本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
從身分提供者 (IdP) 啟動登入
適用對象:企業版和標準版 |
目標對象:系統管理員 |
注意
IAM聯合身分不支援將身分識別提供者群組與 Amazon 同步 QuickSight。
在這種情況下,您的使用者會從身分提供者的入口網站啟動登入程序。驗證使用者之後,他們會登入 QuickSight。在 QuickSight 檢查他們是否獲得授權之後,您的使用者即可存取 QuickSight。
從使用者登入 IdP 開始,身分驗證即會完成下列步驟:
-
使用者瀏覽
https://applications.example.com
並登入 IdP。此時,使用者尚未登入服務提供者。 -
聯合服務和 IdP 會對使用者進行身分驗證:
-
聯合服務要求組織的身分存放區提供身分驗證。
-
身分存放區驗證該名使用者,並向聯合服務傳回驗證回應。
-
驗證成功時,同盟服務會將SAML宣告張貼至使用者的瀏覽器。
-
-
用戶打開 QuickSight:
-
用戶的瀏覽器將SAML斷言發佈到 AWS 登錄SAML端點(
https://signin.aws.amazon.com/saml
)。 -
AWS 登入會接收SAML要求、處理要求、驗證使用者,以及將身份驗證權杖轉寄至 Amazon 服務。 QuickSight
-
-
Amazon QuickSight 接受身份驗證令牌來自 AWS 並呈現 QuickSight 給用戶。
從使用者的觀點來看,此程序是以透明的方式進行。使用者從您組織的內部入口網站開始,並登陸 Amazon QuickSight 應用程式入口網站,而無需提供任何服務 AWS 認證。
在下圖中,您可以找到 Amazon QuickSight 和第三方身分識別提供者 (IdP) 之間的身份驗證流程。在這個例子中,管理員已經設置了一個登錄頁面來訪問 Amazon QuickSight,稱為applications.example.com
。當使用者登入時,登入頁面會向符合 SAML 2.0 的同盟服務張貼要求。最終使用者從 IdP 的登入頁面啟動身分驗證。