授予聯合身分使用者的 QuickSight 存取權

當您使用聯合身分時，您可以使用外部身分提供者 (IdP) 管理使用者，在使用者登入 Amazon QuickSight 時驗證使用者。QuickSight 支援與 SAML 2.0 的聯合身分。許多外部 IdPs，例如 Okta 和 Ping，都使用此標準。您也可以使用 AWS IAM Identity Center 做為 SAML 2.0 聯合方法來存取 QuickSight 的外部 IdP。不過，我們建議本指南IAM Identity Center 整合中討論的內建服務整合，而不是聯合身分使用者方法。如果您使用 IAM Identity Center，只有在由於目前的功能限制而無法使用 IAM Identity Center 整合時，才建議採用聯合身分使用者方法。

聯合身分使用者具有單一登入 (SSO) 體驗，您可以授予 QuickSight 的存取權，而不需要為您組織中的每個人建立 AWS Identity and Access Management (IAM) 使用者或 QuickSight 本機使用者。此外，聯合會提供使用者臨時憑證，這是安全性最佳實務。如需聯合身分及其優點和使用案例的詳細資訊，請參閱 中的聯合身分 AWS。

為聯合身分使用者設定 QuickSight 存取時，您可以使用下列其中一種方法：

• 透過 IAM 和外部 IdP 設定聯合身分使用者對 QuickSight 的存取權

• 透過 IAM Identity Center 設定聯合身分使用者對 QuickSight 的存取權

這兩種方法都允許聯合身分使用者自行佈建 QuickSight 的存取權。這些方法會根據用於聯合的架構和服務而有所不同。不過，在這兩種解決方案中，聯合身分使用者接著會擔任 IAM 角色，決定他們在 QuickSight 中擁有哪些許可。

當您使用 QuickSight Enterprise Edition 時，您可以使用身分提供者中定義的電子郵件地址，強制自行佈建存取權的使用者登入 QuickSight。如需詳細資訊，請參閱聯合身分使用者的 QuickSight 電子郵件同步。