配置 Amazon Web Services 用户配置

您可以设置自动用户配置(自动配置),这样您在 Google Workspace 中对用户账号所做的任何更改都会自动同步到此第三方应用。

自动用户配置功能仅适用于有效、已中止或已删除的用户账号。不包括封存用户。

准备工作

您需要先为 Amazon Web Services 设置单点登录,然后才能设置自动用户配置。如需了解相关步骤,请参阅 Amazon Web Services 云应用

设置自动用户配置

获取应用的访问令牌

  1. 前往 AWS 管理控制台,然后使用您的 Amazon Web Services 管理员账号登录。
  2. 依次点击服务 然后所有服务 然后IAM Identity Center
    IAM Identity Center 以前称为 AWS Single Sign-on。
  3. 对于建议的设置步骤,依次点击第 1 步选择您的身份源
  4. 设置页面的身份源部分中,依次点击操作 然后更改身份源
  5. 对于选择身份源部分,请选择外部身份提供方
  6. 点击下一步
  7. 对于身份提供方元数据,依次点击 IdP SAML 元数据 然后选择文件
  8. 上传您在为此应用设置单点登录时下载的身份提供方元数据 (GoogleIDPMetadata.xml),然后点击下一步
  9. 确认更改页面上,滚动到查看并确认,然后输入 ACCEPT
  10. 点击更改身份源
  11. 设置页面的自动配置部分中,点击启用
  12. 复制并保存框中显示的 SCIM 端点。
  13. 点击显示令牌
  14. 复制访问令牌,然后点击关闭

如需在完成上述步骤后查找 SCIM 端点和新令牌,请执行以下操作:

  1. 依次前往 IAM Identity Center 然后设置
  2. 依次点击身份源标签页 然后操作 然后管理配置
  3. 对于配置,请复制 SCIM 端点。
  4. 对于访问令牌,请点击生成令牌,然后复制新令牌。

为应用设置自动配置

您必须以超级用户身份登录,才能执行此任务。

  1. 在 Google 管理控制台中,依次前往“菜单”图标 然后 应用 然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Amazon Web Services
  3. 自动预配部分,点击设置自动预配
  4. 对于访问令牌,请粘贴从 Amazon Web Services 复制的访问令牌。
  5. 点击继续

  6. 对于应用属性,请确认所有必需属性(标有星号 [*] 的属性)均已映射到 Google 目录属性。如果尚未映射,请点击向下箭头 ,将这些属性映射到适当的属性。

  7. 点击继续
  8. (可选)如需将自动配置范围限制为特定用户群组,请按以下步骤操作:
    1. 搜索群组部分,输入群组名称的一个或多个字母,然后选择群组名称以及范围。
    2. 添加任何其他群组。
    3. (可选)如需移除群组,请点击“移除”图标

      如果群组中有用户来自辅助网域或来自您的组织外部,则系统不会配置这些用户。

  9. 点击继续
  10. 决定用户在应用被关闭或者其 Google Workspace 账号被中止或删除后有权访问应用的时长。您可以在 Amazon Web Services 里中止用户的账号。您可以为每个选项分别设置时间范围,并选择 24 小时内、1 天后、7 天后或 21 天后等时间范围。
    1. 根据需要为下列各项设置选择选项:
      • 当关闭用户的应用时
      • 当用户账号被 Google 暂停时
      • 将用户从 Google 中删除时
    2. 点击完成
  11. 启用自动配置
  12. 点击开启进行确认。

修改预配信息

修改要自动配置的用户群组

如果您为某些组织部门启用了应用,则只有所添加群组中且属于这些组织部门成员的用户才会进行自动预配。

您必须以超级用户身份登录,才能执行此任务。

  1. 在 Google 管理控制台中,依次前往“菜单”图标 然后 应用 然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Amazon Web Services
  3. 点击自动配置
  4. 预配范围部分,点击修改

  5. 搜索群组部分,输入群组名称的一个或多个字母,然后选择群组名称以及范围。

  6. 添加任何其他群组。
  7. (可选)如需移除群组,请点击“移除”图标

    如果群组中有用户来自辅助网域或来自您的组织外部,则系统不会配置这些用户。

  8. 点击更新

修改取消配置时间范围

您必须以超级用户身份登录,才能执行此任务。

  1. 在 Google 管理控制台中,依次前往“菜单”图标 然后 应用 然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Amazon Web Services
  3. 点击自动配置
  4. 取消预配部分,点击修改
  5. 决定用户在应用被关闭或者其 Google Workspace 账号被中止或删除后有权访问应用的时长。您可以在 Amazon Web Services 里中止用户的账号。您可以为每个选项分别设置时间范围,并选择 24 小时内、1 天后、7 天后或 21 天后等时间范围。
    根据需要为下列各项设置选择选项:
    • 当关闭用户的应用时
    • 当用户账号被 Google 暂停时
    • 将用户从 Google 中删除时
  6. 点击更新

关闭自动配置功能并删除配置信息

您可以为应用停用自动预配功能,而不会丢失配置信息。您也可以关闭自动配置功能并移除所有配置信息。

关闭自动配置

您必须以超级用户身份登录,才能执行此任务。

如需为应用停用自动预配功能并保留配置信息,请按以下步骤操作:

  1. 在 Google 管理控制台中,依次前往“菜单”图标 然后 应用 然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Amazon Web Services
  3. 选择相应选项:
    • 关闭自动配置
    • 依次点击自动配置 然后状态 然后关闭
  4. 点击关闭进行确认。

关闭自动配置功能并删除配置信息

您必须以超级用户身份登录,才能执行此任务。

  1. 在 Google 管理控制台中,依次前往“菜单”图标 然后 应用 然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Amazon Web Services
  3. 点击自动配置
  4. 删除配置部分,点击删除
  5. 点击删除以关闭自动配置功能并移除所有配置信息。
    现有用户不会从 Amazon Web Services 中移除,并且仍然可以使用该应用。

查看使用情况信息

  • 启用自动预配功能后,您可以查看使用情况信息。有关详情,请参阅监控自动用户预配
  • 您可以查看过去 30 天的以下使用情况信息:
管理员日志事件 说明
通过自动配置创建用户 通过自动配置创建了用户
更新自动配置的用户 通过自动配置更新的用户
暂停自动配置的用户 通过自动配置暂停了用户
取消暂停自动配置的用户 通过自动配置重新激活了用户
失败 失败的请求

如果自动预配功能停止运行…

在部分情况下,由于账号处于非活跃状态或 Amazon Web Service 的管理员密码发生更改,自动配置功能会停止运行。如要继续将 Google Workspace 中的用户账号同步到该应用,您需要为自动预配功能重新授权。

您必须以超级用户身份登录,才能执行此任务。

  1. 在 Google 管理控制台中,依次前往“菜单”图标 然后 应用 然后Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Amazon Web Services
  3. 点击自动配置
  4. 应用授权部分,点击重新授权
  5. 对于访问令牌,请输入来自 Amazon Web Services 的访问令牌
    如果您需要生成其他令牌,请按照获取应用的访问令牌(本页前面部分)中的步骤操作。
  6. 点击重新授权

如需详细了解自动配置可能停止运行的其他原因,请参阅应用的相关文档。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。