到 Amazon Web Services 应用程序页面。

  7. 自动预置部分,打开切换开关,将其从非活跃更改为活跃

    注意

    如果没有为用户开启 Ident IAM ity Center,则激活滑块将被禁用。选择用户访问权限并打开应用程序以启用滑块。

  8. 在确认对话框中,选择打开

  9. 要验证用户是否已成功同步到 Ident IAM ity Center,请返回IAM身份中心控制台并选择 “用户”。用户页面列出了您的用户 Google Workspace 由创建的目录SCIM。如果尚未列出用户,可能是由于预置仍在进行中。尽管在大多数情况下,预置可以在几分钟内完成,但最多可能需要 24 小时。确保每隔几分钟刷新一次浏览器窗口。

    选择一名用户并查看其详细信息。这些信息应与中的信息相匹配 Google Workspace 目录。

恭喜您!

您已成功在两者之间建立SAML连接 Google Workspace AWS 并已验证自动配置正在起作用。现在,您可以将这些用户分配给 Ident IAMity Center 中的帐户和应用程序。在本教程中,在下一步中,让我们通过向其中一个用户授予管理帐户的管理权限,将其指定为 Ident IAM ity Center 管理员。

传递访问控制属性 – 可选

您可以选择使用 Ident IAM ity Center 中的访问控制属性功能来传递Name属性设置为的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。此元素允许您在SAML断言中将属性作为会话标签传递。有关会话标签的更多信息,请参阅IAM用户指南 AWS STS中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。

将访问权限分配给 AWS 账户

仅授予访问权限时才需要执行以下步骤。 AWS 账户 授予 AWS 应用程序访问权限不需要这些步骤。

步骤 1:IAM身份中心:授权 Google Workspace 用户对账户的访问权限

  1. 返回IAM身份中心控制台。在IAM身份中心导航窗格的多账户权限下,选择AWS 账户

  2. AWS 账户 页面,组织结构将显示您的组织根目录,您的账户将以分层结构列于其下方。选中管理账户对应的复选框,然后选择分配用户或组

  3. 此时将显示分配用户和组工作流程。它包括三个步骤:

    1. 对于步骤 1:选择用户和组,选择将要执行管理员工作职能的用户。然后选择下一步

    2. 对于步骤 2:选择权限集,选择创建权限集,以打开新的标签页,它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于步骤 1:选择权限集类型,请完成以下操作:

        • 权限集类型中,选择预定义权限集

        • 预定义权限集的策略中,选择AdministratorAccess

        选择下一步

      2. 对于步骤 2:指定权限集详细信息,保留默认设置,并选择下一步

        默认设置会创建名为AdministratorAccess、会话持续时间设置为一小时的权限集。

      3. 对于步骤 3:查看并创建,请验证权限集类型是否使用 AWS 托管策略AdministratorAccess。选择创建权限集页面会显示通知,告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      4. 分配用户和组浏览器标签页,您仍处于步骤 2:选择权限集,您将在这里启动创建权限集工作流程。

      5. 权限集区域,选择刷新按钮。您创建的AdministratorAccess权限集将出现在列表中。选择该权限集的复选框,然后选择下一步

    3. 对于步骤 3:查看并提交,请查看选定的用户和权限集,然后选择提交

      页面更新时会显示一条消息,告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息,告知您 AWS 账户 已重新配置并应用了更新的权限集。当用户登录时,他们可以选择AdministratorAccess角色。

      注意

      SCIM自动同步来自 Google Workspace 仅支持配置用户。目前不支持自动组预置。您无法为自己的群组创建群组 Google Workspace 使用 AWS Management Console. 的用户 配置用户后,您可以使用 Id AWS CLI entity Store create-group 命令或创建群组。IAM API CreateGroup

第 2 步:Google Workspace: 确认 Google Workspace 用户对 AWS 资源的访问权限

  1. 登录到 Google 使用测试用户帐户。要了解如何将用户添加到 Google Workspace,请参阅 Google Workspace 文档

  2. 选择 Google apps 启动器(华夫饼)图标。

  3. 滚动到应用程序列表的底部,其中包含您的自定义 Google Workspace 应用程序位于。显示 Amazon Web Services 应用程序。

  4. 选择 Amazon Web Services 应用程序。您已登录 AWS 访问门户并可以看到该 AWS 账户 图标。展开该图标可查看用户可以访问的 AWS 账户 列表。在本教程中,您只使用了一个账户,因此展开图标只显示一个账户。

  5. 选择账户,以显示用户可用的权限集。在本教程中,您创建了AdministratorAccess权限集。

  6. 权限集旁边是该权限集可用访问权限类型的链接。创建权限集时,您指定了同时启用管理控制台和编程访问权限,因此存在这两个选项。选择管理控制台,打开 AWS Management Console。

  7. 用户已登录到控制台。

后续步骤

现在你已经配置好了 Google Workspace 作为身份提供商和 Identity Center 中已配置的IAM用户,您可以:

  • 使用 Ident AWS CLI ity Stor e create-group 命令或IAMAPICreateGroup为您的用户创建群组。

    在为 AWS 账户 和应用程序分配访问权限时,组非常有用。与其向每个用户单独分配访问权限,不如向组授予权限。稍后,当您在组中添加或移除用户时,该用户会自动获得或失去对您分配给该组的帐户和应用程序的访问权限。

  • 根据工作职能配置权限,请参阅创建权限集

    权限集定义用户和组对某一 AWS 账户帐户的访问级别。权限集存储在 Ident IAM ity Center 中,可以配置为一个或多个 AWS 账户权限集。您可以为用户分配多个权限集。

注意

作为IAM身份中心管理员,您偶尔需要将较旧的 IdP 证书替换为较新的证书。例如,当证书到期日期临近时,您可能需要更换 IdP 证书。用新证书替换旧证书的过程称为证书轮换。请务必查看如何管理SAML证书 Google Workspace.

故障排除

用于常规SCIM和SAML故障排除 Google Workspace,请参阅以下章节:

以下资源可以帮助您在使用时进行故障排除 AWS:

  • AWS re:Post-查找FAQs并链接到其他资源以帮助您解决问题。

  • AWS 支持 – 获得技术支持