Para realizar essa tarefa, você precisa fazer login como um superadministrador.
Com a Linguagem de marcação para autorização de segurança (SAML), seus usuários podem fazer login em apps empresariais na nuvem com as credenciais do Google Cloud.
Configurar o SSO via SAML no Amazon Web Services
Veja como configurar o SSO via SAML no app Amazon Web Services (AWS).
Antes de começarAntes de configurar o provisionamento de usuários, você precisa criar um atributo de usuário personalizado para o Amazon Web Services. Siga estas etapas:
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu DiretórioUsuários.
- Na parte de cima da lista Usuários, clique em Mais Gerenciar atributos personalizados.
- À direita, na parte de cima, clique em Adicionar atributo personalizado.
- Configure o atributo personalizado da seguinte forma:
- Categoria: Amazon
- Descrição: atributos personalizados da Amazon
Em Campos personalizados, digite o seguinte:
- Nome: função
- Tipo de informação: texto
- Visibilidade: visível para o usuário e o administrador
- Número de valores: valores múltiplos
- Clique em Adicionar.
A nova categoria aparece na página Gerenciar atributos do usuário.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu SegurançaAutenticaçãoSSO com aplicativos SAML.
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
- Faça o download dos metadados do IDP.
Deixe o Admin Console aberto. Você continuará com a configuração do SSO depois que concluir a próxima etapa no Amazon Management Console.
- Em uma nova guia do navegador, faça login no console de gerenciamento do AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.
- No painel de navegação, selecione Identity Providers > Create Provider.
- Em Provider Type, selecione SAML.
- Digite um Provider Name, como GoogleWorkspace.
- Clique em Choose File e selecione o arquivo de metadados do IdP que você salvou na etapa 1.
- Clique em Continue Step e em Create.
Na página Identity Providers, "GoogleWorkspace" deve aparecer na tabela de IdPs.
- Na barra lateral à esquerda, clique em Roles > Create a New Role.
- Em Set role name, digite um Role Name.
- Clique em Continue Step.
- Na página Select Role Type, em Role for Identity Provider Access, selecione Grant Web Single Sign-On (WebSSO) access to SAML providers.
- Clique em Continue Step.
- Na página Establish trust, mantenha as configurações padrão e clique em Next Step.
- Escolha políticas para conceder permissões aos usuários que fazem login no AWS via SSO do Google. Exemplo: AdministratorAccess.
- Clique em Continue Step.
- Na página seguinte, copie e salve "Role ARN", que contém o ID da conta do AWS e o nome da função. Esse valor é necessário para configurar o atributo de usuário personalizado da Amazon para cada usuário na Etapa 4 abaixo.
Exemplo: arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- Clique em Create the Role.
- Selecione seu serviço do Google na lista de provedores de identidade, copie e salve "Provider ARN". Ele contém o ID da conta do AWS e o nome do provedor. Esse valor é necessário para configurar o atributo de usuário personalizado da Amazon para cada usuário na Etapa 4 abaixo.
Exemplo: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.
- Clique em Save para salvar os detalhes da configuração de SSO da Web federada.
- Retorne à guia do navegador em que o Admin Console está aberto.
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
- Digite Amazon Web Services no campo de pesquisa.
- Nos resultados da pesquisa, passe o cursor sobre o app SAML Amazon Web Services e clique em Selecionar.
- Na página Detalhes do Provedor de identidade do Google, clique em Continuar.
Na página Detalhes do provedor de serviços, os valores URL do ACS e ID da entidade do Amazon Web Services são configurados por padrão.
- Clique em Continuar.
- Na página Mapeamento de atributos, clique no menu Selecionar campo e mapeie os seguintes atributos do diretório do Google para os atributos do Amazon Web Services correspondentes:
Atributo do diretório do Google Atributo do Amazon Web Services Basic Information > Primary Email https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > Role* https://aws.amazon.com/SAML/Attributes/Role (*) Atributo personalizado criado na seção Antes de começar acima.
-
(Opcional) Para inserir nomes de grupos relevantes para este app:
- Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
- Adicione outros grupos conforme necessário (máximo de 75 grupos).
- Em Atributo do app, digite o nome do atributo de grupo correspondente do provedor de serviços.
Independentemente do total de nomes de grupo informados, a resposta SAML incluirá apenas grupos de que o usuário faz parte (direta ou indiretamente). Confira mais informações em Sobre o mapeamento de associações a grupos.
- Clique em Concluir.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
- Selecione Amazon Web Services.
-
Clique em Acesso do usuário.
-
Se você quiser ativar ou desativar um serviço para todos na organização, clique em Ativar para todos ou Desativar para todos, depois clique em Salvar.
-
(Opcional) Se você quiser ativar ou desativar um serviço para uma unidade organizacional:
- Selecione a unidade organizacional à esquerda.
- Para mudar o status do serviço, selecione Ativado ou Desativado.
- Escolha uma opção:
- Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Modificar.
- Caso o status do serviço esteja definido como Modificado, clique em Herdar para usar a configuração mãe ou clique em Salvar para manter a nova configuração mesmo que a configuração mãe seja alterada.
Observação: saiba mais sobre a estrutura organizacional.
-
Para ativar um serviço para um grupos de usuários de uma ou várias unidades organizacionais, selecione um grupo de acesso. Veja mais detalhes em Ativar um serviço para um grupo.
- Confirme que os IDs de e-mail da sua conta de usuário do Amazon Web Services correspondem aos do domínio do Google.
- Para cada usuário que faz login no AWS por SSO, configure o atributo personalizado que você criou em Antes de começar:
- Na página da conta do usuário, clique em Informações do usuário.
- Clique no atributo personalizado Amazon.
- No campo Role, adicione "AWS Role ARN" e "Provider ARN" (copiados na Etapa 2 acima) separados por uma vírgula, da seguinte maneira:
arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
- Clique em Save.
Observação: confira se a conta em que você configurou o Amazon Web Services ainda está conectada.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
- Selecione o Amazon Web Services.
- No canto superior esquerdo, clique em Testar login SAML.
O Amazon Web Services será aberto em uma guia separada. Se isso não acontecer, use as informações nas mensagens de erro SAML para atualizar as configurações do IdP e do SP conforme necessário e teste o login SAML novamente.
Você não precisa configurar o provisionamento de usuários no Amazon Web Services.
O AWS permite logins baseados em função para todos os usuários federados autenticados pelo IdP SAML 2.0. Para especificar a função, mapeie o valor do atributo https://aws.amazon.com/SAML/Attributes/Role para um atributo personalizado que corresponda à conta do Amazon Web Services. Consulte a Etapa 3 acima.
Depois que você criar esse mapeamento de função, os usuários com o SSO via SAML ativado poderão fazer login no console de gerenciamento do AWS com uma função de gerenciamento de identidade e acesso (IAM) do AWS especificada, sem que a necessidade de criar usuários do IAM no console de gerenciamento.
Consulte a documentação do AWS para mais detalhes sobre o mapeamento de funções.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.