IAM および QuickSight を使用した IdP フェデレーションのセットアップ - Amazon QuickSight

IAM および QuickSight を使用した IdP フェデレーションのセットアップ

   適用先: Enterprise Edition と Standard Edition 
   対象者: システム管理者 

AWS Identity and Access Management (IAM) ロールとリレーステート URL を使用して、SAML 2.0 に準拠する ID プロバイダー (IdP) を設定します。このロールは、Amazon QuickSight へのアクセス許可をユーザーに付与します。リレーステートは、AWS による認証に成功した後にユーザーが転送されるポータルです。

Prerequisites

SAML 2.0 接続を設定する前に、以下の操作を行います。

  • AWS との信頼関係を確立するように IdP を設定します。

    • 組織のネットワーク内で、Windows Active Directory などの ID ストアを SAML ベースの IdP で使用するように設定します。SAML ベースの IdP としては、Microsoft Windows Active Directory フェデレーションサービス、Shibboleth などがあります。

    • IdP を使用して、組織を ID プロバイダーとするメタデータドキュメントを生成します。

    • AWS Management Consoleの場合と同じ手順で、SAML 2.0 認証を設定します。このプロセスが完了すると、Amazon QuickSight のリレーステートに一致するようにリレー状態を設定できます。詳細については、ステップ 5: フェデレーションのリレーステートを設定するを参照してください。

  • Amazon QuickSight アカウントを作成し、IAM ポリシーと IdP を設定するときに使用する名前を記録します。Amazon QuickSight アカウントの作成の詳細については、Amazon QuickSight サブスクリプションへのサインアップ を参照してください。

チュートリアルの説明のとおり、AWS Management Console へのフェデレーションのセットアップを作成した後、チュートリアルの中で提供されているリレーステートを編集することができます。これは、以下のステップ 5 で説明した Amazon QuickSight のリレーステートで行います。

詳細については、以下のリソースを参照してください。

ステップ 1: AWS で SAML プロバイダーを作成する

SAML ID プロバイダーは AWS に対する組織の IdP を定義します。設定には、IdP を利用して以前に生成したメタデータドキュメントを使用します。

AWS で SAML プロバイダーを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 新しい SAML プロバイダーを作成します。これは、組織の ID プロバイダーに関する情報を保持する IAM のエンティティです。詳細については、IAM ユーザーガイドSAML ID プロバイダーの作成を参照してください。

  3. このプロセスの一環として、前のセクションで言及した組織の IdP ソフトウェアによって生成されたメタデータドキュメントをアップロードします。

ステップ 2: フェデレーティッドユーザーのアクセス権限を AWS で設定する

次に、IAM と組織の IdP の間の信頼関係を確立する IAM ロールを作成します。このロールは、フェデレーションの目的で IdP をプリンシパル (信頼されたエンティティ) として識別します。ロールは、組織の IdP によって認証されたどのユーザーが Amazon QuickSight へのアクセスを許可されるかを定義します。SAML IdP のロールの作成の詳細については、IAM ユーザーガイドSAML 2.0 フェデレーション用のロールの作成を参照してください。

ロールの作成後、インラインポリシーをロールにアタッチすることで、ロールのアクセス許可を Amazon QuickSight のみに制限できます。以下のサンプルポリシードキュメントは、Amazon QuickSight へのアクセスを許可しています。このポリシーは、ユーザーが Amazon QuickSight にアクセスし、作成者アカウントと閲覧者アカウントの両方を作成できるようにします。

注記

以下の例では、<YOUR_AWS_ACCOUNT_ID> を 12 桁の AWS アカウント アカウント ID (ハイフン ‘‐’ なし) に置き換えています。

{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }

Amazon QuickSight へのアクセスと、Amazon QuickSight の管理者、作成者 (スタンダードユーザー)、閲覧者の作成を許可する場合は、以下のポリシーの例を使用できます。

{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }

アカウントの詳細は AWS Management Console で表示できます。

SAML と IAM ポリシーまたはポリシーの設定後に、手動でユーザーを招待する必要はありません。ユーザーが初めて Amazon QuickSight を開くと、ポリシー内の最高レベルのアクセス許可を使用して、自動的にプロビジョニングされます。たとえば、quicksight:CreateUser​ と quicksight:CreateReader​ 両方のアクセス権限がある場合、作成者としてプロビジョニングされます。また、quicksight:CreateAdmin​ へのアクセス権限もある場合は、管理者としてプロビジョニングされます。各アクセス権限レベルでは、同レベル以下のユーザーを作成できます。たとえば、作成者は別の作成者や閲覧者を追加できます。

手動で招待されたユーザーは、招待したユーザーに割り当てられたロールで作成されます。アクセス権限を付与するポリシーは不要です。

ステップ 3: SAML IdP を設定する

IAM ロールの作成後、AWS について SAML IdP をサービスプロバイダーとして更新します。更新のために、以下から saml-metadata.xml ファイルインストールします: https://signin.aws.amazon.com/static/saml-metadata.xml

IdP メタデータを更新するには、IdP から提供される手順を参照してください。プロバイダーによっては、URL の入力を選択できる場合があります。この場合、IdP がお客様の代わりにファイルを取得してインストールします。また、URL からファイルをダウンロードし、ローカルファイルとして指定する必要があるプロバイダーもあります。

詳細については、IdP のドキュメントを参照してください。

ステップ 4: SAML 認証レスポンスのアサーションを作成する

次に、認証レスポンスの一部として IdP が SAML 属性として AWS へ渡す情報を設定します。詳細については、IAM ユーザーガイド認証レスポンスの SAML アサーションを設定するを参照してください。

ステップ 5: フェデレーションのリレーステートを設定する

最後に、フェデレーションのリレーステートを QuickSight のリレーステート URL を参照するように設定できます。AWS による認証が成功すると、ユーザーは、SAML 認証レスポンスでのリレーステートとして定義されている Amazon QuickSight に転送されます。

Amazon QuickSight のリレーステート URL は以下のようになります。

https://quicksight.aws.amazon.com