Applicazione cloud Amazon Web Services

Prima di configurare il provisioning degli utenti, devi creare un attributo utente personalizzato per Amazon Web Services. Segui questi passaggi:

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

2. Nella Console di amministrazione, vai a Menu  DirectoryUtenti.
3. Nella parte superiore dell'elenco Utenti, fai clic su Altro Gestisci attributi personalizzati.
   
4. In alto a destra, fai clic su Aggiungi attributo personalizzato.
5. Configura l'attributo personalizzato come descritto di seguito:
   • Categoria: Amazon
   • Descrizione: Attributi personalizzati Amazon

   Nella sezione Campi personalizzati, inserisci i seguenti valori:

   • Nome: Ruolo
   • Tipo di informazioni: Testo
   • Visibilità: Visibile a utente e amministratore
   • N. di valori: Multivalore
6. Fai clic su Aggiungi.

   La nuova categoria viene visualizzata nella pagina Gestisci attributi utente.

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

2. Nella Console di amministrazione, vai a Menu.  Sicurezza Autenticazione SSO con applicazioni SAML.

   Per questa attività, devi aver eseguito l'accesso come super amministratore.

3. Scarica i Metadati IDP.

Lascia aperta la Console di amministrazione, servirà per continuare la procedura di configurazione SSO dopo aver eseguito il passaggio successivo nella Console di gestione Amazon.

1. In una nuova scheda del browser, accedi alla Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
2. Nel riquadro di navigazione, seleziona Identity Providers (Provider di identità) > Create Provider (Crea provider).
3. In Provider Type (Tipo di provider), seleziona SAML.
4. Inserisci un valore nel campo Provider Name (Nome provider), ad esempio Google Workspace.
5. Fai clic su Choose File (Scegli file) e seleziona il file di metadati IDP che hai scaricato nel passaggio 1.
6. Fai clic su Continue Step (Continua passaggio), quindi fai clic su Create (Crea).

   Nella pagina Identity Providers (Provider di identità), Google Workspace dovrebbe essere visualizzato nella tabella degli IdP.

7. Nella barra laterale sinistra, fai clic su Roles (Ruoli) > Create a New Role (Crea un nuovo ruolo).
8. In Set role name (Imposta nome del ruolo), inserisci un nome per il ruolo.
9. Fai clic su Continue Step (Continua passaggio).
10. Nella pagina Select Role Type (Seleziona tipo di ruolo), in Role for Identity Provider Access (Ruolo per accesso provider di identità), seleziona l'opzione che consente di concedere l'accesso WebSSO (Web Single Sign-On) ai provider SAML. 
11. Fai clic su Continue Step (Continua passaggio).
12. Nella pagina Establish trust (Stabilisci relazione di trust), lascia le impostazioni predefinite e fai clic su Next Step (Passaggio successivo).
13. Scegli i criteri per concedere le autorizzazioni agli utenti che accedono ad AWS tramite il servizio SSO di Google. Esempio: AdministratorAccess. 
14. Fai clic su Continue Step (Continua passaggio).
15. Nella pagina seguente, copia e salva l'ARN del ruolo, che contiene l'ID account AWS e il nome del ruolo. Questo valore è necessario per configurare l'attributo utente Amazon personalizzato per ciascun utente nel passaggio 4 descritto di seguito.

    Esempio: arn:aws:iam::NUMERO_ACCOUNT:ruolo/SSO

16. Fai clic su Create the Role (Crea il ruolo).
17. Seleziona il tuo servizio Google dall'elenco dei provider di identità, quindi copia e salva l'ARN del provider, che contiene il l'ID del tuo account AWS e il nome del provider. Questo valore è necessario per configurare l'attributo utente Amazon personalizzato per ciascun utente nel passaggio 4 descritto di seguito.

    Esempio: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.

18. Fai clic su Save (Salva) per salvare i dettagli della configurazione del Web SSO federativo.

1. Torna alla scheda del browser in cui è aperta la Console di amministrazione.
2. Nella Console di amministrazione, vai a Menu  ApplicazioniApplicazioni web e app mobile.
3. Inserisci Amazon Web Services nel campo di ricerca.
4. Nei risultati di ricerca, passa il mouse sopra l'app SAML Amazon Web Services e fai clic su Seleziona.
5. Nella pagina Dettagli del provider di identità Google, fai clic su Continua.

   Nella pagina Dettagli del fornitore di servizi, i valori dei campi URL ACS e ID entità per Amazon Web Services sono configurati per impostazione predefinita.

6. Fai clic su Continua.
7. Nella pagina Mappatura attributi, fai clic sul menu Seleziona campo e mappa i seguenti attributi della directory Google agli attributi di Amazon Web Services corrispondenti:
    

   Attributo directory Google	Attributo Amazon Web Services
   Informazioni di base > Email principale	https://aws.amazon.com/SAML/Attributes/RoleSessionName
   Amazon > Ruolo*	https://aws.amazon.com/SAML/Attributes/Role

   (*) Attributo personalizzato creato nella sezione Prima di iniziare.

8. (Facoltativo) Per inserire nomi di gruppi pertinenti per questa app:

   1. In (Facoltativo) Appartenenza al gruppo, fai clic su Cerca un gruppo, inserisci una o più lettere del nome del gruppo e seleziona il nome del gruppo.
   2. Se necessario, aggiungi altri gruppi (massimo 75).
   3. Per Attributo App, inserisci il nome dell'attributo dei gruppi corrispondente del fornitore di servizi.

   Indipendentemente dal numero di nomi di gruppi che inserisci, la risposta SAML includerà solo i gruppi a cui un utente appartiene direttamente o indirettamente. Per saperne di più, vai a Informazioni sulla mappatura dell'iscrizione al gruppo.

9. Fai clic su Fine.

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

2. Nella Console di amministrazione, vai a Menu  ApplicazioniApplicazioni web e app mobile.
3. Seleziona Amazon Web Services.
4. Fai clic su Accesso utenti.

5. Per attivare o disattivare un servizio per tutti gli utenti dell'organizzazione, fai clic su ON per tutti o OFF per tutti, quindi fai clic su Salva.

6. (Facoltativo) Per attivare o disattivare un servizio per un'unità organizzativa:

   1. A sinistra, seleziona l'unità organizzativa.
   2. Per modificare lo stato del servizio, seleziona ON o OFF.
   3. Scegli un'opzione:
      • Se lo stato del servizio è impostato su Ereditato e vuoi mantenere l'impostazione aggiornata, anche se quella di livello superiore viene modificata, fai clic su Ignora.
      • Se lo stato del servizio è impostato su Ignorato, fai clic su Eredita per ripristinare la stessa impostazione del livello superiore oppure fai clic su Salva per mantenere la nuova impostazione anche in caso di modifica dell'impostazione di livello superiore.
        Nota: scopri di più sulla struttura organizzativa.
7. Per attivare un servizio per un insieme di utenti all'interno di una o tutte le unità organizzative, seleziona un gruppo di accesso. Per informazioni dettagliate, consulta l'articolo che spiega come attivare un servizio per un gruppo.
8. Assicurati che gli ID email degli account utente di Amazon Web Services corrispondano a quelli presenti nel dominio Google.
9. Per ogni utente che accede ad AWS tramite SSO, configura l'attributo utente personalizzato che hai creato in Prima di iniziare:
   1. Nella pagina dell'account dell'utente, fai clic su Informazioni utente.
   2. Fai clic sull'attributo personalizzato Amazon.
   3. Nel campo Ruolo, aggiungi l'ARN del ruolo AWS e l'ARN del fornitore (copiati nel passaggio 2) separati da una virgola, come segue: 

      arn:aws:iam::NUMERO_ACCOUNT:role/SSO,arn:aws:iam::NUMERO_ACCOUNT:provider/GoogleWorkspace

   4. Fai clic su Salva.

Nota: assicurati di utilizzare l'account in cui hai configurato Amazon Web Services.

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).

2. Nella Console di amministrazione, vai a Menu  ApplicazioniApplicazioni web e app mobile.
3. Seleziona Amazon Web Services.
4. In alto a sinistra, fai clic su Verifica accesso SAML. 

   Amazon Web Services dovrebbe aprirsi in una scheda separata. In caso contrario, utilizza le informazioni nei messaggi di errore SAML restituiti per aggiornare le impostazioni del provider di identità e del fornitore di servizi nel modo opportuno, quindi esegui di nuovo il test dell'accesso SAML.

Non è necessario configurare il provisioning degli utenti per Amazon Web Services.

AWS supporta gli accessi basati sui ruoli per tutti gli utenti federati autenticati dai provider di identità SAML 2.0. Specifica il ruolo mappando il valore dell'attributo https://aws.amazon.com/SAML/Attributes/Role a un attributo personalizzato corrispondente all'account Amazon Web Services. Vedi il Passaggio 3 qui sopra.

Dopo che avrai creato questa mappatura dei ruoli, gli utenti che hanno attivato l'accesso SSO tramite SAML potranno accedere alla Console di gestione AWS in uno specifico ruolo AWS Identity and Access Management (IAM, Gestione identità e accessi), senza che sia necessario creare utenti IAM corrispondenti nella Console di gestione.

Per maggiori dettagli sulla mappatura dei ruoli di Amazon Web Services, consulta la documentazione di AWS.