Aplikasi cloud Amazon Web Services

Anda harus login sebagai administrator super untuk tugas ini.

Dengan Security Assertion Markup Language (SAML), pengguna Anda dapat menggunakan kredensial Google Cloud untuk login ke aplikasi cloud perusahaan.

Menyiapkan SSO melalui SAML untuk Amazon Web Services

Berikut cara menyiapkan Single Sign-On (SSO) melalui SAML untuk aplikasi Amazon Web Services.

Sebelum memulai

Sebelum menyiapkan penyediaan pengguna, Anda harus membuat atribut pengguna khusus untuk Amazon Web Services. Ikuti langkah-langkah berikut:

  1. Login ke Konsol Google Admin.

    Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu DirektorilaluPengguna.
  3. Di bagian atas daftar Pengguna, klik Lainnya laluKelola atribut khusus.
  4. Di kanan atas, klik Tambahkan Atribut Khusus.
  5. Konfigurasikan atribut khusus sebagai berikut:
    • Kategori: Amazon
    • Deskripsi: Atribut Khusus Amazon

    Untuk Kolom kustom, masukkan detail berikut:

    • Nama: Peran
    • Jenis info: Teks
    • Visibilitas: Dapat dilihat oleh pengguna dan admin
    • Jumlah nilai: Multinilai
  6. Klik Tambahkan.

    Kategori baru akan muncul di halaman Kelola atribut pengguna.

Langkah 1: Dapatkan informasi penyedia identitas (IdP) Google
  1. Login ke Konsol Google Admin.

    Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan aplikasi SAML.

    Anda harus login sebagai administrator super untuk tugas ini.

  3. Download Metadata IDP.

Biarkan konsol Admin terbuka, Anda akan melanjutkan konfigurasi SSO setelah melakukan langkah berikutnya di Konsol Pengelolaan Amazon.

Langkah 2: Siapkan Amazon Web Services sebagai penyedia layanan (SP) SAML 2.0
  1. Di tab browser baru, login ke Konsol Pengelolaan AWS, lalu buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Di panel navigasi, pilih Identity Providers > Create Provider.
  3. Untuk Provider Type, pilih SAML.
  4. Masukkan Nama Penyedia, misalnya GoogleWorkspace.
  5. Klik Choose File, lalu pilih file metadata IDP yang Anda download pada Langkah 1 di atas.
  6. Klik Continue Step, lalu klik Create.

    Di halaman Identity Providers, GoogleWorkspace akan muncul di tabel IdP.

  7. Di sidebar sebelah kiri, klik Roles > Create a New Role.
  8. Di bagian Set role name, masukkan Nama Peran.
  9. Klik Continue Step.
  10. Di halaman Select Role Type, di bagian Role for Identity Provider Access, pilih Grant Web Single Sign-On (WebSSO) access to SAML providers
  11. Klik Continue Step.
  12. Di halaman Establish trust, biarkan setelan default, lalu klik Next Step.
  13. Pilih kebijakan untuk memberikan izin kepada pengguna yang login ke AWS melalui SSO Google. Contoh: AdministratorAccess. 
  14. Klik Continue Step.
  15. Di halaman berikutnya, salin dan simpan ARN Peran, yang berisi nama peran dan ID Akun AWS Anda. Nilai ini diperlukan untuk mengonfigurasi atribut pengguna Amazon kustom untuk setiap pengguna di Langkah 4 di bawah.

    Contoh: arn:aws:iam::ACCOUNT_NUMBER:role/SSO

  16. Klik Create the Role.
  17. Pilih layanan Google dari daftar penyedia identitas, lalu salin dan simpan ARN Penyedia. ARN Penyedia berisi ID Akun AWS Anda dan nama penyedia. Nilai ini diperlukan untuk mengonfigurasi atribut pengguna Amazon kustom untuk setiap pengguna di Langkah 4 di bawah.

    Contoh: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.

  18. Klik Save untuk menyimpan detail konfigurasi single sign-on Web yang Difederasi.
Langkah 3: Siapkan Google sebagai penyedia identitas (IdP) SAML
  1. Kembali ke tab browser tempat Konsol Admin terbuka.
  2. Di konsol Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.
  3. Masukkan Amazon Web Services di kolom penelusuran.
  4. Di hasil penelusuran, arahkan kursor ke aplikasi SAML Amazon Web Services, lalu klik Pilih.
  5. Di halaman Detail Penyedia Identitas Google, klik Lanjutkan.

    Di halaman Detail penyedia layanan, nilai URL ACS dan ID Entitas untuk Amazon Web Services dikonfigurasikan secara default.

  6. Klik Lanjutkan.
  7. Di halaman Pemetaan Atribut, klik menu Pilih kolom dan petakan atribut direktori Google berikut ke atribut Amazon Web Services yang sesuai:
     
    Atribut direktori Google Atribut Amazon Web Services
    Informasi Dasar > Email Utama https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Peran* https://aws.amazon.com/SAML/Attributes/Role

    (*) Atribut khusus yang dibuat pada Sebelum memulai di atas.

  8. (Opsional) Guna memasukkan nama grup yang relevan untuk aplikasi ini:
    1. Untuk Keanggotaan grup (opsional), klik Telusuri grup, masukkan satu atau beberapa huruf dari nama grup, lalu pilih nama grup.
    2. Tambahkan grup lainnya sesuai kebutuhan (maksimum 75 grup).
    3. Untuk Atribut aplikasi, masukkan nama atribut grup yang sesuai dari penyedia layanan.

    Terlepas dari jumlah nama grup yang Anda masukkan, respons SAML hanya akan menyertakan grup tempat pengguna bergabung (secara langsung atau tidak langsung). Untuk mengetahui informasi selengkapnya, buka Tentang pemetaan keanggotaan grup.

  9. Klik Selesai.
Langkah 4: Aktifkan aplikasi Amazon Web Services
  1. Login ke Konsol Google Admin.

    Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.
  3. Pilih Amazon Web Services.
  4. Klik Akses pengguna.

  5. Untuk mengaktifkan atau menonaktifkan layanan bagi semua orang di organisasi, klik Aktif untuk semua orang atau Nonaktif untuk semua orang, lalu klik Simpan.

  6. (Opsional) Untuk mengaktifkan atau menonaktifkan layanan bagi unit organisasi:
    1. Di sebelah kiri, pilih unit organisasi.
    2. Untuk mengubah status Layanan, pilih Aktif atau Nonaktif.
    3. Pilih salah satu:
      • Jika status Layanan ditetapkan ke Diwariskan dan Anda ingin mempertahankan setelan yang telah diperbarui meskipun setelan induknya berubah, klik Ganti.
      • Jika status Layanan ditetapkan ke Diganti, klik Warisi untuk kembali ke setelan yang sama dengan induknya, atau klik Simpan untuk menyimpan setelan baru meskipun setelan induknya berubah.
        Catatan: Pelajari struktur organisasi lebih lanjut.
  7. Untuk mengaktifkan layanan bagi sekumpulan pengguna di seluruh atau di dalam unit organisasi, pilih grup akses. Untuk mengetahui detailnya, buka mengaktifkan layanan untuk grup.
  8. Pastikan ID email akun pengguna Amazon Web Services cocok dengan ID yang ada di domain Google Anda.
  9. Untuk setiap pengguna yang login ke AWS melalui SSO, konfigurasikan atribut pengguna khusus yang Anda buat pada bagian Before you begin:
    1. Di halaman akun pengguna, klik Informasi pengguna.
    2. Klik atribut khusus Amazon.
    3. Di kolom Role, tambahkan ARN Peran AWS dan ARN Penyedia (disalin dari Langkah 2 di atas) yang dipisahkan dengan koma, sebagai berikut: 

      arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    4. Klik Save.
Langkah 5: Pastikan SSO antara Google Workspace dan Amazon Web Services berfungsi (khusus Google Workspace)

Catatan: Pastikan Anda masih login ke akun tempat Amazon Web Services dikonfigurasikan.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.
  3. Pilih Amazon Web Services.
  4. Di kiri atas, klik Uji login SAML

    Amazon Web Services akan terbuka di tab terpisah. Jika tidak, gunakan informasi di pesan error SAML yang dihasilkan untuk memperbarui setelan IdP dan SP sesuai kebutuhan, lalu uji ulang login SAML.

Langkah 6: Siapkan penyediaan pengguna

Anda tidak perlu menyiapkan penyediaan pengguna untuk Amazon Web Services.

AWS mendukung login berdasarkan peran untuk semua pengguna yang difederasi yang diautentikasi IdP (Penyedia Identitas) SAML 2.0. Tentukan peran dengan memetakan nilai atribut https://aws.amazon.com/SAML/Attributes/Role ke atribut khusus yang sesuai dengan akun Amazon Web Services. Lihat Langkah 3 di atas.

Setelah Anda membuat pemetaan peran ini, pengguna dengan SSO SAML yang diaktifkan dapat login ke Konsol Pengelolaan AWS, ke peran Pengelolaan Identitas dan Akses (IAM) AWS yang ditentukan, tanpa Anda harus membuat pengguna IAM yang terkait di Konsol Pengelolaan.

Lihat dokumentasi AWS untuk mengetahui detail selengkapnya tentang pemetaan peran AWS.

 


Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
3826398770356256212
true
Pusat Bantuan Penelusuran
true
true
true
false
false