Ứng dụng đám mây Amazon Web Services

Bằng cách sử dụng tiêu chuẩn SAML 2.0, bạn có thể thiết lập dịch vụ đăng nhập một lần (SSO) cho một số ứng dụng đám mây. Sau khi bạn thiết lập SSO, người dùng có thể sử dụng thông tin đăng nhập Google Workspace của họ để đăng nhập vào một ứng dụng bằng SSO.

Sử dụng SAML để thiết lập dịch vụ SSO cho Amazon Web Services

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

Trước khi bắt đầu

Trước khi định cấu hình SSO, bạn phải tạo một thuộc tính người dùng tuỳ chỉnh.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Thư mụcsau đóNgười dùng.

    Bạn phải có đặc quyền Quản lý người dùng phù hợp. Nếu không có đặc quyền phù hợp, bạn sẽ không thấy tất cả các chế độ kiểm soát cần thiết để hoàn tất các bước này.

  2. Nhấp vào Tuỳ chọn khácsau đóQuản lý thuộc tính tuỳ chỉnh.
  3. Ở trên cùng, hãy nhấp vào Thêm thuộc tính tuỳ chỉnh.
  4. Trong phần Thêm trường tuỳ chỉnh:
    1. Đối với Danh mục, hãy nhập Amazon.
    2. Đối với Nội dung mô tả, hãy nhập Thuộc tính tuỳ chỉnh của Amazon.
    3. Đối với Tên, hãy nhập Vai trò.
    4. Nhấp vào Loại thông tin rồi chọn Văn bản.
    5. Nhấp vào Mức hiển thị rồi chọn Hiển thị với người dùng và quản trị viên.
    6. Nhấp vào Số lượng giá trị rồi chọn Nhiều giá trị.

  5. Nhấp vào Thêm.
    Thuộc tính tuỳ chỉnh sẽ xuất hiện trong mục Thuộc tính tuỳ chỉnh trên trang Quản lý thuộc tính người dùng.

Bước 1: Lấy thông tin về nhà cung cấp danh tính của Google

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóXác thựcsau đóĐăng nhập một lần (SSO) bằng các ứng dụng SAML.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Tải siêu dữ liệu của nhà cung cấp danh tính xuống.
  3. Để Bảng điều khiển dành cho quản trị viên ở trạng thái mở. Bạn sẽ tiếp tục định cấu hình trong Bảng điều khiển dành cho quản trị viên sau khi hoàn tất các bước thiết lập trong ứng dụng.

Bước 2: Thiết lập Amazon Web Services làm nhà cung cấp dịch vụ SAML 2.0

  1. Mở một cửa sổ trình duyệt ở Chế độ ẩn danh rồi đăng nhập vào AWS Management Console.
  2. Mở bảng điều khiển IAM.
  3. Chuyển đến phần Nhà cung cấp danh tínhsau đóThêm nhà cung cấp.
  4. Nhấp vào Loại nhà cung cấp rồi chọn SAML.
  5. Đối với Tên nhà cung cấp, hãy nhập một tên (ví dụ: GoogleWorkspace).

    Lưu ý: Tên nhà cung cấp không được chứa dấu cách.

  6. Nhấp vào Chọn tệp rồi chọn tệp siêu dữ liệu mà bạn đã tải xuống ở Bước 1.
  7. Nhấp vào Thêm nhà cung cấp.

    Trên trang Nhà cung cấp danh tính, tên nhà cung cấp mà bạn đã nhập (chẳng hạn như GoogleWorkspace) sẽ xuất hiện trong danh sách nhà cung cấp danh tính.

  8. Nhấp vào Vai tròsau đóTạo vai tròsau đóLoại thực thể đáng tin cậysau đóLiên kết SAML 2.0.
  9. Đối với liên kết SAML 2.0, hãy chọn tên nhà cung cấp SAML mà bạn đã thêm trước đó rồi chọn một lựa chọn truy cập.
  10. Nhấp vào Tiếp theo.
  11. Đối với Chính sách về các quyền, hãy tìm kiếm và chọn các chính sách để cấp quyền cho người dùng đang đăng nhập vào Amazon Web Services bằng SSO (ví dụ: AdministratorAccess).
  12. Nhấp vào Tiếp theo.
  13. Trong phần Thông tin chi tiết về vai trò, hãy nhập Tên vai trò (ví dụ: GoogleSSO).
  14. Nhấp vào Tạo vai trò.
  15. Trên trang Vai trò, hãy sao chép và lưu ARN của Nhà cung cấp danh tính cho tên vai trò mà bạn đã tạo ở bước 12.
    Bạn cần có giá trị này để định cấu hình thuộc tính người dùng tuỳ chỉnh của Amazon cho từng người dùng ở Bước 4.
  16. Nhấp vào tên vai trò mà bạn đã tạo trước đó.
  17. Trên trang Tóm tắt, hãy sao chép và lưu ARN vai trò.
    Bạn cần có giá trị này để định cấu hình thuộc tính người dùng tuỳ chỉnh của Amazon cho từng người dùng ở Bước 4.

Bước 3: Thiết lập Google làm nhà cung cấp dịch vụ danh tính SAML

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Nhấp vào Thêm ứng dụngsau đóTìm kiếm ứng dụng.
  3. Đối với Nhập tên ứng dụng, hãy nhập Amazon Web Services.
  4. Trong kết quả tìm kiếm, hãy di chuột đến Amazon Web Services rồi nhấp vào Chọn.
  5. Trong cửa sổ Thông tin chi tiết về dịch vụ Nhà cung cấp danh tính của Google, hãy nhấp vào Tiếp tục.
    Trên trang Thông tin chi tiết về nhà cung cấp dịch vụ, thông tin chi tiết về ứng dụng được định cấu hình theo mặc định.
  6. Nhấp vào Tiếp tục.
  7. Trong cửa sổ Attribute Mapping (Liên kết thuộc tính), hãy nhấp vào Select field (Chọn trường) rồi liên kết các thuộc tính sau đây của Google Directory với các thuộc tính tương ứng của Amazon Web Services. Bạn phải có thuộc tính https://aws.amazon.com/SAML/Attributes/RoleSessionName và https://aws.amazon.com/SAML/Attributes/Role.
    Thuộc tính của Google Directory Thuộc tính Amazon Web Services
    Thông tin cơ bản > Email chính https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > Vai trò* https://aws.amazon.com/SAML/Attributes/Role
    * Thuộc tính tuỳ chỉnh mà bạn đã tạo trong phần Trước khi bắt đầu.
  8. (Không bắt buộc) Để thêm các mối liên kết khác, hãy nhấp vào Thêm mối liên kết rồi chọn các trường mà bạn cần liên kết.
  9. (Không bắt buộc) Để nhập tên nhóm có liên quan đến ứng dụng này:
    1. Đối với Tư cách thành viên nhóm (không bắt buộc), hãy nhấp vào Tìm kiếm nhóm, nhập một hoặc nhiều chữ cái của tên nhóm rồi chọn tên nhóm.
    2. Thêm các nhóm khác nếu cần (tối đa 75 nhóm).
    3. Đối với Thuộc tính ứng dụng, hãy nhập tên thuộc tính nhóm tương ứng của nhà cung cấp dịch vụ.

    Bất kể bạn nhập bao nhiêu tên nhóm, phản hồi SAML chỉ bao gồm những nhóm mà người dùng là thành viên (trực tiếp hoặc gián tiếp). Để biết thêm thông tin, hãy xem bài viết Giới thiệu về tính năng liên kết tư cách thành viên của nhóm.

  10. Nhấp vào Hoàn tất.

Bước 4: Bật ứng dụng cho người dùng

Trước khi bắt đầu: Để bật hoặc tắt một dịch vụ cho một số người dùng, hãy thêm tài khoản của họ vào một đơn vị tổ chức (để kiểm soát quyền truy cập theo phòng ban) hoặc thêm họ vào một nhóm quản lý quyền truy cập (để cấp quyền truy cập cho người dùng trên toàn bộ hoặc trong các phòng ban).

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Nhấp vào Amazon Web Services.
  3. Nhấp vào Quyền truy cập của người dùng.

  4. Để bật hoặc tắt một dịch vụ cho mọi người trong tổ chức, hãy nhấp vào Bật cho mọi người hoặc Tắt cho mọi người, rồi nhấp vào Lưu.

  5. (Không bắt buộc) Cách bật hoặc tắt một dịch vụ cho một đơn vị tổ chức:
    1. Ở bên trái, hãy chọn đơn vị tổ chức đó.
    2. Để thay đổi Trạng thái dịch vụ, hãy chọn Bật hoặc Tắt.
    3. Chọn một trong các lựa chọn sau:
      • Nếu Trạng thái dịch vụ được đặt thành Đã kế thừa và bạn muốn giữ chế độ cài đặt đã cập nhật, ngay cả khi chế độ cài đặt gốc thay đổi, hãy nhấp vào Ghi đè.
      • Nếu Trạng thái dịch vụ được đặt thành Đã ghi đè, hãy nhấp vào Kế thừa để quay về chế độ cài đặt giống với chế độ gốc hoặc nhấp vào Lưu để giữ chế độ cài đặt mới, ngay cả khi chế độ cài đặt gốc thay đổi.
        Tìm hiểu thêm về cơ cấu tổ chức.
  6. (Không bắt buộc) Để bật một dịch vụ cho một nhóm người dùng thuộc nhiều đơn vị tổ chức hoặc trong nội bộ đơn vị tổ chức, hãy chọn một nhóm quản lý quyền truy cập. Để biết thông tin chi tiết, hãy xem bài viết Tuỳ chỉnh quyền truy cập vào dịch vụ bằng nhóm quản lý quyền truy cập.
  7. Đảm bảo rằng miền email của tài khoản người dùng Amazon Web Services khớp với miền chính của Tài khoản Google được quản lý của tổ chức.
  8. Đối với mỗi người dùng đăng nhập vào Amazon Web Services bằng SSO, hãy định cấu hình thuộc tính người dùng tuỳ chỉnh mà bạn đã tạo trước đó:
    1. Trên trang tài khoản của người dùng, hãy nhấp vào Thông tin người dùngsau đóthuộc tính tuỳ chỉnh của Amazon.
    2. Đối với Role (Vai trò), hãy nhập ARN vai trò và ARN nhà cung cấp danh tính mà bạn đã sao chép ở Bước 2, phân cách bằng dấu phẩy. Ví dụ:

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. Nhấp vào Lưu.

Bước 5: Xác minh rằng tính năng SSO đang hoạt động

Amazon Web Services chỉ hỗ trợ tính năng SSO do nhà cung cấp dịch vụ định danh khởi tạo.

Xác minh quy trình Đăng nhập một lần (SSO) do nhà cung cấp danh tính khởi tạo

Trước khi bắt đầu: Đảm bảo bạn đã đăng nhập vào tài khoản mà bạn dùng để thiết lập Amazon Web Services.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụngsau đóỨng dụng web và ứng dụng di động.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Nhấp vào Amazon Web Services.
  3. Trong phần Amazon Web Services, hãy nhấp vào Thử nghiệm kết nối SAML bằng cách đăng nhập.

    Ứng dụng sẽ mở trong một thẻ riêng. Nếu không, hãy khắc phục thông báo lỗi rồi thử lại. Để biết thông tin chi tiết về cách khắc phục sự cố, hãy xem bài viết Thông báo lỗi của ứng dụng SAML.

Bước 6: Thiết lập quy trình cấp phép người dùng

Là quản trị viên cấp cao, bạn có thể tự động cấp phép người dùng trong ứng dụng. Để biết thông tin chi tiết, hãy xem bài viết Định cấu hình tính năng cấp phép người dùng của Amazon Web Services.


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.