Amazon Web Services 云应用

您可以使用安全断言标记语言 (SAML) 2.0 标准为多款云应用配置单点登录 (SSO)。您设置单点登录后,用户可以使用自己的 Google Workspace 凭据通过单点登录功能登录应用。

使用 SAML 为 Amazon Web Services 设置单点登录

您必须以超级用户身份登录,才能执行此任务。

准备工作

在配置单点登录之前,您必须创建自定义用户属性。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 目录然后用户

    需要拥有相应的用户管理权限。如果您没有正确的权限,则无法看到完成这些步骤所需的所有控件。

  2. 依次点击更多选项然后管理自定义属性
  3. 点击顶部的添加自定义属性
  4. 添加自定义字段部分中,执行以下操作:
    1. 对于类别,请输入 Amazon
    2. 对于说明,请输入 Amazon 自定义属性
    3. 对于名称,请输入角色
    4. 点击信息类型,然后选择文本
    5. 点击公开范围,然后选择用户和管理员可以看到
    6. 点击值数量,然后选择多个值

  5. 点击添加
    自定义属性会显示在管理用户属性页面上的自定义属性部分。

第 1 步:获取 Google 身份提供方信息

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后身份验证然后SAML 应用的单点登录服务

    您必须以超级用户身份登录,才能执行此任务。

  2. 下载身份提供方元数据。
  3. 让管理控制台保持打开状态。完成应用中的设置步骤后,您需要在管理控制台中继续进行配置。

第 2 步:将 Amazon Web Services 设置为 SAML 2.0 服务提供商

  1. 在无痕模式下打开一个浏览器窗口,然后登录 AWS 管理控制台
  2. 打开 IAM 控制台
  3. 依次前往身份提供方然后添加提供方
  4. 点击提供商类型,然后选择 SAML
  5. 提供商名称中,输入名称(例如 GoogleWorkspace)。

    注意:提供商名称不能包含空格。

  6. 点击选择文件,然后选择您在第 1 步中下载的元数据文件。
  7. 点击添加提供商

    身份提供方页面上,您输入的提供商名称(例如 GoogleWorkspace)应显示在身份提供方列表中。

  8. 依次点击角色然后创建角色然后受信任实体类型然后SAML 2.0 联合
  9. 对于 SAML 2.0 联合,请选择您之前添加的 SAML 提供商名称,然后选择一个访问权限选项。
  10. 点击下一步
  11. 对于权限政策,搜索并选择要向使用单点登录登录 Amazon Web Services 的用户授予的权限(例如 AdministratorAccess)。
  12. 点击下一步
  13. 角色详情部分中,输入角色名称(例如 GoogleSSO)。
  14. 点击创建角色
  15. 角色页面上,复制并保存您在第 12 步中创建的角色名称的身份提供方 ARN。
    在第 4 步中为每位用户配置自定义 Amazon 用户属性需要此值。
  16. 点击您之前创建的角色名称。
  17. 摘要页面上,复制并保存角色 ARN。
    在第 4 步中为每位用户配置自定义 Amazon 用户属性需要此值。

第 3 步:将 Google 设置为 SAML 身份提供方

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 应用然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 依次点击添加应用然后搜索应用
  3. 输入应用名称部分,输入 Amazon Web Services
  4. 在搜索结果中,将光标指向 Amazon Web Services,然后点击选择
  5. Google 身份提供方详细信息窗口中,点击继续
    服务提供商详细信息页面上,系统会默认配置应用详细信息。
  6. 点击继续
  7. 属性映射窗口中,点击选择字段,然后将以下 Google 目录属性映射到各自对应的 Amazon Web Services 属性。https://aws.amazon.com/SAML/Attributes/RoleSessionName 和 https://aws.amazon.com/SAML/Attributes/Role 属性是必需的。
    Google 目录属性 Amazon Web Services 属性
    Basic Information(基本信息)> Primary Email(主电子邮件) https://aws.amazon.com/SAML/Attributes/RoleSessionName
    Amazon > 角色* https://aws.amazon.com/SAML/Attributes/Role
    * 您在“准备工作”部分中创建的自定义属性。
  8. (可选)如需添加其他映射,请点击添加映射,然后选择您需要映射的字段。
  9. (可选)如需输入与此应用相关的群组名称,请执行以下操作:
    1. 对于群组成员资格(可选),点击搜索群组,输入群组名称的一个或多个字母,然后选择群组名称。
    2. 根据需要添加其他群组(最多 75 个群组)。
    3. 对于应用属性,输入服务提供商的相应群组属性名称。

    无论您输入多少个群组名称,SAML 回复都仅包含用户所属(直接或间接)的群组。如需了解详情,请参阅群组成员资格映射简介

  10. 点击完成

第 4 步:为用户启用应用

准备工作:如要为特定用户启用或停用服务,请将其账号添加到某个组织部门(按部门控制访问权限)或某个访问权限群组(跨部门或在部门内控制访问权限)。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 应用然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Amazon Web Services
  3. 点击用户访问权限

  4. 如要为组织中所有人启用或停用某项服务,请点击对所有人启用对所有人停用,然后点击保存

  5. (可选)如要为某个组织部门启用或停用服务,请执行以下操作:
    1. 在左侧,选择所需组织部门。
    2. 如要更改服务状态,请选择启用停用
    3. 根据需要选择相应操作:
      • 如果“服务状态”被设为已继承,而您想保留更新后的设置(即使在上级组织的设置发生变化时也保留该设置),请点击覆盖
      • 如果服务状态被设为已覆盖,您可以点击继承以恢复为与上级组织相同的设置,也可以点击保存以保留新设置,而不受上级组织的设置变更所影响。
        详细了解组织结构
  6. (可选)如要为一个或多个组织部门内的一组用户启用某项服务,请选择一个访问权限群组。如需了解详情,请参阅通过访问权限群组自定义服务访问权限
  7. 确保您的 Amazon Web Services 用户账号电子邮件域名与贵组织受管理的 Google 账号的主域名一致。
  8. 对于使用单点登录登录 Amazon Web Services 的每位用户,请配置您之前创建的自定义用户属性:
    1. 在用户的账号页面上,依次点击用户信息然后 Amazon 自定义属性。
    2. 对于角色,请输入您在第 2 步中复制的角色 ARN 和身份提供方 ARN(以逗号分隔)。例如:

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. 点击保存

第 5 步:验证单点登录是否正常运行

Amazon Web Services 仅支持由身份提供方发起的单点登录。

验证由身份提供方发起的单点登录

准备工作:请确保您登录的是用于配置 Amazon Web Services 的账号。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 应用然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Amazon Web Services
  3. Amazon Web Services 部分中,点击测试 SAML 登录

    系统应该会在另一标签页中打开该应用。如果未打开,请根据错误消息进行问题排查,然后重试。 如需详细了解问题排查,请参阅 SAML 应用错误消息

第 6 步:设置用户配置

作为超级用户,您可以在应用中自动配置用户。如需了解详情,请参阅设置 Amazon Web Services 用户配置


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。