اپلیکیشن ابری خدمات وب آمازون

با استفاده از استاندارد SAML 2.0، می‌توانید ورود یکپارچه (SSO) را برای تعدادی از برنامه‌های ابری پیکربندی کنید. پس از تنظیم SSO، کاربران شما می‌توانند از اعتبارنامه‌های Google Workspace خود برای ورود به یک برنامه با استفاده از SSO استفاده کنند.

استفاده از SAML برای تنظیم SSO برای سرویس‌های وب آمازون

برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

قبل از اینکه شروع کنی

قبل از پیکربندی SSO، باید یک ویژگی کاربر سفارشی ایجاد کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دایرکتوری و سپس کاربران .

    نیاز به داشتن امتیاز مدیریت کاربر مناسب دارد. بدون امتیاز صحیح، تمام کنترل‌های لازم برای تکمیل این مراحل را نخواهید دید.

  2. روی گزینه‌های بیشتر کلیک کنید و سپس مدیریت ویژگی‌های سفارشی .
  3. در بالا، روی افزودن ویژگی سفارشی کلیک کنید.
  4. در بخش افزودن فیلدهای سفارشی :
    1. برای دسته‌بندی ، عبارت Amazon را وارد کنید.
    2. برای توضیحات ، ویژگی‌های سفارشی آمازون را وارد کنید.
    3. برای نام ، نقش را وارد کنید.
    4. روی نوع اطلاعات کلیک کنید و متن را انتخاب کنید.
    5. روی «قابلیت مشاهده» کلیک کنید و «قابل مشاهده برای کاربر و مدیر» را انتخاب کنید.
    6. روی «تعداد مقادیر» کلیک کنید و «چندمقدار» را انتخاب کنید.

  5. روی افزودن کلیک کنید.
    ویژگی سفارشی در بخش ویژگی‌های سفارشی در صفحه مدیریت ویژگی‌های کاربر نمایش داده می‌شود.

مرحله ۱: دریافت اطلاعات ارائه‌دهنده هویت گوگل

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس SSO با برنامه‌های SAML

    برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

  2. فراداده ارائه دهنده هویت را دانلود کنید.
  3. کنسول مدیریت را باز بگذارید. پس از مراحل راه‌اندازی در برنامه، پیکربندی را در کنسول مدیریت ادامه خواهید داد.

مرحله 2: سرویس‌های وب آمازون را به عنوان ارائه‌دهنده خدمات SAML 2.0 راه‌اندازی کنید

  1. یک پنجره مرورگر ناشناس باز کنید و وارد کنسول مدیریت AWS شوید.
  2. کنسول IAM را باز کنید.
  3. به ارائه دهندگان هویت بروید و سپس ارائه دهنده را اضافه کنید .
  4. روی نوع ارائه‌دهنده کلیک کنید و SAML را انتخاب کنید.
  5. برای «نام ارائه‌دهنده» ، یک نام وارد کنید (برای مثال، GoogleWorkspace).

    توجه : نام ارائه دهنده نمی‌تواند شامل فاصله (space) باشد.

  6. روی «انتخاب فایل» کلیک کنید و فایل متادیتایی را که در مرحله ۱ دانلود کرده‌اید، انتخاب کنید.
  7. روی افزودن ارائه‌دهنده کلیک کنید.

    در صفحه ارائه دهندگان هویت ، نام ارائه دهنده‌ای که وارد کرده‌اید، مانند GoogleWorkspace، باید در فهرست ارائه دهندگان هویت ظاهر شود.

  8. روی نقش‌ها کلیک کنید و سپس ایجاد نقش و سپس نوع موجودیت مورد اعتماد و سپس فدراسیون SAML 2.0
  9. برای فدراسیون SAML 2.0 ، نام ارائه‌دهنده SAML را که قبلاً اضافه کرده‌اید انتخاب کنید و یک گزینه دسترسی را انتخاب کنید.
  10. روی بعدی کلیک کنید.
  11. برای سیاست‌های مجوزها ، سیاست‌هایی را جستجو و انتخاب کنید تا به کاربرانی که با استفاده از SSO وارد سرویس‌های وب آمازون می‌شوند، مجوز اعطا کنید (برای مثال، AdministratorAccess).
  12. روی بعدی کلیک کنید.
  13. در بخش جزئیات نقش ، نام نقش را وارد کنید (برای مثال، GoogleSSO).
  14. روی ایجاد نقش کلیک کنید.
  15. در صفحه نقش‌ها ، ARN ارائه‌دهنده هویت را برای نام نقشی که در مرحله ۱۲ ایجاد کرده‌اید، کپی و ذخیره کنید.
    این مقدار برای پیکربندی ویژگی کاربر سفارشی آمازون برای هر کاربر در مرحله ۴ مورد نیاز است.
  16. روی نام نقشی که قبلاً ایجاد کرده‌اید کلیک کنید.
  17. در صفحه خلاصه ، Role ARN را کپی و ذخیره کنید.
    این مقدار برای پیکربندی ویژگی کاربر سفارشی آمازون برای هر کاربر در مرحله ۴ مورد نیاز است.

مرحله ۳: گوگل را به عنوان ارائه دهنده هویت SAML تنظیم کنید

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس اپلیکیشن‌های وب و موبایل .

    برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

  2. روی افزودن برنامه کلیک کنید و سپس جستجو برای برنامه‌ها .
  3. برای وارد کردن نام برنامه ، عبارت Amazon Web Services را وارد کنید.
  4. در نتایج جستجو، به Amazon Web Services اشاره کنید و روی Select کلیک کنید.
  5. در پنجره جزئیات ارائه‌دهنده هویت گوگل ، روی ادامه کلیک کنید.
    در صفحه جزئیات ارائه دهنده خدمات ، جزئیات برنامه به طور پیش فرض پیکربندی شده است.
  6. روی ادامه کلیک کنید.
  7. در پنجره نگاشت ویژگی‌ها ، روی فیلد انتخاب کلیک کنید و ویژگی‌های دایرکتوری گوگل زیر را به ویژگی‌های مربوط به سرویس‌های وب آمازون نگاشت کنید. ویژگی‌های https://aws.amazon.com/SAML/Attributes/RoleSessionName و https://aws.amazon.com/SAML/Attributes/Role مورد نیاز هستند.
    ویژگی دایرکتوری گوگل ویژگی خدمات وب آمازون
    اطلاعات اولیه > ایمیل اصلی https://aws.amazon.com/SAML/Attributes/RoleSessionName
    آمازون > نقش* https://aws.amazon.com/SAML/Attributes/Role
    * ویژگی سفارشی که در بخش «قبل از شروع» ایجاد کرده‌اید.
  8. (اختیاری) برای افزودن نگاشت‌های بیشتر، روی «افزودن نگاشت» کلیک کنید و فیلدهایی را که نیاز به نگاشت دارند، انتخاب کنید.
  9. (اختیاری) برای وارد کردن نام گروه‌های مرتبط با این برنامه:
    1. برای عضویت در گروه (اختیاری) ، روی «جستجوی گروه» کلیک کنید، یک یا چند حرف از نام گروه را وارد کنید و نام گروه را انتخاب کنید.
    2. در صورت نیاز گروه‌های بیشتری اضافه کنید (حداکثر ۷۵ گروه).
    3. برای ویژگی برنامه ، نام ویژگی گروه‌های مربوطه از ارائه‌دهنده خدمات را وارد کنید.

    صرف نظر از تعداد نام گروه‌هایی که وارد می‌کنید، پاسخ SAML فقط گروه‌هایی را شامل می‌شود که کاربر (مستقیم یا غیرمستقیم) عضو آنها است. برای اطلاعات بیشتر، به «درباره نگاشت عضویت گروه» مراجعه کنید.

  10. روی پایان کلیک کنید.

مرحله ۴: فعال کردن برنامه برای کاربران

قبل از شروع: برای فعال یا غیرفعال کردن یک سرویس برای کاربران خاص، حساب‌های کاربری آنها را در یک واحد سازمانی قرار دهید (برای کنترل دسترسی بر اساس دپارتمان) یا آنها را به یک گروه دسترسی اضافه کنید (برای دسترسی کاربران در سراسر یا داخل دپارتمان‌ها).

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس اپلیکیشن‌های وب و موبایل .

    برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

  2. روی خدمات وب آمازون کلیک کنید.
  3. روی دسترسی کاربر کلیک کنید.

  4. برای فعال یا غیرفعال کردن یک سرویس برای همه افراد سازمان خود، روی «فعال برای همه» یا «غیرفعال برای همه» کلیک کنید و سپس روی «ذخیره» کلیک کنید.

  5. (اختیاری) برای فعال یا غیرفعال کردن یک سرویس برای یک واحد سازمانی:
    1. در سمت چپ، واحد سازمانی را انتخاب کنید.
    2. برای تغییر وضعیت سرویس، روشن یا خاموش را انتخاب کنید.
    3. یکی را انتخاب کنید:
      • اگر وضعیت سرویس روی «به ارث رسیده» تنظیم شده است و می‌خواهید تنظیمات به‌روزرسانی‌شده را حفظ کنید، حتی اگر تنظیمات والد تغییر کند، روی «لغو» کلیک کنید.
      • اگر وضعیت سرویس روی «لغو شده» تنظیم شده باشد، یا روی «وراثت» کلیک کنید تا به همان تنظیمات والد خود برگردید، یا روی «ذخیره» کلیک کنید تا تنظیمات جدید حفظ شود، حتی اگر تنظیمات والد تغییر کند.
        درباره ساختار سازمانی بیشتر بدانید.
  6. (اختیاری) برای فعال کردن یک سرویس برای مجموعه‌ای از کاربران در سراسر یا درون واحدهای سازمانی، یک گروه دسترسی انتخاب کنید. برای جزئیات بیشتر، به سفارشی‌سازی دسترسی به سرویس با استفاده از گروه‌های دسترسی بروید.
  7. مطمئن شوید که دامنه‌های ایمیل حساب کاربری خدمات وب آمازون شما با دامنه اصلی حساب گوگل مدیریت‌شده سازمان شما مطابقت دارد.
  8. برای هر کاربری که با استفاده از SSO به سرویس‌های وب آمازون وارد می‌شود، ویژگی کاربر سفارشی که قبلاً ایجاد کرده‌اید را پیکربندی کنید:
    1. در صفحه حساب کاربر، روی اطلاعات کاربر کلیک کنید و سپس ویژگی سفارشی آمازون.
    2. برای نقش ، ARN نقش و ARN ارائه دهنده هویت را که در مرحله 2 کپی کردید، با کاما از هم جدا کنید. برای مثال:

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. روی ذخیره کلیک کنید.

مرحله ۵: تأیید کنید که SSO کار می‌کند

سرویس‌های وب آمازون فقط از SSO آغاز شده توسط ارائه دهنده هویت پشتیبانی می‌کنند.

تأیید SSO آغاز شده توسط ارائه دهنده هویت

قبل از شروع: مطمئن شوید که به حسابی که در آن خدمات وب آمازون را پیکربندی کرده‌اید، وارد شده‌اید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس اپلیکیشن‌های وب و موبایل .

    برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

  2. روی خدمات وب آمازون کلیک کنید.
  3. در بخش سرویس‌های وب آمازون ، روی «تست ورود به سیستم SAML» کلیک کنید.

    برنامه باید در یک برگه جداگانه باز شود. اگر اینطور نیست، پیام خطا را عیب‌یابی کنید و دوباره امتحان کنید. برای جزئیات بیشتر در مورد عیب‌یابی، به پیام‌های خطای برنامه SAML بروید.

مرحله 6: تنظیم تنظیمات کاربر

به عنوان یک مدیر ارشد، می‌توانید به طور خودکار کاربران را در برنامه تأمین کنید. برای جزئیات بیشتر، به پیکربندی تأمین کاربر خدمات وب آمازون بروید.


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.