翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
| 適用対象: Enterprise Edition |
| 対象者: システム管理者と Amazon QuickSight 管理者 |
注記
IAM ID フェデレーションは、ID プロバイダーグループと Amazon QuickSight の同期をサポートしていません。
Amazon QuickSight Enterprise Edition では、管理者として、新規ユーザーがアイデンティティプロバイダー (IdP) 経由で QuickSight に直接プロビジョニングする時の個人 E メールアドレスの使用を制限することができます。そうすると、QuickSight は、アカウントに新規ユーザーをプロビジョニングするときに、IdP 経由で渡された事前設定済みの E メールアドレスを使用します。例えば、ユーザーが IdP 経由で QuickSight アカウントにプロビジョニングされるときに使用される E メールアドレスを、企業が割り当てた E メールアドレスに限定することができます。
注記
ユーザーが IdP 経由で QuickSight に直接フェデレートしていることを確認してください。IdP AWS Management Console を介して にフェデレーションし、QuickSight をクリックするとエラーが発生し、QuickSight にアクセスできなくなります。
QuickSight でフェデレーティッドユーザーに対する E メール同期を設定すると、QuickSight アカウントに初めてログインするユーザーには事前に割り当てられた E メールアドレスが提供されます。これらのアドレスは、ユーザーのアカウントの登録に使用されます。この方法では、ユーザーはメールアドレスを入力することで手動でバイパスすることができる。また、管理者が指定したメールアドレスと異なるメールアドレスを使用することはできません。
QuickSight は、SAML または OpenID Connect (OIDC) 認証をサポートする IdP 経由でのプロビジョニングをサポートします。IdP 経由でのプロビジョニング時における新規ユーザー用の E メールアドレスを設定するには、新規ユーザーが AssumeRoleWithSAML または AssumeRoleWithWebIdentity で使用する IAM ロールの信頼関係を更新します。その後、新規ユーザーの IdP に SAML 属性または OIDC トークンを追加します。最後に、QuickSight でフェデレーティッドユーザーに対する E メール同期を有効にします。
以下の手順では、これらのステップが詳しく説明されています。
ステップ 1: AssumeRoleWithSAML または AssumeRoleWithWebIdentity で IAM ロールの信頼関係を更新する
ユーザーが IdP 経由で QuickSight にプロビジョニングするときに使用する E メールアドレスを設定できます。これを行うには、AssumeRoleWithSAML または AssumeRoleWithWebIdentity で使用する IAM ロールの信頼関係に sts:TagSession アクションを追加します。そうすることで、ユーザーがロールを引き受けるときに principal タグを渡すことができます。
以下は、IdP が Okta である更新済みの IAM ロールの例です。この例を使用するには、サービスプロバイダー用の Amazon リソースネーム (ARN) で Federated ARN を更新します。赤の項目は、 AWS および IdP サービス固有の情報に置き換えることができます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/Email": "*" } } } ] }
ステップ 2: IdP の IAM プリンシパルタグに SAML 属性または OIDC トークンを追加する
上記の説明どおりに IAM ロールの信頼関係を更新したら、IdP の IAM Principal タグに SAML 属性または OIDC トークンを追加します。
以下は、SAML 属性と OIDC トークンの例です。これらの例を使用するには、E メールアドレスを、ユーザーの E メールアドレスをポイントする IdP 内の変数に置き換えてください。赤色で強調表示されている項目は、独自の情報に置き換えることができます。
-
SAML 属性: 以下は、SAML 属性の例です。
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>注記
IdP として Okta を使用している場合は、SAML をするために Okta ユーザーアカウントで機能フラグをオンにするようにしてください。詳細については、Okta ブログの「Okta and AWS Partner to Simplify Access Via Session Tags
」を参照してください。 -
OIDC トークン: 以下は、OIDC トークンの例です。
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
ステップ 3: QuickSight でフェデレーティッドユーザーに対する E メール同期を有効にする
上記の説明どおり、IAM ロールの信頼関係を更新して、IdP の IAM Principal タグに SAML 属性または OIDC トークンを追加します。その後、以下の手順の説明に従って、QuickSight でフェデレーティッドユーザーに対する E メール同期を有効にします。
フェデレーティッドユーザーに対する E メール同期を有効にする
-
QuickSight の任意のページで、右上にあるユーザー名を選択してから、[QuickSight の管理] をクリックします。
-
左側のメニューで [Single sign-on (IAM フェデレーション)] をクリックします。
-
[サービスプロバイダ主導の IAM フェデレーション] ページで、[連携ユーザーの電子メール同期] で [オン] を選択します。
フェデレーティッドユーザーに対する E メール同期が有効になっている場合、QuickSight は新規ユーザーがアカウントにプロビジョニングするときに、ステップ 1 と 2 で設定した E メールアドレスを使用します。ユーザーが独自の E メールアドレスを入力することはできません。
フェデレーティッドユーザーに対する E メール同期が無効になっている場合、QuickSight は新規ユーザーがアカウントにプロビジョニングするときに、E メールアドレスの手動入力をユーザーに要求します。ユーザーは、任意の E メールアドレスを使用できます。
