Com o padrão SAML 2.0, é possível configurar o Logon único (SSO) em vários apps na nuvem. Depois que você configurar o SSO, seus usuários poderão usar as credenciais do Google Workspace para fazer login em um app.
Usar SAML para configurar o SSO no Amazon Web Services
Para realizar essa tarefa, você precisa fazer login como superadministrador.Antes de começar
Antes de configurar o SSO, você precisa criar um atributo de usuário personalizado.
-
No Google Admin Console, acesse Menu
DiretórioUsuários.Exige o privilégio de gerenciamento de usuários adequado. Sem o privilégio correto, você não vai ter acesso a todos os controles necessários para fazer isso.
- Clique em Mais opçõesGerenciar atributos personalizados.
- Na parte de cima, clique em Adicionar atributo personalizado.
- Na seção Adicionar campos personalizados:
- Em Categoria, digite Amazon.
- Em Descrição, insira Atributos personalizados da Amazon.
- Em Nome, insira Função.
- Clique em Tipo de informação e selecione Texto.
- Clique em Visibilidade e selecione Visível para o usuário e o administrador.
- Clique em Número de valores e selecione Valores múltiplos.
-
Clique em Adicionar.
O atributo personalizado aparece na seção Atributos personalizados da página Gerenciar atributos do usuário.
Etapa 1: receber informações do provedor de identidade do Google
-
No Google Admin Console, acesse Menu
SegurançaAutenticaçãoSSO com aplicativos SAML.Para realizar essa tarefa, você precisa fazer login como superadministrador.
- Faça o download dos metadados do provedor de identidade.
- Mantenha o Admin Console aberto. Você vai continuar a configuração no Admin Console após as etapas de configuração no app.
Etapa 2: configurar o Amazon Web Services como um provedor de serviços SAML 2.0
- Abra uma janela anônima no navegador e faça login no AWS Management Console.
- Abra o console do IAM.
- Acesse Provedores de identidadeAdicionar provedor.
- Clique em Tipo de provedor e selecione SAML.
- Em Nome do provedor, insira um nome (por exemplo, GoogleWorkspace).
Observação: o nome do provedor não pode conter espaços.
- Clique em Escolher arquivo e selecione o arquivo de metadados que você salvou na etapa 1.
- Clique em Adicionar provedor.
Na página Provedores de identidade, o nome do provedor que você inseriu, como Google Workspace, vai aparecer na lista de provedores de identidade.
- Clique em FunçõesCriar funçãoTipo de entidade confiávelFederação SAML 2.0.
- Para a federação SAML 2.0, selecione o nome do provedor SAML que você adicionou anteriormente e escolha uma opção de acesso.
- Clique em Próxima.
- Em Políticas de permissões, pesquise e escolha políticas para conceder permissões aos usuários que estão fazendo login no Amazon Web Services usando SSO (por exemplo, AdministratorAccess).
- Clique em Próxima.
- Na seção Detalhes da função, insira um Nome da função (por exemplo, GoogleSSO).
- Clique em Criar função.
- Na página Funções, copie e salve o ARN do provedor de identidade para o nome da função que você criou na etapa 12.
Esse valor é necessário para configurar o atributo de usuário personalizado da Amazon para cada usuário na etapa 4. - Clique no nome da função que você criou anteriormente.
- Na página Resumo, copie e salve o ARN da função.
Esse valor é necessário para configurar o atributo de usuário personalizado da Amazon para cada usuário na etapa 4.
Etapa 3: configurar o Google como um provedor de identidade SAML
-
No Google Admin Console, acesse Menu
AppsApps da Web e para dispositivos móveis.Para realizar essa tarefa, você precisa fazer login como superadministrador.
-
Clique em Adicionar appPesquisar apps.
- Em Digitar o nome do app, digite Amazon Web Services.
- Nos resultados da pesquisa, passe o cursor sobre Amazon Web Services e clique em Selecionar.
-
Na janela Detalhes do provedor de identidade do Google, clique em Continuar.
Na página Detalhes do provedor de serviços, os detalhes do app são configurados por padrão. - Clique em Continuar.
- Na janela Mapeamento de atributos, clique em Selecionar campo e mapeie os seguintes atributos do diretório do Google para os atributos do Amazon Web Services correspondentes. Os atributos https://aws.amazon.com/SAML/Attributes/RoleSessionName e https://aws.amazon.com/SAML/Attributes/Role são obrigatórios.
* O atributo personalizado que você criou na seção "Antes de começar".Atributo do diretório do Google Atributo do Amazon Web Services Basic Information > Primary Email https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > Função* https://aws.amazon.com/SAML/Attributes/Role - (Opcional) Para incluir outros mapeamentos, clique em Adicionar mapeamento e selecione os campos que precisam ser mapeados.
-
(Opcional) Para inserir nomes de grupos relevantes para este app:
- Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
- Adicione outros grupos conforme necessário (máximo de 75 grupos).
- Em Atributo do app, digite o nome do atributo de grupo correspondente do provedor de serviços.
Independentemente do total de nomes de grupo informados, a resposta SAML inclui apenas grupos de que o usuário faz parte (direta ou indiretamente). Para mais informações, acesse Sobre o mapeamento de associações a grupos.
- Clique em Concluir.
Etapa 4: ativar o app para os usuários
-
No Google Admin Console, acesse Menu
AppsApps da Web e para dispositivos móveis.Para realizar essa tarefa, você precisa fazer login como superadministrador.
- Clique em Amazon Web Services.
- Clique em Acesso de usuário.
-
Para ativar ou desativar um serviço para todos na organização, clique em Ativar para todos ou Desativar para todos e depois em Salvar.
-
(Opcional) Para ativar ou desativar um serviço em uma unidade organizacional:
- Selecione a unidade organizacional à esquerda.
- Para mudar o status do serviço, selecione Ativado ou Desativado.
- Escolha uma opção:
- Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Substituir.
- Caso o status do serviço esteja definido como Substituído, clique em Herdar para reverter e usar a configuração mãe ou clique em Salvar para manter a nova configuração, mesmo que a configuração mãe seja alterada.
Saiba mais sobre estrutura organizacional.
-
(Opcional) Se você quiser ativar um serviço para alguns usuários em uma ou várias unidades organizacionais, selecione um grupo de acesso. Saiba mais em Personalizar o acesso ao serviço usando grupos de acesso.
- Verifique se os domínios de e-mail da sua conta de usuário da Amazon Web Services correspondem ao domínio principal da Conta do Google gerenciada da sua organização.
- Para cada usuário que faz login no Amazon Web Services usando o SSO, configure o atributo personalizado que você criou anteriormente:
- Na página da conta do usuário, clique em Informações do usuárioo atributo personalizado da Amazon.
- Em Função, insira o ARN da função e o ARN do provedor de identidade que você copiou na etapa 2, separados por uma vírgula. Exemplo:
arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
- Clique em Salvar.
- Na página da conta do usuário, clique em Informações do usuário
Etapa 5: verificar se o SSO está funcionando
A Amazon Web Services só oferece suporte ao SSO iniciado pelo provedor de identidade.
Verificar o SSO iniciado pelo provedor de identidade
Antes de começar: verifique se você fez login na conta em que configurou o Amazon Web Services.
-
No Google Admin Console, acesse Menu
AppsApps da Web e para dispositivos móveis.Para realizar essa tarefa, você precisa fazer login como superadministrador.
- Clique em Amazon Web Services.
- Na seção Amazon Web Services, clique em Testar login SAML.
O app vai abrir em uma guia separada. Caso contrário, resolva o problema da mensagem de erro e tente novamente. Confira mais detalhes sobre a solução de problemas em Mensagens de erro do app SAML.
Etapa 6: configurar o provisionamento de usuários
Como superadministrador, você pode provisionar usuários automaticamente no app. Para mais detalhes, acesse Configurar o provisionamento de usuários da Amazon Web Services.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.