Amazon Web Services-cloud-app

U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.

Met Security Assertion Markup Language (SAML) kunnen uw gebruikers hun inloggegevens voor Google Cloud gebruiken om in te loggen bij zakelijke cloud-apps.

SSO via SAML instellen voor Amazon Web Services

Hier leest u hoe u Single sign-on (SSO) via SAML instelt voor de Amazon Web Services-app.

Voordat u begint

Voordat u de gebruikersregistratie instelt, moet u een aangepast gebruikerskenmerk maken voor Amazon Web Services. Volg deze stappen:

  1. Log in bij de Google Beheerdersconsole.

    Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Directoryand thenGebruikers.
  3. Klik bovenaan de lijst Gebruikers op Meer and thenAangepaste kenmerken beheren.
  4. Klik rechtsboven op Aangepast kenmerk toevoegen.
  5. Stel het aangepaste kenmerk als volgt in:
    • Categorie: Amazon
    • Beschrijving: aangepaste kenmerken van Amazon

    Voer bij Aangepaste velden het volgende in:

    • Naam: rol
    • Informatietype: tekst
    • Zichtbaarheid: zichtbaar voor gebruiker en beheerder
    • Aantal waarden: meerdere waarden
  6. Klik op Toevoegen.

    De nieuwe categorie verschijnt op de pagina Gebruikerskenmerken beheren.

Stap 1: Google-identiteitsprovidergegevens (IdP) ophalen
  1. Log in bij de Google Beheerdersconsole.

    Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand thenVerificatieand thenSSO met SAML-apps.

    U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.

  3. Download de IdP-metadata.

Laat de Beheerdersconsole open staan. Nadat u de volgende stap heeft uitgevoerd in de Amazon Management Console, gaat u door met SSO instellen.

Stap 2: Amazon Web Services instellen als SAML 2.0-serviceprovider (SP)
  1. Log in een nieuw browsertabblad in bij de AWS Management Console en open de IAM-console via https://console.aws.amazon.com/iam/.
  2. Selecteer in het navigatievenster Identity Providers (Identiteitsproviders) > Create Provider (Provider maken).
  3. Selecteer SAML bij Provider Type (Providertype).
  4. Voer bij Provider Name, (Providernaam) een naam in, zoals GoogleWorkspace.
  5. Klik op Choose File (Bestand kiezen) en selecteer het IdP-metadatabestand dat u heeft gedownload in stap 1 hierboven.
  6. Klik op Continue Step (Doorgaan met stap) en klik op Create (Maken).

    Als het goed is, staat GoogleWorkspace nu op de pagina Identity Providers (Identiteitsproviders) in de tabel met IdP's.

  7. Klik in de linker zijbalk op Roles (Rollen) > Create a New Role (Nieuwe rol maken).
  8. Voer onder Set role name (Rolnaam instellen) een naam in bij Role Name (Rolnaam).
  9. Klik op Continue Step (Doorgaan met stap).
  10. Selecteer op de pagina Select Role Type (Roltype selecteren), onder Role for Identity Provider Access (Rol voor identiteitsprovidertoegang) de optie Grant Web Single Sign-On (WebSSO) access to SAML providers Web Single Sign-on-toegang (WebSSO) geven an SAML-providers).
  11. Klik op Continue Step (Doorgaan met stap).
  12. Laat de standaardinstellingen staan op de pagina Establish trust (Vertrouwen vaststellen) en klik op Next Step (Volgende stap).
  13. Kies beleidsregels om gebruikers die via Google SSO inloggen bij AWS bepaalde rechten te geven. Voorbeeld: AdministratorAccess.
  14. Klik op Continue Step (Doorgaan met stap).
  15. Kopieer op de volgende pagina de Role ARN, waarin uw AWS-account-ID staat en de naam van de rol. Deze waarde is nodig om het aangepaste Amazon-gebruikerskenmerk voor elke gebruiker te configureren in stap 4 hieronder.

    Voorbeeld: arn:aws:iam::ACCOUNT_NUMBER:role/SSO

  16. Klik op Create the Role (De rol maken).
  17. Selecteer je Google-service in de lijst met identiteitsproviders en kopieer en bewaar de ARN van aanbieders. Deze bevat de ID van uw AWS-account en de naam van de provider. Deze waarde is nodig om het aangepaste Amazon-gebruikerskenmerk voor elke gebruiker te configureren in stap 4 hieronder.

    Voorbeeld: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.

  18. Klik op Opslaan om de configuratiegegevens voor de gefedereerde Web Single sign-on op te slaan.
Stap 3: Google instellen als SAML-identiteitsprovider (IdP)
  1. Ga terug naar het browsertabblad met de Beheerdersconsole.
  2. Ga in de Beheerdersconsole naar Menu and then Appsand thenWeb- en mobiele apps.
  3. Voer Amazon Web Services in het zoekveld in.
  4. Plaats in de zoekresultaten de muisaanwijzer op de SAML-app van Amazon Web Services en klik op Selecteren.
  5. Klik op de pagina Google-identiteitsprovidergegevens op Doorgaan.

    Op de pagina Serviceprovidergegevens worden de waarden in de velden ACS-URL en Entiteits-ID voor Amazon Web Services standaard ingesteld.

  6. Klik op Doorgaan.
  7. Klik op de pagina Kenmerktoewijzing op het menu Veld selecteren en wijs de volgende Google-directorykenmerken toe aan de bijbehorende kenmerken voor Amazon Web Services:
     
    Google-directorykenmerk Amazon Web Services-kenmerk
    Basic Information > Primary Email (Algemene informatie > Primaire e-mailadres) https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Role* (Rol) https://aws.amazon.com/SAML/Attributes/Role

    (*) Het aangepaste kenmerk dat u heeft gemaakt in Voordat u begint hierboven.

  8. (Optioneel) Groepsnamen invoeren die relevant zijn voor deze app:
    1. Klik bij Groepslidmaatschap (optioneel) op Zoeken naar een groep. Voer een of meer letters van de groepsnaam in en selecteer de groepsnaam.
    2. Voeg naar wens extra groepen toe (maximaal 75 groepen).
    3. Vul bij App-kenmerk de naam in van het overeenkomstige groepskenmerk van de serviceprovider.

    Ongeacht de hoeveelheid groepsnamen die u invult, bevat de SAML-reactie alleen groepen waarvan een gebruiker lid is (direct of indirect). Ga voor meer informatie naar Over het toewijzen van groepslidmaatschappen.

  9. Klik op Voltooien.
Stap 4: De Amazon Web Services-app activeren
  1. Log in bij de Google Beheerdersconsole.

    Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Appsand thenWeb- en mobiele apps.
  3. Selecteer Amazon Web Services.
  4. Klik op Gebruikerstoegang.

  5. Als u een service wilt aan- of uitzetten voor iedereen in uw organisatie, klikt u op Aan voor iedereen of Uit voor iedereen. Klik dan op Opslaan.

  6. (Optioneel) Zo zet u service aan of uit voor een organisatie-eenheid:
    1. Selecteer links de organisatie-eenheid.
    2. Selecteer Aan of Uit om de servicestatus te wijzigen.
    3. Kies een van deze opties:
      • Als de servicestatus is ingesteld op Overgenomen en u de geüpdatete instelling wilt behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd, klikt u op Overschrijven.
      • Als de servicestatus is ingesteld op Overschrijven, klikt u op Overnemen om de instelling hetzelfde te maken als de instelling voor de bovenliggende organisatie-eenheid, of op Opslaan om de nieuwe instelling te behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd.
        Opmerking: Bekijk meer informatie over de organisatiestructuur.
  7. Als u een service wilt inschakelen voor een groep gebruikers binnen een organisatie-eenheid of in verschillende organisatie-eenheden, selecteert u een toegangsgroep. Zie Services inschakelen voor toegangsgroepen voor meer informatie.
  8. Controleer of de e-mail-ID's voor het Amazon Web Services-gebruikersaccount overeenkomen met die in uw Google-domein.
  9. Stel voor elke gebruiker die inlogt bij AWS via SSO het aangepaste gebruikerskenmerk in dat u heeft gemaakt in Voordat u begint:
    1. Klik op de accountpagina van de gebruiker op Gebruikersgegevens.
    2. Klik op het aangepaste kenmerk Amazon.
    3. Voeg in het veld Rol de AWS Role ARN en Provider ARN tpe (gekopieerd in stap 2 hierboven) gescheiden door een komma: 

      arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    4. Klik op Opslaan.
Stap 5: Controleren of SSO werkt tussen Google Workspace en Amazon Web Services (alleen Google Workspace)

Opmerking: Zorg dat u nog steeds bent ingelogd op het account waarmee u Amazon Web Services heeft ingesteld.

  1. Log in bij de Google Beheerdersconsole.

    Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Appsand thenWeb- en mobiele apps.
  3. Selecteer Amazon Web Services.
  4. Klik linksboven op Test SAML login (SAML-login testen). 

    Als het goed is, wordt Amazon Web Services geopend in een nieuw tabblad. Als dit niet het geval is, gebruikt u de informatie in de SAML-foutmeldingen die worden weergegeven om de IdP- en SP-instellingen te updaten en test u de SAML-inlog opnieuw.

Stap 6: Gebruikersregistratie instellen

U hoeft de gebruikersregistratie niet in te stellen voor Amazon Web Services.

AWS ondersteunt rolgebaseerde logins bij alle SAML 2.0 IdP-geverifieerde gefedereerde gebruikers. Geef de rol op door de kenmerkwaarde https://aws.amazon.com/SAML/Attributes/Role toe te wijzen aan een aangepast kenmerk dat overeenkomt met het Amazon Web Services-account. Zie stap 3 hierboven.

Nadat u deze roltoewijzing heeft gemaakt, kunnen gebruikers waarvoor SAML SSO is ingeschakeld, inloggen bij de AWS-beheerconsole. Ze krijgen daar een gespecificeerde AWS-rol voor identiteits- en toegangsbeheer (IAM), zonder dat u eerst overeenkomende IAM-gebruikers hoeft te maken in de beheerconsole.

Bekijk de AWS-documentatie voor meer informatie over AWS-roltoewijzingen.

 


Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
6697829434955491690
true
Zoeken in het Helpcentrum
true
true
true
false
false