您必須以超級管理員的身分登入才能執行這項工作。
您可以使用安全宣告標記語言 (SAML),讓使用者透過 Google Cloud 憑證登入企業雲端應用程式。
透過 SAML 為 Amazon Web Services 設定單一登入 (SSO) 服務
以下說明如何透過 SAML 為 Amazon Web Services 應用程式設定單一登入 (SSO) 服務。
事前準備設定使用者佈建功能以前,您必須先為 Amazon Web Services 建立自訂使用者屬性,步驟如下:
-
- 在管理控制台中,依序點選「選單」圖示
「目錄」
「使用者」。
- 依序按一下「使用者」清單頂端的「更多」圖示
- 按一下右上方的「新增自訂屬性」。
- 依照下列方式設定自訂屬性:
- 類別:Amazon
- 說明:Amazon 自訂屬性
在「自訂欄位」部分輸入以下內容:
- 名稱:角色
- 資訊類型:文字
- 瀏覽權限:使用者和管理員皆可檢視
- 值數量:多重值
- 按一下 [新增]。
新類別會顯示在「管理使用者屬性」頁面中。
-
-
- 下載 IDP 中繼資料。
請勿關閉管理控制台。您在 Amazon 管理主控台中執行下一步後,接著要回到管理控制台配置單一登入 (SSO) 設定。
- 在瀏覽器的新分頁中前往 https://console.aws.amazon.com/iam/,登入 AWS 管理主控台並開啟 IAM 控制台。
- 在導覽窗格中,依序選取 [Identity Providers] > [Create Provider]。
- 在「Provider Type」部分選取「SAML」。
- 在「Provider Name」部分輸入供應商名稱,例如 GoogleWorkspace。
- 按一下「Choose File」,然後選取您在上方步驟 1 下載的 IDP 中繼資料檔案。
- 依序按一下「Continue Step」和「Create」。
GoogleWorkspace 應該出現在「Identity Providers」頁面的 IdP 表格中。
- 在左側欄中,依序按一下「Roles」>「Create a New Role」。
- 在「Set role name」下方輸入角色名稱。
- 按一下 [Continue Step]
- 在「Select Role Type」頁面的「Role for Identity Provider Access」之下,選取 [Grant Web Single Sign-On (WebSSO) access to SAML providers]。
- 按一下 [Continue Step]
- 保留「Establish trust」頁面的預設設定,然後點選 [Next Step]。
- 選擇政策,將權限授予透過 Google 單一登入 (SSO) 登入 AWS 的使用者。示例:AdministratorAccess。
- 按一下「Continue Step」
- 在下一個頁面中複製並儲存角色 ARN,其中包括您的 AWS 帳戶 ID 和角色名稱。您必須取得這個值,才能在下方步驟 4 中為每位使用者設定自訂的 Amazon 使用者屬性。
示例:arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- 按一下「Create the Role」。
- 從識別資訊提供者清單中選取您的 Google 服務,然後複製並儲存供應商 ARN,其中包括您的 AWS 帳戶 ID 和供應商名稱。您必須取得這個值,才能在下方步驟 4 中為每位使用者設定自訂的 Amazon 使用者屬性。
示例:arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace。
- 點選「Save」,讓系統儲存 Federated Web 單一登入設定詳細資訊。
- 返回管理控制台的瀏覽器分頁。
-
在管理控制台中,依序點選「選單」圖示
「應用程式」
- 在搜尋欄位中輸入 Amazon Web Services。
- 將滑鼠游標懸停在搜尋結果中的 Amazon Web Services SAML 應用程式上,然後按一下 [選取]。
- 在「Google 識別資訊提供者詳細資料」頁面上按一下 [繼續]。
根據預設,Amazon Web Services 在「服務供應商詳細資訊」頁面上的 ACS 網址和實體 ID 值應該都已設定完成。
- 按一下 [繼續]。
- 在「屬性對應」頁面上,按一下 [選取欄位] 選單,並將下列 Google 目錄屬性對應到相應的 Amazon Web Services 屬性:
Google 目錄屬性 Amazon Web Services 屬性 Basic Information > Primary Email https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > 角色* https://aws.amazon.com/SAML/Attributes/Role (*) 您在上方的事前準備環節中建立的自訂屬性。
-
(選用) 如要輸入與這個應用程式相關的群組名稱:
- 在「群組成員 (選用)」部分,按一下「搜尋群組」,輸入一或多個群組名稱字母,然後選取群組名稱。
- 視需要新增其他群組 (最多 75 個群組)。
- 在「應用程式屬性」部分,輸入服務供應商對應的群組屬性名稱。
無論輸入多少個群組名稱,SAML 回應都只會包含使用者所屬的群組 (直接或間接)。詳情請參閱「關於群組成員對應」。
- 點選「完成」。
-
-
在管理控制台中,依序點選「選單」圖示
- 選取「Amazon Web Services」。
-
按一下 [使用者存取權]。
-
如要為貴機構中的所有使用者開啟或關閉服務,請按一下「為所有人啟用」或「為所有人關閉」,接著再點選「儲存」。
-
(選用) 如何為機構單位開啟或關閉服務:
- 在左側選取機構單位。
- 選取「開啟」或「關閉」即可變更服務狀態。
- 選擇下列其中一項設定:
- 如果服務狀態已設為「已沿用」,而您想要保留更新後的設定 (即使上層設定發生變更,仍要套用更新的設定),請按一下「覆寫」。
- 如果服務狀態設為「已覆寫」,按一下「沿用」 即可還原成與上層機構相同的設定;或按一下「儲存」 即可保留新設定 (即使上層設定發生變更亦然)。
注意:進一步瞭解機構架構。
-
如要為一組屬於相同或不同機構單位的使用者開啟服務,請選取存取權群組。詳情請參閱為群組開啟服務。
- 確認您的 Amazon Web Services 使用者帳戶電子郵件 ID 與 Google 網域中的 ID 相符。
- 針對透過單一登入 (SSO) 服務登入 AWS 的每位使用者,設定您在事前準備中建立的自訂使用者屬性:
- 在使用者的帳戶頁面按一下「使用者資訊」。
- 點選「Amazon」自訂屬性。
- 在「角色」欄位中新增 AWS 角色 ARN 和供應商 ARN (已在上文步驟 2 中複製),並以半形逗號分隔,如下所示:
arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
- 按一下「儲存」。
注意:請確認您未登出用來設定 Amazon Web Services 的帳戶。
-
-
在管理控制台中,依序點選「選單」圖示
- 選取「Amazon Web Services」。
- 按一下左上方的 [測試 SAML 登入]。
Amazon Web Services 應該會在另一個分頁中開啟。如果沒有,請根據系統顯示的 SAML 錯誤訊息,視情況更新 IdP 和服務供應商 (SP) 設定,然後重新測試 SAML 登入功能。
您不需要為 Amazon Web Services 設定使用者佈建功能。
AWS 可為所有經過 SAML 2.0 IdP (識別資訊提供者) 驗證的聯合使用者,提供角色登入支援。指定角色的做法是將屬性值「https://aws.amazon.com/SAML/Attributes/Role」 對應到與 Amazon Web Services 帳戶相應的自訂屬性 (請參閱上方的步驟 3)。
建立角色對應後,您只要為使用者啟用 SAML 單一登入 (SSO) 功能,他們就可以直接登入 AWS 管理主控台,並使用指定的 AWS 身分與存取權管理 (IAM) 角色,不需要您另外在管理控制台中建立相應的 IAM 使用者。
請參閱 AWS 說明文件,進一步瞭解 AWS 角色對應機制。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。