با فضای کاری Google ،
ما می توانیم SSO را برای AWS از دو طریق ایجاد کنیم:
-
SAML از قبل یکپارچه: برنامه هایی هستند که Google تعریف کرده اند.
- مزایا: از تأمین خودکار پشتیبانی کنید
-
مضرات: فقط 1 برنامه ایجاد کنید
-
برنامه SAML سفارشی: برای برنامه هایی که Google در بالا تعریف نکرده است.
-
مزایا: ایجاد برنامه های سفارشی زیادی ، مناسب برای مشاغل بزرگ ، با بسیاری از بخش ها ، با استفاده از بسیاری از حساب های AWS ، سازمان های AWS …
-
امتیازات را تنظیم کنید: بدون پشتیبانی خودکار پشتیبانی
مقایسه دقیق تر:
| نشان | برنامه های SAML از قبل یکپارچه | برنامه های SAML سفارشی |
|---|---|---|
| تعریف | برنامه های از پیش تنظیم شده موجود در کاتالوگ Google Workspace برای ادغام آسان. | برنامه های تنظیم شده دستی برای خدماتی که در کاتالوگ ذکر نشده اند. |
| پیچیدگی تنظیم | تنظیم ساده با پارامترهای از پیش تعریف شده (به عنوان مثال ، URL ACS ، شناسه موجودیت). | نیاز به ورود دستی جزئیات ارائه دهنده خدمات (به عنوان مثال ، URL ACS ، شناسه نهاد ، گواهی). |
| برنامه های پشتیبانی شده | بیش از 200 برنامه ابر محبوب (به عنوان مثال ، Salesforce ، Slack ، Dropbox). | هر برنامه ای که از SAML 2.0 پشتیبانی می کند اما از قبل لیست نشده است. |
| تهیه کاربر | از تأمین خودکار کاربر از طریق SCIM برای برخی از برنامه ها پشتیبانی می کند. | نیاز به تهیه کاربر دستی یا پیکربندی SCIM جداگانه دارد. |
| نقشه برداری ویژگی | نقشه های ویژگی از پیش تعریف شده برای برنامه های پشتیبانی شده. | نقشه های ویژگی قابل تنظیم بر اساس نیازهای برنامه. |
| مورد استفاده | ایده آل برای برنامه های سازمانی بسیار مورد استفاده با تنظیمات استاندارد. | مناسب برای برنامه های سفارشی یا طاقچه ای که نیاز به تنظیمات SSO متناسب دارند. |
| نگهدار | حداقل ؛ به روزرسانی ها توسط Google WorksPace اداره می شوند. | برای اطمینان از سازگاری با برنامه ، نیاز به تعمیر و نگهداری مداوم دارد. |
| تعداد موارد برنامه مجاز است | فقط یک بار در هر برنامه: هر برنامه از کاتالوگ فقط یک بار قابل ایجاد است. | نامحدود: می توانید چندین برنامه سفارشی را برای گروه های مختلف ایجاد کنید یا موارد استفاده کنید. |
به سمت AWS ،
در حال حاضر ما از SSO با IDP استفاده می کنیم زیرا Google Workshace دارای 2 روش است: ارائه دهندگان هویت IAM و مرکز هویت IAM
مقایسه:
مقایسه: ارائه دهندگان هویت IAM در مقابل مرکز هویت IAM + IDP خارجی (SSO)
| معیارها | ارائه دهندگان هویت IAM (SAML در IAM) | مرکز هویت IAM + IDP خارجی (SSO) |
|---|---|---|
| پیکربندی شده در | iam> ارائه دهندگان هویت + نقش ها | مرکز هویت IAM> تنظیمات> ارائه دهنده هویت خارجی |
| پروتکل SSO | SAML 2.0 | SAML 2.0 (پشتیبانی OIDC در حال آمدن است) |
| تجربه کاربر | log ورود دستی از طریق /saml URL ، هیچ پورتال کاربر |
✅ دارای پورتال AWS SSO است (به عنوان مثال ، https://d-xxxx.awsapps.com/start) |
| تهیه کاربر | ❌ پشتیبانی نمی شود | ✅ از تهیه SCIM یا فقط به موقع (JIT) پشتیبانی می کند |
| کنترل دسترسی (نقش ها) | نقش هایی که به صورت دستی از طریق ویژگی های SAML نقشه برداری می شوند | ✅ مجموعه های مجوز را بر اساس کاربران/گروه ها از IDP اختصاص دهید |
| مدیر ux / ui | اساسی و محدود | ✅ رابط مدیریت بصری و کاملاً برجسته |
| پشتیبانی چند حساب (سازمانها) | ❌ بدون پشتیبانی داخلی | ✅ پشتیبانی بومی برای حساب چند حساب از طریق سازمان های AWS |
| ادغام IDP شخص ثالث | پشتیبانی شده اما دستی | ✅ تنظیم ساده مبتنی بر ابرداده |
| دسترسی کنسول CLI / SDK / AWS | ✅ پشتیبانی می شود اما به اسکریپت ها نیاز دارد | ✅ یکپارچه از طریق aws configure sso
|
| مقیاس پذیری | برای ارگان های بزرگ محدود است | ✅ بسیار مقیاس پذیر ، آماده شرکت |
| هزینه | رایگان | رایگان |
| توصیه AWS | ❌ میراث ، بدون توسعه ویژگی جدید | ✅ رسما توسط AWS توصیه می شود |
recommend توصیه خلاصه
| مورد استفاده | روش توصیه شده |
|---|---|
| سیستم های میراث ، تعداد کمی از کاربران | ارائه دهندگان هویت IAM |
| محیط های سازمانی ، چند حساب | ✅ مرکز هویت IAM + IDP خارجی |
| به پورتال کاربر و UX بهتر نیاز دارید | ✅ مرکز هویت IAM |
| SSO برای CLI / SDK / GUI | ✅ مرکز هویت IAM |
| فضای کاری Google / Azure AD ادغام | ✅ مرکز هویت IAM |
با داشتن فضای کاری Google ، 2 نوع برنامه SAML از پیش یکپارچه و برنامه های SAML سفارشی هنگام تنظیم هیچ چیز متفاوت نیست.
هر دو روش حتی در این آدرس آدرس https://admin.google.com/ac/apps/unified؟hl=en قرار دارند
برنامه HOặC -> برنامه های وب و تلفن همراه -> اضافه کردن برنامه:
برای انتخاب برنامه های SAML از قبل یکپارچه ، انتخاب کنید: جستجوی برنامه ها.
برای انتخاب سفارشی ، انتخاب کنید: برنامه SAML سفارشی را اضافه کنید
تفاوت بزرگ دو مورد فوق برنامه های SAML از قبل یکپارچه ، برنامه های خودکار و برنامه های SAML سفارشی نیست.
بنابراین ، دستورالعمل ها در بخش AWS متمرکز شده اند.
A. مرکز هویت IAM + IDP خارجی (SSO)
در فضای کاری Google:
برنامه های SAML از قبل یکپارچه
برنامه -> برنامه های وب و تلفن همراه -> اضافه کردن برنامه -> جستجوی برنامه ها
ورودی: آمازون
ابرداده را بارگیری کنید و روی ادامه کلیک کنید
در این مرحله ، پس از وارد کردن در AWS صبر کنید:
نقشه برداری ویژگی SAML
در کنسول AWS:
منطقه مناسب را برای ایجاد انتخاب کنید ،
به مرکز هویت IAM بروید و مطبوعات را مطرح کنید Enable
دوباره تأیید کنید: فعال کنید
تنظیمات -> ویرایش نام نمونه
منبع هویت را انتخاب کنید ، روی عمل کلیک کنید و انتخاب کنید Change identity source
انتخاب کردن External identity provider
ابرداده SAML IDP را بارگذاری کنید
موارد زیر را برای کپی کردن در فضای کاری Google کپی کنید:
| AWS | فضای کاری Google |
|---|---|
| URL ورود به سیستم پورتال AWS دسترسی | URL را شروع کنید |
| خدمات مصرف کننده مرکز هویت IAM (ACS) URL | URL ACS |
| IAM IDOTITY CENTER URL URL | شناسه موجودیت |
بنابراین در صفحه فضای کاری Google:
اگر هنگام کلیک بر روی نماد برنامه SSO از Google ، خطای ورود به سیستم امکان پذیر نیست ، قسمت را ترک کنید
Start URLدر گوگل
توجه داشته باشید که نام ID ID فرمت شناسه نام را به عنوان ایمیل انتخاب می کند ، سپس ادامه را انتخاب کنید
بخش ویژگی ، همانطور که نشان داده شده انتخاب شده است ، سپس پایان را فشار دهید:
ویژگی توجه آمازون دستورالعمل ها را ایجاد می کند: https://support.google.com/a/answer/6194963؟sjid=10980572457906110988-NC#ZIPPE
Sign in with a super administrator account to the Google Admin console.
If you aren’t using a super administrator account, you can’t complete these steps.
Go to Menu and then Directory > Users.
At the top of Users list, click More options and thenManage custom attributes.
Requires the Schema Management privilege.
At the top right, click Add Custom Attribute.
Configure the custom attribute as follows:
Category: Amazon
Description: Amazon Custom Attributes
For Custom fields, enter the following:
Name: Role
Info type: Text
Visibility: Visible to user and admin
No. of values: Multi-value
Click Add.
The new category appears in the Manage user attributes page.
بازگشت به کنسول AWS:
روی Next کلیک کنید و پذیرش کنید و کلیک کنید Change identity source برای تکمیل
مجموعه اجازه tạo
ایجاد گروه
حساب های گروهی AWS را اختصاص دهید
توجه:
- اغلب از حساب AWS دیگر فقط برای استفاده از مرکز هویت IAM استفاده کنید.
- سازمان AWS را فعال کنید تا وقتی می توانید از 1 مرکز هویت IAM برای ورود به حساب های مختلف AWS با سازمان استفاده کنید ، به طور مؤثرتری استفاده کنید.
گروه را انتخاب کنید
مجموعه مجوز را برای گروه بالا انتخاب کنید
سپس روی Next -> ارسال کلیک کنید
ایجاد کاربر:
یک کاربر با ایمیل واقعی در فضای کاری Google ایجاد کنید
گروهی را به کاربر اختصاص دهید:
در Google Console:
روی کاربر دسترسی کلیک کنید ، و ON for everyone یا می توانید یک گروه کوچک یا فقط یک OU را انتخاب کنید تا برنامه SAML را برای آن روشن کنید.
زمان آزمون ،
2 راه وجود دارد
یا از هر سرویس Google ، مانند Mail ، Google Search:
اگر تصویر زیر با موفقیت توسط SSO وارد شده بود
اگر با خطایی روبرو شدید:
سپس پیکربندی شده:
طبل URL را شروع کنید
توجه 1:
-
اگر ویژگی تهیه خودکار باشد
سپس کاربر ، گروه را به صورت دستی ایجاد نمی کند. در این زمان ، کاربر به طور خودکار از فضای کاری Google از طریق همگام سازی می شود. -
تأمین خودکار به طور خودکار گروه همگام سازی نمی کند:
SCIM همگام سازی خودکار از Google Workspace در حال حاضر محدود به تأمین کاربر است. تأمین خودکار گروه در حال حاضر پشتیبانی نمی شود. گروه ها را می توان به صورت دستی با AWS CLI Identity Store Creat-Group Command یا AWS Identity and Access Management (IAM) API Creategroup ایجاد کرد. از طرف دیگر ، می توانید از SSOSYNC برای همگام سازی کاربران و گروه های فضای کاری Google در مرکز هویت IAM استفاده کنید.
با توجه به این آموزش https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-gwp.html
ما باید یک گروه با CLI ایجاد کنیم و کاربر را در این گروه اختصاص دهیم نیز با CLI است (یا می تواند عملکرد Lambda را برای همگام سازی ادغام کند ، اسناد اضافی را بخوانید)
B. ارائه دهندگان هویت IAM (SAML در IAM)
