Application cloud Amazon Web Services

La norme SAML (Security Assertion Markup Language) 2.0 vous permet de configurer l'authentification unique (SSO) pour un certain nombre d'applications cloud. Une fois l'authentification unique configurée, vos utilisateurs peuvent se connecter à une application à l'aide de leurs identifiants Google Workspace.

Configurer le SSO pour Amazon Web Services via le protocole SAML

Pour cette tâche, vous devez être connecté en tant que super-administrateur.

Avant de commencer

Avant de configurer le SSO, vous devez créer un attribut utilisateur personnalisé.

  1. Dans la console d'administration Google, accédez à Menu  puis Annuaire puis Utilisateurs.

    Vous devez disposer du droit de gestion des utilisateurs approprié. Sans quoi, vous n'aurez pas accès à toutes les commandes requises.

  2. Cliquez sur Plus d'optionspuisGérer les attributs personnalisés.
  3. En haut de la page, cliquez sur Ajouter un attribut personnalisé.
  4. Dans la section Ajouter des champs personnalisés :
    1. Dans le champ Catégorie, saisissez Amazon.
    2. Dans le champ Description, saisissez Attributs personnalisés Amazon.
    3. Dans Nom, saisissez Rôle.
    4. Cliquez sur Type d'information, puis sélectionnez Texte.
    5. Cliquez sur Visibilité, puis sélectionnez Visible pour l'utilisateur et l'administrateur.
    6. Cliquez sur Nombre de valeurs, puis sélectionnez Plusieurs valeurs.

  5. Cliquez sur Ajouter.
    L'attribut personnalisé apparaît dans la section Attributs personnalisés de la page Gérer les attributs de l'utilisateur.

Étape 1 : Obtenez des informations sur le fournisseur d'identité Google

  1. Dans la console d'administration Google, accédez à Menu  puis SécuritépuisAuthentificationpuisSSO avec les applications SAML.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Téléchargez les métadonnées du fournisseur d'identité.
  3. Laissez la console d'administration ouverte. Vous continuerez la configuration dans la console d'administration après avoir suivi les étapes de configuration dans l'application.

Étape 2 : Définissez Amazon Web Services comme fournisseur de services SAML 2.0

  1. Ouvrez une fenêtre de navigation privée dans votre navigateur, puis connectez-vous à la console de gestion AWS.
  2. Ouvrez la console IAM.
  3. Accédez à Fournisseurs d'identitépuisAjouter un fournisseur.
  4. Cliquez sur Type de fournisseur, puis sélectionnez SAML.
  5. Dans le champ Nom du fournisseur, saisissez un nom (par exemple, "Google Workspace").

    Remarque : Le nom du fournisseur ne peut pas contenir d'espaces.

  6. Cliquez sur Choose File (Choisir un fichier) et sélectionnez le fichier de métadonnées que vous avez téléchargé à l'étape 1.
  7. Cliquez sur Ajouter un fournisseur.

    Sur la page Fournisseurs d'identité, le nom du fournisseur que vous avez saisi (par exemple, Google Workspace) doit apparaître dans la liste des fournisseurs d'identité.

  8. Cliquez sur RôlespuisCréer un rôlepuisType d'entité approuvépuisFédération SAML 2.0.
  9. Dans le champ Fédération SAML 2.0, sélectionnez le nom du fournisseur SAML que vous avez précédemment ajouté et choisissez une option d'accès.
  10. Cliquez sur Suivant.
  11. Dans le champ Permissions policies (Règles d'autorisation), recherchez et sélectionnez des règles permettant d'accorder des autorisations aux utilisateurs qui se connectent à Amazon Web Services à l'aide de l'authentification unique (par exemple, AdministratorAccess).
  12. Cliquez sur Suivant.
  13. Dans la section Détails du rôle, saisissez un nom de rôle (par exemple, GoogleSSO).
  14. Cliquez sur Créer un rôle.
  15. Sur la page Rôles, copiez et enregistrez l'ARN du fournisseur d'identité pour le nom du rôle que vous avez créé à l'étape 12.
    Cette valeur est nécessaire pour configurer l'attribut utilisateur Amazon personnalisé pour chaque utilisateur à l'étape 4.
  16. Cliquez sur le nom du rôle que vous avez créé précédemment.
  17. Sur la page Summary (Résumé), copiez et enregistrez l'ARN du rôle.
    Cette valeur est nécessaire pour configurer l'attribut utilisateur Amazon personnalisé pour chaque utilisateur à l'étape 4.

Étape 3 : Définissez Google comme fournisseur d'identité SAML

  1. Dans la console d'administration Google, accédez à Menu  puis ApplicationspuisApplications Web et mobiles.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Cliquez sur Ajouter une applicationpuisRechercher des applications.
  3. Dans le champ Saisissez le nom de l'application, saisissez Amazon Web Services.
  4. Dans les résultats de recherche, pointez sur Amazon Web Services et cliquez sur Sélectionner.
  5. Dans la fenêtre Informations sur le fournisseur d'identité Google, cliquez sur Continuer.
    Sur la page Détails relatifs au fournisseur de services, les informations sur l'application sont configurées par défaut.
  6. Cliquez sur Continuer.
  7. Dans la fenêtre Mappage des attributs, cliquez sur Sélectionner un champ et mappez les attributs de l'annuaire Google suivants aux attributs Amazon Web Services correspondants. Les attributs https://aws.amazon.com/SAML/Attributes/RoleSessionName et https://aws.amazon.com/SAML/Attributes/Role sont obligatoires.
    Attribut d'annuaire Google Attribut Amazon Web Services
    Informations générales > Adresse e-mail principale https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Rôle* https://aws.amazon.com/SAML/Attributes/Role
    * L'attribut personnalisé que vous avez créé dans la section "Avant de commencer".
  8. (Facultatif) Pour ajouter d'autres mappages, cliquez sur Ajouter un mappage, puis sélectionnez les champs à mapper.
  9. (Facultatif) Pour saisir des noms de groupes pertinents pour cette application :
    1. Dans le champ Appartenance à un groupe (facultatif), cliquez sur Rechercher un groupe, saisissez une ou plusieurs lettres du nom du groupe, puis sélectionnez-en un.
    2. Ajoutez des groupes si nécessaire (75 groupes au maximum).
    3. Sous Attribut de l'application, saisissez le nom d'attribut des groupes du fournisseur de services correspondant.

    Quel que soit le nombre de noms de groupes saisis, la réponse SAML inclut uniquement les groupes dont un utilisateur est membre (directement ou indirectement). Pour en savoir plus, consultez À propos du mappage des informations d'appartenance à un groupe.

  10. Cliquez sur Terminer.

Étape 4 : Activez l'application pour les utilisateurs

Avant de commencer : Pour activer ou désactiver un service pour certains utilisateurs, placez les comptes concernés dans une unité organisationnelle afin de contrôler l'accès par service, ou ajoutez-les à un groupe d'accès afin de contrôler l'accès des utilisateurs dans plusieurs services.

  1. Dans la console d'administration Google, accédez à Menu  puis ApplicationspuisApplications Web et mobiles.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Cliquez sur Amazon Web Services.
  3. Cliquez sur Accès des utilisateurs.

  4. Pour activer ou désactiver un service pour tous les membres de votre organisation, cliquez sur Activé pour tous ou sur Désactivé pour tous, puis sur Enregistrer.

  5. (Facultatif) Pour activer ou désactiver un service pour une unité organisationnelle :
    1. Sur la gauche, sélectionnez l'unité organisationnelle.
    2. Pour modifier l'état du service, sélectionnez Activé ou Désactivé.
    3. Choisissez une option :
      • Si l'état du service est défini sur Hérité et que vous souhaitez conserver le paramètre mis à jour, même si le paramètre parent est modifié, cliquez sur Remplacer.
      • Si l'état du service est défini sur Remplacé, cliquez sur Hériter pour rétablir le paramètre parent, ou cliquez sur Enregistrer pour conserver le nouveau paramètre, même si le paramètre parent est modifié.
        En savoir plus sur la structure organisationnelle
  6. (Facultatif) Pour activer un service pour un ensemble d'utilisateurs dans une ou plusieurs unités organisationnelles, sélectionnez un groupe d'accès. Pour en savoir plus, consultez Personnaliser l'accès aux services à l'aide de groupes d'accès.
  7. Vérifiez que les domaines de messagerie des comptes utilisateur Amazon Web Services correspondent au domaine principal du compte Google géré de votre organisation.
  8. Pour chaque utilisateur qui se connecte à Amazon Web Services à l'aide de l'authentification unique, configurez l'attribut utilisateur personnalisé que vous avez créé précédemment :
    1. Sur la page du compte de l'utilisateur, cliquez sur Informations utilisateurpuis l'attribut personnalisé Amazon.
    2. Dans le champ Rôle, saisissez l'ARN du rôle et l'ARN du fournisseur d'identité que vous avez copiés à l'étape 2, séparés par une virgule. Exemple :

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. Cliquez sur Enregistrer.

Étape 5 : Vérifiez le bon fonctionnement de l'authentification unique

Amazon Web Services n'est compatible qu'avec l'authentification unique initiée par le fournisseur d'identité.

Vérifier l'authentification unique initiée par le fournisseur d'identité

Avant de commencer : Assurez-vous d'être connecté au compte pour lequel vous avez configuré Amazon Web Services.

  1. Dans la console d'administration Google, accédez à Menu  puis ApplicationspuisApplications Web et mobiles.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Cliquez sur Amazon Web Services.
  3. Dans la section Amazon Web Services, cliquez sur Tester la connexion SAML.

    L'application s'ouvre dans un onglet distinct. Si ce n'est pas le cas, corrigez le message d'erreur, puis réessayez. Pour savoir comment résoudre les problèmes, consultez Messages d'erreur liés aux applications SAML.

Étape 6 : Configurez la gestion des comptes utilisateur

En tant que super-administrateur, vous pouvez provisionner automatiquement les utilisateurs dans l'application. Pour en savoir plus, consultez Configurer le provisionnement des utilisateurs pour Amazon Web Services.


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.