Amazon의 페더레이션 사용자를 위한 이메일 동기화 구성 QuickSight

적용 대상: Enterprise Edition

대상: 시스템 관리자 및 Amazon QuickSight 관리자

참고

IAMID 페더레이션은 QuickSight Amazon과의 ID 공급자 그룹 동기화를 지원하지 않습니다.

Amazon QuickSight Enterprise 에디션에서 관리자는 새 사용자가 ID 공급자 (IdP) 를 통해 직접 프로비저닝할 때 개인 이메일 주소를 사용하지 못하도록 제한할 수 있습니다. QuickSight QuickSight 그런 다음 계정에 새 사용자를 프로비전할 때 IdP를 통해 전달된 사전 구성된 이메일 주소를 사용합니다. 예를 들어 사용자가 IdP를 통해 계정에 QuickSight 프로비저닝될 때 회사에서 할당한 이메일 주소만 사용하도록 설정할 수 있습니다.

참고

사용자가 IdP를 QuickSight 통해 직접 페더레이션하고 있는지 확인하세요. IdP를 AWS Management Console 통해 페더레이션한 다음 클릭하면 오류가 발생하고 액세스할 수 없게 QuickSight 됩니다. QuickSight

에서 QuickSight 페더레이션된 사용자를 위한 이메일 동기화를 구성하면 QuickSight 계정에 처음 로그인하는 사용자에게 미리 할당된 이메일 주소가 있습니다. 이 정보는 계정을 등록하는 데 사용됩니다. 이 방법을 사용하면 사용자가 이메일 주소를 입력하여 수동으로 우회할 수 있습니다. 또한 관리자가 지정한 이메일 주소와 다를 수 있는 이메일 주소를 사용자는 사용할 수 없습니다.

QuickSight OpenID Connect OIDC () 인증을 지원하는 SAML IdP를 통한 프로비저닝을 지원합니다. IdP를 통해 프로비저닝할 때 새 사용자의 이메일 주소를 구성하려면 해당 사용자가 또는 와 함께 사용하는 AssumeRoleWithSAML 역할에 대한 IAM 신뢰 관계를 업데이트해야 합니다. AssumeRoleWithWebIdentity 그런 다음 IdP에 SAML 속성 또는 OIDC 토큰을 추가합니다. 마지막으로, 에서 페더레이션 사용자에 대한 이메일 동기화를 활성화합니다. QuickSight

다음 절차에서는 이 단계를 자세히 설명합니다.

1단계: 또는 를 사용하여 IAM 역할에 대한 신뢰 관계 업데이트 AssumeRoleWithSAMLAssumeRoleWithWebIdentity

QuickSightIdP를 통해 프로비저닝할 때 사용자가 사용할 이메일 주소를 구성할 수 있습니다. 이렇게 하려면 또는 와 함께 AssumeRoleWithSAML 사용하는 IAM 역할의 신뢰 관계에 sts:TagSession 작업을 추가하세요. AssumeRoleWithWebIdentity 이렇게 하면 사용자가 역할을 수임할 때 principal 태그를 전달할 수 있습니다.

다음 예는 IdP가 Okta인 업데이트된 IAM 역할을 보여줍니다. 이 예제를 사용하려면 Federated Amazon 리소스 이름 (ARN) 을 서비스 ARN 공급자용 으로 업데이트하십시오. 빨간색 항목은 사용자 AWS 및 IdP 서비스별 정보로 바꿀 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

2단계: IdP에 IAM 주 태그의 SAML 속성 또는 OIDC 토큰 추가

이전 섹션에 설명된 대로 IAM 역할에 대한 신뢰 관계를 업데이트한 후 IdP에 IAM Principal 태그의 SAML 속성 또는 OIDC 토큰을 추가합니다.

다음 예는 SAML 속성과 토큰을 보여줍니다. OIDC 이 예제를 사용하려면 이메일 주소를 사용자의 이메일 주소를 가리키는 IdP의 변수로 바꾸십시오. 빨간색으로 강조 표시된 항목을 사용자 정보로 바꿀 수 있습니다.

• SAML속성: 다음 예제는 SAML 속성을 보여줍니다.

  <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>

  참고

  Okta를 IdP로 사용하는 경우 사용하려면 Okta 사용자 계정에서 기능 플래그를 켜야 합니다. SAML 자세한 내용은 Okta 블로그에서 세션 태그를 통한 액세스 단순화를 위한 Okta와 AWS 파트너를 참조하십시오.

• OIDC토큰: 다음 예제는 OIDC 토큰 예제를 보여줍니다.

  "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

3단계: 에서 페더레이션 사용자에 대한 이메일 동기화 켜기 QuickSight

앞서 설명한 대로 IAM 역할의 신뢰 관계를 업데이트하고 IdP에 IAM Principal 태그의 SAML 속성 또는 OIDC 토큰을 추가합니다. 그런 다음 다음 절차에 설명된 QuickSight 대로 페더레이션 사용자에 대한 이메일 동기화를 켜십시오.

페더레이션 사용자를 위한 이메일 동기화 켜기

1. 내 아무 페이지에서나 QuickSight 오른쪽 상단의 사용자 이름을 선택한 다음 관리를 선택합니다. QuickSight

2. 왼쪽 메뉴에서 싱글 사인온 (IAM페더레이션) 을 선택합니다.

3. 서비스 제공자가 시작한 IAM 페더레이션 페이지에서 페더레이션 사용자를 위한 이메일 동기화에 대해 ON을 선택합니다.

   페더레이션 사용자를 위한 이메일 동기화가 켜져 있는 경우, 계정에 새 사용자를 프로비전할 때 1단계와 2단계에서 구성한 이메일 주소를 QuickSight 사용합니다. 사용자는 자신의 이메일 주소를 입력할 수 없습니다.

   연동 사용자에 대한 이메일 동기화를 끄면 계정에 새 사용자를 프로비저닝할 때 이메일 주소를 수동으로 입력하도록 사용자에게 QuickSight 요청합니다. 사용자는 원하는 모든 이메일 주소를 사용할 수 있습니다.