Amazon Web Services-Cloudanwendung

Bevor Sie die Nutzerverwaltung einrichten können, müssen Sie ein benutzerdefiniertes Nutzerattribut für Amazon Web Services erstellen. Gehen Sie so vor:

1. Melden Sie sich in der Google Admin-Konsole an.

   Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü    Verzeichnis  Nutzer.
3. Klicken Sie oben in der Liste Nutzer auf Mehr  Benutzerdefinierte Attribute verwalten.
   
4. Klicken Sie rechts oben auf Benutzerdefiniertes Attribut hinzufügen.
5. Legen Sie für das benutzerdefinierte Attribut folgende Einstellungen fest:
   • Kategorie: Amazon
   • Beschreibung: Benutzerdefinierte Amazon-Attribute

   Geben Sie unter Benutzerdefinierte Felder Folgendes ein:

   • Name: Rolle
   • Infotyp: Text
   • Sichtbarkeit: Sichtbar für Nutzer und Administrator
   • Anzahl der Werte: Mehrfachwert
6. Klicken Sie auf Hinzufügen.

   Die neue Kategorie wird auf der Seite Nutzerattribute verwalten angezeigt.

1. Melden Sie sich in der Google Admin-Konsole an.

   Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

2. Gehen Sie in der Admin-Konsole zu „Menü“  SicherheitAuthentifizierungSSO mit SAML-Anwendungen .

   Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

3. Laden Sie die IdP-Metadaten herunter.

Lassen Sie die Admin-Konsole geöffnet. Nach dem nächsten Schritt in der Amazon Management Console fahren Sie hier mit der SSO-Konfiguration fort.

1. Melden Sie sich auf einem neuen Browsertab in der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
2. Wählen Sie im Navigationsbereich Identity Providers (Identitätsanbieter) > Create Provider (Anbieter erstellen) aus.
3. Wählen Sie SAML als Provider Type (Anbietertyp) aus.
4. Geben Sie einen Provider Name (Providernamen) ein, z. B. GoogleWorkspace.
5. Klicken Sie auf Choose File (Datei auswählen) und wählen Sie die IdP-Metadatendatei aus, die Sie in Schritt 1 heruntergeladen haben.
6. Klicken Sie auf Continue Step (Fortfahren) und dann auf Create (Erstellen).

   Auf der Seite Identity Providers (Identitätsanbieter) sollte „GoogleWorkspace“ in der Tabelle der IdPs aufgeführt sein.

7. Klicken Sie in der linken Seitenleiste auf Roles > Create a New Role (Rollen > Eine neue Rolle erstellen).
8. Geben Sie unter Set role name (Rollennamen festlegen) einen Role Name (Rollennamen) ein.
9. Klicken Sie auf Continue Step (Fortfahren).
10. Wählen Sie auf der Seite Select Role Type (Rollentyp auswählen) unter Role for Identity Provider Access (Rolle für Identitätsanbieterzugriff) die Option Grant Web Single Sign-On (WebSSO) access to SAML providers (Zugriff per Web-Einmalanmeldung (WebSSO) für SAML-Anbieter gewähren) aus. 
11. Klicken Sie auf Continue Step (Fortfahren).
12. Behalten Sie auf der Seite Establish trust (Vertrauenswürdigkeit festlegen) die Standardeinstellungen bei und klicken Sie auf Next Step (Nächster Schritt).
13. Wählen Sie Richtlinien aus, um Nutzern die Anmeldung bei AWS über Google SSO zu erlauben. Beispiel: AdministratorAccess 
14. Klicken Sie auf Continue Step (Fortfahren).
15. Kopieren und speichern Sie den Rollen-ARN, der Ihre AWS-Konto-ID und den Namen der Rolle enthält. Dieser Wert wird benötigt, um das benutzerdefinierte Amazon-Nutzerattribut für jeden Nutzer in Schritt 4 unten zu konfigurieren.

    Beispiel: arn:aws:iam::ACCOUNT_NUMBER:role/SSO

16. Klicken Sie auf Create the Role (Rolle erstellen).
17. Wählen Sie Ihren Google-Dienst aus der Liste der Identitätsanbieter aus und kopieren und speichern Sie den Anbieter-ARN. Er enthält die ID Ihres AWS-Kontos und den Namen des Anbieters. Dieser Wert wird benötigt, um das benutzerdefinierte Amazon-Nutzerattribut für jeden Nutzer in Schritt 4 unten zu konfigurieren.

    Beispiel: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace

18. Klicken Sie auf Save (Speichern), um die Konfigurationsdetails für die Einmalanmeldung im Federated Web zu speichern.

1. Kehren Sie zum Browsertab zurück, in dem die Admin-Konsole geöffnet ist.
2. Gehen Sie in der Admin-Konsole zu „Menü“  AppsWeb- und mobile Apps.
3. Geben Sie Amazon Web Services in das Suchfeld ein.
4. Bewegen Sie den Mauszeiger in den Suchergebnissen auf die SAML-App Amazon Web Services und klicken Sie dann auf Select (Auswählen).
5. Klicken Sie auf der Seite Google Identity Provider details (Details zum Google-Identitätsanbieter) auf Continue (Weiter).

   Auf der Seite Service provider details (Details zum Dienstanbieter) sind die ACS URL (ACS-URL) und Entity ID (Entitäts-ID) für Amazon Web Services standardmäßig konfiguriert.

6. Klicken Sie auf Continue (Weiter).
7. Klicken Sie auf der Seite Attribute Mapping (Attributzuordnung) auf Select field (Feld auswählen) und ordnen Sie die folgenden Google-Verzeichnisattribute den entsprechenden Amazon Web Services-Attributen zu:
    

   Google-Verzeichnisattribut	Amazon Web Services-Attribut
   Basic Information > Primary Email (Allgemeine Informationen > Primäre E-Mail-Adresse)	https://aws.amazon.com/SAML/Attributes/RoleSessionName
   Amazon > Role* (Amazon > Rolle)	https://aws.amazon.com/SAML/Attributes/Role

   (*) Benutzerdefiniertes Attribut, das oben im Abschnitt Hinweis erstellt wurde.

8. Optional: So geben Sie Gruppennamen ein, die für diese App relevant sind:

   1. Klicken Sie unter Gruppenmitgliedschaft (optional) auf Nach einer Gruppe suchen, geben Sie einen oder mehrere Buchstaben des Gruppennamens ein und wählen Sie den Gruppennamen aus.
   2. Fügen Sie nach Bedarf weitere Gruppen hinzu (maximal 75 Gruppen).
   3. Geben Sie unter App-Attribut den entsprechenden Gruppenattributnamen des Dienstanbieters ein.

   Unabhängig davon, wie viele Gruppennamen Sie eingeben, enthält die SAML-Antwort nur Gruppen, in denen ein Nutzer direkt oder indirekt Mitglied ist. Weitere Informationen finden Sie unter Zuordnung von Gruppenmitgliedschaften.

9. Klicken Sie auf Finish (Beenden).

1. Melden Sie sich in der Google Admin-Konsole an.

   Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

2. Gehen Sie in der Admin-Konsole zu „Menü“  AppsWeb- und mobile Apps.
3. Wählen Sie Amazon Web Services aus.
4. Klicken Sie auf Nutzerzugriff.

5. Wenn Sie einen Dienst für alle Nutzer in Ihrer Organisation aktivieren oder deaktivieren möchten, klicken Sie auf Für alle aktiviert oder Für alle deaktiviert und anschließend auf Speichern.

6. Optional: Wenn Sie einen Dienst für eine Organisationseinheit aktivieren oder deaktivieren möchten:

   1. Wählen Sie links die Organisationseinheit aus.
   2. Wenn Sie den Dienststatus ändern möchten, wählen Sie An oder Aus aus.
   3. Wählen Sie eine Option aus:
      • Wenn der Dienststatus auf Übernommen gesetzt ist und Sie die aktualisierte Einstellung beibehalten möchten, auch wenn sich die übergeordnete Einstellung ändert, klicken Sie auf Überschreiben.
      • Wenn der Dienststatus auf Überschrieben festgelegt ist, klicken Sie auf Übernehmen, um die Einstellung des übergeordneten Elements wiederherzustellen, oder auf Speichern, um die neue Einstellung beizubehalten, auch wenn sich die übergeordnete Einstellung ändert.
        Hinweis: Weitere Informationen zur Organisationsstruktur
7. Soll ein Dienst für eine Gruppe von Nutzern aktiviert werden, die sich innerhalb einer Organisationseinheit oder über mehrere verteilt befinden, wählen Sie eine Zugriffsgruppe aus. Weitere Informationen
8. Prüfen Sie, ob die E-Mail-IDs des Amazon Web Services-Nutzerkontos mit denen in Ihrer Google-Domain übereinstimmen.
9. Konfigurieren Sie für jeden Nutzer, der sich über SSO in AWS anmeldet, das benutzerdefinierte Nutzerattribut, das Sie unter Hinweis erstellt haben:
   1. Klicken Sie auf der Kontoseite auf User information (Nutzerinformationen).
   2. Klicken Sie auf das benutzerdefinierte Attribut Amazon.
   3. Fügen Sie im Feld Role (Rolle) den AWS-Rollen-ARN und den Anbieter-ARN (siehe Schritt 2 oben) getrennt durch ein Komma hinzu: 

      arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

   4. Klicken Sie auf Save (Speichern).

Hinweis: Sie müssen noch in dem Konto angemeldet sein, in dem Sie Amazon Web Services konfiguriert haben.

1. Melden Sie sich in der Google Admin-Konsole an.

   Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

2. Gehen Sie in der Admin-Konsole zu „Menü“  AppsWeb- und mobile Apps.
3. Wählen Sie Amazon Web Services aus.
4. Klicken Sie links oben auf Test SAML login (SAML-Testanmeldung). 

   Amazon Web Services sollte in einem separaten Tab geöffnet werden. Ist das nicht der Fall, aktualisieren Sie die IdP- und SP-Einstellungen anhand der Informationen in den entsprechenden Fehlermeldungen zu SAML-Apps und testen Sie die SAML-Anmeldung noch einmal.

Für Amazon Web Services muss keine Nutzerverwaltung eingerichtet werden.

AWS unterstützt die rollenbasierte Anmeldung für alle über SAML 2.0-Identitätsanbieter authentifizierten, föderierten Nutzer. Geben Sie die Rolle an, indem Sie den Attributwert https://aws.amazon.com/SAML/Attributes/Role einem benutzerdefinierten Attribut zuordnen, das dem Amazon Web Services-Konto entspricht. Weitere Informationen finden Sie weiter oben in Schritt 3.

Nachdem Sie diese Rollenverknüpfung erstellt haben, können Nutzer mit SAML-Einmalanmeldung sich in der AWS-Managementkonsole bei einer bestimmten AWS IAM-Rolle (IAM = Identity and Access Management, Identitäts- und Zugriffsverwaltung) anmelden. Sie müssen keine entsprechenden IAM-Nutzer in der Managementkonsole erstellen.

Weitere Informationen zur Zuordnung von AWS-Rollen finden Sie in der Dokumentation zu AWS.