您必须以超级用户身份登录,才能执行此任务。
利用安全断言标记语言 (SAML),您的用户可以通过自己的 Google Cloud 凭据登录企业云应用。
通过 SAML 为 Amazon Web Services 设置单点登录 (SSO)
以下是利用 SAML 为 Amazon Web Services 应用设置单点登录 (SSO) 的方法。
准备工作在设置用户配置之前,您需要为 Amazon Web Services 创建自定义用户属性。请按照以下步骤操作:
-
- 在管理控制台中,依次点击“菜单”图标 目录 用户。
- 在用户列表的顶部,点击更多 管理自定义属性。
- 点击右上角的添加自定义属性。
- 配置自定义属性(如下所示)
- 类别:Amazon
- 说明:Amazon 自定义属性
请在自定义字段中输入以下内容:
- 名称:角色
- 信息类型:文本
- 公开范围:用户和管理员可以看到
- 值数量:多个值
- 点击添加。
新的类别会显示在管理用户属性页面上。
-
-
在管理控制台中,依次点击“菜单”图标 安全性 身份验证 SAML 应用的单点登录服务。
您必须以超级用户身份登录,才能执行此任务。
- 下载 IDP 元数据。
将管理控制台保持打开状态,您在 Amazon 管理控制台中执行后续步骤后,还需要继续配置 SSO。
- 在新的浏览器标签页中访问 https://console.aws.amazon.com/iam/,登录 AWS 管理控制台并打开 IAM 控制台。
- 在导航窗格中,选择 Identity Providers(身份提供商)> Create Provider(创建提供商)。
- 对于 Provider Type(提供商类型),请选择 SAML。
- 输入 Provider Name(提供商名称),例如 GoogleApps。
- 点击 Choose File(选择文件),然后选择您在上文第 1 步中下载的 IDP 元数据文件。
- 点击 Continue Step(继续步骤),然后点击 Create(创建)。
在 Identity Providers(身份提供商)页面上,GoogleWorkspace 应出现在 IdP 表格中。
- 在左侧边栏中,点击 Roles(角色)> Create a New Role(创建新角色)。
- 在 Set role name(设置角色名称)下方,输入角色名称。
- 点击 Continue Step(继续步骤)。
- 在 Select Role Type(选择角色类型)页面的 Role for Identity Provider Access(身份提供商访问权限角色)下方,选择 Grant Web Single Sign-On (WebSSO) access to SAML providers(向 SAML 提供商授予网络单点登录 (WebSSO) 访问权限)。
- 点击 Continue Step(继续步骤)。
- 在 Establish trust(建立信任)页面上,保留默认设置,然后点击 Next Step(下一步)。
- 选择关于向通过 Google SSO 登录 AWS 的用户授予权限的政策。示例:AdministratorAccess。
- 点击 Continue Step(继续步骤)。
- 在随后出现的页面上,复制并保存角色 ARN,其中包含您的 AWS 帐号 ID 和角色的名称。在下文的第 4 步中,您需要使用此值来配置每个用户的自定义 Amazon 用户属性。
示例:arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- 点击 Create the Role(创建角色)。
- 从身份提供商列表中选择 Google 服务,然后复制并保存提供商 ARN。其中包含您的 AWS 帐号 ID 和提供商的名称。在下文的第 4 步中,您需要使用此值来配置每个用户的自定义 Amazon 用户属性。
示例:arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace。
- 点击保存以保存联合网络单点登录配置详情。
- 返回已打开管理控制台的浏览器标签页。
-
在管理控制台中,依次点击“菜单”图标 应用 Web 应用和移动应用。
- 在搜索字段中输入 Amazon Web Services。
- 在搜索结果中,将光标悬停在 Amazon Web Services SAML 应用上方,然后点击选择。
- 在 Google 身份提供商详细信息页面上,点击继续。
在服务提供商详细信息页面上,Amazon Web Services 的 ACS 网址和实体 ID 值已默认配置完成。
- 点击继续。
- 在属性映射页面上,点击选择字段菜单,然后将以下 Google 目录属性映射到其对应的 Amazon Web Services 属性:
Google 目录属性 Amazon Web Services 属性 基本信息 > 主电子邮件 https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > 角色* https://aws.amazon.com/SAML/Attributes/Role (*) 在上文的准备工作部分创建的自定义属性。
-
(可选)如需输入与此应用相关的群组名称,请执行以下操作:
- 在群组成员资格(可选)部分,点击搜索群组,输入群组名称的一个或多个字母,然后选择群组名称。
- 根据需要添加其他群组(最多 75 个群组)。
- 在应用属性部分,输入服务提供商的相应群组属性名称。
无论您输入多少个群组名称,SAML 回复都仅包含用户所属的群组(直接或间接)。有关详情,请参阅群组成员资格映射简介。
- 点击完成。
-
-
在管理控制台中,依次点击“菜单”图标 应用 Web 应用和移动应用。
- 选择 Amazon Web Services。
-
点击用户访问权限。
-
如要为组织中所有人启用或停用某项服务,请点击对所有人启用或对所有人停用,然后点击保存。
-
(可选):要为某个单位部门开启或关闭服务,请执行以下操作:
- 在左侧,选择单位部门。
- 要更改服务状态,请选择开启或关闭。
- 根据需要选择一项设置:
- 如果“服务状态”已设为已继承,并且您想要保留更新后的设置,那么即使上级单位的设置发生变化,也请点击覆盖。
- 如果服务状态设为已覆盖,请点击继承以还原为与上级单位相同的设置,或点击保存以保留新设置,即使上级单位的设置发生变化也不受影响。
注意:详细了解组织结构。
-
如果要为单位部门内或一组特定用户启用某项服务,请选择一个访问权限群组。有关详情,请参阅对群组启用服务。
- 确保您的 Amazon Web Services 用户帐号电子邮件 ID 与 Google 网域中的 ID 相匹配。
- 对于通过 SSO 登录 AWS 的每位用户,请配置您在准备工作中创建的自定义用户属性:
- 在用户的帐号页面,点击用户信息。
- 点击 Amazon 自定义属性。
- 在 Role(角色)字段中,添加 AWS 角色 ARN 和提供商 ARN(在第 2 步中复制),并以英文逗号分隔,如下所示:
arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
- 点击保存。
注意:确保您仍然登录到用于配置 Amazon Web Services 的帐号。
-
-
在管理控制台中,依次点击“菜单”图标 应用 Web 应用和移动应用。
- 选择 Amazon Web Services。
- 点击左上方的登录以测试 SAML 应用。
系统应该会在另一标签页中打开 Amazon Web Services。否则,请按照显示的 SAML 错误消息中的信息,根据需要更新 IdP 和 SP 设置,然后重新测试 SAML 登录。
您无需为 Amazon Web Services 设置用户配置。
AWS 支持角色登录所有经过 SAML 2.0 Idp(身份提供商)验证的联合用户。将属性值 https://aws.amazon.com/SAML/Attributes/Role 映射到与 Amazon Web Services 帐号对应的自定义属性,以此指定角色。详见上文的第 3 步。
创建此角色映射后,已启用 SAML SSO 的用户可以登录到 AWS 管理控制台,使用指定的 AWS 身份和访问权限管理 (IAM) 角色,您无需在管理控制台中创建对应的 IAM 用户。
请参阅 AWS 文档,详细了解如何映射 AWS 角色。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。