Tutorial: Amazon QuickSight y la federación IAM de identidades - Amazon QuickSight

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Amazon QuickSight y la federación IAM de identidades

   Se aplica a: Enterprise Edition y Standard Edition 
   Público objetivo: QuickSight administradores de Amazon y QuickSight desarrolladores de Amazon 
nota

IAMLa federación de identidades no admite la sincronización de grupos de proveedores de identidad con Amazon QuickSight.

En el siguiente tutorial, encontrarás un tutorial para configurar el IdP Okta como un servicio de federación para Amazon. QuickSight Aunque en este tutorial se muestra la integración de AWS Identity and Access Management (IAM) y Okta, también puedes replicar esta solución con la versión 2.0 que elijas. SAML IdPs

En el siguiente procedimiento, se crea una aplicación en el IdP de Okta mediante su atajo «Federación de cuentas AWS ». Okta describe esta aplicación de integración de la siguiente manera:

«Al federar Okta a las cuentas de Identity and Access Management (AWS) de Amazon Web Services (IAM), los usuarios finales obtienen acceso mediante inicio de sesión único a todas las AWS funciones que se les asignan con sus credenciales de Okta. En cada una de ellas Cuenta de AWS, los administradores configuran la federación y los roles para que confíen en Okta AWS . Cuando los usuarios inician sesión AWS, obtienen la experiencia de inicio de sesión único de Okta para ver las funciones asignadas. AWS A continuación, pueden seleccionar el rol que deseen, lo que definirá sus permisos durante la sesión autenticada. Los clientes con un gran número de AWS cuentas pueden utilizar la aplicación AWS Single Sign-On como alternativa». () https://www.okta.com/aws/

Para crear una aplicación de Okta utilizando el acceso directo a la aplicación «Federación de AWS cuentas» de Okta

  1. Inicie sesión en el panel de Okta. Si no tienes una, crea una cuenta gratuita de Okta Developer Edition con esta marca. QuickSight URL Cuando haya activado su correo electrónico, inicie sesión en Okta.

  2. En el sitio web de Okta, seleccione Consola para desarrolladores <> en la esquina superior izquierda y, a continuación, seleccione IU clásica.

  3. Seleccione Agregar aplicaciones y, luego, Agregar aplicación.

  4. Ingrese aws en Search y seleccione AWS Account Federation en los resultados de la búsqueda.

  5. Seleccione Agregar para crear una instancia de esta aplicación.

  6. En Etiqueta de la application, ingrese AWS Account Federation - QuickSight.

  7. Elija Next (Siguiente).

  8. Para SAML2.0, estado de retransmisión predeterminado, introduzca. https://quicksight.aws.amazon.com

  9. Abra el menú contextual (haga clic con el botón derecho) de Metadatos del proveedor de identidades y guarde el archivo. Nombre el archivo metadata.xml. Necesita esto para el siguiente procedimiento.

    El contenido del archivo es similar a este:

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Una vez guardado el XML archivo, desplázate hasta la parte inferior de la página de Okta y selecciona Listo.

  11. Si es posible, mantenga abierta esta ventana del navegador. La necesitará más adelante en el tutorial.

A continuación, cree un proveedor de identidades en su Cuenta de AWS.

Para crear un SAML proveedor en AWS Identity and Access Management () IAM

  1. Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Proveedores de identidades, Crear proveedor.

  3. Ingrese la siguiente configuración:

    • Tipo de proveedor: elija SAMLde la lista.

    • Nombre del proveedor: ingrese Okta.

    • Documento de metadatos: cargue el XML archivo manifest.xml del procedimiento anterior.

  4. Elija Paso siguiente y, a continuación, Crear.

  5. Localice el IdP que creó y elíjalo para ver la configuración. Tenga en cuenta el proveedor ARN. Lo necesita para terminar el tutorial.

  6. Compruebe que el proveedor de identidades se haya creado con su configuración. EnIAM, elija Proveedores de identidad, Okta (el IdP que agregó) y Descargar metadatos. El archivo debe ser el que ha cargado recientemente.

A continuación, crea un IAM rol para permitir que la federación SAML 2.0 actúe como una entidad de confianza en su seno. Cuenta de AWS Para este paso, debes elegir cómo deseas aprovisionar a los usuarios en Amazon QuickSight. Puede elegir una de las opciones siguientes:

  • Concede permiso al IAM rol para que los visitantes primerizos se conviertan en QuickSight usuarios automáticamente.

  • QuickSight Aprovisione a los usuarios con antelación mediante. QuickSight API Al elegir esta opción, puede aprovisionar usuarios y agregarlos a los grupos al mismo tiempo. Para obtener más información, consulte Creación y gestión de grupos en Amazon QuickSight.

Para crear un IAM rol para una federación SAML 2.0 como entidad de confianza

  1. Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Roles, Crear rol.

  3. En Seleccione el tipo de entidad de confianza, elija la tarjeta con la etiqueta SAML2.0 federation.

  4. Para el SAMLproveedor, seleccione el IdP que creó en el procedimiento anterior, por ejemplo. Okta

  5. Active la opción Permitir el acceso programático y a la consola AWS de administración.

  6. Elija Siguiente: permisos.

  7. Pegue la siguiente política en el editor.

    En el editor de políticas, JSON actualízalo con el nombre de recurso de Amazon (ARN) de tu proveedor. 

    {
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Elija Revisar política.

  9. En Nombre, escriba QuicksightOktaFederatedPolicy y, después, elija Crear política.

  10. Selecciona Crear política JSONpor segunda vez.

  11. Pegue la siguiente política en el editor.

    En el editor de políticas, JSON actualízalo con tu Cuenta de AWS ID. Debe ser el mismo ID de cuenta que utilizaste en la política anterior del proveedorARN.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    Puedes omitir el Región de AWS nombre en elARN, tal y como se muestra a continuación.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Elija Revisar política.

  13. En Nombre, escriba QuicksightCreateReader y, después, elija Crear política.

  14. Actualice la lista de políticas seleccionando el icono de actualización de la derecha.

  15. En Buscar, ingrese QuicksightOktaFederatedPolicy. Elija la política para habilitarlo ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Si no desea utilizar el aprovisionamiento automático, puede omitir el siguiente paso.

    Para añadir un QuickSight usuario, utilice register-user. Para añadir un QuickSight grupo, utilice create-group. Para añadir usuarios al QuickSight grupo, utilice. create-group-membership

  16. (Opcional) En Buscar, ingrese QuicksightCreateReader. Elija la política para habilitarlo ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Realice este paso si desea aprovisionar QuickSight usuarios automáticamente, en lugar de utilizar el QuickSight API.

    La política QuicksightCreateReader activa el aprovisionamiento automático al permitir el uso de la acción quicksight:CreateReader. Esta acción concede acceso de suscriptor (nivel de lector) al panel a los usuarios primerizos. Más adelante, un QuickSight administrador puede actualizarlos desde el menú del QuickSight perfil, Administrar QuickSight, Administrar usuarios.

  17. Para seguir adjuntando la IAM política o las políticas, seleccione Siguiente: Etiquetas.

  18. Elija Siguiente: Revisar.

  19. En Nombre del rol, ingrese QuicksightOktaFederatedRole y, luego, elija Crear rol.

  20. Compruebe que lo ha realizado correctamente siguiendo estos pasos:

    1. Vuelva a la página principal de la IAM consola en https://console.aws.amazon.com/iam/. Puede utilizar el botón Atrás de su navegador.

    2. Elija Roles.

    3. En Buscar, ingrese Okta. Elija uno QuicksightOktaFederatedRolede los resultados de la búsqueda.

    4. En la página Resumen de la política, examine la pestaña Permisos. Compruebe que el rol tenga la política o las políticas que usted haya asignado. Debería tener QuicksightOktaFederatedPolicy. Si eligió agregar la capacidad de crear usuarios, también debería tener QuicksightCreateReader.

    5. Utilice el icono Play button icon with a triangular shape pointing to the right. para abrir cada política. Compruebe que el texto coincida con lo que se muestra en este procedimiento. Comprueba que has añadido tu propio Cuenta de AWS número en lugar del número de cuenta del ejemplo: 1111.

    6. En la pestaña Relaciones de confianza, compruebe que el campo Entidades de confianza contiene el correspondiente al ARN proveedor de identidades. Para volver a comprobarlo ARN en la IAM consola, abra Identity Providers, Okta.

Creación de una clave de acceso para Okta

  1. Inicie sesión en AWS Management Console y abra la IAM consola en. https://console.aws.amazon.com/iam/

  2. Agregue una política que permita a Okta mostrar una lista de IAM funciones al usuario. Para ello, elija Política, Crear una política.

  3. Elija JSONy, a continuación, introduzca la siguiente política.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Elija Revisar política.

  5. En Nombre, ingrese OktaListRolesPolicy. A continuación, elija Crear política.

  6. Agregue un usuario para poder proporcionar a Okta una clave de acceso.

    En el panel de navegación, elija Usuarios, Agregar usuario.

  7. Utilice los siguientes valores:

    • En Nombre de usuario, escriba OktaSSOUser.

    • En Tipo de acceso, elija Acceso mediante programación.

  8. Elija Siguiente: permisos.

  9. Elija Adjuntar directamente políticas existentes.

  10. En BuscarOktaListRolesPolicy, introduzca y elija uno OktaListRolesPolicyde los resultados de la búsqueda.

  11. Elija Siguiente: Etiquetas y, a continuación, seleccione Siguiente: Revisar.

  12. Seleccione la opción Crear usuario. Ahora puede obtener la clave de acceso.

  13. Para descargar el par de claves, elija Descargar archivo .csv. El archivo contiene el mismo ID de clave de acceso y la misma clave de acceso secreta que se muestra en esta pantalla. Sin embargo, dado que AWS no muestra esta información por segunda vez, asegúrese de descargar el archivo.

  14. Compruebe que haya completado este paso correctamente haciendo lo siguiente:

    1. Abre la IAM consola y selecciona Usuarios. Busca O y ktaSSOUser ábrelo eligiendo el nombre de usuario en los resultados de la búsqueda.

    2. En la pestaña Permisos, comprueba que OktaListRolesPolicyesté adjunto.

    3. Utilice el icono Play button icon with a triangular shape pointing to the right. para abrir la política. Compruebe que el texto coincida con lo que se muestra en este procedimiento.

    4. En la pestaña Credenciales de seguridad, puede comprobar la clave de acceso, aunque ya la haya descargado. Puede volver a esta pestaña para crear una clave de acceso cuando necesite una nueva.

En el siguiente procedimiento, vuelva a Okta para proporcionar la clave de acceso. La clave de acceso funciona con la nueva configuración de seguridad para permitir que AWS el IDP de Okta funcione en conjunto.

Para terminar de configurar la aplicación Okta con los ajustes AWS

  1. Vuelva al panel de Okta. Inicie sesión si se le solicita. Si la consola para desarrolladores ya no está abierta, seleccione Administrador para volver a abrirla.

  2. Si tiene que volver a abrir Okta, puede volver a esta sección siguiendo estos pasos:

    1. Inicie sesión en Okta. Elija Aplicaciones.

    2. Elija AWS Account QuickSight Federation: la aplicación que creó al principio de este tutorial.

    3. Elija la pestaña Iniciar sesión, entre General y Móvil.

  3. Vaya a Configuración de inicio de sesión avanzada.

  4. Para el proveedor de identidad ARN (obligatorio solo para la SAML IAM federación), introduzca el proveedor ARN del procedimiento anterior, por ejemplo: 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Seleccione Listo o Guardar. El nombre del botón varía en función de si está creando o editando la aplicación.

  6. Elija la pestaña Aprovisionamiento y, en la parte inferior de la pestaña, elija Configurar la API integración.

  7. Activa Habilitar API la integración para mostrar la configuración.

  8. En Clave de acceso y Clave secreta, proporcione la clave de acceso y la clave secreta que descargó anteriormente en un archivo con el nombre OktaSSOUser_credentials.csv.

  9. Selecciona Probar API credenciales. Busque en la parte superior de la configuración Habilitar la API integración un mensaje que confirme que la federación de AWS cuentas se verificó correctamente.

  10. Seleccione Guardar.

  11. Asegúrese de que la opción Para la aplicación esté resaltada a la izquierda y seleccione Editar a la derecha.

  12. En Crear usuarios, active la opción Habilitar.

  13. Seleccione Guardar.

  14. En la pestaña Asignaciones, cerca de Aprovisionamiento e Importar, seleccione Asignar.

  15. Realice una o varias de las siguientes acciones para habilitar el acceso federado:

    • Para trabajar con usuarios individuales, elija Asignar a personas.

    • Para trabajar con IAM grupos, selecciona Asignar a grupos. Puede elegir IAM grupos específicos o Todos (todos los usuarios de su organización).

  16. Para cada IAM usuario o grupo, haga lo siguiente:

    1. Elija Asignar, Rol.

    2. Seleccione QuicksightOktaFederatedRoleuno de los IAM roles de la lista.

    3. Para los roles SAML de usuario, habilite QuicksightOktaFederatedRole.

  17. Seleccione Guardar y volver y, a continuación, seleccione, Listo.

  18. Compruebe que ha completado este paso correctamente. Para ello, seleccione el filtro Personas o Grupos de la izquierda y compruebe los usuarios o grupos que ha introducido. Si no puede completar este proceso porque el rol que creó no aparece en la lista, vuelva a los procedimientos anteriores para comprobar la configuración.

Para iniciar sesión QuickSight con Okta (inicio de sesión desde el IdP al proveedor de servicios)

  1. Si utiliza una cuenta de administrador de Okta, cambie al modo de usuario.

  2. Inicie sesión en el panel de aplicaciones de Okta con un usuario al que se le haya concedido acceso federado. Deberías ver una nueva aplicación con tu etiqueta, por ejemplo, AWS Account Federation -. QuickSight

  3. Seleccione el icono de la aplicación para iniciar AWS Account Federation - QuickSight.

Ahora puedes gestionar las identidades con Okta y usar el acceso federado con Amazon. QuickSight

El siguiente procedimiento es una parte opcional de este tutorial. Si sigue sus pasos, autoriza QuickSight a reenviar las solicitudes de autorización al IdP en nombre de sus usuarios. Con este método, los usuarios pueden iniciar sesión sin necesidad de iniciar sesión primero QuickSight con la página de IdP.

(Opcional) Para configurar QuickSight el envío de solicitudes de autenticación a Okta

  1. Abre QuickSight y selecciona Administrar en el menú QuickSight de tu perfil.

  2. Selecciona Inicio de sesión único (IAMfederación) en el panel de navegación.

  3. En Configuración, IdP URL, introduzca el URL que proporciona su IdP para autenticar a los usuarios, por ejemplo, https://dev -1-----0.okta.com/home/amazon_aws/0oabababababaGQei5d5/282. Puedes encontrarlo en la página de la aplicación Okta, en la pestaña General, en Insertar enlace.

  4. Para IdPURL, introduzca. RelayState

  5. Realice una de las siguientes acciones siguientes:

    • Para probar primero el inicio de sesión con tu proveedor de identidad, usa la opción personalizada que URL se proporciona en Test empezando por tu IdP. Deberías llegar a la página de inicio para QuickSight, por ejemplo, https://quicksight.aws.amazon.com/sn/ empezar.

    • Para probar QuickSight primero el inicio de sesión, usa la opción personalizada que URL se proporciona en Probar la end-to-end experiencia. El enable-sso parámetro se añade a. URL Sienable-sso=1, IAM la federación intenta autenticarse. Sienable-sso=0, QuickSight no envía la solicitud de autenticación e inicias sesión QuickSight como antes.

  6. En Estado, elija ACTIVADO.

  7. Seleccione Guardar para conservar los ajustes.

Puedes crear un enlace directo a un QuickSight panel para que los usuarios puedan usar la IAM federación para conectarse directamente a paneles específicos. Para ello, añada el indicador de estado de la retransmisión y el panel de control URL al inicio de sesión único de Okta, tal y como se describe a continuaciónURL.

Para crear un enlace directo a un panel de control para el inicio de sesión único QuickSight

  1. Busca el inicio de sesión único (IAMfederación) de la aplicación Okta URL en el metadata.xml archivo que descargaste al principio del tutorial. Puede encontrarlo URL cerca del final del archivo, en el elemento denominado. md:SingleSignOnService Se asigna el nombre Location al atributo y el valor termina en /sso/saml, como se muestra en el siguiente ejemplo.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Toma el valor de la IAM federación URL y añádelo ?RelayState= seguido del valor URL de tu QuickSight panel de control. El RelayState parámetro transmite el estado (elURL) en el que se encontraba el usuario cuando fue redirigido a la autenticación. URL

  3. A la nueva IAM federación con el estado de retransmisión agregado, añada el URL de su QuickSight panel de control. El resultado URL debería ser similar al siguiente.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Si el enlace que ha creado no se abre, compruebe que está utilizando la IAM federación más reciente URL demetadata.xml. Comprueba también que el nombre de usuario que utilizas para iniciar sesión no esté asignado a más de una aplicación de Okta de la IAM federación.