Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration von SAML und SCIM mit einem IAM Google Workspace Identity Center
Wenn Ihr Unternehmen IAM Identity Center verwendet, können Google Workspace Sie Ihre Benutzer aus dem Google Workspace IAM Identity Center integrieren, um ihnen Zugriff auf Ressourcen zu AWS gewähren. Sie können diese Integration erreichen, indem Sie Ihre IAM Identity Center-Identitätsquelle von der standardmäßigen IAM Identity Center-Identitätsquelle auf ändern. Google Workspace
**Anmerkung**
Google Workspaceunterstützt derzeit den SAML Multiple Assertion Consume Service (ACS) URLs in der Anwendung nicht. AWS IAM Identity Center Diese SAML-Funktion ist erforderlich, um die [Unterstützung mehrerer Regionen](multi-region-iam-identity-center.md) in IAM Identity Center in vollem Umfang nutzen zu können. Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, beachten Sie, dass die Verwendung einer einzigen ACS-URL die Benutzererfahrung in diesen zusätzlichen Regionen beeinträchtigen kann. Ihre Hauptregion wird weiterhin normal funktionieren. Wir empfehlen, dass Sie mit Ihrem IdP-Anbieter zusammenarbeiten, um diese Funktion zu aktivieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter [Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) und[AWS-Konto Ausfallsicherheit beim Zugriff ohne mehrere ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Benutzerinformationen von Google Workspace werden mithilfe des [SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) mit IAM Identity](scim-profile-saml.md#scim-profile) Center synchronisiert. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
Sie konfigurieren diese Verbindung Google Workspace mithilfe Ihres SCIM-Endpunkts für IAM Identity Center und eines IAM Identity Center-Trägertoken. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Google Workspace zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und. Google Workspace Dazu müssen Sie sich Google Workspace als Identitätsanbieter einrichten und eine Verbindung zu Ihrem IAM Identity Center herstellen.
**Zielsetzung**
Die Schritte in diesem Tutorial helfen Ihnen beim Herstellen der SAML-Verbindung zwischen Google Workspace und AWS. Später werden Sie Benutzer Google Workspace mithilfe von SCIM synchronisieren. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Google Workspace Benutzer an und überprüfen den Zugriff AWS auf Ressourcen. Beachten Sie, dass dieses Tutorial auf einer Testumgebung mit kleinen Google Workspace Verzeichnissen basiert. Verzeichnisstrukturen wie Gruppen und Organisationseinheiten sind in diesem Tutorial nicht enthalten. Nach Abschluss dieses Tutorials können Ihre Benutzer mit Ihren Google Workspace Anmeldeinformationen auf das AWS Zugriffsportal zugreifen.
**Anmerkung**
Um sich für eine kostenlose Testversion anzumelden, Google Workspace besuchen Sie [https://workspace.google.com/](https://workspace.google.com/)unsere Google's Website.
Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unter[IAM Identity Center aktivieren](enable-identity-center.md).
## Überlegungen
+ Bevor Sie die SCIM-Bereitstellung zwischen Google Workspace und IAM Identity Center konfigurieren, empfehlen wir Ihnen, dies zunächst zu überprüfen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations)
+ Die automatische SCIM-Synchronisierung von Google Workspace ist derzeit auf die Benutzerbereitstellung beschränkt. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Gruppen können manuell mit dem AWS CLI Identity Store-Befehl [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) oder der AWS Identity and Access Management (IAM) -API erstellt werden. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) Alternativ können Sie [ssosync](https://github.com/awslabs/ssosync) verwenden, um Google Workspace Benutzer und Gruppen mit dem IAM Identity Center zu synchronisieren.
+ Für jeden Google Workspace Benutzer müssen die Werte **Vorname**, **Nachname**, **Benutzername** und **Anzeigename angegeben werden**.
+ Jeder Google Workspace Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer mit mehreren Werten können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer des Benutzers um ein Festnetz oder ein Mobiltelefon handelt.
+ Attribute werden weiterhin synchronisiert, wenn der Benutzer in IAM Identity Center deaktiviert, aber immer noch aktiv ist. Google Workspace
+ Wenn im Identity Center-Verzeichnis bereits ein Benutzer mit demselben Benutzernamen und derselben E-Mail-Adresse vorhanden ist, wird der Benutzer überschrieben und mit SCIM von synchronisiert. Google Workspace
+ Bei der Änderung Ihrer Identitätsquelle sind weitere Überlegungen zu beachten. Weitere Informationen finden Sie unter [Wechsel von IAM Identity Center zu einem externen IdP](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Schritt 1Google Workspace: Konfigurieren Sie die SAML-Anwendung
1. Melden Sie sich mit einem Konto mit **GoogleSuperadministratorrechten bei Ihrer Admin-Konsole** an.
1. Wählen Sie im linken Navigationsbereich Ihrer **GoogleAdmin-Konsole** **Apps** und dann **Web- und Mobilanwendungen** aus.
1. Wählen Sie in der Dropdownliste **App hinzufügen** die Option **Nach Apps suchen** aus.
1. Geben Sie im Suchfeld **Amazon Web Services** ein und wählen Sie dann die **Amazon Web Services (SAML)** -App aus der Liste aus.
1. Auf der Seite **GoogleIdentity Provider-Details — Amazon Web Services** können Sie einen der folgenden Schritte ausführen:
1. Laden Sie IdP-Metadaten herunter.
1. Kopieren Sie die SSO-URL, die Entitäts-ID-URL und die Zertifikatsinformationen.
In Schritt 2 benötigen Sie entweder die XML-Datei oder die URL-Informationen.
1. Lassen Sie diese Seite geöffnet und wechseln Sie zur IAM Identity Center-Konsole, bevor Sie mit dem nächsten Schritt in der Google Admin-Konsole fortfahren.
## Schritt 2: IAM Identity Center undGoogle Workspace: Ändern Sie die IAM Identity Center-Identitätsquelle und richten Sie sie Google Workspace als SAML-Identitätsanbieter ein
1. Melden Sie sich mit einer Rolle mit Administratorrechten bei der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) an.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Option **Aktionen** und dann **Identitätsquelle ändern** aus.
+ Wenn Sie IAM Identity Center nicht aktiviert haben, finden Sie [IAM Identity Center aktivieren](enable-identity-center.md) weitere Informationen unter. Nachdem Sie IAM Identity Center zum ersten Mal aktiviert und darauf zugegriffen haben, gelangen Sie zum **Dashboard**, wo Sie **Ihre Identitätsquelle auswählen** können.
1. **Wählen Sie auf der Seite Identitätsquelle** auswählen die Option **Externer Identitätsanbieter** und dann **Weiter** aus.
1. Die Seite **Externen Identitätsanbieter konfigurieren** wird geöffnet. Um diese Seite und die Google Workspace Seite in Schritt 1 abzuschließen, müssen Sie Folgendes ausführen:
1. Im Abschnitt mit den **Metadaten des Identitätsanbieters** in der **IAM Identity Center-Konsole** müssen Sie einen der folgenden Schritte ausführen:
1. Laden Sie die **GoogleSAML-Metadaten** als **IdP-SAML-Metadaten** in die IAM Identity Center-Konsole hoch.
1. **Kopieren Sie die **GoogleSSO-URL** und fügen Sie sie in das Feld **IdP-Anmelde-URL** und die **GoogleAussteller-URL** in das Feld **IdP-Aussteller-URL** ein und laden Sie das **GoogleZertifikat als IdP-Zertifikat** hoch.**
1. **Nachdem Sie die Google Metadaten im Abschnitt mit den Metadaten des **Identitätsanbieters** der IAM Identity **Center-Konsole angegeben haben, kopieren Sie die IAM Identity** **Assertion Consumer Service (ACS) -URL und die IAM Identity** Center-Aussteller-URL.** Sie müssen diese URLs im nächsten Schritt in der Google Admin-Konsole angeben.
1. Lassen Sie die Seite mit der IAM Identity Center-Konsole geöffnet und kehren Sie zur Google Admin-Konsole zurück. Sie sollten sich auf der Seite **Amazon Web Services — Service Provider-Details** befinden. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite mit den **Service Provider-Details** die **ACS-URL** und die **Entitäts-ID** ein. Sie haben diese Werte im vorherigen Schritt kopiert und sie befinden sich in der IAM Identity Center-Konsole.
+ **Fügen Sie die URL des **IAM Identity Center Assertion Consumer Service (ACS) in das ACS-URL-Feld** ein**
+ **Fügen Sie die **IAM Identity Center-Aussteller-URL** in das Feld Entitäts-ID ein.**
1. Füllen Sie auf der Seite mit den **Service Provider-Details** die Felder unter **Name ID wie folgt** aus:
+ Wählen Sie für **das Format Name ID** die Option **EMAIL** aus
+ Wählen Sie für **Name ID** die Option **Basisinformationen > Primäre E-Mail-Adresse**
1. Klicken Sie auf **Weiter**.
1. Wählen Sie auf der Seite **Attributzuordnung** unter **Attribute** die Option **ZUORDNUNG HINZUFÜGEN** aus, und konfigurieren Sie dann diese Felder unter **GoogleVerzeichnisattribut**:
+ Wählen Sie für das `https://aws.amazon.com/SAML/Attributes/RoleSessionName` **App-Attribut** das Feld **Basisinformationen, Primäre E-Mail-Adresse** aus den **Google DirectoryAttributen** aus.
+ Wählen Sie für das `https://aws.amazon.com/SAML/Attributes/Role` **App-Attribut** beliebige **Google DirectoryAttribute** aus. Ein Google Verzeichnisattribut könnte **Abteilung** sein.
1. Wählen Sie **Fertig stellen**
1. Kehren Sie zur **IAM Identity Center-Konsole** zurück und wählen Sie **Weiter**. Überprüfen Sie auf der Seite **Überprüfen und Bestätigen** die Informationen und geben Sie dann **ACCEPT** in das dafür vorgesehene Feld ein. Wählen Sie **Identitätsquelle ändern aus.**
Sie sind jetzt bereit, die Amazon Web Services Services-App zu aktivieren, Google Workspace damit Ihre Benutzer im IAM Identity Center bereitgestellt werden können.
## Schritt 3Google Workspace: Aktivieren Sie die Apps
1. Kehren Sie zur **GoogleAdmin-Konsole** und zu Ihrer AWS IAM Identity Center Anwendung zurück, die Sie unter **Apps** sowie **Web- und Mobil-Apps** finden.
1. Klicken Sie im Bereich **Benutzerzugriff** neben **Benutzerzugriff auf** den Abwärtspfeil, um den **Benutzerzugriff** zu erweitern und den **Dienststatusbereich** anzuzeigen.
1. Wählen Sie im Bereich „**Servicestatus**“ die Option „**Für alle** aktiviert“ und anschließend „**SPEICHERN**“.
**Anmerkung**
Um das Prinzip der geringsten Rechte beizubehalten, empfehlen wir, den **Dienststatus** nach Abschluss dieses Tutorials **für alle auf AUS** zu ändern. Nur für Benutzer, die Zugriff auf benötigen, AWS sollte der Dienst aktiviert sein. Sie können Google Workspace Gruppen oder Organisationseinheiten verwenden, um Benutzern Zugriff auf eine bestimmte Teilmenge Ihrer Benutzer zu gewähren.
## Schritt 4: IAM Identity Center: Richten Sie die automatische Bereitstellung von IAM Identity Center ein
1. Kehren Sie zur IAM Identity Center-Konsole zurück.
1. **Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann Aktivieren aus.** Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende** Nachrichten die einzelnen Werte für die folgenden Optionen. In Schritt 5 dieses Tutorials geben Sie diese Werte ein, um die automatische Bereitstellung zu konfigurieren. Google Workspace
1. **SCIM-Endpunkt** — Zum Beispiel
+ IPv4`https://scim.{{Region}}.amazonaws.com/{{11111111111-2222-3333-4444-555555555555}}/scim/v2`
+ Dualer Stack `https://scim.{{Region}}.api.aws/{{11111111111-2222-3333-4444-555555555555}}/scim/v2`
1. **Zugriffstoken** — Wählen Sie **Token anzeigen**, um den Wert zu kopieren.
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.
1. Klicken Sie auf **Schließen**.
Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, konfigurieren Sie im nächsten Schritt die auto Bereitstellung in. Google Workspace
## Schritt 5Google Workspace: auto Bereitstellung konfigurieren
1. Kehren Sie zur Google Admin-Konsole und zu Ihrer AWS IAM Identity Center Anwendung zurück, die Sie unter **Apps** sowie **Web- und Mobil-Apps** finden. Wählen Sie im Abschnitt **auto Bereitstellung** die Option **Automatische Bereitstellung konfigurieren** aus.
1. Im vorherigen Verfahren haben Sie den Wert des **Zugriffstokens** in die IAM Identity Center-Konsole kopiert. Fügen Sie diesen Wert in das Feld **Zugriffstoken** ein und wählen Sie **Weiter**. Außerdem haben Sie im vorherigen Verfahren den **SCIM-Endpunktwert** in die IAM Identity Center-Konsole kopiert. **Fügen Sie diesen Wert in das Feld **Endpunkt-URL** ein und wählen Sie Weiter.**
1. Stellen Sie sicher, dass alle obligatorischen IAM Identity Center-Attribute (die mit einem\* markierten) Attributen zugeordnet Google Cloud Directory sind. Wenn nicht, wählen Sie den Abwärtspfeil und ordnen Sie das entsprechende Attribut zu. Klicken Sie auf **Weiter**.
1. Im Abschnitt **Bereitstellungsbereich** können Sie eine Gruppe mit Ihrem Google Workspace Verzeichnis auswählen, um Zugriff auf die Amazon Web Services Services-App zu gewähren. Überspringen Sie diesen Schritt und wählen Sie **Weiter**.
1. Im Abschnitt **Deprovisioning** können Sie auswählen, wie auf verschiedene Ereignisse reagiert werden soll, die einem Benutzer den Zugriff entziehen. Für jede Situation können Sie den Zeitraum bis zum Beginn der Deprovisionierung angeben, um:
+ innerhalb von 24 Stunden
+ nach einem Tag
+ nach sieben Tagen
+ nach 30 Tagen
In jeder Situation gibt es eine Zeiteinstellung, in der festgelegt wird, wann der Zugriff auf ein Konto gesperrt und wann das Konto gelöscht werden soll.
**Tipp**
Lege immer mehr Zeit für das Löschen eines Benutzerkontos fest als für die Sperrung eines Benutzerkontos.
1. Wählen Sie **Finish** (Abschließen). Sie werden zur Amazon Web Services Services-App-Seite zurückgeleitet.
1. **Schalten Sie im Bereich **Automatische Bereitstellung** den Kippschalter ein, um ihn von **Inaktiv** in Aktiv zu ändern.**
**Anmerkung**
Der Aktivierungsschieberegler ist deaktiviert, wenn IAM Identity Center für Benutzer nicht aktiviert ist. Wählen Sie **Benutzerzugriff** und schalten Sie die App ein, um den Schieberegler zu aktivieren.
1. Wählen Sie im Bestätigungsdialogfeld die Option **Einschalten** aus.
1. **Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus.** Auf der Seite **Benutzer** werden die Benutzer aus Ihrem Google Workspace Verzeichnis aufgeführt, die von SCIM erstellt wurden. Wenn Benutzer noch nicht aufgeführt sind, ist die Bereitstellung möglicherweise noch im Gange. Die Bereitstellung kann bis zu 24 Stunden dauern, obwohl sie in den meisten Fällen innerhalb von Minuten abgeschlossen ist. Achten Sie darauf, das Browserfenster alle paar Minuten zu aktualisieren.
Wählen Sie einen Benutzer aus und sehen Sie sich dessen Details an. Die Informationen sollten mit den Informationen im Google Workspace Verzeichnis übereinstimmen.
**Herzlichen Glückwunsch\!**
Sie haben erfolgreich eine SAML-Verbindung zwischen Google Workspace und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in **IAM** Identity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.
## *Übergabe von Attributen für die Zugriffskontrolle — optional*
Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.
```
blue
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
## Weisen Sie Zugriff zu AWS-Konten
Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.
**Anmerkung**
Um diesen Schritt abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
### Schritt 1: IAM Identity Center: Gewähren Sie Google Workspace Benutzern Zugriff auf Konten
1. Kehren Sie zur **IAM Identity Center-Konsole** zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**
1. Auf der **AWS-Konten**Seite „**Organisationsstruktur**“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann **Benutzer oder Gruppen zuweisen** aus.
1. Der Workflow **„Benutzer und Gruppen zuweisen**“ wird angezeigt. Er besteht aus drei Schritten:
1. **Wählen Sie für Schritt 1: Benutzer und Gruppen** auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Klicken Sie anschließend auf **Weiter**.
1. **Wählen Sie für Schritt 2: Berechtigungssätze** auswählen die Option **Berechtigungssatz erstellen**, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte zur Erstellung eines Berechtigungssatzes führt.
1. Gehen Sie für **Schritt 1: Berechtigungssatztyp auswählen** wie folgt vor:
+ Wählen Sie unter **Typ des Berechtigungssatzes** die Option **Vordefinierter Berechtigungssatz** aus.
+ Wählen Sie unter **Richtlinie für vordefinierten Berechtigungssatz** die Option aus **AdministratorAccess**.
Wählen Sie **Weiter** aus.
1. Für **Schritt 2: Geben Sie Details zum Berechtigungssatz** an, behalten Sie die Standardeinstellungen bei und wählen Sie **Weiter** aus.
Mit den Standardeinstellungen wird ein Berechtigungssatz {{AdministratorAccess}} mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.
1. Stellen Sie für **Schritt 3: Überprüfen und erstellen** sicher, dass der **Typ Berechtigungssatz** die AWS verwaltete Richtlinie verwendet **AdministratorAccess**. Wählen Sie **Erstellen** aus. Auf der Seite **Berechtigungssätze** wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.
1. Auf der Browser-Registerkarte „**Benutzer und Gruppen zuweisen**“ befinden Sie sich immer noch in **Schritt 2: Wählen Sie die Berechtigungssätze** aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.
1. Wählen Sie im Bereich „**Berechtigungssätze**“ die Schaltfläche „**Aktualisieren**“. Der von Ihnen erstellte {{AdministratorAccess}} Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann **Weiter**.
1. Überprüfen **Sie für Schritt 3: Überprüfen und Absenden** den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann **Senden** aus.
Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.
Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. {{AdministratorAccess}}
**Anmerkung**
Die automatische SCIM-Synchronisierung von unterstützt Google Workspace nur die Bereitstellung von Benutzern. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Mit dem können Sie keine Gruppen für Ihre Google Workspace Benutzer erstellen. AWS-Managementkonsole Nach der Bereitstellung von Benutzern können Sie Gruppen mit dem AWS CLI Identity Store-Befehl [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) oder der IAM-API erstellen. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Schritt 2Google Workspace: Bestätigen Sie Google Workspace den Benutzerzugriff auf Ressourcen AWS
1. Melden Sie sich Google mit einem Testbenutzerkonto an. Informationen zum Hinzufügen von Benutzern finden Sie in Google Workspace der [Google WorkspaceDokumentation](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Wählen Sie das Google apps Launcher-Symbol (Waffel) aus.
1. Scrollen Sie zum Ende der App-Liste, in der sich Ihre benutzerdefinierten Google Workspace Apps befinden. Die **Amazon Web Services Services-App** wird angezeigt.
1. Wählen Sie die **Amazon Web Services Services-App** aus. Sie sind im AWS Zugangsportal angemeldet und können das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste der Elemente zu sehen AWS-Konten , auf die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.
1. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den **AdministratorAccess**Berechtigungssatz erstellt.
1. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie angegeben, dass sowohl die Verwaltungskonsole als auch der programmgesteuerte Zugriff aktiviert werden sollen, sodass diese beiden Optionen verfügbar sind. Wählen Sie **Managementkonsole** aus, um die zu öffnen. AWS-Managementkonsole
1. Der Benutzer ist an der Konsole angemeldet.
## Nächste Schritte
Nachdem Sie nun Google Workspace als Identitätsanbieter konfiguriert und Benutzer in IAM Identity Center bereitgestellt haben, können Sie:
+ Verwenden Sie den AWS CLI Identity Store-Befehl [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) oder die IAM-API, um Gruppen [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)für Ihre Benutzer zu erstellen.
Gruppen sind nützlich, wenn Sie Zugriff auf Anwendungen zuweisen möchten. AWS-Konten Anstatt jeden Benutzer einzeln zuzuweisen, erteilen Sie einer Gruppe Berechtigungen. Wenn Sie später Benutzer zu einer Gruppe hinzufügen oder daraus entfernen, erhält oder verliert der Benutzer dynamisch Zugriff auf Konten und Anwendungen, die Sie der Gruppe zugewiesen haben.
+ Konfigurieren Sie Berechtigungen auf der Grundlage von Aufgabenfunktionen. Weitere Informationen finden [Sie unter Erstellen von Berechtigungssätzen](howtocreatepermissionset.md).
Berechtigungssätze definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können AWS-Konto. Berechtigungssätze werden im IAM Identity Center gespeichert und können für einen oder mehrere Personen bereitgestellt werden. AWS-Konten Sie können einem Benutzer mehrere Berechtigungssätze zuweisen.
**Anmerkung**
Als IAM Identity Center-Administrator müssen Sie gelegentlich ältere IdP-Zertifikate durch neuere ersetzen. Beispielsweise müssen Sie möglicherweise ein IdP-Zertifikat ersetzen, wenn sich das Ablaufdatum des Zertifikats nähert. Der Vorgang, bei dem ein älteres Zertifikat durch ein neueres ersetzt wird, wird als Zertifikatsrotation bezeichnet. Lesen Sie unbedingt, wie [Sie die SAML-Zertifikate für Google Workspace verwalten](managesamlcerts.md).
## Fehlerbehebung
Informationen zur allgemeinen SCIM- und SAML-Problembehandlung mit Google Workspace finden Sie in den folgenden Abschnitten:
+ [Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren](troubleshooting.md#issue2)
+ [Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden](troubleshooting.md#issue1)
+ [Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten](troubleshooting.md#duplicate-user-group-idp)
+ [Informationen zur Google Workspace Fehlerbehebung finden Sie in der DokumentationGoogle Workspace.](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:
+ [AWS re:Post](https://repost.aws/)- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Holen Sie sich technischen Support