แอประบบคลาวด์ Amazon Web Services

การใช้มาตรฐาน SAML 2.0 ช่วยให้คุณกำหนดค่าการลงชื่อเพียงครั้งเดียว (SSO) ให้กับแอประบบคลาวด์บางแอปได้ โดยหลังจากตั้งค่า SSO แล้ว ผู้ใช้จะลงชื่อเข้าใช้แอปด้วยข้อมูลเข้าสู่ระบบ Google Workspace ของตนเองผ่าน SSO ได้

ใช้ SAML เพื่อตั้งค่า SSO สำหรับ Amazon Web Services

คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

ก่อนเริ่มต้น

ก่อนกำหนดค่า SSO คุณต้องสร้างแอตทริบิวต์ผู้ใช้ที่กำหนดเอง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ไดเรกทอรีจากนั้นผู้ใช้

    ต้องมีสิทธิ์การจัดการผู้ใช้ที่เหมาะสม หากไม่มีสิทธิ์ที่เหมาะสม คุณจะไม่เห็นการควบคุมที่จำเป็นทั้งหมดในการทำขั้นตอนเหล่านี้ให้เสร็จ

  2. คลิกตัวเลือกเพิ่มเติมจากนั้นจัดการแอตทริบิวต์ที่กำหนดเอง
  3. คลิกเพิ่มแอตทริบิวต์ที่กำหนดเองที่ด้านบน
  4. ในส่วนเพิ่มช่องที่กำหนดเอง ให้ทำดังนี้
    1. ในส่วนหมวดหมู่ ให้ป้อน Amazon
    2. ในส่วนรายละเอียด ให้ป้อนแอตทริบิวต์ที่กำหนดเองของ Amazon
    3. ในส่วนชื่อ ให้ป้อนบทบาท
    4. คลิกประเภทข้อมูล แล้วเลือกข้อความ
    5. คลิกระดับการเข้าถึง แล้วเลือกแสดงต่อผู้ใช้และผู้ดูแลระบบ
    6. คลิกจำนวนค่า แล้วเลือกหลายค่า

  5. คลิกเพิ่ม
    แอตทริบิวต์ที่กำหนดเองจะปรากฏในส่วนแอตทริบิวต์ที่กำหนดเองในหน้าจัดการแอตทริบิวต์ผู้ใช้

ขั้นตอนที่ 1: ดาวน์โหลดข้อมูลผู้ให้บริการข้อมูลประจำตัวของ Google

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นSSO ด้วยแอปพลิเคชัน SAML

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. ดาวน์โหลดข้อมูลเมตาของผู้ให้บริการข้อมูลประจำตัว
  3. เปิดคอนโซลผู้ดูแลระบบค้างไว้ คุณจะดำเนินการกำหนดค่าต่อในคอนโซลผู้ดูแลระบบหลังจากขั้นตอนการตั้งค่าในแอป

ขั้นตอนที่ 2: ตั้งค่า Amazon Web Services เป็นผู้ให้บริการ SAML 2.0

  1. เปิดหน้าต่างเบราว์เซอร์ในโหมดไม่ระบุตัวตน แล้วลงชื่อเข้าใช้ AWS Management Console
  2. เปิดคอนโซล IAM
  3. ไปที่ Identity Providersจากนั้นAdd Provider
  4. คลิก Provider Type แล้วเลือก SAML
  5. ในส่วน Provider Name ให้ป้อนชื่อ (เช่น GoogleWorkspace)

    หมายเหตุ: ชื่อผู้ให้บริการต้องไม่มีเว้นวรรค

  6. คลิก Choose File แล้วเลือกไฟล์ข้อมูลเมตาที่ดาวน์โหลดไว้ในขั้นตอนที่ 1
  7. คลิก Add Provider

    ในหน้า Identity Providers ชื่อผู้ให้บริการที่คุณป้อน เช่น GoogleWorkspace ควรปรากฏในรายการผู้ให้บริการข้อมูลประจำตัว

  8. คลิก Rolesจากนั้นCreate roleจากนั้นTrusted entity typeจากนั้นSAML 2.0 federation
  9. ในส่วน SAML 2.0 federation ให้เลือกชื่อผู้ให้บริการ SAML ที่เพิ่มไว้ก่อนหน้านี้ แล้วเลือกตัวเลือกการเข้าถึง
  10. คลิกถัดไป
  11. ในส่วน Permissions policies ให้ค้นหาและเลือกนโยบายเพื่อมอบสิทธิ์แก่ผู้ใช้ที่ลงชื่อเข้าใช้ Amazon Web Services โดยใช้ SSO (เช่น AdministratorAccess)
  12. คลิกถัดไป
  13. ในส่วนรายละเอียดบทบาท ให้ป้อนชื่อบทบาท (เช่น GoogleSSO)
  14. คลิก Create role
  15. ในหน้า Roles ให้คัดลอกและบันทึก ARN ของผู้ให้บริการข้อมูลประจำตัวสำหรับชื่อบทบาทที่คุณสร้างขึ้นในขั้นตอนที่ 12
    ค่านี้จำเป็นต่อการกำหนดค่าแอตทริบิวต์ผู้ใช้ Amazon ที่กำหนดเองให้ผู้ใช้แต่ละรายในขั้นตอนที่ 4
  16. คลิกชื่อบทบาทที่สร้างไว้ก่อนหน้านี้
  17. ในหน้า Summary ให้คัดลอกและบันทึก ARN ของบทบาท
    ค่านี้จำเป็นต่อการกำหนดค่าแอตทริบิวต์ผู้ใช้ Amazon ที่กำหนดเองให้ผู้ใช้แต่ละรายในขั้นตอนที่ 4

ขั้นตอนที่ 3: ตั้งค่า Google เป็นผู้ให้บริการข้อมูลประจำตัว SAML

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอปจากนั้นแอปในเว็บและบนอุปกรณ์เคลื่อนที่

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. คลิกเพิ่มแอปจากนั้นค้นหาแอป
  3. ในส่วนป้อนชื่อแอป ให้ป้อน Amazon Web Services
  4. ในผลการค้นหา ให้ชี้ไปที่ Amazon Web Services แล้วคลิกเลือก
  5. ในหน้าต่างรายละเอียดผู้ให้บริการข้อมูลประจำตัวของ Google ให้คลิกต่อไป
    ในหน้ารายละเอียดของผู้ให้บริการ ระบบจะกำหนดค่ารายละเอียดแอปไว้โดยค่าเริ่มต้น
  6. คลิกต่อไป
  7. ในหน้าต่างการแมปแอตทริบิวต์ ให้คลิกเลือกฟิลด์แล้วแมปแอตทริบิวต์ไดเรกทอรีของ Google ต่อไปนี้กับแอตทริบิวต์ Amazon Web Services ที่ตรงกัน โดยต้องระบุแอตทริบิวต์ https://aws.amazon.com/SAML/Attributes/RoleSessionName และ https://aws.amazon.com/SAML/Attributes/Role
    แอตทริบิวต์ไดเรกทอรีของ Google แอตทริบิวต์ของ Amazon Web Services
    Basic Information > Primary Email https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > บทบาท* https://aws.amazon.com/SAML/Attributes/Role
    * แอตทริบิวต์ที่กำหนดเองที่คุณสร้างไว้ในส่วนข้อควรทราบก่อนที่จะเริ่มต้น
  8. (ไม่บังคับ) หากต้องการเพิ่มการแมปอีก ให้คลิกเพิ่มการแมป แล้วเลือกช่องที่ต้องการแมป
  9. (ไม่บังคับ) หากต้องการป้อนชื่อกลุ่มที่เกี่ยวข้องกับแอปนี้ ให้ทำดังนี้
    1. สำหรับการเป็นสมาชิกกลุ่ม (ไม่บังคับ) ให้คลิกค้นหากลุ่ม แล้วป้อนตัวอักษรของชื่อกลุ่มอย่างน้อย 1 ตัว จากนั้นเลือกชื่อกลุ่ม
    2. เพิ่มกลุ่มอีกตามต้องการ (สูงสุด 75 กลุ่ม)
    3. ป้อนชื่อแอตทริบิวต์กลุ่มที่เกี่ยวข้องของผู้ให้บริการสำหรับแอตทริบิวต์แอป

    ไม่ว่าคุณจะป้อนชื่อกลุ่มกี่รายการก็ตาม คำตอบของ SAML จะรวมเฉพาะกลุ่มที่ผู้ใช้เป็นสมาชิกอยู่เท่านั้น (ทั้งโดยตรงหรือโดยอ้อม) โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเกี่ยวกับการเชื่อมโยงการเป็นสมาชิกกลุ่ม

  10. คลิกเสร็จสิ้น

ขั้นตอนที่ 4: เปิดแอปสำหรับผู้ใช้

ก่อนที่จะเริ่มต้น: หากต้องการเปิดหรือปิดบริการให้กับผู้ใช้บางคน ให้ใส่บัญชีของผู้ใช้ในหน่วยขององค์กร (เพื่อควบคุมสิทธิ์เข้าถึงตามแผนก) หรือเพิ่มผู้ใช้ในกลุ่มที่มีสิทธิ์เข้าถึง (เพื่ออนุญาตการเข้าถึงสำหรับผู้ใช้ข้ามแผนกหรือภายในแผนกต่างๆ)

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอปจากนั้นแอปในเว็บและบนอุปกรณ์เคลื่อนที่

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. คลิก Amazon Web Services
  3. คลิกสิทธิ์เข้าถึงของผู้ใช้

  4. หากต้องการเปิดหรือปิดบริการให้ทุกคนในองค์กร ให้คลิกเปิดสำหรับทุกคนหรือปิดสำหรับทุกคน แล้วคลิกบันทึก

  5. (ไม่บังคับ) วิธีเปิดหรือปิดบริการสำหรับหน่วยขององค์กร
    1. เลือกหน่วยขององค์กรทางด้านซ้าย
    2. หากต้องการเปลี่ยนสถานะบริการ ให้เลือกเปิดหรือปิด
    3. เลือกตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้
      • หากตั้งค่าสถานะบริการเป็นรับค่า และคุณต้องการคงการตั้งค่าที่อัปเดตแล้วไว้ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป ให้คลิกลบล้าง
      • หากตั้งค่าสถานะบริการเป็นลบล้าง ให้คลิกรับค่าเพื่อเปลี่ยนกลับเป็นการตั้งค่าเดียวกันกับระดับบนสุด หรือคลิกบันทึกเพื่อคงการตั้งค่าใหม่ แม้ว่าการตั้งค่าขององค์กรระดับบนสุดจะเปลี่ยนไป
        ดูข้อมูลเพิ่มเติมเกี่ยวกับโครงสร้างองค์กร
  6. (ไม่บังคับ) หากต้องการเปิดใช้บริการให้กับผู้ใช้ในหน่วยขององค์กรหรือข้ามหน่วย ให้เลือกกลุ่มที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อปรับแต่งการเข้าถึงบริการโดยใช้กลุ่มที่มีสิทธิ์เข้าถึง
  7. ตรวจสอบให้แน่ใจว่าโดเมนอีเมลของบัญชีผู้ใช้ Amazon Web Services ของคุณตรงกับโดเมนหลักของบัญชี Google ที่มีการจัดการขององค์กร
  8. สำหรับผู้ใช้แต่ละรายที่ลงชื่อเข้าใช้ Amazon Web Services โดยใช้ SSO ให้กำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองซึ่งคุณสร้างไว้ก่อนหน้านี้ ดังนี้
    1. คลิกข้อมูลผู้ใช้จากนั้นแอตทริบิวต์ที่กำหนดเองของ Amazon ในหน้าบัญชีของผู้ใช้
    2. ในส่วนบทบาท ให้ป้อน ARN ของบทบาทและ ARN ของผู้ให้บริการข้อมูลประจำตัวที่คุณคัดลอกไว้ในขั้นตอนที่ 2 โดยคั่นด้วยคอมมา เช่น

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. คลิกบันทึก

ขั้นตอนที่ 5: ยืนยันว่า SSO ใช้ได้

Amazon Web Services รองรับเฉพาะ SSO จากผู้ให้บริการข้อมูลประจำตัว

ยืนยัน SSO จากผู้ให้บริการข้อมูลประจำตัว

ก่อนเริ่มต้น: ตรวจสอบว่าคุณลงชื่อเข้าใช้บัญชีที่กำหนดค่า Amazon Web Services ไว้แล้ว

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอปจากนั้นแอปในเว็บและบนอุปกรณ์เคลื่อนที่

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. คลิก Amazon Web Services
  3. คลิกทดสอบการเข้าสู่ระบบผ่าน SAML ในส่วน Amazon Web Services

    ระบบจะเปิดแอปขึ้นมาในแท็บใหม่ หากไม่เปิด ให้แก้ปัญหาข้อความแสดงข้อผิดพลาดแล้วลองอีกครั้ง โปรดดูรายละเอียดเกี่ยวกับการแก้ปัญหาที่หัวข้อข้อความแสดงข้อผิดพลาดของแอป SAML

ขั้นตอนที่ 6: ตั้งค่าการจัดสรรผู้ใช้

ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถจัดสรรผู้ใช้ในแอปได้โดยอัตโนมัติ โปรดดูรายละเอียดที่หัวข้อกำหนดค่าการจัดสรรผู้ใช้ Amazon Web Services


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง