Облачное приложение Amazon Web Services

Используя стандарт SAML 2.0, вы можете настроить единый вход (SSO) для ряда облачных приложений. После настройки SSO ваши пользователи смогут использовать свои учетные данные Google Workspace для входа в приложение с помощью SSO.

Используйте SAML для настройки единого входа (SSO) для Amazon Web Services.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

Прежде чем начать

Перед настройкой единого входа (SSO) необходимо создать пользовательский атрибут.

  1. В консоли администратора Google перейдите в меню. а потом Каталог а потом Пользователи .

    Для выполнения этой операции необходимы соответствующие права на управление пользователями . Без необходимых прав вы не увидите все элементы управления, необходимые для выполнения этих шагов.

  2. Нажмите «Дополнительные параметры» . а потом Управление пользовательскими атрибутами .
  3. Вверху нажмите «Добавить пользовательский атрибут» .
  4. В разделе «Добавить пользовательские поля» :
    1. В поле «Категория» введите Amazon .
    2. В поле «Описание» введите «Пользовательские атрибуты Amazon» .
    3. В поле «Имя» введите «Роль» .
    4. Нажмите «Тип информации» и выберите «Текст» .
    5. Нажмите «Видимость» и выберите «Видимо для пользователя и администратора» .
    6. Нажмите «Количество значений» и выберите «Многозначный» .

  5. Нажмите «Добавить» .
    Пользовательский атрибут отображается в разделе «Пользовательские атрибуты» на странице «Управление атрибутами пользователя» .

Шаг 1: Получите информацию о поставщике идентификации Google.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с приложениями SAML .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Загрузите метаданные поставщика идентификационных данных.
  3. Оставьте консоль администратора открытой. После выполнения шагов настройки в приложении вы продолжите настройку в консоли администратора.

Шаг 2: Настройте Amazon Web Services в качестве поставщика услуг SAML 2.0.

  1. Откройте окно браузера в режиме инкогнито и войдите в консоль управления AWS .
  2. Откройте консоль IAM .
  3. Перейдите в раздел «Поставщики удостоверений» . а потом Добавить поставщика .
  4. Нажмите «Тип поставщика» и выберите SAML .
  5. В поле «Имя поставщика» введите название (например, GoogleWorkspace).

    Примечание : Название поставщика услуг не может содержать пробелов.

  6. Нажмите «Выбрать файл» и выберите файл метаданных, который вы загрузили на шаге 1.
  7. Нажмите «Добавить поставщика» .

    На странице «Поставщики удостоверений» введенное вами имя поставщика, например GoogleWorkspace, должно отобразиться в списке поставщиков удостоверений.

  8. Click Roles а потом Создать роль а потом Тип доверенной сущности а потом Федерация SAML 2.0 .
  9. Для федерации SAML 2.0 выберите имя поставщика SAML, которое вы добавили ранее, и укажите вариант доступа.
  10. Нажмите «Далее» .
  11. Для политик разрешений найдите и выберите политики, предоставляющие разрешения пользователям, входящим в Amazon Web Services с использованием SSO (например, AdministratorAccess).
  12. Нажмите «Далее» .
  13. В разделе «Подробности роли» введите название роли (например, GoogleSSO).
  14. Нажмите «Создать роль».
  15. На странице «Роли» скопируйте и сохраните ARN поставщика идентификации для имени роли, которую вы создали на шаге 12.
    Это значение необходимо для настройки пользовательского атрибута пользователя Amazon для каждого пользователя на шаге 4.
  16. Щелкните по названию роли, которую вы создали ранее.
  17. На странице «Сводка» скопируйте и сохраните ARN роли.
    Это значение необходимо для настройки пользовательского атрибута пользователя Amazon для каждого пользователя на шаге 4.

Шаг 3: Настройте Google в качестве поставщика идентификации SAML.

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Веб- и мобильные приложения .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Нажмите «Добавить приложение». а потом Поиск приложений .
  3. В поле «Введите название приложения» введите Amazon Web Services .
  4. В результатах поиска наведите указатель мыши на Amazon Web Services и нажмите «Выбрать» .
  5. В окне сведений о поставщике идентификации Google нажмите «Продолжить» .
    На странице с информацией о поставщике услуг данные приложения настроены по умолчанию.
  6. Нажмите «Продолжить» .
  7. В окне «Сопоставление атрибутов» нажмите «Выбрать поле» и сопоставьте следующие атрибуты каталога Google с соответствующими атрибутами Amazon Web Services. Атрибуты https://aws.amazon.com/SAML/Attributes/RoleSessionName и https://aws.amazon.com/SAML/Attributes/Role являются обязательными.
    атрибут каталога Google атрибут Amazon Web Services
    Основные данные > Основной адрес электронной почты https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Роль* https://aws.amazon.com/SAML/Attributes/Role
    * Пользовательский атрибут, который вы создали в разделе «Перед началом работы».
  8. (Необязательно) Чтобы добавить дополнительные сопоставления, нажмите «Добавить сопоставление» и выберите поля, которые необходимо сопоставить.
  9. (Необязательно) Чтобы ввести названия групп, имеющих отношение к этому приложению:
    1. Для выбора членства в группе (необязательно) нажмите «Поиск группы» , введите одну или несколько букв названия группы и выберите название группы.
    2. При необходимости добавьте дополнительные группы (максимум 75 групп).
    3. В поле «Атрибут приложения» введите соответствующее имя атрибута группы поставщика услуг.

    Независимо от количества введенных вами названий групп, ответ SAML будет включать только те группы, в которые пользователь входит (прямо или косвенно). Для получения дополнительной информации перейдите в раздел «О сопоставлении членства в группах» .

  10. Нажмите «Готово» .

Шаг 4: Включите приложение для пользователей.

Перед началом работы: чтобы включить или выключить услугу для определенных пользователей, добавьте их учетные записи в организационное подразделение (для управления доступом по отделам) или в группу доступа (для предоставления доступа пользователям из разных отделов или внутри них).

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Веб- и мобильные приложения .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Нажмите на Amazon Web Services .
  3. Нажмите «Доступ пользователя» .

  4. Чтобы включить или выключить службу для всех сотрудников вашей организации, нажмите «Включить для всех» или «Выключить для всех» , а затем нажмите «Сохранить» .

  5. (Необязательно) Чтобы включить или выключить службу для организационного подразделения:
    1. В левой части экрана выберите организационное подразделение.
    2. Чтобы изменить статус службы, выберите «Вкл. » или «Выкл.» .
    3. Выберите один вариант:
      • Если для параметра «Статус службы» установлено значение «Наследуется» , и вы хотите сохранить обновленную настройку, даже если изменится родительская настройка, нажмите «Переопределить» .
      • Если для параметра «Статус службы» установлено значение «Переопределено» , нажмите «Наследовать» , чтобы вернуться к настройкам родительского параметра, или нажмите «Сохранить» , чтобы сохранить новые настройки, даже если настройки родительского параметра изменятся.
        Узнайте больше об организационной структуре .
  6. (Необязательно) Чтобы включить службу для группы пользователей в рамках организационных подразделений или внутри них, выберите группу доступа. Подробности см. в разделе «Настройка доступа к службе с помощью групп доступа» .
  7. Убедитесь, что домены электронной почты вашей учетной записи пользователя Amazon Web Services совпадают с основным доменом управляемой учетной записи Google вашей организации.
  8. Для каждого пользователя, входящего в Amazon Web Services с использованием единого входа (SSO), настройте пользовательский атрибут, который вы создали ранее:
    1. На странице учетной записи пользователя нажмите «Информация о пользователе» . а потом Пользовательский атрибут Amazon.
    2. В поле «Роль» введите ARN роли и ARN поставщика идентификации, скопированные на шаге 2, разделяя их запятой. Например:

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. Нажмите « Сохранить ».

Шаг 5: Убедитесь, что SSO работает.

Amazon Web Services поддерживает только инициируемый поставщиком идентификации единый вход (SSO).

Проверка инициированного поставщиком идентификации единого входа (SSO)

Прежде чем начать: убедитесь, что вы вошли в учетную запись, в которой настраивали Amazon Web Services.

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Веб- и мобильные приложения .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Нажмите на Amazon Web Services .
  3. В разделе Amazon Web Services нажмите «Проверить вход по SAML» .

    Приложение должно открыться в отдельной вкладке. Если этого не происходит, устраните ошибку и попробуйте снова. Подробную информацию об устранении неполадок см. в разделе «Сообщения об ошибках приложений SAML» .

Шаг 6: Настройка предоставления прав доступа пользователям.

Будучи суперадминистратором, вы можете автоматически создавать учетные записи пользователей в приложении. Подробности см. в разделе «Настройка создания учетных записей пользователей Amazon Web Services» .


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.