Облачное приложение Amazon Web Services

Прежде чем настраивать синхронизацию пользователей, необходимо создать настраиваемый атрибут для Amazon Web Services. Выполните указанные ниже действия.

1. Войдите в консоль администратора Google.

   Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню КаталогПользователи.
3. Над списком Пользователи нажмите ЕщёУправление настраиваемыми атрибутами.
   
4. В правом верхнем углу нажмите Добавить настраиваемый атрибут.
5. Настройте атрибут в соответствии с указанными ниже значениями.
   • Категория: Amazon.
   • Описание: Amazon Custom Attributes.

   Настройте следующие собственные поля:

   • Название: Роль.
   • Тип сведений: Текст.
   • Параметры доступа: Доступно пользователю и администратору.
   • Количество значений: Несколько значений.
6. Нажмите Добавить.

   Категория появится на странице Управление атрибутами пользователя.

1. Войдите в консоль администратора Google.

   Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню БезопасностьАутентификация Система единого входа с SAML-приложениями.

   Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

3. Скачайте метаданные поставщика идентификационной информации.

Не закрывайте консоль администратора. Вы вернетесь к мастеру настройки системы единого входа после выполнения следующего шага в консоли Amazon Management Console.

1. В новой вкладке браузера войдите в консоль управления AWS, а затем откройте консоль IAM (https://console.aws.amazon.com/iam/).
2. На панели навигации нажмите Identity Providers (Поставщики идентификационной информации) > Create Provider (Создать поставщика).
3. В разделе Provider Type (Тип поставщика) выберите SAML.
4. Укажите значение Provider Name (Название поставщика), например GoogleWorkspace.
5. Нажмите Choose File (Выбрать файл) и выберите файл метаданных поставщика идентификационной информации, который вы скачали на шаге 1.
6. Выберите Continue Step (Продолжить), а затем нажмите Create (Создать).

   На странице Identity Providers (Поставщики идентификационной информации) в таблице должна появиться строка "GoogleWorkspace".

7. На панели в левой части страницы нажмите Roles (Роли) > Create a New Role (Создать роль).
8. В разделе Set role name (Задать название роли) введите название роли.
9. Нажмите Continue Step (Продолжить).
10. На странице Select Role Type (Выбрать тип роли) в разделе Role for Identity Provider Access (Роль поставщика идентификационной информации) выберите Grant Web Single Sign-On (WebSSO) access to SAML providers (Предоставление поставщикам SAML доступа через систему единого входа WebSSO). 
11. Нажмите Continue Step (Продолжить).
12. На странице Establish trust (Установление доверительной связи) оставьте настройки по умолчанию и выберите Next Step (Далее).
13. Выберите правила предоставления разрешений пользователям, которые выполняют вход в AWS через систему единого входа Google. Пример: AdministratorAccess. 
14. Нажмите Continue Step (Продолжить).
15. На следующей странице скопируйте и сохраните ARN роли, в котором указаны идентификатор вашего аккаунта AWS и название роли. Это значение потребуется для настройки атрибута пользователя Amazon, каждого из которых вы укажете на шаге 4.

    Пример: arn:aws:iam::NOMER-AKKAUNTA:rol-postavschika/SSO

16. Нажмите Create the Role (Создать роль).
17. Выберите Google из списка поставщиков идентификационной информации, затем скопируйте и сохраните ARN поставщика. В нем должны быть указаны идентификатор вашего аккаунта AWS и название поставщика. Это значение потребуется для настройки атрибута пользователя Amazon, каждого из которых вы укажете на шаге 4.

    Пример: arn:aws:iam::NOMER_AKKAUNTA:postavschik-saml/GoogleWorkspace.

18. Чтобы сохранить параметры интегрированной системы единого входа, нажмите Save (Сохранить).

1. Вернитесь на вкладку браузера, в которой открыта консоль администратора.
2. В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
3. В поле поиска введите Amazon Web Services.
4. В результатах поиска наведите указатель на SAML-приложение Amazon Web Services и нажмите Выбрать.
5. На странице Сведения о поставщике идентификационной информации (Google) нажмите Продолжить.

   На странице Сведения о поставщике услуг значения полей URL ACS и Идентификатор объекта для Amazon Web Services будут подставлены по умолчанию.

6. Нажмите Продолжить.
7. На странице Сопоставление атрибутов нажмите на меню Выберите поле и сопоставьте следующие атрибуты каталога Google соответствующим атрибутам Amazon Web Services:
    

   Атрибут каталога Google	Атрибут Amazon Web Services
   Общие сведения > Основной адрес эл. почты	https://aws.amazon.com/SAML/Attributes/RoleSessionName
   Amazon > Роль*	https://aws.amazon.com/SAML/Attributes/Role

   (*) Настраиваемый атрибут, созданный на этапе Подготовка.

8. Если нужно указать названия групп для этого приложения:

   1. В разделе Участие в группах (необязательно) нажмите Поиск групп, введите одну или несколько начальных букв названия группы и выберите нужное.
   2. При необходимости добавьте группы (не более 75).
   3. В разделе Атрибут приложения укажите название соответствующего атрибута группы поставщика услуг.

   Сколько бы групп ни указал администратор, в ответ SAML будет включена информация только о тех группах, участником которых пользователь прямо или косвенно является. Подробнее о сопоставлении информации об участии в группах…

9. Нажмите Готово.

1. Войдите в консоль администратора Google.

   Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
3. Выберите Amazon Web Services.
4. Нажмите Доступ пользователей.

5. Чтобы включить или отключить сервис для всех пользователей в организации, нажмите Включено для всех или Отключено для всех, а затем выберите Сохранить.

6. При необходимости включите или выключите сервис для организационного подразделения:

   1. В левой части страницы выберите организационное подразделение.
   2. Для статуса сервиса выберите значение Вкл. или Выкл.
   3. Выберите один из вариантов:
      • Если для статуса сервиса установлено значение Унаследовано и вы хотите, чтобы настройка продолжала действовать при изменении параметров родительской организации, нажмите Переопределить.
      • Если установлено значение Переопределено, нажмите Наследовать, чтобы применить настройки родительской организации, или Сохранить, чтобы использовать новое значение параметра (даже если настройки родительской организации изменятся).
        Подробнее о структуре организации…
7. Чтобы включить сервис для определенных пользователей, входящих в одно или разные организационные подразделения, выберите группу доступа. Подробнее о том, как включить сервис для группы…
8. Убедитесь, что ваши адреса электронной почты пользователя Amazon Web Services совпадают с указанными для домена Google.
9. Для каждого пользователя, входящего в AWS через систему единого входа, настройте атрибут пользователя, созданный в разделе Подготовка.
   1. На странице аккаунта пользователя нажмите Информация о пользователе.
   2. Нажмите кнопку настраиваемый атрибут Amazon.
   3. В поле Role (Роль) впишите через запятую ARN роли AWS и ARN поставщика, которые вы скопировали на шаге 2: 

      arn:aws:iam::NOMER_AKKAUNTA:rol-postavschika/SSO,arn:aws:iam::NOMER_AKKAUNTA:postavschik/GoogleWorkspace

   4. Нажмите Сохранить.

Примечание. Убедитесь, что вы вошли в нужный аккаунт Amazon Web Services.

1. Войдите в консоль администратора Google.

   Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
3. Выберите Amazon Web Services.
4. В левом верхнем углу экрана нажмите Проверить вход через SAML. 

   Приложение Amazon Web Services должно открыться в новой вкладке. Если этого не произойдет, измените настройки IdP и SP на основе информации в сообщениях об ошибках SAML, а затем проверьте вход через SAML ещё раз.

Настраивать синхронизацию пользователей для Amazon Web Services не нужно.

AWS поддерживает вход на основе ролей для всех интегрированных пользователей, аутентифицированных с помощью SAML 2.0. Укажите роль, сопоставив значение атрибута https://aws.amazon.com/SAML/Attributes/Role с пользовательским атрибутом, который соответствует аккаунту Amazon Web Services (см. шаг 3 выше).

После сопоставления ролей пользователи, аутентифицированные в системе единого входа с помощью SAML, могут входить в консоль управления AWS и систему управления учетными данными и доступом (IAM) в заданной роли. Для этого вам не придется создавать соответствующие аккаунты пользователей IAM в консоли управления AWS.

Подробнее о сопоставлении ролей AWS…