Amazon QuickSight でのフェデレーティッドユーザーに対する E メール同期の設定 - Amazon QuickSight
ステップ 1: IAM ロールの信頼関係を更新するステップ 2: SAML 属性または OIDC トークンを追加するステップ 3: E メール同期を有効にする

Amazon QuickSight でのフェデレーティッドユーザーに対する E メール同期の設定

 適用対象: Enterprise Edition 
   対象者: システム管理者と Amazon QuickSight 管理者 
注記

IAM ID フェデレーションは、ID プロバイダーグループと Amazon QuickSight の同期をサポートしていません。

Amazon QuickSight Enterprise Edition では、管理者として、新規ユーザーがアイデンティティプロバイダー (IdP) 経由で QuickSight に直接プロビジョニングする時の個人 E メールアドレスの使用を制限することができます。そうすると、QuickSight は、アカウントに新規ユーザーをプロビジョニングするときに、IdP 経由で渡された事前設定済みの E メールアドレスを使用します。例えば、ユーザーが IdP 経由で QuickSight アカウントにプロビジョニングされるときに使用される E メールアドレスを、企業が割り当てた E メールアドレスに限定することができます。

注記

ユーザーが IdP 経由で QuickSight に直接フェデレートしていることを確認してください。IdP 経由で AWS Management Console にフェデレートしてから QuickSight をクリックすると、エラーが発生し、QuickSight にアクセスできません。

QuickSight でフェデレーティッドユーザーに対する E メール同期を設定すると、QuickSight アカウントに初めてログインするユーザーには事前に割り当てられた E メールアドレスが提供されます。これらのアドレスは、ユーザーのアカウントの登録に使用されます。この方法では、ユーザーはメールアドレスを入力することで手動でバイパスすることができる。また、管理者が指定したメールアドレスと異なるメールアドレスを使用することはできません。

QuickSight は、SAML または OpenID Connect (OIDC) 認証をサポートする IdP 経由でのプロビジョニングをサポートします。IdP 経由でのプロビジョニング時における新規ユーザー用の E メールアドレスを設定するには、新規ユーザーが AssumeRoleWithSAML または AssumeRoleWithWebIdentity で使用する IAM ロールの信頼関係を更新します。その後、新規ユーザーの IdP に SAML 属性または OIDC トークンを追加します。最後に、QuickSight でフェデレーティッドユーザーに対する E メール同期を有効にします。

以下の手順では、これらのステップが詳しく説明されています。

ステップ 1: AssumeRoleWithSAML または AssumeRoleWithWebIdentity で IAM ロールの信頼関係を更新する

ユーザーが IdP 経由で QuickSight にプロビジョニングするときに使用する E メールアドレスを設定できます。これを行うには、AssumeRoleWithSAML または AssumeRoleWithWebIdentity で使用する IAM ロールの信頼関係に sts:TagSession アクションを追加します。そうすることで、ユーザーがロールを引き受けるときに principal タグを渡すことができます。

以下は、IdP が Okta である更新済みの IAM ロールの例です。この例を使用するには、サービスプロバイダー用の Amazon リソースネーム (ARN) で Federated ARN を更新します。赤色の項目は、AWS と IdP サービス固有の情報に置き換えることができます。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

ステップ 2: IdP の IAM プリンシパルタグに SAML 属性または OIDC トークンを追加する

上記の説明どおりに IAM ロールの信頼関係を更新したら、IdP の IAM Principal タグに SAML 属性または OIDC トークンを追加します。

以下は、SAML 属性と OIDC トークンの例です。これらの例を使用するには、E メールアドレスを、ユーザーの E メールアドレスをポイントする IdP 内の変数に置き換えてください。赤色で強調表示されている項目は、独自の情報に置き換えることができます。

  • SAML 属性: 以下は、SAML 属性の例です。

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    注記

    IdP として Okta を使用している場合は、SAML をするために Okta ユーザーアカウントで機能フラグをオンにするようにしてください。詳細については、Okta ブログ、Okta and AWS Partner to Simplify Access Via Session Tags を参照してください。

  • OIDC トークン: 以下は、OIDC トークンの例です。

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

ステップ 3: QuickSight でフェデレーティッドユーザーに対する E メール同期を有効にする

上記の説明どおり、IAM ロールの信頼関係を更新して、IdP の IAM Principal タグに SAML 属性または OIDC トークンを追加します。その後、以下の手順の説明に従って、QuickSight でフェデレーティッドユーザーに対する E メール同期を有効にします。

フェデレーティッドユーザーに対する E メール同期を有効にする

  1. QuickSight の任意のページで、右上にあるユーザー名を選択してから、[QuickSight の管理] をクリックします。

  2. 左側のメニューで [Single sign-on (IAM フェデレーション)] をクリックします。

  3. [サービスプロバイダ主導の IAM フェデレーション] ページで、[連携ユーザーの電子メール同期][オン] を選択します。

    フェデレーティッドユーザーに対する E メール同期が有効になっている場合、QuickSight は新規ユーザーがアカウントにプロビジョニングするときに、ステップ 1 と 2 で設定した E メールアドレスを使用します。ユーザーが独自の E メールアドレスを入力することはできません。

    フェデレーティッドユーザーに対する E メール同期が無効になっている場合、QuickSight は新規ユーザーがアカウントにプロビジョニングするときに、E メールアドレスの手動入力をユーザーに要求します。ユーザーは、任意の E メールアドレスを使用できます。