在 Amazon QuickSight 中為聯合身分使用者設定電子郵件同步 - Amazon QuickSight
步驟 1:更新 IAM 角色的信任關係步驟 2:新增 SAML 屬性或 OIDC 字符步驟 3:開啟電子郵件同步

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon QuickSight 中為聯合身分使用者設定電子郵件同步

 適用對象:企業版 
   目標對象:系統管理員和 Amazon QuickSight 管理員 
注意

IAM 聯合身分不支援將身分提供者群組與 Amazon QuickSight 同步。

在 Amazon QuickSight 企業版中,管理員可以在透過身分提供者 (IdP) 直接佈建至 QuickSight 時,限制新使用者使用個人電子郵件地址。然後,QuickSight 會在將新使用者佈建至您的帳戶時,使用透過 IdP 傳遞的預先設定的電子郵件地址。例如,您可以這樣做,當使用者透過 IdP 佈建至您的 QuickSight 帳戶時,只會使用公司指派的電子郵件地址。

注意

請確定您的使用者透過其 IdP 直接與 QuickSight 聯合。 AWS Management Console 透過其 IdP 聯合到 ,然後點擊進入 QuickSight 會導致錯誤,他們將無法存取 QuickSight。

當您在 QuickSight 中為聯合身分使用者設定電子郵件同步時,首次登入 QuickSight 帳戶的使用者會預先指派電子郵件地址。這些可用於註冊他們的帳戶。使用這種方法,使用者可以透過輸入電子郵件地址手動繞過。此外,使用者無法使用可能與您 (系統管理員) 指定的電子郵件地址不同的電子郵件地址。

QuickSight 支援透過可支援 SAML 或 OpenID Connect (OIDC) 身分驗證的 IdP 進行佈建。若要在透過 IdP 佈建時為新使用者設定電子郵件地址,您可以將其使用的 IAM 角色的信任關係更新為 AssumeRoleWithSAMLAssumeRoleWithWebIdentity。然後,您可以在其 IdP 中新增 SAML 屬性或 OIDC 字符。最後,您可以在 QuickSight 中為聯合身分使用者開啟電子郵件同步。

下列程序詳細說明了這些步驟。

步驟 1:使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任關係

您可以設定電子郵件地址,以供使用者在透過 IdP 佈建至 QuickSight 時使用。若要這樣做,請將 sts:TagSession 動作新增至與 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 搭配使用之 IAM 角色的信任關係。透過這樣做,您可以在使用者擔任該角色時傳遞 principal 標籤。

下列範例說明了更新的 IAM 角色,其中 IdP 為 Okta。若要使用此範例,請使用服務提供者的 ARN 更新 Federated Amazon Resource Name (ARN)。您可以使用 AWS 和 IdP 服務特定資訊取代紅色的項目。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

步驟 2:在 IdP 中為 IAM 主體標籤新增 SAML 屬性或 OIDC 字符

如前一節所述更新 IAM 角色的信任關係後,請在 IdP 中為 IAM Principal 標籤新增 SAML 屬性或 OIDC 字符。

下列範例說明了 SAML 屬性和 OIDC 字符。若要使用這些範例,請將電子郵件地址取代為 IdP 中指向使用者電子郵件地址的變數。您可以使用您的資訊取代以紅色反白顯示的項目。

  • SAML 屬性:下列範例說明了 SAML 屬性。

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    注意

    如果您使用 Okta 做為 IdP,請務必在您的 Okta 使用者帳戶中開啟功能標記,以使用 SAML。如需詳細資訊,請參閱 Okta 部落格上的 Okta 和透過工作階段標籤簡化存取的 AWS 合作夥伴

  • OIDC 字符:下列範例說明了 OIDC 字符範例。

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

步驟 3:在 QuickSight 中為聯合身分使用者開啟電子郵件同步

如前所述,更新 IAM 角色的信任關係,並為 IdP 中的 IAM Principal 標籤新增 SAML 屬性或 OIDC 字符。然後,可依照下列程序,在 QuickSight 中為聯合身分使用者開啟電子郵件同步。

為聯合身分使用者開啟電子郵件同步

  1. 從 QuickSight 中任何頁面,於右上方選擇您的使用者名稱,然後選擇管理 QuickSight

  2. 在左側選單中,選擇單一登入 (IAM 聯合)

  3. 服務提供者啟動的 IAM 聯合頁面上,針對聯合身分使用者的電子郵件同步,選擇開啟

    當開啟聯合身分使用者的電子郵件同步時,QuickSight 會在將新使用者佈建至您的帳戶時,使用您在步驟 1 和 2 中設定的電子郵件地址。使用者無法輸入其自己的電子郵件地址。

    當關閉聯合身分使用者的電子郵件同步時,QuickSight 會要求使用者在將新使用者佈建至您的帳戶時,手動輸入其電子郵件地址。他們可以使用任何想要的電子郵件地址。