Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione della federazione IdP utilizzando IAM e QuickSight
| Si applica a: Enterprise Edition e Standard Edition |
| Destinatari: amministratori di sistema |
Nota
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon QuickSight.
Puoi utilizzare un ruolo AWS Identity and Access Management (IAM) e un URL dello stato di inoltro per configurare un provider di identità (IdP) conforme a SAML 2.0. Il ruolo concede agli utenti le autorizzazioni per accedere ad Amazon. QuickSight Lo stato di inoltro è il portale a cui viene inoltrato l'utente, dopo l'avvenuta autenticazione da parte di. AWS
Argomenti
- Prerequisiti
- Passaggio 1: creare un provider SAML in AWS
- Fase 2: Configurazione delle autorizzazioni in AWS per gli utenti federati
- Fase 3: configurazione del provider di identità SAML
- Fase 4: Creazione delle asserzioni per la risposta di autenticazione SAML
- Fase 5: Configurazione dello stato del relay della federazione
Prerequisiti
Prima di configurare la tua connessione SAML 2.0, procedi nel seguente modo:
-
Configura il tuo provider di identità per stabilire una relazione di trust con AWS:
-
All'interno della rete della tua organizzazione, configura l'archivio identità, come Windows Active Directory, affinché funzioni con un provider di identità basato su SAML. I sistemi basati su SAML IdPs includono Active Directory Federation Services, Shibboleth e così via.
-
Utilizzando il tuo provider di identità, genera un documento di metadati che descrive l'organizzazione come un provider di identità.
-
Configura l'autenticazione SAML 2.0 attenendoti alle stesse fasi utilizzate per la AWS Management Console. Una volta completato questo processo, puoi configurare lo stato del relè in modo che corrisponda allo stato di inoltro di Amazon. QuickSight Per ulteriori informazioni, consulta Fase 5: Configurazione dello stato del relay della federazione.
-
-
Crea un QuickSight account Amazon e annota il nome da utilizzare quando configuri la policy IAM e l'IdP. Per ulteriori informazioni sulla creazione di un QuickSight account Amazon, consultaIscrizione a un QuickSight abbonamento Amazon.
Dopo aver creato la configurazione per la federazione AWS Management Console come descritto nel tutorial, puoi modificare lo stato di inoltro fornito nel tutorial. Puoi farlo con lo stato di inoltro di Amazon QuickSight, descritto nel passaggio 5 seguente.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Integrazione di fornitori di soluzioni SAML di terze parti con AWS la Guida per l'utente IAM.
-
Risoluzione dei problemi di federazione SAML 2.0 con AWS, anche nella Guida per l'utente IAM.
-
Configurazione della fiducia tra ADFS AWS e utilizzo delle credenziali di Active Directory per la connessione ad Amazon Athena con il driver ODBC
: questo articolo dettagliato è utile, anche se non è necessario configurare Athena per poterlo utilizzare. QuickSight
Passaggio 1: creare un provider SAML in AWS
Il tuo provider di identità SAML definisce l' AWS IdP della tua organizzazione a. Per farlo utilizza il documento di metadati generato precedentemente utilizzando il tuo provider di identità.
Per creare un provider SAML in AWS
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Creare un nuovo provider SAML, che è un'entità in IAM che contiene informazioni sul provider di identità della propria organizzazione. Per ulteriori informazioni, consulta Creazione di provider di identità SAML nella Guida per l'utente di IAM.
-
Come parte di questo processo, caricare il documento di metadati prodotto dal software IdP nella propria organizzazione di cui si è preso nota nella sezione precedente.
Fase 2: Configurazione delle autorizzazioni in AWS per gli utenti federati
A questo punto, devi creare un ruolo IAM che stabilisca una relazione di attendibilità tra IAM e il provider di identità della tua organizzazione. Questo ruolo identifica il tuo provider di identità come principale (entità attendibile) ai fini della federazione. Il ruolo definisce anche quali utenti autenticati dall'IdP della tua organizzazione possono accedere ad Amazon. QuickSight Per ulteriori informazioni sulla creazione di un ruolo per un gestore delle identità SAML, consulta Creazione di un ruolo per una federazione SAML 2.0 nella Guida per l'utente di IAM.
Dopo aver creato il ruolo, puoi limitare il ruolo in modo che abbia le autorizzazioni solo per Amazon QuickSight allegando una policy in linea al ruolo. Il seguente documento di policy di esempio fornisce l'accesso ad Amazon QuickSight. Questa politica consente all'utente di accedere ad Amazon QuickSight e consente loro di creare sia account autore che account lettore.
Nota
Nel seguente esempio, sostituisci <YOUR_AWS_ACCOUNT_ID> con l'ID a 12 cifre del tuo account Account AWS
(senza trattini "-").
{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Se desideri fornire l'accesso ad Amazon QuickSight e anche la possibilità di creare QuickSight amministratori, autori (utenti standard) e lettori Amazon, puoi utilizzare il seguente esempio di policy.
{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Puoi visualizzare i dettagli dell'account in. AWS Management Console
Una volta configurato SAML e la policy (o le policy) IAM, non dovrai invitare manualmente gli utenti. La prima volta che gli utenti aprono Amazon QuickSight, il provisioning viene eseguito automaticamente, utilizzando le autorizzazioni di livello più elevato previste dalla policy. Ad esempio, se dispongono delle autorizzazioni per eseguire sia quicksight:CreateUser che quicksight:CreateReader, gli utenti sono assegnati come autori. Se dispongono anche delle autorizzazioni per eseguire quicksight:CreateAdmin, gli utenti sono assegnati come amministratori. Ogni livello di autorizzazione include la possibilità di creare un utente del medesimo livello e dei livelli inferiori. Ad esempio, un autore può aggiungere altri autori o lettori.
Gli utenti invitati manualmente vengono creati nel ruolo assegnato dalla persona che li ha invitati. Non è necessario che dispongano di policy che concedano loro le autorizzazioni.
Fase 3: configurazione del provider di identità SAML
Dopo aver creato il ruolo IAM, aggiorna il tuo IdP SAML come AWS fornitore di servizi. A questo scopo, installa il file saml-metadata.xml disponibile all'indirizzo https://signin./static/saml-metadata.xml
Per aggiornare i metadati del provider di identità, consulta le istruzioni fornite dal tuo provider di identità. Alcuni provider ti offrono la possibilità di digitare l'URL, dopodiché il provider di identità ottiene e installa il file al tuo posto. Altri richiedono di scaricare il file dall'URL e quindi fornirlo come file locale.
Per ulteriori informazioni, consulta la documentazione relativa al tuo provider di identità.
Fase 4: Creazione delle asserzioni per la risposta di autenticazione SAML
Successivamente, configura le informazioni a cui l'IdP passa come attributi SAML AWS come parte della risposta di autenticazione. Per ulteriori informazioni, consultare Configurazione delle asserzioni SAML per la risposta di autenticazione nella Guida per l'utente di IAM.
Fase 5: Configurazione dello stato del relay della federazione
Infine, configura lo stato di inoltro della federazione in modo che punti all'URL dello stato di QuickSight inoltro. Una volta completata con successo l'autenticazione tramite AWS, l'utente viene indirizzato ad Amazon QuickSight, definito come lo stato di inoltro nella risposta di autenticazione SAML.
L'URL dello stato di inoltro per Amazon QuickSight è il seguente.
https://quicksight.aws.amazon.com
