Mengonfigurasi sinkronisasi email untuk pengguna federasi di Amazon QuickSight - Amazon QuickSight
Langkah 1: Perbarui hubungan kepercayaan untuk peran IAMLangkah 2: Tambahkan atribut SAMP atau token OIDCLangkah 3: Aktifkan sinkronisasi email

Penting: Kami telah mendesain ulang ruang kerja QuickSight analisis Amazon. Anda mungkin menemukan tangkapan layar atau teks prosedural yang tidak mencerminkan tampilan baru di konsol. QuickSight Kami sedang dalam proses memperbarui tangkapan layar dan teks prosedural.

Untuk menemukan fitur atau item, gunakan bilah pencarian cepat.

Untuk informasi selengkapnya QuickSight tentang tampilan baru, lihat Memperkenalkan pengalaman analisis baru di Amazon QuickSight.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi sinkronisasi email untuk pengguna federasi di Amazon QuickSight

 Berlaku untuk: Enterprise Edition 
   Audiens yang dituju: Administrator sistem dan administrator Amazon QuickSight  
catatan

Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon. QuickSight

Di Amazon QuickSight Enterprise edition, sebagai administrator, Anda dapat membatasi pengguna baru untuk menggunakan alamat email pribadi saat menyediakan melalui penyedia identitas (iDP) mereka secara langsung. QuickSight QuickSight kemudian menggunakan alamat email yang telah dikonfigurasi yang melewati iDP saat menyediakan pengguna baru ke akun Anda. Misalnya, Anda dapat membuatnya sehingga hanya alamat email yang ditetapkan perusahaan yang digunakan saat pengguna disediakan ke akun QuickSight Anda melalui IDP Anda.

catatan

Pastikan bahwa pengguna Anda berfederasi langsung QuickSight melalui IDP mereka. Berfederasi ke AWS Management Console melalui IDP mereka dan kemudian mengklik QuickSight ke menghasilkan kesalahan dan mereka tidak akan dapat mengakses. QuickSight

Saat Anda mengonfigurasi sinkronisasi email untuk pengguna federasi QuickSight, pengguna yang masuk ke QuickSight akun Anda untuk pertama kalinya telah menetapkan alamat email sebelumnya. Ini digunakan untuk mendaftarkan akun mereka. Dengan pendekatan ini, pengguna dapat mem-bypass secara manual dengan memasukkan alamat email. Selain itu, pengguna tidak dapat menggunakan alamat email yang mungkin berbeda dari alamat email yang ditentukan oleh Anda, administrator.

QuickSight mendukung penyediaan melalui IDP yang mendukung otentikasi SAMP atau OpenID Connect (OIDC). Untuk mengonfigurasi alamat email bagi pengguna baru saat menyediakan melalui iDP, Anda memperbarui hubungan kepercayaan untuk peran IAM yang mereka gunakan dengan atau. AssumeRoleWithSAML AssumeRoleWithWebIdentity Kemudian Anda menambahkan atribut SAMP atau token OIDC di IDP mereka. Terakhir, Anda mengaktifkan sinkronisasi email untuk pengguna federasi di. QuickSight

Prosedur berikut menjelaskan langkah-langkah ini secara rinci.

Langkah 1: Perbarui hubungan kepercayaan untuk peran IAM dengan AssumeRoleWithSAML atau AssumeRoleWithWebIdentity

Anda dapat mengonfigurasi alamat email untuk digunakan pengguna saat menyediakan melalui iDP Anda. QuickSight Untuk melakukan ini, tambahkan sts:TagSession tindakan ke hubungan kepercayaan untuk peran IAM yang Anda gunakan dengan AssumeRoleWithSAML atauAssumeRoleWithWebIdentity. Dengan melakukan ini, Anda dapat meneruskan principal tag saat pengguna mengambil peran.

Contoh berikut menggambarkan peran IAM yang diperbarui di mana IDP adalah Okta. Untuk menggunakan contoh ini, perbarui Nama Sumber Daya Federated Amazon (ARN) dengan ARN untuk penyedia layanan Anda. Anda dapat mengganti item berwarna merah dengan informasi khusus layanan AWS dan IDP Anda.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Langkah 2: Tambahkan atribut SAMP atau token OIDC untuk tag utama IAM di IDP Anda

Setelah Anda memperbarui hubungan kepercayaan untuk peran IAM seperti yang dijelaskan di bagian sebelumnya, tambahkan atribut SAMP atau token OIDC untuk tag IAM di idP Anda. Principal

Contoh berikut menggambarkan atribut SAMP dan token OIDC. Untuk menggunakan contoh ini, ganti alamat email dengan variabel di IDP Anda yang menunjuk ke alamat email pengguna. Anda dapat mengganti item yang disorot dengan warna merah dengan informasi Anda.

  • Atribut SAMP: Contoh berikut menggambarkan atribut SAMP. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    catatan

    Jika Anda menggunakan Okta sebagai IDP Anda, pastikan untuk mengaktifkan flag fitur di akun pengguna Okta Anda untuk menggunakan SAMP. Untuk informasi selengkapnya, lihat Okta dan AWS Mitra untuk Menyederhanakan Akses Melalui Tag Sesi di blog Okta.

  • Token OIDC: Contoh berikut menggambarkan contoh token OIDC. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Langkah 3: Aktifkan sinkronisasi email untuk pengguna federasi di QuickSight

Seperti dijelaskan sebelumnya, perbarui hubungan kepercayaan untuk peran IAM dan tambahkan atribut SAMP atau token OIDC untuk tag IAM di idP Anda. Principal Kemudian aktifkan sinkronisasi email untuk pengguna federasi QuickSight seperti yang dijelaskan dalam prosedur berikut.

Untuk mengaktifkan sinkronisasi email untuk pengguna federasi

  1. Dari halaman mana pun QuickSight, pilih nama pengguna Anda di kanan atas, lalu pilih Kelola QuickSight.

  2. Pilih Single sign-on (IAM federation) di menu di sebelah kiri.

  3. Pada halaman federasi IAM yang Dimulai Penyedia Layanan, untuk Sinkronisasi Email untuk Pengguna Federasi, pilih ON.

    Saat sinkronisasi email untuk pengguna federasi aktif, QuickSight gunakan alamat email yang Anda konfigurasikan pada langkah 1 dan 2 saat menyediakan pengguna baru ke akun Anda. Pengguna tidak dapat memasukkan alamat email mereka sendiri.

    Ketika sinkronisasi email untuk pengguna federasi tidak aktif, QuickSight meminta pengguna untuk memasukkan alamat email mereka secara manual saat menyediakan pengguna baru ke akun Anda. Mereka dapat menggunakan alamat email apa pun yang mereka inginkan.