App na nuvem Amazon Web Services

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

Com a Linguagem de marcação para autorização de segurança (SAML), seus usuários podem fazer login em apps empresariais na nuvem com as credenciais do Google Cloud.

Configurar o SSO via SAML no Amazon Web Services

Veja como configurar o SSO via SAML no app Amazon Web Services (AWS).

Antes de começar

Antes de configurar o provisionamento de usuários, você precisa criar um atributo de usuário personalizado para o Amazon Web Services. Siga estas etapas:

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Diretórioe depoisUsuários.
  3. Na parte de cima da lista Usuários, clique em Mais e depoisGerenciar atributos personalizados.
  4. À direita, na parte de cima, clique em Adicionar atributo personalizado.
  5. Configure o atributo personalizado da seguinte forma:
    • Categoria: Amazon
    • Descrição: atributos personalizados da Amazon

    Em Campos personalizados, digite o seguinte:

    • Nome: função
    • Tipo de informação: texto
    • Visibilidade: visível para o usuário e o administrador
    • Número de valores: valores múltiplos
  6. Clique em Adicionar.

    A nova categoria aparece na página Gerenciar atributos do usuário.

Etapa 1: receber informações do IdP do Google
  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAutenticaçãoe depoisSSO com aplicativos SAML.

    Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  3. Faça o download dos metadados do IDP.

Deixe o Admin Console aberto. Você continuará com a configuração do SSO depois que concluir a próxima etapa no Amazon Management Console.

Etapa 2: configurar o Amazon Web Services como um provedor de serviços (SP, na sigla em inglês) SAML 2.0
  1. Em uma nova guia do navegador, faça login no console de gerenciamento do AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.
  2. No painel de navegação, selecione Identity Providers > Create Provider.
  3. Em Provider Type, selecione SAML.
  4. Digite um Provider Name, como GoogleWorkspace.
  5. Clique em Choose File e selecione o arquivo de metadados do IdP que você salvou na etapa 1.
  6. Clique em Continue Step e em Create.

    Na página Identity Providers, "GoogleWorkspace" deve aparecer na tabela de IdPs.

  7. Na barra lateral à esquerda, clique em Roles > Create a New Role.
  8. Em Set role name, digite um Role Name.
  9. Clique em Continue Step.
  10. Na página Select Role Type, em Role for Identity Provider Access, selecione Grant Web Single Sign-On (WebSSO) access to SAML providers
  11. Clique em Continue Step.
  12. Na página Establish trust, mantenha as configurações padrão e clique em Next Step.
  13. Escolha políticas para conceder permissões aos usuários que fazem login no AWS via SSO do Google. Exemplo: AdministratorAccess.
  14. Clique em Continue Step.
  15. Na página seguinte, copie e salve "Role ARN", que contém o ID da conta do AWS e o nome da função. Esse valor é necessário para configurar o atributo de usuário personalizado da Amazon para cada usuário na Etapa 4 abaixo.

    Exemplo: arn:aws:iam::ACCOUNT_NUMBER:role/SSO

  16. Clique em Create the Role.
  17. Selecione seu serviço do Google na lista de provedores de identidade, copie e salve "Provider ARN". Ele contém o ID da conta do AWS e o nome do provedor. Esse valor é necessário para configurar o atributo de usuário personalizado da Amazon para cada usuário na Etapa 4 abaixo.

    Exemplo: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.

  18. Clique em Save para salvar os detalhes da configuração de SSO da Web federada.
Etapa 3: configurar o Google como um IdP SAML
  1. Retorne à guia do navegador em que o Admin Console está aberto.
  2. No Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.
  3. Digite Amazon Web Services no campo de pesquisa.
  4. Nos resultados da pesquisa, passe o cursor sobre o app SAML Amazon Web Services e clique em Selecionar.
  5. Na página Detalhes do Provedor de identidade do Google, clique em Continuar.

    Na página Detalhes do provedor de serviços, os valores URL do ACS e ID da entidade do Amazon Web Services são configurados por padrão.

  6. Clique em Continuar.
  7. Na página Mapeamento de atributos, clique no menu Selecionar campo e mapeie os seguintes atributos do diretório do Google para os atributos do Amazon Web Services correspondentes:
     
    Atributo do diretório do Google Atributo do Amazon Web Services
    Basic Information > Primary Email https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Role* https://aws.amazon.com/SAML/Attributes/Role

    (*) Atributo personalizado criado na seção Antes de começar acima.

  8. (Opcional) Para inserir nomes de grupos relevantes para este app:
    1. Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
    2. Adicione outros grupos conforme necessário (máximo de 75 grupos).
    3. Em Atributo do app, digite o nome do atributo de grupo correspondente do provedor de serviços.

    Independentemente do total de nomes de grupo informados, a resposta SAML incluirá apenas grupos de que o usuário faz parte (direta ou indiretamente). Confira mais informações em Sobre o mapeamento de associações a grupos.

  9. Clique em Concluir.
Etapa 4: ativar o app Amazon Web Services
  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.
  3. Selecione Amazon Web Services.
  4. Clique em Acesso do usuário.

  5. Se você quiser ativar ou desativar um serviço para todos na organização, clique em Ativar para todos ou Desativar para todos, depois clique em Salvar.

  6. (Opcional) Se você quiser ativar ou desativar um serviço para uma unidade organizacional:
    1. Selecione a unidade organizacional à esquerda.
    2. Para mudar o status do serviço, selecione Ativado ou Desativado.
    3. Escolha uma opção:
      • Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Modificar.
      • Caso o status do serviço esteja definido como Modificado, clique em Herdar para usar a configuração mãe ou clique em Salvar para manter a nova configuração mesmo que a configuração mãe seja alterada.
        Observação: saiba mais sobre a estrutura organizacional.
  7. Para ativar um serviço para um grupos de usuários de uma ou várias unidades organizacionais, selecione um grupo de acesso. Veja mais detalhes em Ativar um serviço para um grupo.
  8. Confirme que os IDs de e-mail da sua conta de usuário do Amazon Web Services correspondem aos do domínio do Google.
  9. Para cada usuário que faz login no AWS por SSO, configure o atributo personalizado que você criou em Antes de começar:
    1. Na página da conta do usuário, clique em Informações do usuário.
    2. Clique no atributo personalizado Amazon.
    3. No campo Role, adicione "AWS Role ARN" e "Provider ARN" (copiados na Etapa 2 acima) separados por uma vírgula, da seguinte maneira:

      arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    4. Clique em Save.
Etapa 5: conferir se o SSO está funcionando entre o Google Workspace e o Amazon Web Services (apenas Google Workspace)

Observação: confira se a conta em que você configurou o Amazon Web Services ainda está conectada.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.
  3. Selecione o Amazon Web Services.
  4. No canto superior esquerdo, clique em Testar login SAML.

    O Amazon Web Services será aberto em uma guia separada. Se isso não acontecer, use as informações nas mensagens de erro SAML para atualizar as configurações do IdP e do SP conforme necessário e teste o login SAML novamente.

Etapa 6: configurar o provisionamento de usuários

Você não precisa configurar o provisionamento de usuários no Amazon Web Services.

O AWS permite logins baseados em função para todos os usuários federados autenticados pelo IdP SAML 2.0. Para especificar a função, mapeie o valor do atributo https://aws.amazon.com/SAML/Attributes/Role para um atributo personalizado que corresponda à conta do Amazon Web Services. Consulte a Etapa 3 acima.

Depois que você criar esse mapeamento de função, os usuários com o SSO via SAML ativado poderão fazer login no console de gerenciamento do AWS com uma função de gerenciamento de identidade e acesso (IAM) do AWS especificada, sem que a necessidade de criar usuários do IAM no console de gerenciamento.

Consulte a documentação do AWS para mais detalhes sobre o mapeamento de funções.

 


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
16033903780554339234
true
Pesquisar na Central de Ajuda
true
true
true
false
false