本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 和 IAM Identity Center 設定 SAML Google Workspace和 SCIM Google Workspace 如果您的組織正在使用 Google Workspace ,您可以將來自 的使用者整合Google Workspace到 IAM Identity Center,讓他們能夠存取 AWS 資源。您可以將 IAM Identity Center 身分來源從預設 IAM Identity Center 身分來源變更為 ,以達成此整合Google Workspace。 **注意** Google Workspace 目前不支援 AWS IAM Identity Center 應用程式中的 SAML 多個宣告使用服務 (ACS) URLs。需要此 SAML 功能才能充分利用 IAM Identity Center 中的[多區域支援](multi-region-iam-identity-center.md)。如果您打算將 IAM Identity Center 複寫到其他區域,請注意,使用單一 ACS URL 可能會影響這些其他區域中的使用者體驗。您的主要區域會繼續正常運作。我們建議您與 IdP 廠商合作,以啟用此功能。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊,請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。 來自 的使用者資訊會使用跨網域身分管理 (SCIM) 2.0 通訊協定Google Workspace同步至 IAM Identity Center。 [SCIM 設定檔](scim-profile-saml.md#scim-profile)如需詳細資訊,請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。 您可以使用 Google Workspace IAM Identity Center 的 SCIM 端點和 IAM Identity Center 承載字符,在 中設定此連線。當您設定 SCIM 同步時,您可以在 中建立使用者屬性映射Google Workspace至 IAM Identity Center 中具名屬性的映射。此映射符合 IAM Identity Center 和 之間的預期使用者屬性Google Workspace。若要這樣做,您需要將 設定為Google Workspace身分提供者,並與您的 IAM Identity Center 連線。 **目標** 本教學課程中的步驟可協助您在 Google Workspace和 之間建立 SAML 連線 AWS。稍後,您將同步使用者Google Workspace使用 SCIM。為了驗證一切設定正確,在完成設定步驟後,您將以Google Workspace使用者身分登入並驗證對 AWS 資源的存取。請注意,本教學課程是以小型Google Workspace目錄測試環境為基礎。本教學課程不包含群組和組織單位等目錄結構。完成本教學課程後,您的使用者將可以使用您的Google Workspace登入資料存取 AWS 存取入口網站。 **注意** 若要註冊免費試用,Google Workspace請造訪 [https://workspace.google.com/](https://workspace.google.com/) Google's網站。 如果您尚未啟用 IAM Identity Center,請參閱 [啟用 IAM Identity Center](enable-identity-center.md)。 ## 考量事項 + 在 Google Workspace和 IAM Identity Center 之間設定 SCIM 佈建之前,建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。 + 來自 Google Workspace 的 SCIM 自動同步目前僅限於使用者佈建。目前不支援自動群組佈建。您可以使用 AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 命令或 AWS Identity and Access Management (IAM) API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) 手動建立群組。或者,您可以使用 [ssosync](https://github.com/awslabs/ssosync) 將Google Workspace使用者和群組同步至 IAM Identity Center。 + 每個Google Workspace使用者都必須指定**名字**、**姓氏**、**使用者名稱**和**顯示名稱**值。 + 每個Google Workspace使用者每個資料屬性只有一個值,例如電子郵件地址或電話號碼。具有多個值的任何使用者都將無法同步。如果使用者在其屬性中有多個值,請在嘗試在 IAM Identity Center 中佈建使用者之前移除重複的屬性。例如,只能同步一個電話號碼屬性,因為預設的電話號碼屬性是「工作電話」,所以即使使用者的電話號碼是家用電話或行動電話,也請使用「工作電話」屬性來存放使用者的電話號碼。 + 如果使用者在 IAM Identity Center 中已停用,但在 中仍處於作用中狀態,則屬性仍會同步Google Workspace。 + 如果 Identity Center 目錄中現有的使用者具有相同的使用者名稱和電子郵件,則會使用來自 的 SCIM 覆寫和同步該使用者Google Workspace。 + 變更您的身分來源時,還有其他考量。如需詳細資訊,請參閱[從 IAM Identity Center 變更為外部 IdP](manage-your-identity-source-considerations.md#changing-from-idc-and-idp)。 ## 步驟 1:Google Workspace:設定 SAML 應用程式 1. 使用具有超級管理員權限的帳戶登入您的 **Google Admin 主控台**。 1. 在**Google管理員主控台**的左側導覽面板中,選擇**應用程式**,然後選擇 **Web 和行動應用程式**。 1. 在**新增應用程式**下拉式清單中,選取**搜尋應用程式**。 1. 在搜尋方塊中輸入 **Amazon Web Services**,然後從清單中選擇 **Amazon Web Services (SAML)** 應用程式。 1. 在**Google身分提供者詳細資訊 - Amazon Web Services** 頁面上,您可以執行下列其中一項操作: 1. 下載 IdP 中繼資料。 1. 複製 SSO URL、實體 ID URL 和憑證資訊。 您將需要步驟 2 中的 XML 檔案或 URL 資訊。 1. 在 Google Admin 主控台中移至下一個步驟之前,請將此頁面保持開啟並移至 IAM Identity Center 主控台。 ## 步驟 2:IAM Identity Center 和 Google Workspace:變更 IAM Identity Center 身分來源並Google Workspace設定為 SAML 身分提供者 1. 使用具有管理許可的角色登入 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。 1. 在左側導覽窗格中選擇**設定**。 1. 在**設定**頁面上,選擇**動作**,然後選擇**變更身分來源**。 + 如果您尚未啟用 IAM Identity Center,請參閱 [啟用 IAM Identity Center](enable-identity-center.md) 以取得詳細資訊。第一次啟用和存取 IAM Identity Center 之後,您將會抵達**儀表板**,您可以在其中選取**選擇您的身分來源**。 1. 在**選擇身分來源**頁面上,選取**外部身分提供者**,然後選擇**下一步**。 1. **設定外部身分提供者**頁面隨即開啟。若要完成此頁面和步驟 1 中的Google Workspace頁面,您需要完成下列項目: 1. 在 **IAM Identity Center **主控台的身分**提供者中繼資料**區段下,您將需要執行下列其中一項操作: 1. 在 IAM Identity Center 主控台中上傳 **Google SAML 中繼資料**作為 **IdP SAML 中繼資料**。 1. 將 **Google SSO URL** 複製並貼到 **IdP 登入 URL** 欄位、**Google將發行者 URL** 貼到 **IdP 發行者 URL** 欄位,並將**Google憑證**上傳為 **IdP 憑證**。 1. 在 **IAM Identity Center **主控台的 Identity **Provider 中繼資料**區段中提供Google中繼資料之後,請複製 **IAM Identity Assertion Consumer Service (ACS) URL** 和 **IAM Identity Center 發行者 URL**。在下一個步驟中,您將需要在 Google Admin 主控台中提供這些 URLs。 1. 使用 IAM Identity Center 主控台保持頁面開啟,並返回 Google Admin 主控台。您應該位於 **Amazon Web Services - 服務提供者詳細資訊**頁面。選取**繼續**。 1. 在**服務提供者詳細資訊**頁面上,輸入 **ACS URL** 和**實體 ID** 值。您在上一個步驟中複製了這些值,它們可以在 IAM Identity Center 主控台中找到。 + 將 **IAM Identity Center Assertion Consumer Service (ACS) URL** 貼入 **ACS URL** 欄位 + 將 **IAM Identity Center 發行者 URL** 貼入**實體 ID** 欄位。 1. 在**服務供應商詳細資訊**頁面上,完成**名稱 ID** 下方的欄位,如下所示: + 針對**名稱 ID 格式**,選取 **EMAIL** + 針對**名稱 ID**,選取**基本資料 > 主要電子郵件** 1. 選擇**繼續**。 1. 在**屬性映射**頁面的**屬性**下,選擇**新增 MAPPING**,然後在**Google目錄屬性**下設定這些欄位: + 針對`https://aws.amazon.com/SAML/Attributes/RoleSessionName`**應用程式屬性**,從**Google Directory屬性**中選取**基本資訊、主要電子郵件**欄位。 + 針對`https://aws.amazon.com/SAML/Attributes/Role`**應用程式屬性**,選取任何**Google Directory屬性**。Google 目錄屬性可以是**部門**。 1. 選擇**完成** 1. 返回 **IAM Identity Center** 主控台,然後選擇**下一步**。在**檢閱和確認**頁面上,檢閱資訊,然後在提供的空格中輸入 **ACCEPT**。選擇**變更身分來源。** 您現在可以在 中啟用 Amazon Web Services 應用程式,Google Workspace以便將使用者佈建至 IAM Identity Center。 ## 步驟 3:Google Workspace:啟用應用程式 1. 返回**Google管理員主控台**和您的 AWS IAM Identity Center 應用程式,您可以在**應用程式**和 **Web 和行動應用程式**下找到。 1. 在**使用者存取權**旁的**使用者存取**面板中,選擇向下箭頭展開**使用者存取權**,以顯示**服務狀態**面板。 1. 在**服務狀態**面板中,**為所有人選擇 ON**,然後選擇**儲存**。 **注意** 為了協助維護最低權限原則,我們建議您在完成本教學課程後,將每個人**的服務狀態**變更為 OFF。 ****只有需要存取 AWS 的使用者才能啟用 服務。您可以使用Google Workspace群組或組織單位,讓使用者存取使用者的特定子集。 ## 步驟 4:IAM Identity Center:設定 IAM Identity Center 自動佈建 1. 返回 IAM Identity Center 主控台。 1. 在**設定**頁面上,找到**自動佈建**資訊方塊,然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的 SCIM 端點和存取字符資訊。 1. 在**傳入自動佈建**對話方塊中,複製下列選項的每個值。在此教學課程的步驟 5 中,您將輸入這些值,以在 中設定自動佈建Google Workspace。 1. **SCIM 端點** - 例如, + IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2` + 雙堆疊`https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2` 1. **存取字符** - 選擇**顯示字符**以複製值。 **警告** 這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前,請務必複製這些值。 1. 選擇**關閉**。 現在您已在 IAM Identity Center 主控台中設定佈建,在下一個步驟中,您將在 中設定自動佈建Google Workspace。 ## 步驟 5:Google Workspace:設定自動佈建 1. 返回Google管理員主控台和您的 AWS IAM Identity Center 應用程式,您可以在**應用程式**和 **Web 和行動應用程式**下找到。在**自動佈建**區段中,選擇**設定自動佈建**。 1. 在先前的程序中,您會在 IAM Identity Center 主控台中複製**存取字符**值。將該值貼到**存取字符**欄位中,然後選擇**繼續**。此外,在先前的程序中,您會在 IAM Identity Center 主控台中複製 **SCIM 端點**值。將該值貼入**端點 URL** 欄位,然後選擇**繼續**。 1. 確認所有強制性 IAM Identity Center 屬性 (標記為 \$1 的屬性) 都對應至Google Cloud Directory屬性。如果沒有,請選擇向下箭頭並對應至適當的屬性。選擇**繼續**。 1. 在**佈建範圍**區段中,您可以選擇具有Google Workspace目錄的群組,以提供 Amazon Web Services 應用程式的存取權。略過此步驟,然後選取**繼續**。 1. 在**取消佈建**區段中,您可以選擇如何回應移除使用者存取權的不同事件。對於每種情況,您可以指定取消佈建開始之前的時間量: + 24 小時內 + 一天後 + 七天後 + 30 天後 每種情況都有時間設定,用於暫停帳戶存取的時間,以及刪除帳戶的時間。 **提示** 刪除使用者帳戶之前,請務必設定比暫停使用者帳戶更長的時間。 1. 選擇**完成**。您會返回 Amazon Web Services 應用程式頁面。 1. 在**自動佈建**區段中,開啟切換開關,將其從**非作用中**變更為**作用中**。 **注意** 如果使用者未開啟 IAM Identity Center,則會停用啟用滑桿。選擇**使用者存取**並 開啟應用程式 以啟用滑桿。 1. 在確認對話方塊中,選擇**開啟**。 1. 若要確認使用者已成功同步至 IAM Identity Center,請返回 IAM Identity Center 主控台並選擇 **使用者**。 **使用者** 頁面列出您Google Workspace目錄中由 SCIM 建立的使用者。如果使用者尚未列出,可能是佈建仍在進行中。佈建最多可能需要 24 小時,但在大多數情況下,它在幾分鐘內完成。請務必每隔幾分鐘重新整理瀏覽器視窗。 選取使用者並檢視其詳細資訊。資訊應與 Google Workspace目錄中的資訊相符。 **恭喜您!** 您已成功在 Google Workspace和 之間設定 SAML 連線, AWS 並已驗證自動佈建是否正常運作。您現在可以將這些使用者指派給 **IAM Identity Center** 中的帳戶和應用程式。在本教學課程中,在下一個步驟中,我們將其中一個使用者授予管理帳戶的管理許可,以指定為 IAM Identity Center 管理員。 ## 傳遞存取控制的屬性 - *選用* 您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能,傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。 若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 `AttributeValue` 元素。例如,若要傳遞標籤鍵/值對 `CostCenter = blue`,請使用下列屬性。 ``` blue ``` 如果您需要新增多個屬性,請為每個標籤加入個別的`Attribute`元素。 ## 將存取權指派給 AWS 帳戶 下列步驟僅需要授予 AWS 帳戶 的存取權。這些步驟不需要授予 AWS 應用程式存取權。 **注意** 若要完成此步驟,您需要 IAM Identity Center 的組織執行個體。如需詳細資訊,請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。 ### 步驟 1:IAM Identity Center:授予Google Workspace使用者帳戶存取權 1. 返回 **IAM Identity Center** 主控台。在 IAM Identity Center 導覽窗格中的**多帳戶許可**下,選擇 **AWS 帳戶**。 1. 在 **AWS 帳戶**頁面上,**組織結構**會在階層中顯示您的組織根目錄及其下的帳戶。選取管理帳戶的核取方塊,然後選取**指派使用者或群組**。 1. 此時會顯示**指派使用者和群組**工作流程。它包含三個步驟: 1. 針對**步驟 1:選取使用者和群組**,選擇將執行管理員任務功能的使用者。然後選擇**下一步**。 1. 針對**步驟 2:選取許可集**選擇**建立許可集**,以開啟新標籤,逐步引導您完成建立許可集所涉及的三個子步驟。 1. 對於**步驟 1:選取許可集類型**完成下列項目: + 在**許可集類型**中,選擇**預先定義的許可集**。 + 在**預先定義許可集的政策**中,選擇 **AdministratorAccess**。 選擇**下一步**。 1. 針對**步驟 2:指定許可集詳細資訊**,保留預設設定,然後選擇**下一步**。 預設設定會建立名為 *AdministratorAccess* 的許可集,並將工作階段持續時間設定為一小時。 1. 針對**步驟 3:檢閱和建立**,確認**許可集類型**使用 AWS 受管政策 **AdministratorAccess**。選擇**建立**。在**許可集**頁面上會出現通知,通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。 1. 在**指派使用者和群組**瀏覽器索引標籤上,您仍在**步驟 2:選取您從中開始建立許可集**工作流程的許可集。 1. 在**許可集**區域中,選擇**重新整理**按鈕。您建立的 *AdministratorAccess* 許可集會出現在清單中。選取該許可集的核取方塊,然後選擇**下一步**。 1. 對於**步驟 3:檢閱並提交**檢閱選取的使用者和許可集,然後選擇**提交**。 頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。 您會返回 AWS 帳戶 頁面。通知訊息會通知您 AWS 帳戶 ,您的 已重新佈建,並已套用更新的許可集。當使用者登入時,他們可以選擇 *AdministratorAccess* 角色。 **注意** 來自 的 SCIM 自動同步Google Workspace僅支援佈建使用者。目前不支援自動群組佈建。您無法使用 為Google Workspace使用者建立群組 AWS 管理主控台。佈建使用者之後,您可以使用 AWS CLI Identity Store [create-group ](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html)命令或 IAM API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) 建立群組。 ### 步驟 2:Google Workspace:確認Google Workspace使用者存取 AWS 資源 1. Google 使用測試使用者帳戶登入 。若要了解如何將使用者新增至 Google Workspace,請參閱 [Google Workspace 文件](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668)。 1. 選取Google apps啟動器 (鬆餅) 圖示。 1. 捲動至自訂應用程式所在的Google Workspace應用程式清單底部。**Amazon Web Services** 應用程式隨即顯示。 1. 選取 **Amazon Web Services** 應用程式。您已登入 AWS 存取入口網站,可以看到 AWS 帳戶 圖示。展開該圖示以查看使用者可以存取 AWS 帳戶 的 清單。在本教學課程中,您只使用單一帳戶,因此展開圖示只會顯示一個帳戶。 1. 選取帳戶以顯示使用者可用的許可集。在本教學課程中,您已建立 **AdministratorAccess** 許可集。 1. 許可集旁的是該許可集可用的存取類型的連結。當您建立許可集時,您指定同時啟用管理主控台和程式設計存取,因此這兩個選項都存在。選取**管理主控台**以開啟 AWS 管理主控台。 1. 使用者已登入 主控台。 ## 後續步驟 現在您已Google Workspace在 IAM Identity Center 中將 設定為身分提供者和佈建使用者,您可以: + 使用 AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 命令或 IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html) 為您的使用者建立群組。 群組在將存取權指派給 AWS 帳戶 和 應用程式時非常有用。您可以將許可授予群組,而不是個別指派每個使用者。稍後,當您從群組新增或移除使用者時,使用者會動態取得或失去您指派給群組的帳戶和應用程式的存取權。 + 根據任務函數設定許可,請參閱[建立許可集](howtocreatepermissionset.md)。 許可集定義使用者和群組對 的存取層級 AWS 帳戶。許可集存放在 IAM Identity Center 中,並且可以佈建至一或多個 AWS 帳戶。您可以為使用者指派多個許可集合。 **注意** 身為 IAM Identity Center 管理員,您偶爾需要用較新的 IdP 憑證取代較舊的 IdP 憑證。例如,當憑證上的過期日期接近時,您可能需要取代 IdP 憑證。使用較新的憑證取代較舊憑證的程序稱為憑證輪換。請務必檢閱如何[管理 的 SAML 憑證](managesamlcerts.md)Google Workspace。 ## 疑難排解 如需使用 進行一般 SCIM 和 SAML 故障診斷Google Workspace,請參閱下列章節: + [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2) + [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1) + [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp) + 如需Google Workspace故障診斷,請參閱 [Google Workspace 文件](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)。 下列資源可協助您在使用 時進行故障診斷 AWS: + [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結,以協助您疑難排解問題。 + [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援