Amazon Web Services bulut uygulaması

Bu görev için süper yönetici olarak oturum açmanız gerekir.

Güvenlik Onayı Biçimlendirme Dili (SAML) ile, kullanıcılarınız kurumsal bulut uygulamalarında oturum açmak için kendi Google Cloud kimlik bilgilerini kullanabilir.

Amazon Web Services için SAML üzerinden TOA ayarlarını yapma

Amazon Web Services uygulaması için SAML üzerinden tek oturum açma (TOA) hizmetini aşağıdaki yolla ayarlayabilirsiniz.

Başlamadan önce

Kullanıcı temel hazırlığını ayarlamadan önce Amazon Web Services için özel bir kullanıcı özelliği oluşturmanız gerekir. Aşağıdaki adımları uygulayın:

  1. Google Yönetici konsolu hesabınızda oturum açın.

    Süper yönetici ayrıcalıkları bulunan (@gmail.com ile bitmeyen) bir hesabı kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından DizinardındanKullanıcılar'a gidin.
  3. Kullanıcılar listesinin üst tarafında, Diğer ardındanÖzel özellikleri yönetin seçeneğini tıklayın.
  4. Sağ üstte, Özel Özellik Ekle'yi tıklayın.
  5. Özel özelliği aşağıdaki gibi yapılandırın:
    • Kategori: Amazon
    • Açıklama: Amazon Özel Özellikleri

    Özel alanlar için aşağıdakileri girin:

    • Ad: Rol
    • Bilgi türü: Metin
    • Görünürlük: Kullanıcı ve yönetici görebilir
    • Değer sayısı: Birden çok değerli
  6. Ekle'yi tıklayın.

    Yeni kategori, Kullanıcı özelliklerini yönetme sayfasında görünür.

1. Adım: Google kimlik sağlayıcı (IdP) bilgilerini alın
  1. Google Yönetici konsolu hesabınızda oturum açın.

    Süper yönetici ayrıcalıkları bulunan (@gmail.com ile bitmeyen) bir hesabı kullanarak oturum açın.

  2. Yönetici konsolunda Menü ardından GüvenlikardındanKimlik doğrulamaardındanSAML uygulamalarıyla TOA'ya gidin.

    Bu görev için süper yönetici olarak oturum açmanız gerekir.

  3. IDP Meta Verilerini indirin.

Amazon Management Console'da bir sonraki adımı gerçekleştirdikten sonra TOA yapılandırmasına devam edeceğinizden, Yönetici konsolunu açık bırakın.

2. Adım: Amazon Web Services uygulamasını SAML 2.0 servis sağlayıcı (SP) olarak ayarlayın
  1. Yeni bir tarayıcı sekmesinde, AWS Management Console'da (Yönetim Konsolu) oturum açın ve https://console.aws.amazon.com/iam/ adresinden IAM konsolunu açın.
  2. Gezinme bölmesinde Identity Providers (Kimlik Sağlayıcılar) > Create Provider (Sağlayıcı Oluştur) seçeneğini belirleyin.
  3. Provider Type (Sağlayıcı Türü) olarak SAML'yi seçin.
  4. GoogleWorkspace gibi bir Provider Name (Sağlayıcı Adı) girin.
  5. Choose File'ı (Dosya Seç) tıklayın ve yukarıdaki 1. adımda indirdiğiniz IDP meta veri dosyasını seçin.
  6. Continue Step (Adıma Devam Et) ve sonra Create'i (Oluştur) tıklayın.

    Identity Providers (Kimlik Sağlayıcılar) sayfasındaki IdP'ler tablosunda GoogleWorkspace gösterilir.

  7. Sol kenar çubuğunda Roles (Roller) > Create a New Role'u (Yeni Rol Oluştur) tıklayın.
  8. Set role name (Rol adını seç) altında bir Role Name (Rol Adı) girin.
  9. Continue Step'i (Adıma Devam Et) tıklayın.
  10. Choose Role Type (Rol Türü Seçin) sayfasında, Role for Identity Provider Access (Kimlik Sağlayıcı Erişimi için Rol) altında, Grant Web Single Sign-On (WebSSO) access to SAML Providers (SAML Sağlayıcılara Web Tek Oturum Açma (WebTOA) erişimi ver) seçeneğini belirleyin. 
  11. Continue Step'i (Adıma Devam Et) tıklayın.
  12. Establish trust (Güven düzeyi ayarla) sayfasında, varsayılan ayarları değiştirmeyin ve Next Step'i (Sonraki Adım) tıklayın.
  13. AWS'ye Google TOA üzerinden giriş yapan kullanıcılara izin vermek için politikaları seçin. Örnek: AdministratorAccess. 
  14. Continue Step'i (Adıma Devam Et) tıklayın.
  15. Sonraki sayfada, AWS Hesap Kimliğinizi ve rol adını içeren Role ARN (Rol ARN'si) değerini kopyalayıp kaydedin. Bu değer, aşağıdaki 4. Adımda her kullanıcı için özel Amazon kullanıcı özelliğini yapılandırmak için gereklidir.

    Örnek: arn:aws:iam::ACCOUNT_NUMBER:role/SSO

  16. Create the Role (Rolü Oluştur) seçeneğini tıklayın.
  17. Kimlik sağlayıcılar listesinden Google hizmetinizi seçin ve Provider ARN (Sağlayıcı ARN'si) değerini kopyalayıp kaydedin. AWS Hesap Kimliğinizi ve sağlayıcının adını içerir. Bu değer, aşağıdaki 4. Adımda her kullanıcı için özel Amazon kullanıcı özelliğini yapılandırmak için gereklidir.

    Örnek: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.

  18. Birleşik Web tek oturum açma yapılandırma ayrıntılarını kaydetmek için Save'i (Kaydet) tıklayın.
3. Adım: Google'ı SAML kimlik sağlayıcısı (IdP) olarak ayarlayın
  1. Yönetici Konsolu'nun açık olduğu tarayıcı sekmesine dönün.
  2. Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.
  3. Arama alanına Amazon Web Services yazın.
  4. Arama sonuçlarında, fareyle Amazon Web Services SAML uygulamasının üzerine gelip Seç'i tıklayın.
  5. Google Kimlik Sağlayıcı ayrıntıları sayfasında Devam'ı tıklayın.

    Servis sağlayıcı ayrıntıları sayfasında, Amazon Web Services için ACS URL'si ve Varlık Kimliği değerleri varsayılan olarak yapılandırılmıştır.

  6. Devam'ı tıklayın.
  7. Özellik Eşlemesi sayfasında, Alan seç menüsünü tıklayın ve aşağıdaki Google dizini özelliklerini karşılık gelen Amazon Web Services özellikleriyle eşleyin:
     
    Google dizini özelliği Amazon Web Services özelliği
    Temel Bilgiler > Birincil E-posta https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Role* https://aws.amazon.com/SAML/Attributes/Role

    (*) Yukarıdaki Başlamadan önce bölümünde oluşturulan özel özellik.

  8. (İsteğe bağlı) Bu uygulamayla alakalı grup adlarını girmek için:
    1. Grup üyeliği (isteğe bağlı) için Grup arayın'ı tıklayın, grup adının bir veya daha fazla harfini girin ve grup adını seçin.
    2. Gerekirse başka gruplar ekleyin (en fazla 75 grup).
    3. Uygulama özelliği bölümünde, servis sağlayıcının ilgili grup özelliği adını girin.

    Kaç grup adı girdiğinize bakılmaksızın SAML yanıtı yalnızca kullanıcının üyesi olduğu grupları (doğrudan veya dolaylı olarak) içerir. Daha fazla bilgi için Grup üyeliğini eşleme hakkında başlıklı makaleyi inceleyin.

  9. Son'u tıklayın.
4. Adım: Amazon Web Services uygulamasını etkinleştirin
  1. Google Yönetici konsolu hesabınızda oturum açın.

    Süper yönetici ayrıcalıkları bulunan (@gmail.com ile bitmeyen) bir hesabı kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.
  3. Amazon Web Services seçeneğini belirleyin.
  4. Kullanıcı erişimi'ni tıklayın.

  5. Bir hizmeti kuruluşunuzdaki herkes için etkinleştirmek veya devre dışı bırakmak istiyorsanız önce Herkes için etkin veya Herkes için devre dışı'yı, ardından Kaydet'i tıklayın.

  6. (İsteğe bağlı) Kuruluş birimi için bir hizmeti etkinleştirmek veya devre dışı bırakmak üzere:
    1. Solda, kuruluş birimini seçin.
    2. Hizmet durumunu değiştirmek için Açık veya Kapalı'yı seçin.
    3. Aşağıdakilerden birini seçin:
      • Hizmet durumu Devralındı olarak ayarlanmışsa ve üst kuruluştaki ayar değişse bile güncellenmiş ayarı korumak istiyorsanız Geçersiz kıl'ı tıklayın.
      • Hizmet durumu Geçersiz kılındı olarak ayarlanmışsa üst kuruluştaki ayara geri döndürmek için Devral'ı, üst kuruluştaki ayar değişse bile yeni ayarı korumak içinse Kaydet'i tıklayın.
        Not: Kuruluş yapısı hakkında daha fazla bilgi edinin.
  7. Bir hizmeti farklı kuruluş birimlerindeki veya bir kuruluş birimindeki bir grup kullanıcı için etkinleştirmek üzere bir erişim grubu seçin. Ayrıntıları, bir grup için hizmeti etkinleştirme bölümünde bulabilirsiniz.
  8. Amazon Web Services kullanıcı hesabı e-posta kimliklerinin Google alanındakilerle eşleştiğinden emin olun.
  9. TOA aracılığıyla AWS'de oturum açan her kullanıcı için Başlamadan önce bölümünde oluşturduğunuz özel kullanıcı özelliğini yapılandırın:
    1. Kullanıcının hesap sayfasında Kullanıcı bilgileri'ni tıklayın.
    2. Amazon özel özelliğini tıklayın.
    3. Rol alanına AWS Rol ARN'sini ve Sağlayıcı ARN'sini (yukarıdaki 2. Adımda kopyalanmış) aşağıdaki gibi virgülle ayırarak ekleyin: 

      arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    4. Kaydet'i tıklayın.
5. Adım: Google Workspace ve Amazon Web Services arasında TOA'nın çalışır durumda olduğunu doğrulayın (yalnızca Google Workspace)

Not: Amazon Web Services'ı yapılandırdığınız hesapta oturumunuzun hâlâ açık olduğundan emin olun.

  1. Google Yönetici konsolu hesabınızda oturum açın.

    Süper yönetici ayrıcalıkları bulunan (@gmail.com ile bitmeyen) bir hesabı kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.
  3. Amazon Web Services seçeneğini belirleyin.
  4. Sol üstte, Test SAML login (SAML girişini test et) seçeneğini tıklayın. 

    Amazon Web Services ayrı bir sekmede açılır. Açılmazsa IdP ve SS ayarlarınızı gerektiği şekilde güncellemek için, sonuçta ortaya çıkan SAML hata mesajlarındaki bilgileri kullanın ve SAML girişini yeniden test edin.

6. Adım: Kullanıcı temel hazırlık ayarlarını yapın

Amazon Web Services için kullanıcı temel hazırlık ayarlarını yapmanız gerekmez.

AWS, SAML 2.0 IdP (Kimlik Sağlayıcı) ile kimliği doğrulanmış tüm federasyon kullanıcılarına yönelik rol tabanlı girişleri destekler. https://aws.amazon.com/SAML/Attributes/Role özellik değerini Amazon Web Services hesabına karşılık gelen özel bir özellikle eşleyerek rolü belirtin. Yukarıdaki 3. Adıma bakın.

Bu rol eşlemesini oluşturduktan sonra, kendileri için SAML TOA etkin olan kullanıcılarınız, AWS Management Console'da, belirtilen AWS Identity and Access Management (IAS) rolüyle oturum açabilir (Management Console'da ilgili IAM kullanıcılarını oluşturmanıza gerek yoktur).

AWS rol eşlemesi hakkında daha ayrıntılı bilgi için AWS dokümanlarına göz atın.

 


Google, Google Workspace ve ilgili markalarla logolar Google LLC'nin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?
true
Arama
Aramayı temizle
Aramayı kapat
Ana menü
15201522575801206728
true
Yardım Merkezinde Arayın
true
true
true
false
false