คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
การใช้ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) จะช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันระบบคลาวด์ขององค์กรด้วยข้อมูลเข้าสู่ระบบ Google Cloud ของตนเองได้
ตั้งค่า SSO ผ่าน SAML สำหรับ Amazon Web Services
ขั้นตอนการตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) ผ่าน SAML สำหรับแอปพลิเคชัน Amazon Web Services
ข้อควรทราบก่อนที่จะเริ่มต้นก่อนตั้งค่าการจัดสรรผู้ใช้ คุณต้องสร้างแอตทริบิวต์ผู้ใช้ที่กำหนดเองสำหรับ Amazon Web Services โปรดทำตามขั้นตอนต่อไปนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
- จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู ไดเรกทอรีผู้ใช้
- ที่ด้านบนของรายการผู้ใช้ ให้คลิกเพิ่มเติมจัดการแอตทริบิวต์ที่กำหนดเอง
- คลิกเพิ่มแอตทริบิวต์ที่กำหนดเองที่ด้านขวาบน
- กำหนดค่าแอตทริบิวต์ที่กำหนดเองดังนี้
- หมวดหมู่: Amazon
- คำอธิบาย: แอตทริบิวต์ที่กำหนดเองของ Amazon
ป้อนข้อมูลต่อไปนี้ในช่องที่กำหนดเอง
- ชื่อ: บทบาท
- ประเภทข้อมูล: ข้อความ
- ระดับการเข้าถึง: แสดงต่อผู้ใช้และผู้ดูแลระบบ
- จำนวนค่า: หลายค่า
- คลิกเพิ่ม
หมวดหมู่ใหม่จะปรากฏในหน้าจัดการแอตทริบิวต์ผู้ใช้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยการตรวจสอบสิทธิ์SSO ด้วยแอปพลิเคชัน SAML
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
- ดาวน์โหลดข้อมูลเมตา IDP
เปิดคอนโซลผู้ดูแลระบบทิ้งไว้เพื่อกลับมากำหนดค่า SSO หลังจากทำตามขั้นตอนถัดไปใน Amazon Management Console
- ในแท็บใหม่ของเบราว์เซอร์ ให้ลงชื่อเข้าสู่ระบบ AWS Management Console แล้วเปิดคอนโซล IAM ที่ https://console.aws.amazon.com/iam/
- ในแผงการนำทาง ให้เลือก Identity Providers > Create Provider
- เลือก Provider Type เป็น SAML
- ป้อน Provider Name เช่น GoogleWorkspace
- คลิก Choose File แล้วเลือกไฟล์ข้อมูลเมตา IDP ที่ดาวน์โหลดมาในขั้นตอนที่ 1 ด้านบน
- คลิก Continue Step แล้วคลิก Create
ในหน้า Identity Providers GoogleWorkspace ควรปรากฏในตาราง IdP
- ในแถบด้านข้างทางซ้าย ให้คลิก Roles > Create a New Role
- ในส่วน Set role name ให้ป้อน Role Name
- คลิก Continue Step
- ในส่วน Role for Identity Provider Access ของหน้า Select Role Type ให้เลือก Grant Web Single Sign-On (WebSSO) access to SAML providers
- คลิก Continue Step
- ในหน้า Establish trust ให้ใช้การตั้งค่าเริ่มต้นแล้วคลิก Next Step
- เลือกนโยบายที่จะอนุญาตให้ผู้ใช้ลงชื่อเข้าสู่ระบบ AWS ผ่าน Google SSO ตัวอย่าง: AdministratorAccess
- คลิก Continue Step
- ในหน้าถัดไป ให้คัดลอกและบันทึก Role ARN ซึ่งมีรหัสบัญชี AWS และชื่อบทบาทของคุณ ค่านี้จำเป็นต่อการกำหนดค่าแอตทริบิวต์ผู้ใช้ Amazon ที่กำหนดเองให้ผู้ใช้แต่ละรายในขั้นตอนที่ 4 ด้านล่าง
ตัวอย่าง: arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- คลิก Create the Role
- เลือกบริการของ Google จากรายชื่อผู้ให้บริการข้อมูลประจำตัวเพื่อคัดลอกและบันทึก Provider ARN ซึ่งมีรหัสบัญชี AWS และชื่อผู้ให้บริการ ค่านี้จำเป็นต่อการกำหนดค่าแอตทริบิวต์ผู้ใช้ Amazon ที่กำหนดเองให้ผู้ใช้แต่ละรายในขั้นตอนที่ 4 ด้านล่าง
ตัวอย่าง: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.
- คลิก Save เพื่อบันทึกรายละเอียดการกำหนดค่าการลงชื่อเพียงครั้งเดียวบนเว็บแบบรวมศูนย์
- กลับไปที่แท็บของเบราว์เซอร์ที่เปิดคอนโซลผู้ดูแลระบบไว้
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
- ป้อน Amazon Web Services ในช่องค้นหา
- ในผลการค้นหา ให้วางเมาส์เหนือแอป SAML Amazon Web Services แล้วคลิกเลือก
- ในหน้ารายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google ให้คลิกต่อไป
ในหน้ารายละเอียดของผู้ให้บริการ ระบบจะกำหนดค่า ACS URL และรหัสเอนทิตีสำหรับ Amazon Web Services โดยค่าเริ่มต้น
- คลิกต่อไป
- ในหน้าการแมปแอตทริบิวต์ ให้คลิกเมนูเลือกช่องแล้วแมปแอตทริบิวต์ไดเรกทอรีของ Google ต่อไปนี้กับแอตทริบิวต์ Amazon Web Services ที่ตรงกัน
แอตทริบิวต์ไดเรกทอรีของ Google แอตทริบิวต์ของ Amazon Web Services Basic Information > Primary Email https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > บทบาท* https://aws.amazon.com/SAML/Attributes/Role (*) แอตทริบิวต์ที่กำหนดเองซึ่งสร้างขึ้นในหัวข้อข้อควรทราบก่อนที่จะเริ่มต้นด้านบน
-
(ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
- สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
- เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
- ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป
ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม
- คลิกเสร็จสิ้น
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
- เลือก Amazon Web Services
-
คลิกสิทธิ์การเข้าถึงของผู้ใช้
-
หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก
-
(ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
- เลือกหน่วยขององค์กรทางด้านซ้าย
- หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
- เลือกการตั้งค่าแบบใดแบบหนึ่งต่อไปนี้
- หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
- หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
หมายเหตุ: ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
-
หากต้องการเปิดบริการให้กับกลุ่มผู้ใช้ในหน่วยขององค์กร ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อเปิดบริการให้กับกลุ่ม
- ตรวจสอบว่ารหัสอีเมลของบัญชีผู้ใช้ Amazon Web Services ตรงกับรหัสในโดเมน Google
- สำหรับผู้ใช้แต่ละรายที่ลงชื่อเข้าใช้ AWS ผ่าน SSO ให้กำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองที่สร้างไว้ในส่วนก่อนเริ่มต้นดังนี้
- คลิกข้อมูลผู้ใช้ในหน้าบัญชีของผู้ใช้
- คลิกแอตทริบิวต์ที่กำหนดเองของ Amazon
- ในช่องบทบาท ให้เพิ่ม Role ARN และ Provider ARN ของ AWS (ที่คัดลอกในขั้นตอนที่ 2 ด้านบน) แล้วคั่นด้วยคอมมา ดังนี้
arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
- คลิกบันทึก
หมายเหตุ: ตรวจสอบว่าคุณยังอยู่ในบัญชีที่ใช้ในการกำหนดค่า Amazon Web Services
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
- เลือก Amazon Web Services
- คลิก Test SAML login ที่ด้านซ้ายบน
ระบบจะเปิด Amazon Web Services ขึ้นมาในแท็บใหม่ หากไม่มีแท็บใหม่เปิดขึ้นมา ให้นำข้อมูลที่ได้จากข้อความแสดงข้อผิดพลาดของ SAML ที่ระบบแจ้งไปอัปเดตการตั้งค่า IdP และ SP ให้เหมาะสม จากนั้นจึงทดสอบการเข้าสู่ระบบ SAML อีกครั้ง
คุณไม่จำเป็นต้องตั้งค่าการจัดสรรผู้ใช้ให้กับ Amazon Web Services
AWS รองรับการเข้าสู่ระบบตามบทบาทของผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์แบบรวมศูนย์ด้วย SAML 2.0 IdP (ผู้ให้บริการข้อมูลประจำตัว) ระบุบทบาทโดยการแมปค่าแอตทริบิวต์ https://aws.amazon.com/SAML/Attributes/Role กับแอตทริบิวต์ที่กำหนดเองที่ตรงกับบัญชี Amazon Web Services โปรดดูขั้นตอนที่ 3 ด้านบน
หลังจากสร้างการแมปบทบาทนี้ ผู้ใช้ที่เปิดใช้ SAML SSO จะลงชื่อเข้าใช้ AWS Management Console เพื่อไปยังบทบาท Identity and Access Management (IAM) ของ AWS ที่ระบุไว้ได้ โดยคุณไม่จำเป็นต้องสร้างผู้ใช้ IAM ที่ตรงกันในคอนโซลการจัดการ
โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการแมปบทบาทของ AWS ในเอกสารประกอบของ AWS
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง