Amazon Web Services-cloud-app

Als u deze taak wilt uitvoeren, moet u zijn ingelogd als superbeheerder.

Met Security Assertion Markup Language (SAML) kunnen uw gebruikers hun inloggegevens voor Google Cloud gebruiken om in te loggen bij zakelijke cloud-apps.

SSO via SAML instellen voor Amazon Web Services

Hier leest u hoe u Single sign-on (SSO) via SAML instelt voor de Amazon Web Services®-app.

Stap 1: Amazon Web Services instellen als SAML 2.0-serviceprovider (SP)
  1. Log in bij de Google-beheerdersconsole.

    Log in met je beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Apps en dan SAML-apps.

    U moet wellicht onderaan klikken op Meer functies om Apps op de homepage te zien. 

  3. Klik op de knop Downloaden om de Google IDP-metadata en het X.509-certificaat te downloaden.
  4. Log in een nieuw browsertabblad in bij de AWS Management Console en open de IAM-console via https://console.aws.amazon.com/iam/.
  5. Selecteer Identiteitsproviders in het navigatievenster en klik op SAML-provider maken.
  6. Selecteer SAML als het Providertype en voer een naam in, zoals GoogleApps.
  7. Upload de IDP-metadata die u eerder heeft opgeslagen uit de SAML-instellingen in de Google-beheerdersconsole.
  8. Klik op Volgende stap en klik op de volgende pagina op Maken.
  9. Klik in de linkerzijbalk op het tabblad Rollen en klik op Een nieuwe rol maken om een rol te maken waarmee de rechten worden bepaald.
  10. Selecteer Naam rol instellen. Deze naam wordt weergegeven naast de inlognaam in de AWS-console.
  11. Selecteer Rol voor toegang identiteitsprovider.
  12. Selecteer Web Single sign-on-toegang (WebSSO) verlenen aan SAML-providers. Klik op Volgende stap.
  13. Laat de instellingen onder Vertrouwen vaststellen zoals ze zijn. Klik op Volgende stap.
  14. Gebruik de instellingen voor 'Beleid toevoegen' om het beleid te bepalen voor uw gefedereerde gebruikers. Klik op Volgende stap.
  15. Bekijk uw instellingen op de volgende pagina. Klik vervolgens op De rol maken.
  16. Selecteer uw Google-service uit de lijst met identiteitsproviders en noteer de Provider-ARN. Hierin staan uw AWS-account-ID en de naam van de provider (bijvoorbeeld arn:aws:iam::ACCOUNTNUMMER:saml-provider/GoogleApps). 
  17. Klik op Opslaan om de configuratiegegevens voor de gefedereerde Web Single sign-on op te slaan.
Stap 2: Google instellen als SAML-identiteitsprovider (IdP)
  1. Open een nieuw browsertabblad. 
    Log in bij de Google-beheerdersconsole.

    Log in met je beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Apps en dan SAML-apps.

    U moet wellicht onderaan klikken op Meer functies om Apps op de homepage te zien. 

  3. Klik onder in de hoek op de plus (+).
  4. Selecteer het item Amazon Web Services in de lijst. De waarden op de pagina Google-IDP-gegevens worden automatisch ingevuld.
  5. Er zijn twee manieren om de installatiegegevens van de serviceprovider op te halen:

    U kunt de waarden in de velden Entiteits-ID en Single sign-on-URL kopiëren en het X.509-certificaat downloaden, deze in de juiste velden voor de serviceproviderinstallatie plakken en vervolgens op Volgende klikken
    of
    U kunt de IDP-metadata downloaden, deze uploaden in de juiste velden voor de serviceproviderinstallatie en vervolgens teruggaan naar de beheerdersconsole en op Volgende klikken.
     
  6. In het venster Algemene app-gegevens worden de waarden App-naam en Omschrijving automatisch ingevuld.
  7. Klik op Volgende.
Stap 3: Amazon Web Services-specifieke serviceprovidergegevens invoeren in de Google-beheerdersconsole
  1. Voer in het gedeelte Serviceprovidergegevens het volgende in, in de velden Entiteits-IDACS-URL en Start-URL:
            ACS-URL: https://signin.aws.amazon.com/saml
            Entiteits-ID: https://signin.aws.amazon.com/saml
            Start-URL: <Leeg>
  2. Laat het vakje voor Ondertekende reactie leeg.
    Wanneer het vakje Ondertekende reactie niet is geselecteerd, wordt alleen de verklaring ondertekend. Wanneer het vakje Ondertekende reactie wel is geselecteerd, wordt de gehele reactie ondertekend.
  3. De standaard Naam-ID is het primaire e-mailadres. Het invoeren van meerdere waarden wordt niet ondersteund. U kunt de toewijzing Naam-ID indien nodig wijzigen. U kunt ook aangepaste kenmerken van het gebruikersschema gebruiken nadat deze zijn gemaakt met Google Admin SDK-API's. De aangepaste kenmerken voor het gebruikersschema moeten worden gemaakt voordat u de Amazon Web Services SAML-app instelt. 
  4. Klik op Volgende.
  5. Klik op Nieuwe toewijzing toevoegen en wijs de kenmerkwaarde https://aws.amazon.com/SAML/Attributes/RoleSessionName toe aan Algemene informatie > Primaire e-mailadres en de kenmerkwaarde https://aws.amazon.com/SAML/Attributes/Role toe aan een aangepast kenmerk dat overeenkomt met het Amazon Web Services-account.
  6. Selecteer in het dropdownmenu eerst de Categorie. Kies vervolgens een Gebruikerskenmerk om het kenmerk toe te wijzen uit het Google-profiel.
  7. Klik op Voltooien.
Stap 4: De Amazon Web Services-app activeren
  1. Log in bij de Google-beheerdersconsole.

    Log in met je beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Beveiliging en dan Single sign-on (SSO) instellen.

    U moet wellicht onderaan klikken op Meer functies om Beveiliging te zien. 

  3. Selecteer Amazon Web Services.
  4. Klik rechtsboven in het grijze vak op Service bewerken Opstellen.
    Links verschijnen de organisatie op het hoogste niveau en eventuele onderliggende organisatie-eenheden.

  5. Als u wilt dat instellingen gelden voor alle organisatie-eenheden, klikt u op Ingeschakeld voor iedereen of Uitgeschakeld voor iedereen. Klik vervolgens op Opslaan

  6. Ga als volgt te werk om instellingen toe te passen op individuele organisatie-eenheden: 

    • Selecteer links de organisatie-eenheid met de gebruikers voor wie u instellingen wilt wijzigen.
    • Selecteer Ingeschakeld of Uitgeschakeld om de instelling te wijzigen.
    • Klik op Overschrijven om de instelling hetzelfde te houden, zelfs als de instelling wordt gewijzigd in de bovenliggende organisatie-eenheid.
    • Als de organisatie-eenheid al de status Overschrijven heeft, kiest u een optie:
      Overnemen: de instelling wordt teruggezet op dezelfde instelling als in de bovenliggende organisatie-eenheid.
      Opslaan: de nieuwe instelling wordt opgeslagen (zelfs als de instelling wordt gewijzigd in de bovenliggende organisatie-eenheid).

    Meer informatie over de organisatiestructuur.

  7. Controleer of de e-mail-ID's voor het Amazon Web Services-gebruikersaccount overeenkomen met die in uw Google-domein.
Stap 5: Controleren of SSO werkt tussen G Suite en Amazon Web Services (alleen G Suite)

Opmerking: Zorg dat u nog steeds bent ingelogd op het account waarmee u Amazon Web Services heeft geconfigureerd.

  1. Open een kernservice van G Suite, zoals Google Agenda, Drive of Gmail. 
  2. Klik rechtsboven op de App Launcher App Launcher.
  3. Scrol naar het gedeelte Apps en klik op Amazon Web Services.
  4. Als u bent ingelogd op meerdere accounts, selecteert u het account waarvoor Amazon Web Services is geconfigureerd.
  5. Als u meer dan één rol heeft geconfigureerd, selecteert u een rol uit de lijst.
  6. Klik op Inloggen.

U bent nu ingelogd bij Amazon Web Services.

Stap 6: Gebruikersregistratie instellen

U hoeft de gebruikersregistratie niet in te stellen voor Amazon Web Services.

AWS ondersteunt rolgebaseerde logins bij alle SAML 2.0 IdP-geverifieerde gefedereerde gebruikers. Specificeer de rol door de kenmerkwaarde https://aws.amazon.com/SAML/Attributes/Role toe te wijzen aan een aangepast kenmerk dat overeenkomt met het Amazon Web Services-account. Zie stap 3 hierboven.

Nadat u deze roltoewijzing heeft gemaakt, kunnen gebruikers waarvoor SAML SSO is ingeschakeld, inloggen bij de AWS-beheerconsole. Ze krijgen daar een gespecificeerde AWS-rol voor identiteits- en toegangsbeheer (IAM), zonder dat u eerst overeenkomende IAM-gebruikers hoeft te maken in de beheerconsole.

Bekijk de AWS-documentatie voor meer informatie over AWS-roltoewijzingen.

Was dit nuttig?
Hoe kunnen we dit verbeteren?