แอปพลิเคชันระบบคลาวด์ Amazon Web Services

คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

การใช้ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) จะช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันระบบคลาวด์ขององค์กรด้วยข้อมูลเข้าสู่ระบบ Google Cloud ของตนเองได้

ตั้งค่า SSO ผ่าน SAML สำหรับ Amazon Web Services

ขั้นตอนการตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) ผ่าน SAML สำหรับแอปพลิเคชัน Amazon Web Services

ข้อควรทราบก่อนที่จะเริ่มต้น

ก่อนตั้งค่าการจัดสรรผู้ใช้ คุณต้องสร้างแอตทริบิวต์ผู้ใช้ที่กำหนดเองสำหรับ Amazon Web Services โปรดทำตามขั้นตอนต่อไปนี้

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู ไดเรกทอรีผู้ใช้
ที่ด้านบนของรายการผู้ใช้ ให้คลิกเพิ่มเติมจัดการแอตทริบิวต์ที่กำหนดเอง
คลิกเพิ่มแอตทริบิวต์ที่กำหนดเองที่ด้านขวาบน
กำหนดค่าแอตทริบิวต์ที่กำหนดเองดังนี้
- หมวดหมู่: Amazon
- คำอธิบาย: แอตทริบิวต์ที่กำหนดเองของ Amazon
ป้อนข้อมูลต่อไปนี้ในช่องที่กำหนดเอง
- ชื่อ: บทบาท
- ประเภทข้อมูล: ข้อความ
- ระดับการเข้าถึง: แสดงต่อผู้ใช้และผู้ดูแลระบบ
- จำนวนค่า: หลายค่า
คลิกเพิ่ม
หมวดหมู่ใหม่จะปรากฏในหน้าจัดการแอตทริบิวต์ผู้ใช้

ขั้นตอนที่ 1: ดาวน์โหลดข้อมูลผู้ให้บริการข้อมูลประจำตัว (IdP) ของ Google

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยการตรวจสอบสิทธิ์SSO ด้วยแอปพลิเคชัน SAML
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
ดาวน์โหลดข้อมูลเมตา IDP

เปิดคอนโซลผู้ดูแลระบบทิ้งไว้เพื่อกลับมากำหนดค่า SSO หลังจากทำตามขั้นตอนถัดไปใน Amazon Management Console

ขั้นตอนที่ 2: ตั้งค่า Amazon Web Services เป็นผู้ให้บริการ (SP) SAML 2.0

ในแท็บใหม่ของเบราว์เซอร์ ให้ลงชื่อเข้าสู่ระบบ AWS Management Console แล้วเปิดคอนโซล IAM ที่ https://console.aws.amazon.com/iam/
ในแผงการนำทาง ให้เลือก Identity Providers > Create Provider
เลือก Provider Type เป็น SAML
ป้อน Provider Name เช่น GoogleWorkspace
คลิก Choose File แล้วเลือกไฟล์ข้อมูลเมตา IDP ที่ดาวน์โหลดมาในขั้นตอนที่ 1 ด้านบน
คลิก Continue Step แล้วคลิก Create
ในหน้า Identity Providers GoogleWorkspace ควรปรากฏในตาราง IdP
ในแถบด้านข้างทางซ้าย ให้คลิก Roles > Create a New Role
ในส่วน Set role name ให้ป้อน Role Name
คลิก Continue Step
ในส่วน Role for Identity Provider Access ของหน้า Select Role Type ให้เลือก Grant Web Single Sign-On (WebSSO) access to SAML providers
คลิก Continue Step
ในหน้า Establish trust ให้ใช้การตั้งค่าเริ่มต้นแล้วคลิก Next Step
เลือกนโยบายที่จะอนุญาตให้ผู้ใช้ลงชื่อเข้าสู่ระบบ AWS ผ่าน Google SSO ตัวอย่าง: AdministratorAccess
คลิก Continue Step
ในหน้าถัดไป ให้คัดลอกและบันทึก Role ARN ซึ่งมีรหัสบัญชี AWS และชื่อบทบาทของคุณ ค่านี้จำเป็นต่อการกำหนดค่าแอตทริบิวต์ผู้ใช้ Amazon ที่กำหนดเองให้ผู้ใช้แต่ละรายในขั้นตอนที่ 4 ด้านล่าง
ตัวอย่าง: arn:aws:iam::ACCOUNT_NUMBER:role/SSO
คลิก Create the Role
เลือกบริการของ Google จากรายชื่อผู้ให้บริการข้อมูลประจำตัวเพื่อคัดลอกและบันทึก Provider ARN ซึ่งมีรหัสบัญชี AWS และชื่อผู้ให้บริการ ค่านี้จำเป็นต่อการกำหนดค่าแอตทริบิวต์ผู้ใช้ Amazon ที่กำหนดเองให้ผู้ใช้แต่ละรายในขั้นตอนที่ 4 ด้านล่าง
ตัวอย่าง: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.
คลิก Save เพื่อบันทึกรายละเอียดการกำหนดค่าการลงชื่อเพียงครั้งเดียวบนเว็บแบบรวมศูนย์

ขั้นตอนที่ 3: ตั้งค่า Google เป็นผู้ให้บริการข้อมูลประจำตัว (IdP) SAML

กลับไปที่แท็บของเบราว์เซอร์ที่เปิดคอนโซลผู้ดูแลระบบไว้
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
ป้อน Amazon Web Services ในช่องค้นหา
ในผลการค้นหา ให้วางเมาส์เหนือแอป SAML Amazon Web Services แล้วคลิกเลือก
ในหน้ารายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google ให้คลิกต่อไป
ในหน้ารายละเอียดของผู้ให้บริการ ระบบจะกำหนดค่า ACS URL และรหัสเอนทิตีสำหรับ Amazon Web Services โดยค่าเริ่มต้น
คลิกต่อไป

ในหน้าการแมปแอตทริบิวต์ ให้คลิกเมนูเลือกช่องแล้วแมปแอตทริบิวต์ไดเรกทอรีของ Google ต่อไปนี้กับแอตทริบิวต์ Amazon Web Services ที่ตรงกัน

แอตทริบิวต์ไดเรกทอรีของ Google	แอตทริบิวต์ของ Amazon Web Services
Basic Information > Primary Email	https://aws.amazon.com/SAML/Attributes/RoleSessionName
Amazon > บทบาท*	https://aws.amazon.com/SAML/Attributes/Role

(*) แอตทริบิวต์ที่กำหนดเองซึ่งสร้างขึ้นในหัวข้อข้อควรทราบก่อนที่จะเริ่มต้นด้านบน

(ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
1. สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
2. เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
3. ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป
ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม
คลิกเสร็จสิ้น

ขั้นตอนที่ 4: เปิดใช้แอป Amazon Web Services

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
เลือก Amazon Web Services
คลิกสิทธิ์การเข้าถึงของผู้ใช้
หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก
(ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
1. เลือกหน่วยขององค์กรทางด้านซ้าย
2. หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
3. เลือกการตั้งค่าแบบใดแบบหนึ่งต่อไปนี้
  - หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
  - หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
    หมายเหตุ: ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
หากต้องการเปิดบริการให้กับกลุ่มผู้ใช้ในหน่วยขององค์กร ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อเปิดบริการให้กับกลุ่ม
ตรวจสอบว่ารหัสอีเมลของบัญชีผู้ใช้ Amazon Web Services ตรงกับรหัสในโดเมน Google
สำหรับผู้ใช้แต่ละรายที่ลงชื่อเข้าใช้ AWS ผ่าน SSO ให้กำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองที่สร้างไว้ในส่วนก่อนเริ่มต้นดังนี้
1. คลิกข้อมูลผู้ใช้ในหน้าบัญชีของผู้ใช้
2. คลิกแอตทริบิวต์ที่กำหนดเองของ Amazon
3. ในช่องบทบาท ให้เพิ่ม Role ARN และ Provider ARN ของ AWS (ที่คัดลอกในขั้นตอนที่ 2 ด้านบน) แล้วคั่นด้วยคอมมา ดังนี้
  arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
4. คลิกบันทึก

ขั้นตอนที่ 5: ตรวจสอบว่า SSO ระหว่าง Google Workspace และ Amazon Web Services ยังทำงานอยู่ (Google Workspace เท่านั้น)

หมายเหตุ: ตรวจสอบว่าคุณยังอยู่ในบัญชีที่ใช้ในการกำหนดค่า Amazon Web Services

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่
เลือก Amazon Web Services
คลิก Test SAML login ที่ด้านซ้ายบน
ระบบจะเปิด Amazon Web Services ขึ้นมาในแท็บใหม่ หากไม่มีแท็บใหม่เปิดขึ้นมา ให้นำข้อมูลที่ได้จากข้อความแสดงข้อผิดพลาดของ SAML ที่ระบบแจ้งไปอัปเดตการตั้งค่า IdP และ SP ให้เหมาะสม จากนั้นจึงทดสอบการเข้าสู่ระบบ SAML อีกครั้ง

ขั้นตอนที่ 6: ตั้งค่าการจัดสรรผู้ใช้

คุณไม่จำเป็นต้องตั้งค่าการจัดสรรผู้ใช้ให้กับ Amazon Web Services

AWS รองรับการเข้าสู่ระบบตามบทบาทของผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์แบบรวมศูนย์ด้วย SAML 2.0 IdP (ผู้ให้บริการข้อมูลประจำตัว) ระบุบทบาทโดยการแมปค่าแอตทริบิวต์ https://aws.amazon.com/SAML/Attributes/Role กับแอตทริบิวต์ที่กำหนดเองที่ตรงกับบัญชี Amazon Web Services โปรดดูขั้นตอนที่ 3 ด้านบน

หลังจากสร้างการแมปบทบาทนี้ ผู้ใช้ที่เปิดใช้ SAML SSO จะลงชื่อเข้าใช้ AWS Management Console เพื่อไปยังบทบาท Identity and Access Management (IAM) ของ AWS ที่ระบุไว้ได้ โดยคุณไม่จำเป็นต้องสร้างผู้ใช้ IAM ที่ตรงกันในคอนโซลการจัดการ

โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการแมปบทบาทของ AWS ในเอกสารประกอบของ AWS

_{Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง}

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร