SCIM 使用 設定 SAML和 Google Workspace 和 IAM Identity Center - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SCIM 使用 設定 SAML和 Google Workspace 和 IAM Identity Center

如果您的組織正在使用 Google Workspace 您可以從 整合您的使用者 Google Workspace 到 IAM Identity Center 以讓他們存取 AWS 資源。您可以將 IAM Identity Center 身分來源從預設 IAM Identity Center 身分來源變更為 Google Workspace.

來自 的使用者資訊 Google Workspace 會使用跨網域IAM身分管理系統 () 2.0 通訊協定 同步至 Identity Center。 SCIM您可以在 中設定此連線 Google Workspace 使用您的 IAM Identity Center SCIM端點和 IAM Identity Center 承載符字符。當您設定SCIM同步時,您可以在 中建立使用者屬性的映射 Google Workspace 到 IAM Identity Center 中的具名屬性。此映射符合 IAM Identity Center 與 之間的預期使用者屬性 Google Workspace。 若要這麼做,您需要設定 Google Workspace 作為IAM身分提供者和IAM身分中心身分提供者。

目標

本教學課程中的步驟會引導您建立 SAML Google Workspace 和 AWS。稍後,您將同步來自 的使用者 Google Workspace 使用 SCIM。若要驗證所有設定是否正確,在完成設定步驟後,您將以 身分登入 Google Workspace 使用者並驗證對 AWS 資源的存取。請注意,本教學課程是以小型 Google Workspace 目錄測試環境。本教學課程不包含群組和組織單位等目錄結構。完成本教學課程後,您的使用者將可以使用您的 存取 AWS 入口網站 Google Workspace 憑證。

注意

若要註冊免費試用 Google Workspace 造訪 Google Workspace 在 上 Google's 網站。

如果您尚未啟用 IAM Identity Center,請參閱 啟用 AWS IAM Identity Center

  • 設定 之間的SCIM佈建之前 Google Workspace 和 IAM Identity Center,我們建議您先檢閱 使用自動佈建的考量

  • SCIM 從 自動同步 Google Workspace 目前僅限於使用者佈建。目前不支援自動群組佈建。可以使用 AWS CLI Identity Store create-group 命令或 AWS Identity and Access Management (IAM) API 手動建立群組CreateGroup。或者,您可以使用 ssosync 同步 Google Workspace 使用者和 群組到 IAM Identity Center。

  • 每個 Google Workspace 使用者必須指定名字 姓氏 使用者名稱顯示名稱值。

  • 每個 Google Workspace 使用者每個資料屬性只有一個值,例如電子郵件地址或電話號碼。具有多個值的任何使用者都將無法同步。如果使用者在其屬性中具有多個值,請在嘗試在 IAM Identity Center 中佈建使用者之前移除重複的屬性。例如,只能同步一個電話號碼屬性,因為預設的電話號碼屬性是「工作電話」,所以即使使用者的電話號碼是家用電話或行動電話,也請使用「工作電話」屬性來儲存使用者的電話號碼。

  • 如果使用者在 IAM Identity Center 中已停用,但在 中仍處於作用中狀態,則屬性仍會同步 Google Workspace.

  • 如果 Identity Center 目錄中現有的使用者具有相同的使用者名稱和電子郵件,則會SCIM從 覆寫使用者並使用 同步 Google Workspace.

  • 變更您的身分來源時,還有其他考量事項。如需詳細資訊,請參閱從 IAM 身分中心變更為外部 IdP

  1. 登入您的 Google 使用具有超級管理員權限的帳戶來管理主控台

  2. 在 的左側導覽面板中 Google 管理主控台 ,選擇應用程式,然後選擇 Web 和行動應用程式

  3. 新增應用程式下拉式清單中,選取搜尋應用程式

  4. 在搜尋方塊中輸入 Amazon Web Services ,然後從清單中選擇 Amazon Web Services (SAML) 應用程式。

  5. 在 上 Google 身分提供者詳細資訊 - Amazon Web Services 頁面,您可以執行下列任一動作:

    1. 下載 IdP 中繼資料。

    2. 複製 SSO URL、實體 ID URL和憑證資訊。

    您將需要步驟 2 中的XML檔案或URL資訊。

  6. 在移至 中的下一個步驟之前 Google 管理員主控台,保持此頁面開啟並移至 IAM Identity Center 主控台。

  1. 使用具有管理許可的角色登入 IAM Identity Center 主控台

  2. 在左側導覽窗格中選擇設定

  3. 設定頁面上,選擇動作 ,然後選擇變更身分來源

    • 如果您尚未啟用 IAM Identity Center,請參閱 啟用 AWS IAM Identity Center 以取得詳細資訊。第一次啟用和存取 IAM Identity Center 後,您將抵達儀表板,您可以在其中選取選擇身分來源

  4. 選擇身分來源頁面上,選取外部身分提供者 ,然後選擇下一個

  5. 設定外部身分提供者頁面隨即開啟。若要完成此頁面和 Google Workspace 步驟 1 中的 頁面,您將需要完成下列事項:

    1. Identity Center 主控台的 Identity Provider 中繼資料區段下,您將需要執行下列其中一項操作: IAM

      1. 上傳 Google SAML 中繼資料作為 IAM Identity Center 主控台中的 IdP SAML中繼資料

      2. 複製並貼上 Google SSO URLIdP 登入URL欄位中, Google 發行者URL進入 IdP 發行URL者欄位,然後上傳 Google 憑證作為 IdP 憑證

  6. 提供 之後 Google Identity IAM Center 主控台的 Identity Provider 中繼資料區段中的中繼資料,請複製 IAM Identity Assertion Consumer Service (ACS) URLIAM Identity Center 發行者 URL。您需要在 URLs中提供這些項目 Google 下一個步驟中的管理員主控台。

  7. 使用 IAM Identity Center 主控台保持頁面開啟,並返回 Google 管理員主控台。您應該位於 Amazon Web Services - Service Provider 詳細資訊頁面。選取繼續

  8. 服務供應商詳細資訊頁面上,輸入 ACSURL實體 ID 值。您在上一個步驟中複製了這些值,您可以在 IAM Identity Center 主控台中找到這些值。

    • IAM Identity Center Assertion Consumer Service (ACS) URL 貼到 ACSURL欄位中

    • IAM Identity Center 發行者URL貼到實體 ID 欄位。

  9. 服務供應商詳細資訊頁面上,完成名稱 ID 下方的欄位,如下所示:

    • 針對名稱 ID 格式 ,選取 EMAIL

    • 針對名稱 ID ,選取基本資訊 > 主要電子郵件

  10. 選擇繼續

  11. 屬性映射頁面上,在屬性 下,選擇 ADD MAPPING,然後在 下設定這些欄位 Google 目錄屬性

    • 針對https://aws.amazon.com/SAML/Attributes/RoleSessionName應用程式屬性 ,從 中選取欄位基本資訊、主要電子郵件 Google Directory 屬性

    • 針對https://aws.amazon.com/SAML/Attributes/Role應用程式屬性 ,選取任何 Google Directory 屬性 。A Google 目錄屬性可以是部門

  12. 選擇完成

  13. 返回 IAM Identity Center 主控台,然後選擇下一步。在檢閱和確認頁面上,檢閱資訊,然後ACCEPT輸入提供的空格。選擇變更身分來源。

您現在可以在 中啟用 Amazon Web Services 應用程式 Google Workspace 以便將使用者佈建至 IAM Identity Center。

  1. 返回至 Google 可在 Apps 和 Web 和行動應用程式 中找到 的管理員主控台和 AWS IAM Identity Center 應用程式。

  2. 使用者存取權 旁的使用者存取面板中,選擇向下箭頭以展開使用者存取權,以顯示服務狀態面板。

  3. 服務狀態面板中,為所有人選擇 ON,然後選擇 SAVE

注意

為了協助維持最低權限原則,我們建議您在完成本教學課程後,將每個人的服務狀態變更為 。 OFF 只有需要存取 AWS 的使用者才能啟用 服務。您可以使用...Google Workspace 群組或組織單位,讓使用者存取使用者的特定子集。

  1. 返回 IAM Identity Center 主控台。

  2. 設定頁面上,找到自動佈建資訊方塊,然後選擇啟用 。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的SCIM端點和存取權杖資訊。

  3. 傳入自動佈建對話方塊中,複製下列選項的每個值。在本教學課程的步驟 5 中,您將輸入這些值來設定 中的自動佈建 Google Workspace.

    1. SCIM 端點 - 例如 https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. 存取權杖 - 選擇顯示權杖以複製值。

    警告

    這是您唯一可以取得SCIM端點和存取權杖的時機。在繼續之前,請務必複製這些值。

  4. 選擇關閉

    現在您已在 IAM Identity Center 主控台中設定佈建,在下一個步驟中,您將在 中設定自動佈建 Google Workspace.

  1. 返回至 Google 管理員主控台和您的 AWS IAM Identity Center 應用程式,可在應用程式Web 和行動應用程式 中找到。在自動佈建區段中,選擇設定自動佈建

  2. 在先前的程序中,您會複製 IAM Identity Center 主控台中的存取字符值。將該值貼到存取權杖欄位中,然後選擇繼續 。此外,在先前的程序中,您會在 IAM Identity Center 主控台中複製SCIM端點值。將該值貼到端點URL欄位中,然後選擇繼續

  3. 確認所有強制性 IAM Identity Center 屬性 (以 * 標示的屬性) 都已映射至 Google Cloud Directory 屬性。如果沒有,請選擇向下箭頭並映射到適當的屬性。選擇繼續

  4. 佈建範圍區段中,您可以選擇具有 的群組 Google Workspace 目錄,以提供對 Amazon Web Services 應用程式的存取。略過此步驟,然後選取繼續

  5. 取消佈建區段中,您可以選擇如何回應移除使用者存取權的不同事件。對於每種情況,您可以指定取消佈建開始之前的時間量:

    • 24 小時內

    • 一天後

    • 七天後

    • 30 天後

    每種情況都有時間設定,用於暫停帳戶存取的時間,以及刪除帳戶的時間。

    提示

    刪除使用者帳戶之前,請務必設定比暫停使用者帳戶更長的時間。

  6. 選擇 Finish (完成)。您會返回 Amazon Web Services 應用程式頁面。

  7. 自動佈建區段中,開啟切換開關,將其從非作用中變更為作用中

    注意

    如果未為使用者開啟 IAM Identity Center,則會停用啟用滑桿。選擇使用者存取權,然後開啟應用程式以啟用滑桿。

  8. 在確認對話方塊中,選擇開啟

  9. 若要驗證使用者是否已成功同步到 IAM Identity Center,請返回 IAM Identity Center 主控台並選擇Users 使用者頁面列出來自 的使用者 Google Workspace 由 建立的目錄SCIM。如果尚未列出使用者,則佈建可能仍在進行中。佈建最多可能需要 24 小時,但在大多數情況下,它會在幾分鐘內完成。請務必每隔幾分鐘重新整理瀏覽器視窗。

    選取使用者並檢視其詳細資訊。資訊應與 中的資訊相符 Google Workspace 目錄。

恭喜您!

您已成功設定 之間的SAML連線 Google Workspace 和 AWS 並確認自動佈建正常運作。您現在可以將這些使用者指派給 IAM Identity Center 中的帳戶和應用程式。對於本教學課程,在下一個步驟中,我們將其中一個使用者授予管理帳戶的管理許可,以將其指定為 IAM Identity Center 管理員。

  1. 返回 IAM Identity Center 主控台。在 IAM Identity Center 導覽窗格中的多帳戶許可 下,選擇 AWS 帳戶

  2. AWS 帳戶頁面上,組織結構會在階層中顯示您的組織根及其下的帳戶。選取管理帳戶的核取方塊,然後選取指派使用者或群組

  3. 顯示指派使用者和群組工作流程。它由三個步驟組成:

    1. 對於步驟 1:選取使用者和群組,選擇將執行管理員任務功能的使用者。然後選擇下一步

    2. 對於步驟 2:選取許可集選擇建立許可集,以開啟新索引標籤,引導您完成建立許可集所涉及的三個子步驟。

      1. 對於步驟 1:選取許可集類型完成下列操作:

        • 許可集類型 中,選擇預先定義的許可集

        • 預先定義許可集 的政策 中,選擇 AdministratorAccess

        選擇 Next (下一步)

      2. 對於步驟 2:指定許可集詳細資訊 ,保留預設設定,然後選擇下一步

        預設設定會建立名為 的許可集 AdministratorAccess 工作階段持續時間設定為一小時。

      3. 對於步驟 3:檢閱並建立 ,確認許可集類型使用 AWS 受管政策 AdministratorAccess。選擇 Create (建立)。在許可集頁面上會出現通知,通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      4. 指派使用者和群組瀏覽器索引標籤上,您仍在步驟 2:選取您從中開始建立許可集工作流程的許可集。

      5. 許可集區域中,選擇重新整理按鈕。所以此 AdministratorAccess 您建立的許可集會出現在清單中。選取該許可集的核取方塊,然後選擇下一步。

    3. 對於步驟 3:檢閱並提交檢閱選取的使用者和許可集,然後選擇提交

      頁面會更新 AWS 帳戶 為正在設定 的訊息。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您,您的 AWS 帳戶 已重新佈建,並套用已更新的許可集。使用者登入時,可以選擇 AdministratorAccess 角色。

      注意

      SCIM 從 自動同步 Google Workspace 僅支援佈建使用者。目前不支援自動群組佈建。您無法為 建立群組 Google Workspace 使用 的使用者 AWS Management Console。佈建使用者後,您可以使用 AWS CLI Identity Store create-group 命令或 IAM API 建立群組CreateGroup

  1. 登入至 Google 使用測試使用者帳戶。了解如何將使用者新增至 Google Workspace,請參閱 Google Workspace 文件

  2. 選取 Google apps 啟動器 (華夫格) 圖示。

  3. 捲動至您自訂的應用程式清單底部 Google Workspace 應用程式已找到。Amazon Web Services 應用程式隨即顯示。

  4. 選取 Amazon Web Services 應用程式。您已登入 AWS 存取入口網站,並可以看到 AWS 帳戶 圖示。展開該圖示以查看使用者可以存取 AWS 帳戶 的清單。在本教學課程中,您只使用單一帳戶,因此展開圖示只會顯示一個帳戶。

  5. 選取帳戶以顯示使用者可用的許可集。在本教學課程中,您已建立AdministratorAccess許可集。

  6. 許可集旁是該許可集可用存取類型的連結。當您建立許可集時,您指定同時啟用管理主控台和程式設計存取,因此這兩個選項都存在。選取管理主控台以開啟 AWS Management Console。

  7. 使用者已登入主控台。

您可以選擇性地使用 IAM Identity Center 中的 存取控制的屬性功能,將 Name 屬性設定為 的 Attribute元素傳遞。 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}此元素可讓您在SAML宣告中將屬性傳遞為工作階段標籤。如需工作階段標籤的詳細資訊,請參閱 IAM 使用者指南 中的傳遞工作階段標籤 AWS STS

若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵值對 CostCenter = blue,請使用下列屬性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性,請為每個標籤包含個別的Attribute元素。

現在您已設定 Google Workspace 身為身分提供者和 IAM Identity Center 中的佈建使用者,您可以:

  • 使用 AWS CLI Identity Store create-group 命令或 IAM API CreateGroup 為您的使用者建立群組。

    群組在將存取權指派給 AWS 帳戶 和 應用程式時非常有用。您不會個別指派每個使用者,而是將許可授予群組。稍後,當您從群組新增或移除使用者時,使用者會動態取得或失去您指派給群組之帳戶和應用程式的存取權。

  • 根據任務函數設定許可,請參閱建立許可集

    許可集定義使用者和群組對 的存取層級 AWS 帳戶。許可集會儲存在 IAM Identity Center 中,並可佈建至一或多個 AWS 帳戶。您可以為使用者指派多個許可集合。

注意

身為 IAM Identity Center 管理員,有時您需要將較舊的 IdP 憑證取代為較新的 IdP 憑證。例如,當憑證上的過期日期接近時,您可能需要取代 IdP 憑證。使用較新的憑證取代較舊憑證的程序稱為憑證輪換。請務必檢閱如何管理 的SAML憑證 Google Workspace.

當您使用 時,下列資源可協助您進行疑難排解 AWS:

  • AWS re:Post - 尋找FAQs並連結至其他資源,以協助您疑難排解問題。

  • AWS Support - 取得技術支援