從身分提供者 (IdP) 啟動登入 - Amazon QuickSight

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從身分提供者 (IdP) 啟動登入

   適用對象:企業版和標準版 
   目標對象:系統管理員 
注意

IAM聯合身分不支援將身分識別提供者群組與 Amazon 同步 QuickSight。

在這種情況下,您的使用者會從身分提供者的入口網站啟動登入程序。驗證使用者之後,他們會登入 QuickSight。在 QuickSight 檢查他們是否獲得授權之後,您的使用者即可存取 QuickSight。

從使用者登入 IdP 開始,身分驗證即會完成下列步驟:

  1. 使用者瀏覽 https://applications.example.com 並登入 IdP。此時,使用者尚未登入服務提供者。

  2. 聯合服務和 IdP 會對使用者進行身分驗證:

    1. 聯合服務要求組織的身分存放區提供身分驗證。

    2. 身分存放區驗證該名使用者,並向聯合服務傳回驗證回應。

    3. 驗證成功時,同盟服務會將SAML宣告張貼至使用者的瀏覽器。

  3. 用戶打開 QuickSight:

    1. 用戶的瀏覽器將SAML斷言發佈到 AWS 登錄SAML端點(https://signin.aws.amazon.com/saml)。

    2. AWS 登入會接收SAML要求、處理要求、驗證使用者,以及將身份驗證權杖轉寄至 Amazon 服務。 QuickSight

  4. Amazon QuickSight 接受身份驗證令牌來自 AWS 並呈現 QuickSight 給用戶。

從使用者的觀點來看,此程序是以透明的方式進行。使用者從您組織的內部入口網站開始,並登陸 Amazon QuickSight 應用程式入口網站,而無需提供任何服務 AWS 認證。

在下圖中,您可以找到 Amazon QuickSight 和第三方身分識別提供者 (IdP) 之間的身份驗證流程。在這個例子中,管理員已經設置了一個登錄頁面來訪問 Amazon QuickSight,稱為applications.example.com。當使用者登入時,登入頁面會向符合 SAML 2.0 的同盟服務張貼要求。最終使用者從 IdP 的登入頁面啟動身分驗證。

Amazon QuickSight SAML 圖。下圖包含兩個方塊。第一個描述企業內的身分驗證程序。第二個描述了內部的身份驗證 AWS。 此程序會在表格下方的文字中說明。