Aplikasi cloud Amazon Web Services

Dengan standar SAML 2.0, Anda dapat mengonfigurasi single sign-on (SSO) untuk sejumlah aplikasi cloud. Setelah menyiapkan SSO, pengguna Anda dapat menggunakan kredensial Google Workspace mereka untuk login ke aplikasi menggunakan SSO.

Menggunakan SAML guna menyiapkan SSO untuk Amazon Web Services

Anda harus login sebagai administrator super untuk melakukan tugas ini.

Sebelum memulai

Sebelum mengonfigurasi SSO, Anda harus membuat atribut pengguna khusus.

  1. Di konsol Google Admin, buka Menu lalu DirektorilaluPengguna.

    Memerlukan hak istimewa Pengelolaan pengguna yang sesuai. Tanpa hak istimewa yang benar, Anda tidak akan melihat semua kontrol yang diperlukan untuk menyelesaikan langkah-langkah ini.

  2. Klik Opsi lainnyalaluKelola atribut khusus.
  3. Di bagian atas, klik Tambahkan Atribut Khusus.
  4. Di bagian Tambahkan kolom kustom:
    1. Untuk Kategori, masukkan Amazon.
    2. Untuk Deskripsi, masukkan Atribut Khusus Amazon.
    3. Untuk Nama, masukkan Peran.
    4. Klik Jenis info, lalu pilih Teks.
    5. Klik Visibilitas, lalu pilih Dapat dilihat pengguna dan admin.
    6. Klik Jumlah nilai, lalu pilih Multinilai.

  5. Klik Tambahkan.
    Atribut khusus terkait akan muncul di bagian Atribut khusus di halaman Kelola atribut pengguna.

Langkah 1: Dapatkan informasi penyedia identitas Google

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluAutentikasilaluSSO dengan aplikasi SAML.

    Anda harus login sebagai administrator super untuk melakukan tugas ini.

  2. Download metadata penyedia identitas.
  3. Biarkan konsol Admin terbuka. Anda akan melanjutkan konfigurasi di konsol Admin setelah menyelesaikan langkah penyiapan di aplikasi.

Langkah 2: Siapkan Amazon Web Services sebagai penyedia layanan SAML 2.0

  1. Buka jendela browser Samaran, lalu login ke AWS Management Console.
  2. Buka IAM console.
  3. Buka Identity ProviderslaluAdd Provider.
  4. Klik Provider Type, lalu pilih SAML.
  5. Untuk Provider Name, masukkan nama (misalnya, GoogleWorkspace).

    Catatan: Nama penyedia tidak boleh berisi spasi.

  6. Klik Choose File, lalu pilih file metadata yang Anda download di Langkah 1.
  7. Klik Tambahkan Penyedia.

    Di halaman Identity Providers, nama penyedia yang Anda masukkan, seperti GoogleWorkspace, akan muncul dalam daftar penyedia identitas.

  8. Klik RoleslaluCreate rolelaluTrusted entity typelaluSAML 2.0 federation.
  9. Untuk SAML 2.0 federation, pilih nama penyedia SAML yang telah Anda tambahkan sebelumnya, lalu pilih opsi akses.
  10. Klik Berikutnya.
  11. Untuk Permissions policies, cari dan pilih kebijakan yang akan memberikan izin kepada pengguna yang login ke Amazon Web Services menggunakan SSO (misalnya, AdministratorAccess).
  12. Klik Berikutnya.
  13. Di bagian Role details, masukkan Role name (misalnya, GoogleSSO).
  14. Klik Buat peran.
  15. Di halaman Roles, salin dan simpan ARN Penyedia Identitas untuk nama peran yang Anda buat di langkah 12.
    Nilai ini diperlukan untuk mengonfigurasi atribut pengguna Amazon khusus bagi setiap pengguna di Langkah 4.
  16. Klik nama peran yang telah Anda buat sebelumnya.
  17. Di halaman Summary, salin dan simpan ARN Peran.
    Nilai ini diperlukan untuk mengonfigurasi atribut pengguna Amazon khusus bagi setiap pengguna di Langkah 4.

Langkah 3: Siapkan Google sebagai penyedia identitas SAML

  1. Di konsol Google Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.

    Anda harus login sebagai administrator super untuk melakukan tugas ini.

  2. Klik Tambahkan aplikasilaluTelusuri aplikasi.
  3. Untuk Masukkan nama aplikasi, masukkan Amazon Web Services.
  4. Di hasil penelusuran, arahkan kursor ke Amazon Web Services, lalu klik Pilih.
  5. Di jendela Detail Penyedia Identitas Google, klik Lanjutkan.
    Di halaman Service provider details, detail aplikasi dikonfigurasi secara default.
  6. Klik Lanjutkan.
  7. Di jendela Pemetaan Atribut, klik Pilih kolom dan petakan atribut direktori Google berikut ke atribut Amazon Web Services yang sesuai. Atribut https://aws.amazon.com/SAML/Attributes/RoleSessionName dan https://aws.amazon.com/SAML/Attributes/Role wajib diisi.
    Atribut direktori Google Atribut Amazon Web Services
    Informasi Dasar > Email Utama https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Peran* https://aws.amazon.com/SAML/Attributes/Role
    * Atribut khusus yang Anda buat di bagian Sebelum memulai.
  8. (Opsional) Untuk menyertakan pemetaan tambahan, klik Tambahkan Pemetaan dan pilih kolom yang perlu dipetakan.
  9. (Opsional) Guna memasukkan nama grup yang relevan untuk aplikasi ini:
    1. Untuk Keanggotaan grup (opsional), klik Telusuri grup, masukkan satu atau beberapa huruf dari nama grup, lalu pilih nama grup.
    2. Tambahkan grup lainnya sesuai kebutuhan (maksimum 75 grup).
    3. Untuk Atribut aplikasi, masukkan nama atribut grup yang sesuai dari penyedia layanan.

    Terlepas dari jumlah nama grup yang Anda masukkan, respons SAML hanya menyertakan grup tempat pengguna bergabung (secara langsung atau tidak langsung). Untuk mengetahui informasi selengkapnya, buka Tentang pemetaan keanggotaan grup.

  10. Klik Selesai.

Langkah 4: Aktifkan aplikasi untuk pengguna

Sebelum Anda memulai: Untuk mengaktifkan atau menonaktifkan layanan bagi pengguna tertentu, masukkan akun mereka ke suatu unit organisasi (untuk mengontrol akses berdasarkan departemen) atau tambahkan akun mereka ke suatu grup akses (untuk mengizinkan akses bagi pengguna di seluruh atau di dalam departemen).

  1. Di konsol Google Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.

    Anda harus login sebagai administrator super untuk melakukan tugas ini.

  2. Klik Amazon Web Services.
  3. Klik Akses pengguna.

  4. Untuk mengaktifkan atau menonaktifkan layanan bagi semua orang di organisasi Anda, klik Aktif untuk semua orang atau Nonaktif untuk semua orang, lalu klik Simpan.

  5. (Opsional) Guna mengaktifkan atau menonaktifkan layanan untuk unit organisasi:
    1. Di sebelah kiri, pilih unit organisasi.
    2. Untuk mengubah status Layanan, pilih Aktif atau Nonaktif.
    3. Pilih salah satu:
      • Jika status Layanan ditetapkan ke Diwariskan dan Anda ingin mempertahankan setelan yang telah diperbarui, meskipun jika setelan induknya berubah, klik Ganti.
      • Jika status Layanan ditetapkan ke Diganti, klik Warisi untuk kembali ke setelan yang sama dengan induknya, atau klik Simpan untuk menyimpan setelan baru, meskipun setelan induknya berubah.
        Pelajari lebih lanjut struktur organisasi.
  6. (Opsional) Untuk mengaktifkan layanan bagi sekelompok pengguna lintas atau di dalam unit organisasi, pilih grup akses. Untuk mengetahui detailnya, buka Menyesuaikan akses layanan menggunakan grup akses.
  7. Pastikan domain email akun pengguna Amazon Web Services Anda cocok dengan domain primer Akun Google terkelola organisasi Anda.
  8. Untuk setiap pengguna yang login ke Amazon Web Services menggunakan SSO, konfigurasikan atribut pengguna khusus yang Anda buat sebelumnya:
    1. Di halaman akun pengguna, klik Informasi penggunalaluAtribut khusus Amazon.
    2. Untuk Peran, masukkan ARN Peran dan ARN Penyedia Identitas yang Anda salin di Langkah 2, yang dipisahkan dengan koma. Contoh:

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. Klik Simpan.

Langkah 5: Pastikan SSO berfungsi

Amazon Web Services hanya mendukung SSO yang dimulai oleh penyedia identitas.

Memverifikasi SSO yang dimulai oleh penyedia identitas

Sebelum memulai: Pastikan Anda login ke akun tempat Anda mengonfigurasi Amazon Web Services.

  1. Di konsol Google Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.

    Anda harus login sebagai administrator super untuk melakukan tugas ini.

  2. Klik Amazon Web Services.
  3. Di bagian Amazon Web Services, klik Uji Login SAML.

    Aplikasi akan terbuka di tab terpisah. Jika tidak terbuka, pecahkan masalah pesan error dan coba lagi. Untuk mengetahui detail terkait pemecahan masalah, buka Pesan error aplikasi SAML.

Langkah 6: Siapkan penyediaan pengguna

Sebagai administrator super, Anda dapat menyediakan pengguna di aplikasi secara otomatis. Untuk mengetahui detailnya, buka Mengonfigurasi penyediaan pengguna Amazon Web Services.


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.