Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
Благодаря языку разметки декларации безопасности (SAML) пользователи могут входить в корпоративные облачные приложения с помощью учетных данных аккаунта Google Cloud.
Как настроить систему единого входа для приложения Amazon Web Services с помощью SAML
Ниже описано, как настроить систему единого входа (SSO) для приложения Amazon Web Services с помощью SAML.
ПодготовкаПрежде чем настраивать синхронизацию пользователей, необходимо создать настраиваемый атрибут для Amazon Web Services. Выполните указанные ниже действия.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню КаталогПользователи.
- Над списком Пользователи нажмите ЕщёУправление настраиваемыми атрибутами.
- В правом верхнем углу нажмите Добавить настраиваемый атрибут.
- Настройте атрибут в соответствии с указанными ниже значениями.
- Категория: Amazon.
- Описание: Amazon Custom Attributes.
Настройте следующие собственные поля:
- Название: Роль.
- Тип сведений: Текст.
- Параметры доступа: Доступно пользователю и администратору.
- Количество значений: Несколько значений.
- Нажмите Добавить.
Категория появится на странице Управление атрибутами пользователя.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню БезопасностьАутентификация Система единого входа с SAML-приложениями.
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
- Скачайте метаданные поставщика идентификационной информации.
Не закрывайте консоль администратора. Вы вернетесь к мастеру настройки системы единого входа после выполнения следующего шага в консоли Amazon Management Console.
- В новой вкладке браузера войдите в консоль управления AWS, а затем откройте консоль IAM (https://console.aws.amazon.com/iam/).
- На панели навигации нажмите Identity Providers (Поставщики идентификационной информации) > Create Provider (Создать поставщика).
- В разделе Provider Type (Тип поставщика) выберите SAML.
- Укажите значение Provider Name (Название поставщика), например GoogleWorkspace.
- Нажмите Choose File (Выбрать файл) и выберите файл метаданных поставщика идентификационной информации, который вы скачали на шаге 1.
- Выберите Continue Step (Продолжить), а затем нажмите Create (Создать).
На странице Identity Providers (Поставщики идентификационной информации) в таблице должна появиться строка "GoogleWorkspace".
- На панели в левой части страницы нажмите Roles (Роли) > Create a New Role (Создать роль).
- В разделе Set role name (Задать название роли) введите название роли.
- Нажмите Continue Step (Продолжить).
- На странице Select Role Type (Выбрать тип роли) в разделе Role for Identity Provider Access (Роль поставщика идентификационной информации) выберите Grant Web Single Sign-On (WebSSO) access to SAML providers (Предоставление поставщикам SAML доступа через систему единого входа WebSSO).
- Нажмите Continue Step (Продолжить).
- На странице Establish trust (Установление доверительной связи) оставьте настройки по умолчанию и выберите Next Step (Далее).
- Выберите правила предоставления разрешений пользователям, которые выполняют вход в AWS через систему единого входа Google. Пример: AdministratorAccess.
- Нажмите Continue Step (Продолжить).
- На следующей странице скопируйте и сохраните ARN роли, в котором указаны идентификатор вашего аккаунта AWS и название роли. Это значение потребуется для настройки атрибута пользователя Amazon, каждого из которых вы укажете на шаге 4.
Пример: arn:aws:iam::NOMER-AKKAUNTA:rol-postavschika/SSO
- Нажмите Create the Role (Создать роль).
- Выберите Google из списка поставщиков идентификационной информации, затем скопируйте и сохраните ARN поставщика. В нем должны быть указаны идентификатор вашего аккаунта AWS и название поставщика. Это значение потребуется для настройки атрибута пользователя Amazon, каждого из которых вы укажете на шаге 4.
Пример: arn:aws:iam::NOMER_AKKAUNTA:postavschik-saml/GoogleWorkspace.
- Чтобы сохранить параметры интегрированной системы единого входа, нажмите Save (Сохранить).
- Вернитесь на вкладку браузера, в которой открыта консоль администратора.
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- В поле поиска введите Amazon Web Services.
- В результатах поиска наведите указатель на SAML-приложение Amazon Web Services и нажмите Выбрать.
- На странице Сведения о поставщике идентификационной информации (Google) нажмите Продолжить.
На странице Сведения о поставщике услуг значения полей URL ACS и Идентификатор объекта для Amazon Web Services будут подставлены по умолчанию.
- Нажмите Продолжить.
- На странице Сопоставление атрибутов нажмите на меню Выберите поле и сопоставьте следующие атрибуты каталога Google соответствующим атрибутам Amazon Web Services:
Атрибут каталога Google Атрибут Amazon Web Services Общие сведения > Основной адрес эл. почты https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > Роль* https://aws.amazon.com/SAML/Attributes/Role (*) Настраиваемый атрибут, созданный на этапе Подготовка.
-
Если нужно указать названия групп для этого приложения:
- В разделе Участие в группах (необязательно) нажмите Поиск групп, введите одну или несколько начальных букв названия группы и выберите нужное.
- При необходимости добавьте группы (не более 75).
- В разделе Атрибут приложения укажите название соответствующего атрибута группы поставщика услуг.
Сколько бы групп ни указал администратор, в ответ SAML будет включена информация только о тех группах, участником которых пользователь прямо или косвенно является. Подробнее о сопоставлении информации об участии в группах…
- Нажмите Готово.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- Выберите Amazon Web Services.
-
Нажмите Доступ пользователей.
-
Чтобы включить или отключить сервис для всех пользователей в организации, нажмите Включено для всех или Отключено для всех, а затем выберите Сохранить.
-
При необходимости включите или выключите сервис для организационного подразделения:
- В левой части страницы выберите организационное подразделение.
- Для статуса сервиса выберите значение Вкл. или Выкл.
- Выберите один из вариантов:
- Если для статуса сервиса установлено значение Унаследовано и вы хотите, чтобы настройка продолжала действовать при изменении параметров родительской организации, нажмите Переопределить.
- Если установлено значение Переопределено, нажмите Наследовать, чтобы применить настройки родительской организации, или Сохранить, чтобы использовать новое значение параметра (даже если настройки родительской организации изменятся).
Подробнее о структуре организации…
-
Чтобы включить сервис для определенных пользователей, входящих в одно или разные организационные подразделения, выберите группу доступа. Подробнее о том, как включить сервис для группы…
- Убедитесь, что ваши адреса электронной почты пользователя Amazon Web Services совпадают с указанными для домена Google.
- Для каждого пользователя, входящего в AWS через систему единого входа, настройте атрибут пользователя, созданный в разделе Подготовка.
- На странице аккаунта пользователя нажмите Информация о пользователе.
- Нажмите кнопку настраиваемый атрибут Amazon.
- В поле Role (Роль) впишите через запятую ARN роли AWS и ARN поставщика, которые вы скопировали на шаге 2:
arn:aws:iam::NOMER_AKKAUNTA:rol-postavschika/SSO,arn:aws:iam::NOMER_AKKAUNTA:postavschik/GoogleWorkspace
- Нажмите Сохранить.
Примечание. Убедитесь, что вы вошли в нужный аккаунт Amazon Web Services.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- Выберите Amazon Web Services.
- В левом верхнем углу экрана нажмите Проверить вход через SAML.
Приложение Amazon Web Services должно открыться в новой вкладке. Если этого не произойдет, измените настройки IdP и SP на основе информации в сообщениях об ошибках SAML, а затем проверьте вход через SAML ещё раз.
Настраивать синхронизацию пользователей для Amazon Web Services не нужно.
AWS поддерживает вход на основе ролей для всех интегрированных пользователей, аутентифицированных с помощью SAML 2.0. Укажите роль, сопоставив значение атрибута https://aws.amazon.com/SAML/Attributes/Role с пользовательским атрибутом, который соответствует аккаунту Amazon Web Services (см. шаг 3 выше).
После сопоставления ролей пользователи, аутентифицированные в системе единого входа с помощью SAML, могут входить в консоль управления AWS и систему управления учетными данными и доступом (IAM) в заданной роли. Для этого вам не придется создавать соответствующие аккаунты пользователей IAM в консоли управления AWS.
Подробнее о сопоставлении ролей AWS…
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.