本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

IAM Identity Center 支持使用跨域身份管理系统 (SCIM) v2.0 协议将用户信息从 Google Workspace 自动配置（同步）到 IAM 身份中心。您可以使用 IAM 身份中心的 SCIM 终端节点和 IAM 身份中心自动创建的不记名令牌在 Google Workspace 中配置此连接。配置 SCIM 同步时，您可以在 Google Workspace 中创建用户属性与 IAM 身份中心中的命名属性的映射。这会导致 IAM 身份中心和 Google Workspace 之间的预期属性相匹配。

以下步骤将引导您了解如何使用 SCIM 协议将用户从 Google Workspace 自动配置到 IAM 身份中心。

在开始部署 SCIM 之前，我们建议您先查看使用自动配置的注意事项，然后在接下来的部分SCIM 注意事项中继续查看先决条件和。

我们目前仅支持用户配置。

在开始之前，您将需要以下内容：

谷歌工作空间订阅或免费试用。要注册免费试用，请访问谷歌网站上的 Google Workspace。

支持 IAM 身份中心的账户（免费）。有关更多信息，请参阅启用 IAM 身份中心。

从您的 Google Workspace 账户到 IAM 身份中心的 SAML 连接，如在谷歌网站上配置亚马逊网络服务 (AWS) 自动配置中所述。

将 IAM Identity Center 连接器与您想要允许访问AWS账户的角色、用户和组织相关联。

在 IAM 身份中心使用 Google Workspace 联合版时的注意事项：

只能同步一个电话号码属性，默认为 “工作电话”。

Google Workspace 目录中的用户必须将名字和姓氏配置为使用 SCIM 同步到 IAM 身份中心。

如果用户在 IAM 身份中心中被禁用，但在 Google Workspace 中仍处于活动状态，则属性仍会同步。

如果 Identity Center 目录中存在具有相同用户名和电子邮件的现有用户，则将使用 Google Workspace 中的 SCIM 对该用户进行覆盖和同步。

在第一步中，您使用 IAM 身份中心控制台启用自动配置。

完成先决条件后，打开 IAM 身份中心控制台。

在左侧导航窗格中选择设置。

在 “设置” 页面上，找到 “自动配置信息” 框，然后选择 “启用”。这将立即在 IAM Identity Center 中启用自动配置，并显示必要的 SCIM 终端节点和访问令牌信息。

在入站自动配置对话框中，复制以下选项的每个值。稍后在 IdP 中配置配置时，需要将其粘贴。

SCIM 端点

访问令牌

选择 Close（关闭）。

现在您已经在 IAM 身份中心控制台中设置了配置，请使用 Google Workspace 自动配置 IAM 身份中心连接器完成剩余任务。以下步骤描述了这些步骤。

使用管理员帐户@@ 登录您的 Google 管理员控制台，然后导航到应用程序 > 网络和移动应用程序。

选择亚马逊网络服务应用程序。

在自动配置部分中，选择配置自动配置。

在前面的步骤中，您在 IAM 身份中心中复制了访问令牌值。将该值粘贴到 Google 的 API 密钥字段中，然后选择继续。此外，在前面的步骤中，您在 IAM 身份中心复制了 SCIM 终端节点值。将该值粘贴到端点 URL 字段中。确保删除 URL 末尾的正斜杠，然后选择 Continue 。

验证所有必需的 IAM 身份中心属性（标有* 的属性）是否已映射到 Google Cloud Directory 属性。如果不是，请选择向下箭头并映射到相应的属性。

选择 Continue（继续）。

将取消置备开始之前的时间长度设置为：24 小时内或一、七或 21 天之后。至少选择以下选项之一：

为用户关闭应用程序时，请在 [天数] 后删除其帐户。

当用户在 Google 上被暂停时，请在 [天数] 后删除其帐号。

从 Google 中删除用户后，请在 [天数] 后删除其帐号。

在硬删除用户帐户之前，一定要设置比暂停用户帐户的时间长。

选择 Finish (结束)。

在自动配置部分中，选择激活滑块。

如果未为用户打开 IAM 身份中心，则激活滑块将被禁用。选择 “用户访问权限”，然后打开应用程序以启用滑块。

在确认对话框中，选择 “打开”。

要验证用户是否已成功同步到 IAM 身份中心，请返回 IAM 身份中心控制台并选择用户。来自 Google 的同步用户会显示在 “用户” 页面上。现在，您可以在 IAM 身份中心为这些用户分配账户。

如果您想为 IAM 身份中心配置属性来管理对AWS资源的访问权限，这是 Google Workspace 的可选程序。你在 Google 中定义的属性将在 SAML 断言中传递给 IAM 身份中心。然后，您可以在 IAM Identity Center 中创建权限集，以根据您从 Google 传递的属性管理访问权限。

在开始此过程之前，请先启用访问控制的属性功能。请参阅启用和配置访问控制的属性。

导航到用户身份验证 > IAM 身份中心，打开您在为 Google 配置 SAML 时安装的 Google Workspace IAM 身份中心连接器。

选择 IAM 身份中心连接器。然后，选择 IAM 身份中心的第二个选项卡。

在用户属性映射中，选择添加新属性，然后为您要在 IAM Identity Center 中添加访问控制的每个属性完成以下步骤。

在 “服务提供属性名称” 字段中，输入https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName。AttributeName替换为您在 IAM 身份中心中期望的属性的名称。例如，https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

在 Google 工作空间属性名称字段中，从您的 Google Workspace 目录中选择用户属性。例如，电子邮件（工作）。

选择保存。

您可以选择在 IAM Identity Center 中使用该访问控制属性功能来传递Name属性设置为的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 IAM 用户指南AWS STS中的传递会话标签。

要将属性作为会话标签传递，请包含指定标签值的 AttributeValue 元素。例如，要传递标签键值对CostCenter = blue，请使用以下属性。

如果您需要添加多个属性，请为每个标签添加一个单独的Attribute元素。