翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM と を使用した IdP フェデレーションの設定 QuickSight
| 適用先: Enterprise Edition と Standard Edition |
| 対象者: システム管理者 |
注記
IAM ID フェデレーションは、ID プロバイダーグループと Amazon との同期をサポートしていません QuickSight。
AWS Identity and Access Management (IAM) ロールとリレーステートを使用してURL、 2.0 に準拠する ID プロバイダー (IdP ) SAML を設定できます。このロールは、Amazon にアクセスするためのアクセス許可をユーザーに付与します QuickSight。リレーステートは、 による認証が成功した後、ユーザーが転送されるポータルです AWS。
トピック
前提条件
2.0 SAML 接続を設定する前に、次の操作を行います。
-
との信頼関係を確立するように IdP を設定しますAWS。
-
組織のネットワーク内で、Windows Active Directory などの ID ストアを SAMLベースの IdP と連携するように設定してください。SAMLベースの IdPs には、Active Directory フェデレーションサービス、Shibboleth などが含まれます。
-
IdP を使用して、組織を ID プロバイダーとするメタデータドキュメントを生成します。
-
SAML と同じ手順で 2.0 認証を設定します AWS Management Console。このプロセスが完了したら、Amazon のリレーステートと一致するようにリレーステートを設定できます QuickSight。詳細については、「ステップ 5: フェデレーションのリレーステートを設定する」を参照してください。
-
-
Amazon QuickSight アカウントを作成し、IAMポリシーと IdP を設定するときに使用する名前を書き留めます。Amazon QuickSight アカウントの作成の詳細については、「」を参照してくださいAmazon QuickSight サブスクリプションにサインアップする。
チュートリアルで説明 AWS Management Console されているように にフェデレーションするセットアップを作成したら、チュートリアルで提供されているリレーステートを編集できます。これは、以下のステップ 5 で QuickSight説明されている Amazon のリレーステートで行います。
詳細については、以下のリソースを参照してください。
-
ユーザーガイドの「サードパーティーSAMLソリューションプロバイダーと の統合 AWS」。 IAM
-
ユーザーガイド SAML の「 を使用した 2.0 フェデレーションのトラブルシューティング AWSIAM」も参照してください。
-
ADFS AWS と 間の信頼関係を設定し、Active Directory 認証情報を使用してODBCドライバーで Amazon Athena に接続する
– このチュートリアル記事は、 を使用するために Athena を設定する必要はありませんが、役に立ちます QuickSight。
ステップ 1: でSAMLプロバイダーを作成する AWS
SAML ID プロバイダーは、組織の IdP を に定義します AWS。設定には、IdP を利用して以前に生成したメタデータドキュメントを使用します。
でSAMLプロバイダーを作成するには AWS
にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/
。 -
組織の ID SAMLプロバイダーに関する情報IAMを保持する のエンティティである新しいプロバイダーを作成します。詳細については、「 IAMユーザーガイド」のSAML「 ID プロバイダーの作成」を参照してください。
-
このプロセスの一環として、前のセクションで言及した組織の IdP ソフトウェアによって生成されたメタデータドキュメントをアップロードします。
ステップ 2: フェデレーティッドユーザーのために AWS 内の許可を設定する
次に、 IAM と組織の IdP の間に信頼関係を確立する IAMロールを作成します。このロールは、フェデレーションの目的で IdP をプリンシパル (信頼されたエンティティ) として識別します。このロールは、組織の IdP によって認証されたユーザーが Amazon にアクセスすることを許可されるユーザーも定義します QuickSight。IdP のロールの作成の詳細については、SAML「 IAMユーザーガイド」のSAML「2.0 フェデレーション用のロールの作成」を参照してください。
ロールを作成したら、インラインポリシーをロールにアタッチすることで、ロールのアクセス許可を Amazon QuickSight のみに制限できます。次のポリシードキュメントのサンプルは、Amazon へのアクセスを提供します QuickSight。このポリシーは、ユーザーが Amazon にアクセスすることを許可 QuickSight し、作成者アカウントと閲覧者アカウントの両方を作成できるようにします。
注記
次の例では、<YOUR_AWS_ACCOUNT_ID> 12 桁の AWS アカウント ID (ハイフン「‐」なし)。
{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Amazon へのアクセスを提供し QuickSight 、Amazon QuickSight 管理者、作成者 (標準ユーザー)、および閲覧者を作成する機能を提供する場合は、次のポリシー例を使用できます。
{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
アカウントの詳細は、 で確認できます AWS Management Console。
SAML とIAMポリシーを設定したら、ユーザーを手動で招待する必要はありません。ユーザーが Amazon を初めて開くと QuickSight、ポリシーの最上位のアクセス許可を使用して自動的にプロビジョニングされます。たとえば、quicksight:CreateUser と quicksight:CreateReader 両方のアクセス権限がある場合、作成者としてプロビジョニングされます。また、quicksight:CreateAdmin へのアクセス権限もある場合は、管理者としてプロビジョニングされます。各アクセス権限レベルでは、同レベル以下のユーザーを作成できます。たとえば、作成者は別の作成者や閲覧者を追加できます。
手動で招待されたユーザーは、招待したユーザーに割り当てられたロールで作成されます。アクセス権限を付与するポリシーは不要です。
ステップ 3: IdP SAML を設定する
IAM ロールを作成したら、サービスプロバイダー AWS として SAML IdP about を更新します。そのためには、https://signin.aws.amazon.com/static/saml-metadata.xml saml-metadata.xml ファイルをインストールします。
IdP メタデータを更新するには、IdP から提供される手順を参照してください。一部のプロバイダーでは、 を入力するオプションがありURL、その後 IdP が ファイルを取得してインストールします。それ以外の場合は、 からファイルをダウンロードしURL、ローカルファイルとして指定する必要があります。
詳細については、IdP のドキュメントを参照してください。
ステップ 4: SAML認証レスポンスのアサーションを作成する
次に、認証レスポンスの一部として IdP がSAML属性 AWS として渡す情報を設定します。詳細については、「 IAMユーザーガイド」の「認証レスポンスのSAMLアサーションの設定」を参照してください。
ステップ 5: フェデレーションのリレーステートを設定する
最後に、フェデレーションのリレーステートをリレーステート を指す QuickSightように設定しますURL。による認証が成功すると AWS、ユーザーは Amazon に誘導され QuickSight、SAML認証レスポンスでリレーステートとして定義されます。
Amazon URLのリレーステート QuickSight は次のとおりです。
https://quicksight.aws.amazon.com
