Amazon Web Services cloud-app

Met de SAML 2.0-standaard kunt u single sign-on (SSO) configureren voor een aantal cloud-apps. Nadat u SSO hebt ingesteld, kunnen uw gebruikers hun Google Workspace-gegevens gebruiken om zich via SSO aan te melden bij een app.

Gebruik SAML om SSO in te stellen voor Amazon Web Services.

Voor deze taak moet u zijn aangemeld als superbeheerder .

Voordat je begint

Voordat u SSO configureert, moet u een aangepast gebruikerskenmerk aanmaken.

  1. Ga in de Google Admin-console naar Menu. en dan Directory en dan Gebruikers .

    Hiervoor is het juiste gebruikersbeheerrecht vereist. Zonder het juiste recht ziet u niet alle benodigde opties om deze stappen te voltooien.

  2. Klik op Meer opties en dan Aangepaste attributen beheren .
  3. Klik bovenaan op 'Aangepast kenmerk toevoegen' .
  4. In het gedeelte 'Aangepaste velden toevoegen' :
    1. Voer bij Categorie Amazon in.
    2. Voer bij Beschrijving Amazon Custom Attributes in.
    3. Voer bij Naam de rol in.
    4. Klik op Info type en selecteer Tekst .
    5. Klik op Zichtbaarheid en selecteer Zichtbaar voor gebruiker en beheerder .
    6. Klik op Aantal waarden en selecteer Meerdere waarden .

  5. Klik op Toevoegen .
    Het aangepaste attribuut verschijnt in het gedeelte 'Aangepaste attributen' op de pagina 'Gebruikersattributen beheren '.

Stap 1: Informatie over Google-identiteitsproviders verkrijgen

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met SAML-applicaties .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Download de metadata van de identiteitsprovider.
  3. Laat de beheerdersconsole openstaan. Je gaat verder met de configuratie in de beheerdersconsole nadat je de installatiestappen in de app hebt voltooid.

Stap 2: Configureer Amazon Web Services als een SAML 2.0-serviceprovider.

  1. Open een incognito browservenster en meld u aan bij de AWS Management Console .
  2. Open de IAM-console .
  3. Ga naar Identiteitsaanbieders en dan Aanbieder toevoegen .
  4. Klik op Providertype en selecteer SAML .
  5. Voer bij 'Providernaam' een naam in (bijvoorbeeld GoogleWorkspace).

    Let op : de naam van de provider mag geen spaties bevatten.

  6. Klik op 'Bestand kiezen' en selecteer het metadata-bestand dat u in stap 1 hebt gedownload.
  7. Klik op Aanbieder toevoegen .

    Op de pagina 'Identiteitsaanbieders' zou de naam van de door u ingevoerde aanbieder, zoals GoogleWorkspace, in de lijst met identiteitsaanbieders moeten verschijnen.

  8. Klik op Rollen en dan Maak een rol aan en dan Vertrouwd entiteitstype en dan SAML 2.0-federatie .
  9. Voor SAML 2.0-federatie selecteert u de SAML-providernaam die u eerder hebt toegevoegd en kiest u een toegangsoptie.
  10. Klik op Volgende .
  11. Voor machtigingsbeleid kunt u zoeken naar en beleidsregels selecteren om machtigingen te verlenen aan gebruikers die zich aanmelden bij Amazon Web Services via SSO (bijvoorbeeld AdministratorAccess).
  12. Klik op Volgende .
  13. Voer in het gedeelte 'Roldetails ' een rolnaam in (bijvoorbeeld GoogleSSO).
  14. Klik op Rol aanmaken.
  15. Kopieer en bewaar op de pagina Rollen de Identity Provider ARN voor de rolnaam die u in stap 12 hebt aangemaakt.
    Deze waarde is nodig om het aangepaste Amazon-gebruikerskenmerk voor elke gebruiker in stap 4 te configureren.
  16. Klik op de rolnaam die u eerder hebt aangemaakt.
  17. Kopieer en bewaar de Role ARN op de overzichtspagina .
    Deze waarde is nodig om het aangepaste Amazon-gebruikerskenmerk voor elke gebruiker in stap 4 te configureren.

Stap 3: Google instellen als SAML-identiteitsprovider

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Web- en mobiele apps .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik op 'App toevoegen'. en dan Zoek naar apps .
  3. Voer bij 'Voer appnaam in' Amazon Web Services in.
  4. Wijs in de zoekresultaten naar Amazon Web Services en klik op Selecteren .
  5. Klik in het venster met details van de Google Identity Provider op Doorgaan .
    Op de pagina met serviceprovidergegevens zijn de app-gegevens standaard geconfigureerd.
  6. Klik op Doorgaan .
  7. Klik in het venster Attribuuttoewijzing op 'Veld selecteren' en koppel de volgende Google-directoryattributen aan de overeenkomstige Amazon Web Services-attributen. De attributen https://aws.amazon.com/SAML/Attributes/RoleSessionName en https://aws.amazon.com/SAML/Attributes/Role zijn verplicht.
    Google-directory-attribuut Amazon Web Services-attribuut
    Basisgegevens > Primair e-mailadres https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Rol* https://aws.amazon.com/SAML/Attributes/Role
    * Het aangepaste attribuut dat u hebt gemaakt in het gedeelte 'Voordat u begint'.
  8. (Optioneel) Om extra koppelingen toe te voegen, klikt u op Koppeling toevoegen en selecteert u de velden die u wilt koppelen.
  9. (Optioneel) Voer hier groepsnamen in die relevant zijn voor deze app:
    1. Voor groepslidmaatschap (optioneel) klikt u op 'Zoek naar een groep' , voert u een of meer letters van de groepsnaam in en selecteert u de groepsnaam.
    2. Voeg naar behoefte extra groepen toe (maximaal 75 groepen).
    3. Voer voor het attribuut 'App' de overeenkomstige naam van het groepsattribuut van de serviceprovider in.

    Ongeacht hoeveel groepsnamen u invoert, het SAML-antwoord bevat alleen groepen waarvan een gebruiker (direct of indirect) lid is. Ga voor meer informatie naar 'Over het toewijzen van groepslidmaatschap' .

  10. Klik op Voltooien .

Stap 4: Schakel de app in voor gebruikers

Voordat u begint: Om een ​​service voor bepaalde gebruikers in of uit te schakelen, plaatst u hun accounts in een organisatie-eenheid (om de toegang per afdeling te beheren) of voegt u ze toe aan een toegangsgroep (om toegang te verlenen aan gebruikers binnen of tussen afdelingen).

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Web- en mobiele apps .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik op Amazon Web Services .
  3. Klik op Gebruikerstoegang .

  4. Om een ​​service voor iedereen in uw organisatie in of uit te schakelen, klikt u op 'Aan voor iedereen' of 'Uit voor iedereen' en vervolgens op ' Opslaan' .

  5. (Optioneel) Om een ​​service voor een organisatie-eenheid in of uit te schakelen:
    1. Selecteer aan de linkerkant de organisatie-eenheid.
    2. Om de servicestatus te wijzigen, selecteert u Aan of Uit .
    3. Kies er één:
      • Als de servicestatus is ingesteld op 'Overgenomen' en u de bijgewerkte instelling wilt behouden, zelfs als de instelling van de bovenliggende service verandert, klikt u op 'Overschrijven' .
      • Als de servicestatus is ingesteld op 'Overschreven' , kunt u op 'Overnemen' klikken om terug te keren naar dezelfde instelling als het bovenliggende element, of op ' Opslaan' klikken om de nieuwe instelling te behouden, zelfs als de instelling van het bovenliggende element verandert.

        Leer meer over organisatiestructuur .

  6. (Optioneel) Om een ​​service in te schakelen voor een groep gebruikers binnen of tussen organisatie-eenheden, selecteert u een toegangsgroep. Zie Toegang tot services aanpassen met toegangsgroepen voor meer informatie.
  7. Zorg ervoor dat de e-maildomeinen van uw Amazon Web Services-gebruikersaccount overeenkomen met het primaire domein van het beheerde Google-account van uw organisatie.
  8. Configureer voor elke gebruiker die zich via SSO aanmeldt bij Amazon Web Services het aangepaste gebruikerskenmerk dat u eerder hebt gemaakt:
    1. Klik op de gebruikersaccountpagina op Gebruikersgegevens . en dan het aangepaste Amazon-attribuut.
    2. Voer bij Rol de Role ARN en de Identity Provider ARN in die u in stap 2 hebt gekopieerd, gescheiden door een komma. Bijvoorbeeld:

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. Klik op Opslaan .

Stap 5: Controleer of SSO werkt

Amazon Web Services ondersteunt alleen SSO die door de identiteitsprovider wordt geïnitieerd.

Verifieer de door de identiteitsprovider geïnitieerde SSO.

Voordat u begint: Zorg ervoor dat u bent aangemeld bij het account waarmee u Amazon Web Services hebt geconfigureerd.

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Web- en mobiele apps .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik op Amazon Web Services .
  3. Klik in het gedeelte Amazon Web Services op Test SAML Login .

    De app zou in een apart tabblad moeten openen. Als dit niet gebeurt, los dan de foutmelding op en probeer het opnieuw. Ga naar SAML-appfoutmeldingen voor meer informatie over het oplossen van problemen.

Stap 6: Gebruikersprovisionering instellen

Als superbeheerder kunt u automatisch gebruikers in de app aanmaken. Zie Gebruikersprovisionering van Amazon Web Services configureren voor meer informatie.


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.