您可以使用 SAML 2.0 標準,為多個雲端應用程式設定單一登入 (SSO) 服務。設定單一登入 (SSO) 後,使用者就能使用這項功能,透過自己的 Google Workspace 憑證登入應用程式。
使用 SAML 為 Amazon Web Services 設定單一登入 (SSO)
您必須以超級管理員的身分登入,才能執行這項工作。事前準備
設定單一登入 (SSO) 服務前,請務必先建立自訂使用者屬性。
-
在 Google 管理控制台中,依序點選「選單」圖示
「目錄」
「使用者」。必須具備適當的使用者管理權限。否則將看不到執行步驟所需的完整控制選項。
- 依序點選「更多選項」「管理自訂屬性」。
- 按一下頂端的「新增自訂屬性」。
- 在「新增自訂欄位」部分執行下列操作:
- 在「類別」中輸入「Amazon」。
- 在「說明」中輸入「Amazon Custom Attributes」。
- 在「名稱」中輸入「角色」。
- 按一下「資訊類型」,然後選取「文字」。
- 按一下「顯示設定」,然後選取「使用者和管理員皆可檢視」。
- 按一下「值數量」,然後選取「多重值」。
-
按一下 [新增]。
自訂屬性會顯示在「管理使用者屬性」頁面的「自訂屬性」專區中。
步驟 1:取得 Google 識別資訊提供者資訊
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「驗證」「使用 SAML 應用程式的單一登入 (SSO) 服務」。您必須以超級管理員的身分登入,才能執行這項工作。
- 下載識別資訊提供者中繼資料。
- 不要關閉管理控制台。在應用程式中完成設定步驟後,您仍需在管理控制台中設定。
步驟 2:將 Amazon Web Services 設為 SAML 2.0 服務供應商
- 以無痕模式開啟瀏覽器視窗,然後登入 AWS 管理主控台。
- 開啟 IAM 主控台。
- 依序前往「Identity Providers」「Add Provider」。
- 按一下「Provider Type」,然後選取「SAML」。
- 在「Provider Name」部分輸入名稱 (例如 GoogleWorkspace)。
注意:識別資訊提供者名稱不得包含空格。
- 按一下「Choose File」,然後選取您在步驟 1 下載的中繼資料檔案。
- 按一下「Add Provider」。
「Identity Providers」頁面會顯示識別資訊提供者清單,其中應會包含您輸入的提供者名稱 (例如 GoogleWorkspace)。
- 依序按一下「角色」「建立角色」「信任的實體類型」「SAML 2.0 聯盟」。
- 在「SAML 2.0 federation」部分,選取先前新增的 SAML 提供者名稱,然後選擇存取選項。
- 點選 [下一步]。
- 在「Permissions policies」部分搜尋並選擇政策,將權限授予給使用單一登入 (SSO) 登入 Amazon Web Services 的使用者 (例如 AdministratorAccess)。
- 點選 [下一步]。
- 在「Role details」部分,輸入「Role name」 (例如 GoogleSSO)。
- 按一下「建立角色」。
- 在「Roles」頁面中,複製並儲存您在步驟 12 所建立角色名稱的「Identity Provider ARN」。
您必須取得這個值,才能在步驟 4 中設定每位使用者的自訂 Amazon 使用者屬性。 - 按一下先前建立的角色名稱。
- 在「Summary」頁面上,複製並儲存「Role ARN」。
您必須取得這個值,才能在步驟 4 中設定每位使用者的自訂 Amazon 使用者屬性。
步驟 3:將 Google 設定為 SAML 識別資訊提供者
-
在 Google 管理控制台中,依序前往「選單」
「應用程式」「網頁和行動應用程式」。您必須以超級管理員的身分登入,才能執行這項工作。
-
依序按一下「新增應用程式」「搜尋應用程式」。
- 在「輸入應用程式名稱」部分,輸入「Amazon Web Services」。
- 在搜尋結果中指向「Amazon Web Services」,然後按一下「選取」。
-
在「Google 識別資訊提供者詳細資料」視窗中,按一下「繼續」。
根據預設,在「服務供應商詳細資料」頁面中,應用程式的詳細資料應該都已設定完成。 - 按一下「繼續」。
- 在「屬性對應」視窗中,按一下「選取欄位」,並將下列 Google 目錄屬性對應至相應的 Amazon Web Services 屬性。https://aws.amazon.com/SAML/Attributes/RoleSessionName 和 https://aws.amazon.com/SAML/Attributes/Role 為必填屬性。
* 在「事前準備」一節中建立的自訂屬性。Google 目錄屬性 Amazon Web Services 屬性 Basic Information > Primary Email https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon > Role* https://aws.amazon.com/SAML/Attributes/Role - (選用) 如要新增更多對應項目,請按一下「新增對應」,然後選取要對應的欄位。
-
(選用) 如要輸入與這個應用程式相關的群組名稱:
- 在「群組成員 (選用)」部分,按一下「搜尋群組」,輸入一或多個群組名稱字母,然後選取群組名稱。
- 視需要新增其他群組 (最多 75 個)。
- 在「應用程式屬性」部分,輸入服務供應商對應的群組屬性名稱。
無論輸入多少個群組名稱,SAML 回應都只會包含使用者所屬的群組 (直接或間接)。詳情請參閱「關於群組成員對應」。
- 按一下「Finish」。
步驟 4:為使用者開啟應用程式
-
在 Google 管理控制台中,依序前往「選單」
「應用程式」「網頁和行動應用程式」。您必須以超級管理員的身分登入,才能執行這項工作。
- 按一下「Amazon Web Services」。
- 按一下「使用者存取權」。
-
如要為貴機構中的所有使用者開啟或關閉服務,請按一下「為所有人啟用」或「為所有人關閉」,接著再點選「儲存」。
-
(選用) 如何為機構單位開啟或關閉服務:
- 在左側選取機構單位。
- 選取「開啟」或「關閉」即可變更服務狀態。
- 選擇下列其中一個選項:
- 如果服務狀態設為「已沿用」,而您想要保留更新後的設定 (即使上層設定發生變更也一樣),請按一下「覆寫」。
- 如果服務狀態設為「已覆寫」,按一下「沿用」即可還原成與上層機構相同的設定,點選「儲存」則可保留新設定,即使上層設定發生變更也一樣。
進一步瞭解機構架構。
-
(選用) 如要為一群屬於相同或不同機構單位的使用者開啟服務,請選取存取權群組。詳情請參閱「使用存取權群組自訂服務存取權」。
- 確認您的 Amazon Web Services 使用者帳戶電子郵件網域,與貴機構受管理 Google 帳戶的主網域相符。
- 針對透過單一登入 (SSO) 服務登入 Amazon Web Services 的每位使用者,設定您先前建立的自訂使用者屬性:
- 在使用者帳戶頁面上,依序按一下「使用者資訊」「Amazon 自訂屬性」。
- 在「角色」部分,輸入您在步驟 2 複製的「Role ARN」和「Identity Provider ARN」,並以半形逗號分隔。例如:
arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace
- 按一下 [儲存]。
- 在使用者帳戶頁面上,依序按一下「使用者資訊」
步驟 5:確認單一登入 (SSO) 服務正常運作
Amazon Web Services 僅支援由識別資訊提供者啟動的單一登入 (SSO) 服務。
驗證識別資訊提供者啟動的單一登入 (SSO) 服務
事前準備:確認您已登入用來設定 Amazon Web Services 的帳戶。
-
在 Google 管理控制台中,依序前往「選單」
「應用程式」「網頁和行動應用程式」。您必須以超級管理員的身分登入,才能執行這項工作。
- 按一下「Amazon Web Services」。
- 在「Amazon Web Services」部分,按一下「測試 SAML 登入」。
應用程式應該會在另一個分頁中開啟,如未開啟,請排解錯誤訊息問題,然後再試一次。如要進一步瞭解如何排解問題,請參閱「SAML 應用程式錯誤訊息」。
步驟 6:設定使用者帳戶管理功能
超級管理員可以在應用程式中自動佈建使用者。詳情請參閱「設定 Amazon Web Services 使用者帳戶佈建功能」。
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。