Application cloud Amazon Web Services

Avant de configurer la gestion des comptes utilisateur, vous devez créer un attribut utilisateur personnalisé pour AWS. Procédez comme suit :

1. Connectez-vous à votre Console d'administration Google.

   Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

2. Dans la console d'administration, accédez à Menu    Annuaire  Utilisateurs.
3. En haut de la liste Utilisateurs, cliquez sur Plus  Gérer les attributs personnalisés.
   
4. En haut à droite, cliquez sur Ajouter un attribut personnalisé.
5. Configurez l'attribut personnalisé comme suit :
   • Catégorie : Amazon
   • Description : attributs personnalisés Amazon

   Dans Champs personnalisés, saisissez les informations suivantes :

   • Nom : rôle
   • Type d'information : texte
   • Visibilité : visible pour l'utilisateur et l'administrateur
   • Nombre de valeurs : plusieurs valeurs
6. Cliquez sur Ajouter.

   La nouvelle catégorie apparaît sur la page Gérer les attributs de l'utilisateur.

1. Connectez-vous à votre Console d'administration Google.

   Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

2. Dans la console d'administration, accédez à Menu    Sécurité  Authentification  SSO avec les applications SAML.

   Pour ce faire, vous devez être connecté en tant que super-administrateur.

3. Téléchargez les métadonnées IdP.

Laissez la console d'administration ouverte. Avant de suivre les étapes de configuration SSO, effectuez les opérations de l'étape suivante dans la console de gestion Amazon.

1. Dans un nouvel onglet de navigateur, connectez-vous à la console de gestion AWS et ouvrez la console IAM accessible à l'adresse https://console.aws.amazon.com/iam/.
2. Dans le volet de navigation, sélectionnez Identity Providers > Create Provider (Fournisseurs d'identité > Créer un fournisseur).
3. Dans Provider Type (Type de fournisseur), sélectionnez SAML.
4. Saisissez un nom dans le champ Provider Name (Nom du fournisseur), comme GoogleWorkspace.
5. Cliquez sur Choose File (Choisir un fichier), puis sélectionnez le fichier de métadonnées IdP que vous avez téléchargé à l'étape 1 ci-dessus.
6. Cliquez sur Continue Step (Continuer l'étape), puis sur Create (Créer).

   Sur la page Identity Providers (Fournisseurs d'identité), GoogleWorkspace doit apparaître dans le tableau des fournisseurs d'identité.

7. Dans la barre latérale de gauche, cliquez sur Roles > Create a New Role (Rôles >Créer un rôle).
8. Sous Set role name (Définir le nom du rôle), saisissez un nom pour le rôle.
9. Cliquez sur Continue Step (Continuer l'étape).
10. Sur la page Select Role Type (Sélectionner un type de rôle), sous Role for Identity Provider Access (Rôle pour l'accès du fournisseur d'identité), sélectionnez Grant Web Single Sign-On (WebSSO) access to SAML providers (Accorder l'accès via l'authentification unique Web aux fournisseurs SAML).
11. Cliquez sur Continue Step (Continuer l'étape).
12. Sur la page Establish trust (Établir la fiabilité), laissez les paramètres par défaut, puis cliquez sur Next Step (Prochaine étape).
13. Choisissez des règles pour accorder des autorisations aux utilisateurs qui se connectent à AWS via l'authentification unique de Google. Exemple : AdministratorAccess.
14. Cliquez sur Continue Step (Continuer l'étape).
15. Sur la page suivante, copiez et enregistrez l'ARN du rôle, qui contient votre ID de compte AWS et le nom du rôle. Cette valeur est nécessaire pour configurer l'attribut utilisateur Amazon personnalisé pour chaque utilisateur à l'étape 4 ci-dessous.

    Example : arn:aws:iam::ACCOUNT_NUMBER:role/SSO

16. Cliquez sur Create the Role (Créer le rôle).
17. Sélectionnez votre service Google dans la liste des fournisseurs d'identité, puis copiez et enregistrez l'ARN du fournisseur. Il contient votre numéro de compte AWS et le nom du fournisseur Cette valeur est nécessaire pour configurer l'attribut utilisateur Amazon personnalisé pour chaque utilisateur à l'étape 4 ci-dessous.

    Exemple: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.

18. Cliquez sur Save (Enregistrer) pour enregistrer les informations de configuration de l'authentification unique Web fédérée.

1. Revenez dans l'onglet du navigateur où la console d'administration est ouverte.
2. Dans la console d'administration, accédez à Menu    Applications  Applications Web et mobiles.
3. Saisissez Amazon Web Services dans le champ de recherche.
4. Dans les résultats de recherche, passez la souris sur l'application SAML Amazon Web Services, puis cliquez sur Sélectionner.
5. Sur la page Informations sur le fournisseur d'identité Google, cliquez sur Continuer.

   Sur la page Détails relatifs au fournisseur de services, les valeurs URL ACS et ID d'entité pour Amazon Web Services sont configurées par défaut.

6. Cliquez sur Continuer.
7. Sur la page Mappage des attributs, cliquez sur le menu Sélectionner un champ et mappez les attributs d'annuaire Google suivants avec les attributs Amazon Web Service correspondants :
    

   Attribut d'annuaire Google	Attribut Amazon Web Services
   Informations générales > Adresse e-mail principale	https://aws.amazon.com/SAML/Attributes/RoleSessionName
   Amazon > Rôle*	https://aws.amazon.com/SAML/Attributes/Role

   (*) Attribut personnalisé créé à la section Avant de commencer ci-dessus.

8. (Facultatif) Pour saisir des noms de groupes pertinents pour cette application :

   1. Dans le champ Appartenance à un groupe (facultatif), cliquez sur Rechercher un groupe, saisissez une ou plusieurs lettres du nom du groupe, puis sélectionnez-en un.
   2. Ajoutez des groupes si nécessaire (75 groupes au maximum).
   3. Sous Attribut de l'application, saisissez le nom d'attribut correspondant des groupes du fournisseur de services.

   Quel que soit le nombre de noms de groupes saisis, la réponse SAML inclut uniquement les groupes dont un utilisateur est membre (directement ou indirectement). Pour en savoir plus, consultez À propos du mappage des informations d'appartenance à un groupe.

9. Cliquez sur Terminer.

1. Connectez-vous à votre Console d'administration Google.

   Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

2. Dans la console d'administration, accédez à Menu    Applications  Applications Web et mobiles.
3. Sélectionnez Amazon Web Services.
4. Cliquez sur Accès utilisateur.

5. Pour activer ou désactiver un service pour tous les membres de votre organisation, cliquez sur Activé pour tous ou sur Désactivé pour tous, puis sur Enregistrer.

6. (Facultatif) Pour activer ou désactiver un service pour une unité organisationnelle :

   1. Sur la gauche, sélectionnez l'unité organisationnelle souhaitée.
   2. Pour modifier l'état du service, sélectionnez Activé ou Désactivé.
   3. Choisissez une option :
      • Si l'état du service est défini sur Hérité et que vous souhaitez conserver le paramètre mis à jour, même si le paramètre parent est modifié, cliquez sur Remplacer.
      • Si l'état du service est défini sur Remplacé, cliquez sur Hériter pour rétablir le paramètre parent, ou cliquez sur Enregistrer pour conserver le nouveau paramètre, même si le paramètre parent est modifié.
        Remarque : En savoir plus sur la structure organisationnelle
7. Pour activer un service pour un ensemble d'utilisateurs au sein d'une ou de plusieurs unités organisationnelles, sélectionnez un groupe d'accès. Pour plus d'informations, consultez la section Activer ou désactiver un service pour un groupe d'accès.
8. Vérifiez que les ID de messagerie de votre compte utilisateur Amazon Web Services correspondent bien à ceux de votre domaine Google.
9. Pour chaque utilisateur qui se connecte à AWS via l'authentification unique, configurez l'attribut utilisateur personnalisé que vous avez créé dans Avant de commencer :
   1. Sur la page du compte utilisateur, cliquez sur Informations utilisateur.
   2. Cliquez sur l'attribut personnalisé Amazon.
   3. Dans le champ Role (Rôle), ajoutez l'ARN du rôle AWS et l'ARN du fournisseur (copié à l'étape 2 ci-dessus) en les séparant par une virgule comme suit: 

      arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

   4. Cliquez sur Enregistrer.

Remarque : Assurez-vous d'être toujours connecté au compte pour lequel vous avez configuré Amazon Web Services.

1. Connectez-vous à votre Console d'administration Google.

   Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

2. Dans la console d'administration, accédez à Menu    Applications  Applications Web et mobiles.
3. Sélectionnez Amazon Web Services.
4. En haut à gauche, cliquez sur Tester la connexion SAML. 

   Amazon Web Service s'ouvre dans un onglet distinct. Si ce n'est pas le cas, mettez à jour vos paramètres IdP et SP à l'aide des informations contenues dans les messages d'erreur SAML, puis testez à nouveau la connexion SAML.

Il n'est pas nécessaire de configurer la gestion des comptes utilisateur pour Amazon Web Services.

AWS est compatible avec les connexions basées sur les rôles pour tout utilisateur fédéré authentifié utilisant un fournisseur d'identité SAML 2.0. Spécifiez le rôle en ajoutant la valeur d'attribut https://aws.amazon.com/SAML/Attributes/Role à un attribut personnalisé correspondant au compte Amazon Web Services. Consultez l'étape 3 ci-dessus.

Une fois le mappage de rôles défini, les utilisateurs pour lesquels l'authentification unique SAML est activée peuvent se connecter à la console de gestion AWS en utilisant un rôle AWS IAM (gestion de l'authentification et des accès) spécifique, sans que vous ayez à créer l'utilisateur IAM correspondant dans la console de gestion.

Consultez la documentation AWS pour en savoir plus sur le mappage de rôles AWS.