SAML 2.0 standardını kullanarak çeşitli bulut uygulamaları için tek oturum açma (TOA) özelliğini yapılandırabilirsiniz. TOA ayarlarını yapmanızın ardından, kullanıcılarınız TOA kullanarak bir uygulamada oturum açmak için Google Workspace kimlik bilgilerini kullanabilir.
SAML kullanarak Amazon Web Services için TOA ayarlarını yapma
Bu görev için süper yönetici olarak oturum açmanız gerekir.Başlamadan önce
TOA'yı yapılandırmadan önce özel bir kullanıcı özelliği oluşturmanız gerekir.
-
Google Yönetici Konsolu'nda Menü
DizinKullanıcılar'a gidin.Uygun Kullanıcı yönetimi ayrıcalığına sahip olmayı gerektirir. Doğru ayrıcalığa sahip değilseniz bu adımları tamamlamak için gereken tüm kontrolleri göremezsiniz.
- Diğer seçeneklerÖzel özellikleri yönetin'i tıklayın.
- Üstte, Özel Özellik Ekle'yi tıklayın.
- Özel alan ekle bölümünde:
- Kategori alanına Amazon yazın.
- Açıklama alanına Amazon Özel Özellikleri yazın.
- Ad alanına Rol yazın.
- Bilgi türü'nü tıklayın ve Metin'i seçin.
- Görünürlük'ü tıklayın ve Kullanıcı ve yönetici görebilir'i seçin.
- Değer sayısı'nı tıklayın ve Birden çok değer'i seçin.
-
Ekle'yi tıklayın.
Özel özellik, Kullanıcı özelliklerini yönet sayfasındaki Özel özellikler bölümünde görünür.
1. adım: Google kimlik sağlayıcı bilgilerini alın
-
Google Yönetici Konsolu'nda Menü
GüvenlikKimlik doğrulamaSAML uygulamalarıyla TOA'ya gidin.Bu görev için süper yönetici olarak oturum açmanız gerekir.
- Kimlik sağlayıcı meta verilerini indirin.
- Yönetici Konsolu'nu açık bırakın. Uygulamadaki kurulum adımlarından sonra Yönetici Konsolu'ndaki yapılandırma işlemine devam edersiniz.
2. adım: Amazon Web Services'i SAML 2.0 servis sağlayıcı olarak ayarlayın
- Gizli bir tarayıcı penceresi açın ve AWS Management Console'da oturum açın.
- IAM konsolunu açın.
- Identity Providers (Kimlik Sağlayıcılar)Add Provider'a (Sağlayıcı Ekle) gidin.
- Sağlayıcı Türü'nü tıklayın ve SAML'i seçin.
- Provider Name (Sağlayıcı Adı) alanına bir ad girin (örneğin, GoogleWorkspace).
Not: Sağlayıcı adı boşluk içeremez.
- Choose File'ı (Dosya Seç) tıklayın ve 1. adımda indirdiğiniz meta veri dosyasını seçin.
- Sağlayıcı ekle'yi tıklayın.
Identity Providers (Kimlik Sağlayıcılar) sayfasındaki kimlik sağlayıcılar listesinde, girdiğiniz sağlayıcı adı (ör. Google Workspace) gösterilir.
- RollerRol oluşturGüvenilir varlık türüSAML 2.0 federasyonu'nu tıklayın.
- SAML 2.0 federasyonu için daha önce eklediğiniz SAML sağlayıcı adını ve bir erişim seçeneği belirleyin.
- İleri'yi tıklayın.
- İzin politikaları için, TOA'yı kullanarak Amazon Web Services'de oturum açan kullanıcılara izin vermek üzere politikaları arayın ve seçin (örneğin, AdministratorAccess).
- İleri'yi tıklayın.
- Rol ayrıntıları bölümünde bir Rol adı (ör. GoogleSSO) girin.
- Rol oluştur'u tıklayın.
- Roller sayfasında, 12. adımda oluşturduğunuz rol adının kimlik sağlayıcı ARN'sini kopyalayıp kaydedin.
Bu değer, aşağıdaki 4. adımda her kullanıcı için özel Amazon kullanıcı özelliğini yapılandırmak için gereklidir. - Daha önce oluşturduğunuz rol adını tıklayın.
- Özet sayfasında, rolün ARN'sini kopyalayıp kaydedin.
Bu değer, aşağıdaki 4. adımda her kullanıcı için özel Amazon kullanıcı özelliğini yapılandırmak için gereklidir.
3. adım: Google'ı SAML kimlik sağlayıcısı olarak ayarlayın
-
Google Yönetici Konsolu'nda Menü
UygulamalarWeb uygulamaları ve mobil uygulamalar'a gidin.Bu görev için süper yönetici olarak oturum açmanız gerekir.
-
Uygulama ekleUygulama ara'yı tıklayın.
- Uygulama adını girin alanına Amazon Web Services yazın.
- Arama sonuçlarında, Amazon Web Services seçeneğinin üzerine gelin ve Seç'i tıklayın.
-
Google Kimlik Sağlayıcı ayrıntıları penceresinde Devam'ı tıklayın.
Servis sağlayıcı ile ilgili ayrıntılar sayfasında, uygulama ayrıntıları varsayılan olarak yapılandırılmıştır. - Devam'ı tıklayın.
- Özellik eşlemesi penceresinde Alan seç'i tıklayın ve aşağıdaki Google dizini özelliklerini, karşılık gelen Amazon Web Services özellikleriyle eşleyin. https://aws.amazon.com/SAML/Attributes/RoleSessionName ve https://aws.amazon.com/SAML/Attributes/Role özellikleri zorunludur.
* Başlamadan önce bölümünde oluşturduğunuz özel özellik.Google dizini özelliği Amazon Web Services özelliği Temel Bilgiler > Birincil E-posta https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > Role* https://aws.amazon.com/SAML/Attributes/Role - (İsteğe bağlı) Başka eşlemeler eklemek için Eşleme Ekle'yi tıklayın ve eşlemeniz gereken alanları seçin.
-
(İsteğe bağlı) Bu uygulamayla alakalı grup adlarını girmek için:
- Grup üyeliği (isteğe bağlı) için Grup arayın'ı tıklayın, grup adının bir veya daha fazla harfini girin ve grup adını seçin.
- Gerekirse başka gruplar ekleyin (en fazla 75 grup).
- Uygulama özelliği alanına servis sağlayıcının ilgili grup özelliği adını girin.
Kaç grup adı girdiğinize bakılmaksızın SAML yanıtı yalnızca kullanıcının üyesi olduğu grupları (doğrudan veya dolaylı olarak) içerir. Daha fazla bilgi için Grup üyeliğini eşleme hakkında başlıklı makaleyi inceleyin.
- Son'u tıklayın.
4. adım: Kullanıcılar için uygulamayı etkinleştirin
-
Google Yönetici Konsolu'nda Menü
UygulamalarWeb uygulamaları ve mobil uygulamalar'a gidin.Bu görev için süper yönetici olarak oturum açmanız gerekir.
- Amazon Web Services'i tıklayın.
- Kullanıcı erişimi'ni tıklayın.
-
Bir hizmeti kuruluşunuzdaki herkes için etkinleştirmek veya devre dışı bırakmak istiyorsanız Herkes için etkin veya Herkes için devre dışı'yı, ardından Kaydet'i tıklayın.
-
(İsteğe bağlı) Kuruluş birimi için bir hizmeti etkinleştirmek veya devre dışı bırakmak istiyorsanız:
- Solda, kuruluş birimini seçin.
- Hizmet durumunu değiştirmek için Etkin veya Devre dışı'yı seçin.
- Birini seçin:
- Hizmet durumu Devralındı olarak ayarlanmışsa ve üst kuruluştaki ayar değişse bile güncellenmiş ayarı korumak istiyorsanız Geçersiz kıl'ı tıklayın.
- Hizmet durumu Geçersiz kılındı olarak ayarlanmışsa üst kuruluştaki ayara geri döndürmek için Devral'ı, üst kuruluştaki ayar değişse bile yeni ayarı korumak için Kaydet'i tıklayın.
Kuruluş yapısı hakkında daha fazla bilgi edinin.
-
(İsteğe bağlı) Bir hizmeti farklı kuruluş birimlerindeki veya bir kuruluş birimindeki kullanıcılar için etkinleştirmek üzere bir erişim grubu seçin. Ayrıntılı bilgi için Erişim gruplarını kullanarak hizmet erişimini özelleştirme başlıklı makaleyi inceleyin.
- Amazon Web Services kullanıcı hesabı e-posta alanlarınızın, kuruluşunuzun yönetilen Google Hesabı'nın birincil alanıyla eşleştiğinden emin olun.
- TOA'yı kullanarak Amazon Web Services'de oturum açan her kullanıcı için daha önce oluşturduğunuz özel kullanıcı özelliğini yapılandırın:
- Kullanıcının hesap sayfasında Kullanıcı bilgileri Amazon özel özelliğini tıklayın.
- Rol alanına, 2. adımda kopyaladığınız Rol ARN'sini ve Kimlik Sağlayıcı ARN'sini virgülle ayırarak girin. Örneğin:
arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
- Kaydet'i tıklayın.
- Kullanıcının hesap sayfasında Kullanıcı bilgileri
5. adım: TOA'nın çalıştığını doğrulayın
Amazon Web Services yalnızca kimlik sağlayıcı tarafından başlatılan TOA'yı destekler.
Kimlik sağlayıcı tarafından başlatılan TOA'yı doğrulama
Başlamadan önce: Amazon Web Services'ı yapılandırdığınız hesapta oturum açtığınızdan emin olun.
-
Google Yönetici Konsolu'nda Menü
UygulamalarWeb uygulamaları ve mobil uygulamalar'a gidin.Bu görev için süper yönetici olarak oturum açmanız gerekir.
- Amazon Web Services'i tıklayın.
- Amazon Web Services bölümünde SAML Girişini Test Et'i tıklayın.
Uygulama ayrı bir sekmede açılacaktır. Açılmazsa hata mesajındaki sorunları giderip tekrar deneyin. Sorun gidermeyle ilgili ayrıntılar için SAML uygulaması hata mesajları başlıklı makaleyi inceleyin.
6. adım: Kullanıcı temel hazırlık ayarlarını yapın
Süper yönetici olarak, uygulamada kullanıcıların temel hazırlığını otomatik olarak yapabilirsiniz. Ayrıntılı bilgi için Amazon Web Services kullanıcı temel hazırlığını yapılandırma başlıklı makaleyi inceleyin.
Google, Google Workspace ve ilgili markalar ile logolar Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.