Configuration de l'accès utilisateur fédéré QuickSight via IAM et un IdP externe

Les caractéristiques de cette architecture sont les suivantes :

• L'enregistrement QuickSight utilisateur Amazon est lié à un rôle AWS Identity and Access Management (IAM) et au nom d'utilisateur dans l'IdP, par exemple. QuickSightReader/DiegoRamirez@example.com

• Les utilisateurs peuvent fournir eux-mêmes l'accès.

• Les utilisateurs se connectent à leur fournisseur d'identité externe.

• Si la synchronisation des e-mails est désactivée, les utilisateurs peuvent fournir leur adresse e-mail préférée lorsqu'ils se connectent QuickSight. Si la synchronisation des e-mails est activée, QuickSight utilise l'adresse e-mail définie dans l'IdP de l'entreprise. Pour plus d’informations, consultez QuickSight synchronisation des e-mails pour les utilisateurs fédérés dans ce guide.

• Le rôle IAM contient une politique de confiance qui permet uniquement aux utilisateurs fédérés de votre IdP externe d'assumer ce rôle.

Considérations et cas d'utilisation

Si vous utilisez déjà la fédération d'identité pour accéder à votre Comptes AWS, vous pouvez également utiliser cette configuration existante pour étendre l'accès à QuickSight. Pour ce qui est de l' QuickSightaccès, vous pouvez réutiliser les mêmes processus que ceux que vous avez mis en place pour le provisionnement et la révision de l'accès Comptes AWS.

Prérequis

• Autorisations administratives dans QuickSight.

• Votre organisation utilise déjà un fournisseur d'identité externe, tel que Okta or Ping.

Configuration de l'accès

Pour obtenir des instructions, consultez la section Configuration de la fédération IdP à l'aide d'IAM et QuickSight dans la documentation. QuickSight Pour plus d'informations sur la configuration de la politique d'autorisation pour QuickSight, consultez Configuration des politiques IAM ce guide.