本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 和 IAM Identity Center 設定 SAML Google Workspace和 SCIM
如果您的組織正在使用 Google Workspace ,您可以將來自 的使用者整合Google Workspace到 IAM Identity Center,讓他們能夠存取 AWS 資源。您可以將 IAM Identity Center 身分來源從預設 IAM Identity Center 身分來源變更為 ,以達成此整合Google Workspace。
**注意**
Google Workspace 目前不支援 AWS IAM Identity Center 應用程式中的 SAML 多個宣告使用服務 (ACS) URLs。需要此 SAML 功能才能充分利用 IAM Identity Center 中的[多區域支援](multi-region-iam-identity-center.md)。如果您打算將 IAM Identity Center 複寫到其他區域,請注意,使用單一 ACS URL 可能會影響這些其他區域中的使用者體驗。您的主要區域會繼續正常運作。我們建議您與 IdP 廠商合作,以啟用此功能。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊,請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。
來自 的使用者資訊會使用跨網域身分管理 (SCIM) 2.0 通訊協定Google Workspace同步至 IAM Identity Center。 [SCIM 設定檔](scim-profile-saml.md#scim-profile)如需詳細資訊,請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。
您可以使用 Google Workspace IAM Identity Center 的 SCIM 端點和 IAM Identity Center 承載字符,在 中設定此連線。當您設定 SCIM 同步時,您可以在 中建立使用者屬性映射Google Workspace至 IAM Identity Center 中具名屬性的映射。此映射符合 IAM Identity Center 和 之間的預期使用者屬性Google Workspace。若要這樣做,您需要將 設定為Google Workspace身分提供者,並與您的 IAM Identity Center 連線。
**目標**
本教學課程中的步驟可協助您在 Google Workspace和 之間建立 SAML 連線 AWS。稍後,您將同步使用者Google Workspace使用 SCIM。為了驗證一切設定正確,在完成設定步驟後,您將以Google Workspace使用者身分登入並驗證對 AWS 資源的存取。請注意,本教學課程是以小型Google Workspace目錄測試環境為基礎。本教學課程不包含群組和組織單位等目錄結構。完成本教學課程後,您的使用者將可以使用您的Google Workspace登入資料存取 AWS 存取入口網站。
**注意**
若要註冊免費試用,Google Workspace請造訪 [https://workspace.google.com/](https://workspace.google.com/) Google's網站。
如果您尚未啟用 IAM Identity Center,請參閱 [啟用 IAM Identity Center](enable-identity-center.md)。
## 考量事項
+ 在 Google Workspace和 IAM Identity Center 之間設定 SCIM 佈建之前,建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。
+ 來自 Google Workspace 的 SCIM 自動同步目前僅限於使用者佈建。目前不支援自動群組佈建。您可以使用 AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 命令或 AWS Identity and Access Management (IAM) API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) 手動建立群組。或者,您可以使用 [ssosync](https://github.com/awslabs/ssosync) 將Google Workspace使用者和群組同步至 IAM Identity Center。
+ 每個Google Workspace使用者都必須指定**名字**、**姓氏**、**使用者名稱**和**顯示名稱**值。
+ 每個Google Workspace使用者每個資料屬性只有一個值,例如電子郵件地址或電話號碼。具有多個值的任何使用者都將無法同步。如果使用者在其屬性中有多個值,請在嘗試在 IAM Identity Center 中佈建使用者之前移除重複的屬性。例如,只能同步一個電話號碼屬性,因為預設的電話號碼屬性是「工作電話」,所以即使使用者的電話號碼是家用電話或行動電話,也請使用「工作電話」屬性來存放使用者的電話號碼。
+ 如果使用者在 IAM Identity Center 中已停用,但在 中仍處於作用中狀態,則屬性仍會同步Google Workspace。
+ 如果 Identity Center 目錄中現有的使用者具有相同的使用者名稱和電子郵件,則會使用來自 的 SCIM 覆寫和同步該使用者Google Workspace。
+ 變更您的身分來源時,還有其他考量。如需詳細資訊,請參閱[從 IAM Identity Center 變更為外部 IdP](manage-your-identity-source-considerations.md#changing-from-idc-and-idp)。
## 步驟 1:Google Workspace:設定 SAML 應用程式
1. 使用具有超級管理員權限的帳戶登入您的 **Google Admin 主控台**。
1. 在**Google管理員主控台**的左側導覽面板中,選擇**應用程式**,然後選擇 **Web 和行動應用程式**。
1. 在**新增應用程式**下拉式清單中,選取**搜尋應用程式**。
1. 在搜尋方塊中輸入 **Amazon Web Services**,然後從清單中選擇 **Amazon Web Services (SAML)** 應用程式。
1. 在**Google身分提供者詳細資訊 - Amazon Web Services** 頁面上,您可以執行下列其中一項操作:
1. 下載 IdP 中繼資料。
1. 複製 SSO URL、實體 ID URL 和憑證資訊。
您將需要步驟 2 中的 XML 檔案或 URL 資訊。
1. 在 Google Admin 主控台中移至下一個步驟之前,請將此頁面保持開啟並移至 IAM Identity Center 主控台。
## 步驟 2:IAM Identity Center 和 Google Workspace:變更 IAM Identity Center 身分來源並Google Workspace設定為 SAML 身分提供者
1. 使用具有管理許可的角色登入 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側導覽窗格中選擇**設定**。
1. 在**設定**頁面上,選擇**動作**,然後選擇**變更身分來源**。
+ 如果您尚未啟用 IAM Identity Center,請參閱 [啟用 IAM Identity Center](enable-identity-center.md) 以取得詳細資訊。第一次啟用和存取 IAM Identity Center 之後,您將會抵達**儀表板**,您可以在其中選取**選擇您的身分來源**。
1. 在**選擇身分來源**頁面上,選取**外部身分提供者**,然後選擇**下一步**。
1. **設定外部身分提供者**頁面隨即開啟。若要完成此頁面和步驟 1 中的Google Workspace頁面,您需要完成下列項目:
1. 在 **IAM Identity Center **主控台的身分**提供者中繼資料**區段下,您將需要執行下列其中一項操作:
1. 在 IAM Identity Center 主控台中上傳 **Google SAML 中繼資料**作為 **IdP SAML 中繼資料**。
1. 將 **Google SSO URL** 複製並貼到 **IdP 登入 URL** 欄位、**Google將發行者 URL** 貼到 **IdP 發行者 URL** 欄位,並將**Google憑證**上傳為 **IdP 憑證**。
1. 在 **IAM Identity Center **主控台的 Identity **Provider 中繼資料**區段中提供Google中繼資料之後,請複製 **IAM Identity Assertion Consumer Service (ACS) URL** 和 **IAM Identity Center 發行者 URL**。在下一個步驟中,您將需要在 Google Admin 主控台中提供這些 URLs。
1. 使用 IAM Identity Center 主控台保持頁面開啟,並返回 Google Admin 主控台。您應該位於 **Amazon Web Services - 服務提供者詳細資訊**頁面。選取**繼續**。
1. 在**服務提供者詳細資訊**頁面上,輸入 **ACS URL** 和**實體 ID** 值。您在上一個步驟中複製了這些值,它們可以在 IAM Identity Center 主控台中找到。
+ 將 **IAM Identity Center Assertion Consumer Service (ACS) URL** 貼入 **ACS URL** 欄位
+ 將 **IAM Identity Center 發行者 URL** 貼入**實體 ID** 欄位。
1. 在**服務供應商詳細資訊**頁面上,完成**名稱 ID** 下方的欄位,如下所示:
+ 針對**名稱 ID 格式**,選取 **EMAIL**
+ 針對**名稱 ID**,選取**基本資料 > 主要電子郵件**
1. 選擇**繼續**。
1. 在**屬性映射**頁面的**屬性**下,選擇**新增 MAPPING**,然後在**Google目錄屬性**下設定這些欄位:
+ 針對`https://aws.amazon.com/SAML/Attributes/RoleSessionName`**應用程式屬性**,從**Google Directory屬性**中選取**基本資訊、主要電子郵件**欄位。
+ 針對`https://aws.amazon.com/SAML/Attributes/Role`**應用程式屬性**,選取任何**Google Directory屬性**。Google 目錄屬性可以是**部門**。
1. 選擇**完成**
1. 返回 **IAM Identity Center** 主控台,然後選擇**下一步**。在**檢閱和確認**頁面上,檢閱資訊,然後在提供的空格中輸入 **ACCEPT**。選擇**變更身分來源。**
您現在可以在 中啟用 Amazon Web Services 應用程式,Google Workspace以便將使用者佈建至 IAM Identity Center。
## 步驟 3:Google Workspace:啟用應用程式
1. 返回**Google管理員主控台**和您的 AWS IAM Identity Center 應用程式,您可以在**應用程式**和 **Web 和行動應用程式**下找到。
1. 在**使用者存取權**旁的**使用者存取**面板中,選擇向下箭頭展開**使用者存取權**,以顯示**服務狀態**面板。
1. 在**服務狀態**面板中,**為所有人選擇 ON**,然後選擇**儲存**。
**注意**
為了協助維護最低權限原則,我們建議您在完成本教學課程後,將每個人**的服務狀態**變更為 OFF。 ****只有需要存取 AWS 的使用者才能啟用 服務。您可以使用Google Workspace群組或組織單位,讓使用者存取使用者的特定子集。
## 步驟 4:IAM Identity Center:設定 IAM Identity Center 自動佈建
1. 返回 IAM Identity Center 主控台。
1. 在**設定**頁面上,找到**自動佈建**資訊方塊,然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的 SCIM 端點和存取字符資訊。
1. 在**傳入自動佈建**對話方塊中,複製下列選項的每個值。在此教學課程的步驟 5 中,您將輸入這些值,以在 中設定自動佈建Google Workspace。
1. **SCIM 端點** - 例如,
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ 雙堆疊`https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前,請務必複製這些值。
1. 選擇**關閉**。
現在您已在 IAM Identity Center 主控台中設定佈建,在下一個步驟中,您將在 中設定自動佈建Google Workspace。
## 步驟 5:Google Workspace:設定自動佈建
1. 返回Google管理員主控台和您的 AWS IAM Identity Center 應用程式,您可以在**應用程式**和 **Web 和行動應用程式**下找到。在**自動佈建**區段中,選擇**設定自動佈建**。
1. 在先前的程序中,您會在 IAM Identity Center 主控台中複製**存取字符**值。將該值貼到**存取字符**欄位中,然後選擇**繼續**。此外,在先前的程序中,您會在 IAM Identity Center 主控台中複製 **SCIM 端點**值。將該值貼入**端點 URL** 欄位,然後選擇**繼續**。
1. 確認所有強制性 IAM Identity Center 屬性 (標記為 \$1 的屬性) 都對應至Google Cloud Directory屬性。如果沒有,請選擇向下箭頭並對應至適當的屬性。選擇**繼續**。
1. 在**佈建範圍**區段中,您可以選擇具有Google Workspace目錄的群組,以提供 Amazon Web Services 應用程式的存取權。略過此步驟,然後選取**繼續**。
1. 在**取消佈建**區段中,您可以選擇如何回應移除使用者存取權的不同事件。對於每種情況,您可以指定取消佈建開始之前的時間量:
+ 24 小時內
+ 一天後
+ 七天後
+ 30 天後
每種情況都有時間設定,用於暫停帳戶存取的時間,以及刪除帳戶的時間。
**提示**
刪除使用者帳戶之前,請務必設定比暫停使用者帳戶更長的時間。
1. 選擇**完成**。您會返回 Amazon Web Services 應用程式頁面。
1. 在**自動佈建**區段中,開啟切換開關,將其從**非作用中**變更為**作用中**。
**注意**
如果使用者未開啟 IAM Identity Center,則會停用啟用滑桿。選擇**使用者存取**並 開啟應用程式 以啟用滑桿。
1. 在確認對話方塊中,選擇**開啟**。
1. 若要確認使用者已成功同步至 IAM Identity Center,請返回 IAM Identity Center 主控台並選擇 **使用者**。 **使用者** 頁面列出您Google Workspace目錄中由 SCIM 建立的使用者。如果使用者尚未列出,可能是佈建仍在進行中。佈建最多可能需要 24 小時,但在大多數情況下,它在幾分鐘內完成。請務必每隔幾分鐘重新整理瀏覽器視窗。
選取使用者並檢視其詳細資訊。資訊應與 Google Workspace目錄中的資訊相符。
**恭喜您!**
您已成功在 Google Workspace和 之間設定 SAML 連線, AWS 並已驗證自動佈建是否正常運作。您現在可以將這些使用者指派給 **IAM Identity Center** 中的帳戶和應用程式。在本教學課程中,在下一個步驟中,我們將其中一個使用者授予管理帳戶的管理許可,以指定為 IAM Identity Center 管理員。
## 傳遞存取控制的屬性 - *選用*
您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能,傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。
若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 `AttributeValue` 元素。例如,若要傳遞標籤鍵/值對 `CostCenter = blue`,請使用下列屬性。
```
blue
```
如果您需要新增多個屬性,請為每個標籤加入個別的`Attribute`元素。
## 將存取權指派給 AWS 帳戶
下列步驟僅需要授予 AWS 帳戶 的存取權。這些步驟不需要授予 AWS 應用程式存取權。
**注意**
若要完成此步驟,您需要 IAM Identity Center 的組織執行個體。如需詳細資訊,請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。
### 步驟 1:IAM Identity Center:授予Google Workspace使用者帳戶存取權
1. 返回 **IAM Identity Center** 主控台。在 IAM Identity Center 導覽窗格中的**多帳戶許可**下,選擇 **AWS 帳戶**。
1. 在 **AWS 帳戶**頁面上,**組織結構**會在階層中顯示您的組織根目錄及其下的帳戶。選取管理帳戶的核取方塊,然後選取**指派使用者或群組**。
1. 此時會顯示**指派使用者和群組**工作流程。它包含三個步驟:
1. 針對**步驟 1:選取使用者和群組**,選擇將執行管理員任務功能的使用者。然後選擇**下一步**。
1. 針對**步驟 2:選取許可集**選擇**建立許可集**,以開啟新標籤,逐步引導您完成建立許可集所涉及的三個子步驟。
1. 對於**步驟 1:選取許可集類型**完成下列項目:
+ 在**許可集類型**中,選擇**預先定義的許可集**。
+ 在**預先定義許可集的政策**中,選擇 **AdministratorAccess**。
選擇**下一步**。
1. 針對**步驟 2:指定許可集詳細資訊**,保留預設設定,然後選擇**下一步**。
預設設定會建立名為 *AdministratorAccess* 的許可集,並將工作階段持續時間設定為一小時。
1. 針對**步驟 3:檢閱和建立**,確認**許可集類型**使用 AWS 受管政策 **AdministratorAccess**。選擇**建立**。在**許可集**頁面上會出現通知,通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。
1. 在**指派使用者和群組**瀏覽器索引標籤上,您仍在**步驟 2:選取您從中開始建立許可集**工作流程的許可集。
1. 在**許可集**區域中,選擇**重新整理**按鈕。您建立的 *AdministratorAccess* 許可集會出現在清單中。選取該許可集的核取方塊,然後選擇**下一步**。
1. 對於**步驟 3:檢閱並提交**檢閱選取的使用者和許可集,然後選擇**提交**。
頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。
您會返回 AWS 帳戶 頁面。通知訊息會通知您 AWS 帳戶 ,您的 已重新佈建,並已套用更新的許可集。當使用者登入時,他們可以選擇 *AdministratorAccess* 角色。
**注意**
來自 的 SCIM 自動同步Google Workspace僅支援佈建使用者。目前不支援自動群組佈建。您無法使用 為Google Workspace使用者建立群組 AWS 管理主控台。佈建使用者之後,您可以使用 AWS CLI Identity Store [create-group ](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html)命令或 IAM API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) 建立群組。
### 步驟 2:Google Workspace:確認Google Workspace使用者存取 AWS 資源
1. Google 使用測試使用者帳戶登入 。若要了解如何將使用者新增至 Google Workspace,請參閱 [Google Workspace 文件](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668)。
1. 選取Google apps啟動器 (鬆餅) 圖示。
1. 捲動至自訂應用程式所在的Google Workspace應用程式清單底部。**Amazon Web Services** 應用程式隨即顯示。
1. 選取 **Amazon Web Services** 應用程式。您已登入 AWS 存取入口網站,可以看到 AWS 帳戶 圖示。展開該圖示以查看使用者可以存取 AWS 帳戶 的 清單。在本教學課程中,您只使用單一帳戶,因此展開圖示只會顯示一個帳戶。
1. 選取帳戶以顯示使用者可用的許可集。在本教學課程中,您已建立 **AdministratorAccess** 許可集。
1. 許可集旁的是該許可集可用的存取類型的連結。當您建立許可集時,您指定同時啟用管理主控台和程式設計存取,因此這兩個選項都存在。選取**管理主控台**以開啟 AWS 管理主控台。
1. 使用者已登入 主控台。
## 後續步驟
現在您已Google Workspace在 IAM Identity Center 中將 設定為身分提供者和佈建使用者,您可以:
+ 使用 AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 命令或 IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html) 為您的使用者建立群組。
群組在將存取權指派給 AWS 帳戶 和 應用程式時非常有用。您可以將許可授予群組,而不是個別指派每個使用者。稍後,當您從群組新增或移除使用者時,使用者會動態取得或失去您指派給群組的帳戶和應用程式的存取權。
+ 根據任務函數設定許可,請參閱[建立許可集](howtocreatepermissionset.md)。
許可集定義使用者和群組對 的存取層級 AWS 帳戶。許可集存放在 IAM Identity Center 中,並且可以佈建至一或多個 AWS 帳戶。您可以為使用者指派多個許可集合。
**注意**
身為 IAM Identity Center 管理員,您偶爾需要用較新的 IdP 憑證取代較舊的 IdP 憑證。例如,當憑證上的過期日期接近時,您可能需要取代 IdP 憑證。使用較新的憑證取代較舊憑證的程序稱為憑證輪換。請務必檢閱如何[管理 的 SAML 憑證](managesamlcerts.md)Google Workspace。
## 疑難排解
如需使用 進行一般 SCIM 和 SAML 故障診斷Google Workspace,請參閱下列章節:
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ 如需Google Workspace故障診斷,請參閱 [Google Workspace 文件](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)。
下列資源可協助您在使用 時進行故障診斷 AWS:
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結,以協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援