U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
Met Security Assertion Markup Language (SAML) kunnen uw gebruikers hun inloggegevens voor Google Cloud gebruiken om in te loggen bij zakelijke cloud-apps.
SSO via SAML instellen voor Amazon Web Services
Hier leest u hoe u Single sign-on (SSO) via SAML instelt voor de Amazon Web Services-app.
Voordat u begintVoordat u de gebruikersregistratie instelt, moet u een aangepast gebruikerskenmerk maken voor Amazon Web Services. Volg deze stappen:
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
- Ga in de Beheerdersconsole naar Menu DirectoryGebruikers.
- Klik bovenaan de lijst Gebruikers op Meer Aangepaste kenmerken beheren.
- Klik rechtsboven op Aangepast kenmerk toevoegen.
- Stel het aangepaste kenmerk als volgt in:
- Categorie: Amazon
- Beschrijving: aangepaste kenmerken van Amazon
Voer bij Aangepaste velden het volgende in:
- Naam: rol
- Informatietype: tekst
- Zichtbaarheid: zichtbaar voor gebruiker en beheerder
- Aantal waarden: meerdere waarden
- Klik op Toevoegen.
De nieuwe categorie verschijnt op de pagina Gebruikerskenmerken beheren.
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingVerificatieSSO met SAML-apps.
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
- Download de IdP-metadata.
Laat de Beheerdersconsole open staan. Nadat u de volgende stap heeft uitgevoerd in de Amazon Management Console, gaat u door met SSO instellen.
- Log in een nieuw browsertabblad in bij de AWS Management Console en open de IAM-console via https://console.aws.amazon.com/iam/.
- Selecteer in het navigatievenster Identity Providers (Identiteitsproviders) > Create Provider (Provider maken).
- Selecteer SAML bij Provider Type (Providertype).
- Voer bij Provider Name, (Providernaam) een naam in, zoals GoogleWorkspace.
- Klik op Choose File (Bestand kiezen) en selecteer het IdP-metadatabestand dat u heeft gedownload in stap 1 hierboven.
- Klik op Continue Step (Doorgaan met stap) en klik op Create (Maken).
Als het goed is, staat GoogleWorkspace nu op de pagina Identity Providers (Identiteitsproviders) in de tabel met IdP's.
- Klik in de linker zijbalk op Roles (Rollen) > Create a New Role (Nieuwe rol maken).
- Voer onder Set role name (Rolnaam instellen) een naam in bij Role Name (Rolnaam).
- Klik op Continue Step (Doorgaan met stap).
- Selecteer op de pagina Select Role Type (Roltype selecteren), onder Role for Identity Provider Access (Rol voor identiteitsprovidertoegang) de optie Grant Web Single Sign-On (WebSSO) access to SAML providers Web Single Sign-on-toegang (WebSSO) geven an SAML-providers).
- Klik op Continue Step (Doorgaan met stap).
- Laat de standaardinstellingen staan op de pagina Establish trust (Vertrouwen vaststellen) en klik op Next Step (Volgende stap).
- Kies beleidsregels om gebruikers die via Google SSO inloggen bij AWS bepaalde rechten te geven. Voorbeeld: AdministratorAccess.
- Klik op Continue Step (Doorgaan met stap).
- Kopieer op de volgende pagina de Role ARN, waarin uw AWS-account-ID staat en de naam van de rol. Deze waarde is nodig om het aangepaste Amazon-gebruikerskenmerk voor elke gebruiker te configureren in stap 4 hieronder.
Voorbeeld: arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- Klik op Create the Role (De rol maken).
- Selecteer je Google-service in de lijst met identiteitsproviders en kopieer en bewaar de ARN van aanbieders. Deze bevat de ID van uw AWS-account en de naam van de provider. Deze waarde is nodig om het aangepaste Amazon-gebruikerskenmerk voor elke gebruiker te configureren in stap 4 hieronder.
Voorbeeld: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.
- Klik op Opslaan om de configuratiegegevens voor de gefedereerde Web Single sign-on op te slaan.
- Ga terug naar het browsertabblad met de Beheerdersconsole.
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
- Voer Amazon Web Services in het zoekveld in.
- Plaats in de zoekresultaten de muisaanwijzer op de SAML-app van Amazon Web Services en klik op Selecteren.
- Klik op de pagina Google-identiteitsprovidergegevens op Doorgaan.
Op de pagina Serviceprovidergegevens worden de waarden in de velden ACS-URL en Entiteits-ID voor Amazon Web Services standaard ingesteld.
- Klik op Doorgaan.
- Klik op de pagina Kenmerktoewijzing op het menu Veld selecteren en wijs de volgende Google-directorykenmerken toe aan de bijbehorende kenmerken voor Amazon Web Services:
Google-directorykenmerk Amazon Web Services-kenmerk Basic Information > Primary Email (Algemene informatie > Primaire e-mailadres) https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > Role* (Rol) https://aws.amazon.com/SAML/Attributes/Role (*) Het aangepaste kenmerk dat u heeft gemaakt in Voordat u begint hierboven.
-
(Optioneel) Groepsnamen invoeren die relevant zijn voor deze app:
- Klik bij Groepslidmaatschap (optioneel) op Zoeken naar een groep. Voer een of meer letters van de groepsnaam in en selecteer de groepsnaam.
- Voeg naar wens extra groepen toe (maximaal 75 groepen).
- Vul bij App-kenmerk de naam in van het overeenkomstige groepskenmerk van de serviceprovider.
Ongeacht de hoeveelheid groepsnamen die u invult, bevat de SAML-reactie alleen groepen waarvan een gebruiker lid is (direct of indirect). Ga voor meer informatie naar Over het toewijzen van groepslidmaatschappen.
- Klik op Voltooien.
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
- Selecteer Amazon Web Services.
-
Klik op Gebruikerstoegang.
-
Als u een service wilt aan- of uitzetten voor iedereen in uw organisatie, klikt u op Aan voor iedereen of Uit voor iedereen. Klik dan op Opslaan.
-
(Optioneel) Zo zet u service aan of uit voor een organisatie-eenheid:
- Selecteer links de organisatie-eenheid.
- Selecteer Aan of Uit om de servicestatus te wijzigen.
- Kies een van deze opties:
- Als de servicestatus is ingesteld op Overgenomen en u de geüpdatete instelling wilt behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd, klikt u op Overschrijven.
- Als de servicestatus is ingesteld op Overschrijven, klikt u op Overnemen om de instelling hetzelfde te maken als de instelling voor de bovenliggende organisatie-eenheid, of op Opslaan om de nieuwe instelling te behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd.
Opmerking: Bekijk meer informatie over de organisatiestructuur.
-
Als u een service wilt inschakelen voor een groep gebruikers binnen een organisatie-eenheid of in verschillende organisatie-eenheden, selecteert u een toegangsgroep. Zie Services inschakelen voor toegangsgroepen voor meer informatie.
- Controleer of de e-mail-ID's voor het Amazon Web Services-gebruikersaccount overeenkomen met die in uw Google-domein.
- Stel voor elke gebruiker die inlogt bij AWS via SSO het aangepaste gebruikerskenmerk in dat u heeft gemaakt in Voordat u begint:
- Klik op de accountpagina van de gebruiker op Gebruikersgegevens.
- Klik op het aangepaste kenmerk Amazon.
- Voeg in het veld Rol de AWS Role ARN en Provider ARN tpe (gekopieerd in stap 2 hierboven) gescheiden door een komma:
arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
- Klik op Opslaan.
Opmerking: Zorg dat u nog steeds bent ingelogd op het account waarmee u Amazon Web Services heeft ingesteld.
-
Log in bij de Google Beheerdersconsole.
Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsWeb- en mobiele apps.
- Selecteer Amazon Web Services.
- Klik linksboven op Test SAML login (SAML-login testen).
Als het goed is, wordt Amazon Web Services geopend in een nieuw tabblad. Als dit niet het geval is, gebruikt u de informatie in de SAML-foutmeldingen die worden weergegeven om de IdP- en SP-instellingen te updaten en test u de SAML-inlog opnieuw.
U hoeft de gebruikersregistratie niet in te stellen voor Amazon Web Services.
AWS ondersteunt rolgebaseerde logins bij alle SAML 2.0 IdP-geverifieerde gefedereerde gebruikers. Geef de rol op door de kenmerkwaarde https://aws.amazon.com/SAML/Attributes/Role toe te wijzen aan een aangepast kenmerk dat overeenkomt met het Amazon Web Services-account. Zie stap 3 hierboven.
Nadat u deze roltoewijzing heeft gemaakt, kunnen gebruikers waarvoor SAML SSO is ingeschakeld, inloggen bij de AWS-beheerconsole. Ze krijgen daar een gespecificeerde AWS-rol voor identiteits- en toegangsbeheer (IAM), zonder dat u eerst overeenkomende IAM-gebruikers hoeft te maken in de beheerconsole.
Bekijk de AWS-documentatie voor meer informatie over AWS-roltoewijzingen.
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.