Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione della sincronizzazione delle e-mail per gli utenti federati in Amazon QuickSight
| Si applica a: Enterprise Edition |
| Destinatari: amministratori di sistema e amministratori di Amazon QuickSight |
Nota
IAMla federazione delle identità non supporta la sincronizzazione dei gruppi di provider di identità con Amazon QuickSight.
Nell'edizione Amazon QuickSight Enterprise, in qualità di amministratore puoi impedire ai nuovi utenti di utilizzare indirizzi e-mail personali quando effettuano il provisioning tramite il loro provider di identità (IdP) direttamente a. QuickSight QuickSight utilizza quindi gli indirizzi e-mail preconfigurati trasmessi tramite l'IdP per fornire nuovi utenti al tuo account. Ad esempio, puoi fare in modo che vengano utilizzati solo gli indirizzi e-mail assegnati dall'azienda quando gli utenti ricevono il provisioning del tuo account QuickSight tramite il tuo IdP.
Nota
Assicurati che i tuoi utenti effettuino la federazione direttamente QuickSight tramite il loro IdP. La federazione AWS Management Console tramite il loro IdP e il successivo clic su di QuickSight esso generano un errore e non saranno in grado di accedere. QuickSight
Quando configuri la sincronizzazione delle e-mail per gli utenti federati in QuickSight, gli utenti che accedono al tuo QuickSight account per la prima volta hanno indirizzi e-mail preassegnati. Questi vengono utilizzati per registrare gli account. Con questo approccio, gli utenti possono bypassare manualmente inserendo un indirizzo e-mail. Inoltre, gli utenti non possono utilizzare un indirizzo e-mail che potrebbe essere diverso dall'indirizzo e-mail prescritto dall'amministratore.
QuickSight supporta il provisioning tramite un IdP che SAML supporta l'autenticazione OpenID Connect OIDC (). Per configurare gli indirizzi e-mail per i nuovi utenti durante il provisioning tramite un IdP, si aggiorna la relazione di trust per IAM il ruolo che utilizzano AssumeRoleWithSAML con o. AssumeRoleWithWebIdentity Quindi aggiungi un SAML attributo o un OIDC token nel loro IdP. Infine, attivi la sincronizzazione delle e-mail per gli utenti federati in. QuickSight
La seguente procedura descrive in modo più dettagliato questi passaggi.
Passaggio 1: aggiorna la relazione di fiducia per il IAM ruolo con o AssumeRoleWithSAMLAssumeRoleWithWebIdentity
Puoi configurare gli indirizzi e-mail che i tuoi utenti utilizzeranno durante il provisioning tramite il tuo QuickSight IdP to. A tale scopo, aggiungi l'sts:TagSessionazione alla relazione di fiducia per il IAM ruolo che utilizzi con AssumeRoleWithSAML o. AssumeRoleWithWebIdentity In questo modo, puoi passare i tag principal quando gli utenti assumono il ruolo.
L'esempio seguente illustra un IAM ruolo aggiornato in cui l'IdP è Okta. Per utilizzare questo esempio, aggiorna Federated Amazon Resource Name (ARN) con il nome ARN per il tuo fornitore di servizi. Puoi sostituire gli articoli in rosso con informazioni specifiche relative al tuo servizio AWS e all'IdP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/Email": "*" } } } ] }
Passaggio 2: aggiungi un SAML attributo o un OIDC token per il tag IAM principale nel tuo IdP
Dopo aver aggiornato la relazione di trust per il IAM ruolo come descritto nella sezione precedente, aggiungi un SAML attributo o un OIDC token per il IAM Principal tag nel tuo IdP.
Gli esempi seguenti illustrano un SAML attributo e un token. OIDC Per utilizzare questi esempi, sostituisci l'indirizzo e-mail con una variabile nel tuo IdP che punti all'indirizzo e-mail di un utente. Puoi sostituire gli elementi evidenziati in rosso con le tue informazioni.
-
SAMLattributo: L'esempio seguente illustra un SAML attributo.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>Nota
Se utilizzi Okta come IdP, assicurati di attivare un flag di funzionalità nel tuo account utente Okta da utilizzare. SAML Per ulteriori informazioni, consulta Okta and AWS Partner to Simplify Access Via Session Tags
sul blog di Okta. -
OIDCtoken: L'esempio seguente illustra un OIDC esempio di token.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Passaggio 3: Attiva la sincronizzazione delle e-mail per gli utenti federati in QuickSight
Come descritto in precedenza, aggiorna la relazione di trust per il IAM ruolo e aggiungi un SAML attributo o un OIDC token per il IAM Principal tag nel tuo IdP. Quindi attiva la sincronizzazione delle e-mail per gli utenti federati QuickSight come descritto nella procedura seguente.
Sincronizzazione delle e-mail per gli utenti federati
-
Da qualsiasi pagina QuickSight, scegli il tuo nome utente in alto a destra, quindi scegli Gestisci. QuickSight
-
Scegli Single sign-on (IAMfederazione) nel menu a sinistra.
-
Nella pagina Service Provider Initiated IAM Federation, per Sincronizzazione e-mail per utenti federati, scegli ON.
Quando la sincronizzazione delle e-mail per gli utenti federati è attiva, QuickSight utilizza gli indirizzi e-mail configurati nei passaggi 1 e 2 per fornire nuovi utenti al tuo account. Gli utenti non possono inserire i propri indirizzi e-mail.
Quando la sincronizzazione delle e-mail per gli utenti federati è disattivata, QuickSight chiede agli utenti di inserire manualmente il proprio indirizzo e-mail durante l'assegnazione di nuovi utenti al tuo account. Possono utilizzare tutti gli indirizzi e-mail che desiderano.
