ID プロバイダー (IdP) からのサインオンの開始 - Amazon QuickSight

ID プロバイダー (IdP) からのサインオンの開始

   適用先: Enterprise Edition と Standard Edition 
   対象者: システム管理者 

このシナリオでは、ユーザーは ID プロバイダーのポータルからサインオンプロセスを開始します。ユーザーが認証されると、ユーザーは QuickSight にサインインします。QuickSight がユーザー認証をチェックした後、ユーザーは QuickSight にアクセスできます。

ユーザーが IdP にサインインしてから、認証で次のステップを実行します。

  1. ユーザーは https://applications.example.com をブラウジングし、IdP にサインオンします。この時点では、ユーザーはサービスプロバイダーにサインインしていません。

  2. フェデレーションサービスと IdP がユーザーを認証します。

    1. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

    2. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

    3. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。

  3. ユーザーが QuickSight を開きます。

    1. ユーザーのブラウザが AWS サインイン SAML エンドポイント (https://signin.aws.amazon.com/saml) に SAML アサーションを送信します。

    2. AWS サインインが SAML リクエストを受け取り、リクエストを処理してユーザーを認証し、認証トークンを Amazon QuickSight サービスに転送します。

  4. Amazon QuickSight は AWS からの認証トークンを承認し、QuickSight をユーザーに提供します。

ユーザーの立場では、このプロセスを意識することはありません。ユーザーは組織の社内ポータルから開始し、AWS 認証情報を求められることなく、Amazon QuickSight アプリケーションポータルにアクセスできます。

以下の図は、Amazon QuickSight とサードパーティー ID プロバイダー (IdP) との間の認証フローを示しています。この例では、管理者が Amazon QuickSight へアクセスするためのサインインページ (applications.example.com) をセットアップしています。ユーザーがサインインすると、サインインページは、SAML 2.0 に準拠したフェデレーションサービスにリクエストを投稿します。エンドユーザーは IdP のサインオンページから認証を開始します。


                    Amazon QuickSight SAML の図表 この図には、2 つの囲みがあります。1 つ目の囲みは、エンタープライズ内の認証プロセスを示しています。2 つ目の囲みは、AWS 内の認証を示しています。プロセスについては、このテーブルに続くテキストで説明しています。