Amazon Enterprise エディションによるサービスプロバイダー主導のフェデレーションの設定 QuickSight - Amazon QuickSight

重要:Amazon QuickSight 分析ワークスペースを再設計しました。コンソールの新しい外観を反映していないスクリーンショットや手順のテキストが表示される場合があります。 QuickSight 現在、スクリーンショットと手順のテキストを更新しています。

機能または項目を検索するには、クイック検索バーを使用します。

QuickSightの新しい外観について詳しくは、「Amazon での新しい分析機能の紹介」を参照してください QuickSight。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Enterprise エディションによるサービスプロバイダー主導のフェデレーションの設定 QuickSight

 適用先: Enterprise Edition 
   対象者: システム管理者 
注記

IAM ID フェデレーションは、ID プロバイダーグループと Amazon の同期をサポートしていません。 QuickSight

AWS Identity and Access Management (IAM) を使用して ID プロバイダを設定し終えたら、Amazon Enterprise Edition を通じてサービスプロバイダ主導のサインインを設定できます。 QuickSight QuickSight-initiated IAM フェデレーションが機能するためには、認証リクエストを IdP QuickSight に送信することを承認する必要があります。 QuickSight 管理者は IdP から提供された以下の情報を追加することでこれを設定できます。

  • IdP URL — 認証のためにユーザーをこの URL QuickSight にリダイレクトします。

  • リレーステートパラメータ — このパラメータは、ブラウザセッションが認証のためにリダイレクトされたときのステートをリレーします。IdP は、認証後にユーザーを元のステートにリダイレクトします。ステートは URL として提供されます。

次の表は、指定した Amazon URL にユーザーをリダイレクトするための標準認証 QuickSight URL とリレーステートパラメータを示しています。

ID プロバイダー パラメータ 認証 URL

Auth0

RelayState

https://<sub_domain>.auth0.com/samlp/<app_id>

Google アカウント

RelayState

https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false

Microsoft Azure

RelayState

https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>

Okta

RelayState

https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml

PingFederate

TargetResource

https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>

PingOne

TargetResource

https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

QuickSight 1 台につき AWS アカウント 1 つの IdP への接続をサポートします。 QuickSight の設定ページには、入力内容に基づいたテスト URL が表示されるため、機能を有効にする前に設定をテストできます。プロセスをさらにシームレスにするために、 QuickSight QuickSight 開始した IAM フェデレーションを一時的に無効にする必要がある場合に備えて、一時的にオフにするパラメーター (enable-sso=0) を用意しています。

既存の QuickSight IdP の IAM フェデレーションを開始できるサービスプロバイダーとして設定するには

  1. IdP、IAM、およびに IAM フェデレーションが既に設定されていることを確認します。 QuickSightこの設定をテストするには、ダッシュボードを会社のドメイン内の他のユーザーと共有できるかどうかをチェックします。

  2. を開き QuickSight、右上のプロファイルメニューから [管理 QuickSight] を選択します。

    この手順を実行するには、 QuickSight 管理者である必要があります。そうでない場合は、プロフィールメニューに QuickSight [管理] が表示されません。

  3. ナビゲーションペインで [Single Sign-On (IAM フェデレーション)] を選択します。

  4. [Configuration (設定)]、[IdP URL] に、IdP がユーザーを認証するために提供する URL を入力します。

  5. IdP URLに、IdP がリレーステートを提供するためのパラメータを入力します (例: RelayState)。パラメータの実際の名前は IdP によって提供されます。

  6. サインインをテストする:

    • ID プロバイダーでのサインインをテストするには、[Test starting with your IdP (IdP での開始テスト)] にあるカスタム URL を使用します。たとえば https://quicksight.aws.amazon.com/sn/start のスタートページが表示されるはずです。 QuickSight

    • QuickSight first でのログインをテストするには、「 end-to-endエクスペリエンスのテスト」に記載されているカスタム URL を使用してください。enable-sso パラメータが URL に追加されます。もしenable-sso=1 なら、IAM フェデレーションが認証を試みます。

  7. 設定を保存するには [Save (保存)] を選択します。

サービスプロバイダーが開始する IAM フェデレーション IdP を有効にするには

  1. IAM フェデレーションが設定され、テストされていることを確認します。設定が不明な場合は、前の手順の URL を使用して接続をテストします。

  2. を開き QuickSight、 QuickSightプロフィールメニューから「管理」を選択します。

  3. ナビゲーションペインで [Single Sign-On (IAM フェデレーション)] を選択します。

  4. [Status (ステータス)] で、[ON (オン)] を選択します。

  5. IdP との接続を切断して開き、動作していることを確認します。 QuickSight

サービスプロバイダーによって開始された IAM フェデレーションを無効にするには

  1. を開き QuickSight、プロファイルメニューから [管理 QuickSight] を選択します。

  2. ナビゲーションペインで [Single Sign-On (IAM フェデレーション)] を選択します。

  3. [Status (ステータス)] で、[OFF (オフ)] を選択します。