Amazon QuickSight Enterprise Edition でのプロバイダー開始のフェデレーションのセットアップ - Amazon QuickSight

Amazon QuickSight Enterprise Edition でのプロバイダー開始のフェデレーションのセットアップ

 適用先: Enterprise Edition 
   対象者: システム管理者 

AWS Identity and Access Management (IAM) を使用して ID プロバイダーを設定したら、Amazon QuickSight Enterprise Edition を通じてサービスプロバイダーが開始するサインインを設定できます。QuickSight によって開始された SSO が機能するには、QuickSight が認証リクエストを IdP に送信することを許可する必要があります。QuickSight 管理者は、IdP によって提供される次の情報を追加することでこれを設定できます。

  • IdP URL — QuickSight は、認証のためにユーザーをこの URL にリダイレクトします。

  • リレーステートパラメータ — このパラメータは、ブラウザセッションが認証のためにリダイレクトされたときのステートをリレーします。IdP は、認証後にユーザーを元のステートにリダイレクトします。ステートは、URL 形式で提供されます。

以下は、ユーザー指定の Amazon QuickSight URL にユーザーをリダイレクトするための標準認証 URL とリレーステートパラメータの表です。

ID プロバイダー パラメータ 認証 URL

Auth0

RelayState

https://<sub_domain>.auth0.com/samlp/<app_id>

Google アカウント

RelayState

https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false

Microsoft Azure

RelayState

https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>

Okta

RelayState

https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml

PingFederate

TargetResource

https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>

PingOne

TargetResource

https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

QuickSight は、AWS アカウント ごとに 1 つの IdP への接続をサポートします。QuickSight の設定ページには、エントリに基づいてテスト URL が表示されるため、機能をオンにする前に設定をテストできます。プロセスをさらにシームレスにするために、QuickSightはパラメータ (enable-sso=0) を使用し、QuickSight によって開始された SSO を、必要に応じて一時的に無効にします。

QuickSight を既存の IdP の SSO を開始するサービスプロバイダーとして設定するには

  1. IdP、IAM、QuickSight で SSO がすでに設定されていることを確認します。この設定をテストするには、ダッシュボードを会社のドメイン内の他のユーザーと共有できるかどうかをチェックします。

  2. QuickSight を開き、右上のプロフィールメニューから [Manage QuickSight (QuickSight の管理)] を選択します。

    この手順を実行するには、QuickSight 管理者である必要があります。そうでない場合は、プロフィールメニューの下にある [Manage QuickSight (QuickSight の管理)] を参照できません。

  3. ナビゲーションペインで [Single Sign-On (SSO)] を選択します。

  4. [Configuration (設定)]、[IdP URL] に、IdP がユーザーを認証するために提供する URL を入力します。

  5. IdP URLに、IdP がリレーステートを提供するためのパラメータを入力します (例: RelayState)。パラメータの実際の名前は IdP によって提供されます。

  6. サインインをテストする:

    • ID プロバイダーでのサインインをテストするには、[Test starting with your IdP (IdP での開始テスト)] にあるカスタム URL を使用します。QuickSight のスタートページ (例:https://quicksight.aws.amazon.com/sn/start) が表示されます。

    • QuickSight で最初にサインインをテストするには、[Test the end-to-end experience (エンドツーエンドエクスペリエンスをテストする)] にあるカスタム URL を使用します。enable-sso パラメータが URL に追加されます。enable-sso=1 の場合、SSO は認証を試みます。

  7. 設定を保存するには [Save (保存)] を選択します。

サービスプロバイダーが開始する SSO IdP を有効にするには

  1. SSO が設定され、テストされていることを確認します。設定が不明な場合は、前の手順の URL を使用して接続をテストします。

  2. QuickSight を開き、プロフィールメニューから [Manage QuickSight (QuickSight の管理)] を選択します。

  3. ナビゲーションペインで [Single Sign-On (SSO)] を選択します。

  4. [Status (ステータス)] で、[ON (オン)] を選択します。

  5. IdP を切断し、QuickSight を開いて、SSO が動作していることを確認します。

サービスプロバイダーによって開始された SSO を無効にするには

  1. QuickSight を開き、プロフィールメニューから [Manage QuickSight (QuickSight の管理)] を選択します。

  2. ナビゲーションペインで [Single Sign-On (SSO)] を選択します。

  3. [Status (ステータス)] で、[OFF (オフ)] を選択します。