Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorial: Amazon Quick und IAM-Identitätsverbund
| |
| --- |
| Gilt für: Enterprise Edition und Standard Edition |
| |
| --- |
| Zielgruppe: Amazon Quick-Administratoren und Amazon Quick-Entwickler |
**Anmerkung**
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick nicht.
Im folgenden Tutorial finden Sie eine Anleitung zur Einrichtung von IdP Okta als Verbunddienst für Amazon Quick. Dieses Tutorial zeigt zwar die Integration von AWS Identity and Access Management (IAM) und Okta, Sie können diese Lösung jedoch auch mit SAML 2.0 Ihrer Wahl replizieren. IdPs
Im folgenden Verfahren erstellen Sie eine App im Okta IdP mithilfe der Verknüpfung „AWS Account Federation“. Okta beschreibt diese Integrations-App wie folgt:
„Durch die Zusammenführung von Okta mit Amazon Web Services (AWS) Identity and Access Management (IAM) -Konten erhalten Endbenutzer mit ihren Okta-Anmeldeinformationen Single-Sign-On-Zugriff auf alle ihnen zugewiesenen AWS Rollen. In jedem Fall richten Administratoren einen Verbund ein und konfigurieren AWS Rollen so AWS-Konto, dass sie Okta vertrauen. Wenn sich Benutzer anmelden, erhalten sie die Möglichkeit AWS, sich mit Okta Single Sign-In anzumelden, sodass sie die ihnen zugewiesenen Rollen einsehen können. AWS Sie können dann eine gewünschte Rolle auswählen, die ihre Berechtigungen für die Dauer ihrer authentifizierten Sitzung definiert. Kunden mit einer großen Anzahl von AWS Konten sollten sich die AWS Single Sign-On-App als Alternative ansehen.“ () https://www.okta.com/aws/
**Um eine Okta-App mithilfe der Anwendungsverknüpfung „AWS Account Federation“ von Okta zu erstellen**
1. Melden Sie sich in Ihrem Okta-Dashboard an. Wenn Sie noch kein Konto haben, erstellen Sie ein kostenloses Okta Developer Edition-Konto, indem Sie [diese URL der Marke Amazon Quick](https://developer.okta.com/quickstart/) verwenden. Wenn Sie Ihre E-Mail-Adresse aktiviert haben, melden Sie sich bei Okta an.
1. Wählen Sie auf der Okta-Website oben links **<> Entwicklerkonsole** und dann **Classic UI** aus.
1. Wählen Sie **Anwendungen hinzufügen** und dann **App hinzufügen**.
1. Geben Sie **aws** für **Suche** ein und wählen Sie in den Suchergebnissen **AWS -Kontoverbund** aus.
1. Wählen Sie **Hinzufügen**, um eine Instance dieser Anwendung zu erstellen.
1. Geben Sie unter **Anwendungsbeschreibung** **AWS Account Federation - Amazon Quick** ein.
1. Wählen Sie **Weiter** aus.
1. Geben Sie für **SAML 2.0**, **Standardmäßiger Relay-Status**, **https://quicksight.aws.amazon.com** ein.
1. Öffnen Sie das Kontextmenü (rechte Maustaste) für **Identitätsanbieter-Metadaten** und wählen Sie die Option zum Speichern der Datei. Benennen Sie die Datei `metadata.xml`. Sie benötigen diese Datei für die nächsten Schritte.
Der Inhalt der Datei ähnelt dem folgenden Beispiel.
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Nachdem Sie die XML-Datei gespeichert haben, scrollen Sie zum Ende der Okta-Seite und wählen Sie **Fertig**.
1. Lassen Sie dieses Browserfenster nach Möglichkeit geöffnet. Sie benötigen es zu einem späteren Zeitpunkt in diesem Tutorial.
Als Nächstes erstellen Sie einen Identitätsanbieter in Ihrem AWS-Konto.
**Um einen SAML-Anbieter in (IAM) zu erstellen AWS Identity and Access Management**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Identitätsanbieter** und dann **Anbieter auswählen** aus.
1. Geben Sie die folgenden Einstellungen ein:
+ **Anbietertyp** – Wählen Sie **SAML** aus der Liste aus.
+ **Anbietername** – Geben Sie **Okta** ein.
+ **Metadaten-Dokument** – Laden Sie die XML-Datei `manifest.xml` aus dem vorherigen Verfahren hoch.
1. Wählen Sie **Nächster Schritt** und **Erstellen** aus.
1. Suchen Sie den Identitätsanbieter, den Sie erstellt haben, und wählen Sie ihn aus, um die Einstellungen anzuzeigen. Notieren Sie sich den **Anbieter-ARN**. Sie benötigen dies, um das Tutorial zu beenden.
1. Stellen Sie sicher, dass der Identitätsanbieter mit Ihren Einstellungen erstellt wurde. Wählen Sie in IAM **Identitätsanbieter**, **Okta** (der von Ihnen hinzugefügte Identitätsanbiete) und **Metadaten herunterladen** aus. Bei der Datei sollte es sich um die Datei handeln, die Sie kürzlich hochgeladen haben.
Als Nächstes erstellen Sie eine IAM-Rolle, damit der SAML 2.0-Verbund als vertrauenswürdige Entität in Ihrem agieren kann. AWS-Konto Für diesen Schritt müssen Sie auswählen, wie Sie Benutzer in Amazon Quick bereitstellen möchten. Sie können einen der folgenden Schritte ausführen:
+ Erteilen Sie der IAM-Rolle die Berechtigung, sodass Erstbesucher automatisch zu Amazon Quick-Benutzern werden.
**So erstellen Sie eine IAM-Rolle für einen SAML-2.0-Verbund als vertrauenswürdige Entität**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Roles (Rollen)** und **Create Role (Rolle erstellen)** aus.
1. Wählen Sie für **Typ der vertrauenswürdigen Entität auswählen** die Karte mit der Bezeichnung **SAML-2.0-Verbund** aus.
1. Wählen Sie für **SAML-Anbieter** den Identitätsanbieter aus, den Sie im vorherigen Vorgang erstellt haben, z. B. `Okta`.
1. Aktivieren Sie die Option **Programmatischen Zugriff und Zugriff auf die AWS -Managementkonsole zulassen**.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Fügen Sie die folgende Richtlinie in den Editor ein.
Aktualisieren Sie den JSON im Richtlinien-Editor mit dem Amazon-Ressourcenname (ARN) Ihres Anbieters.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** den Namen **QuicksightOktaFederatedPolicy** ein und wählen Sie dann **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie ein zweites Mal **Richtlinie erstellen**, **JSON** aus.
1. Fügen Sie die folgende Richtlinie in den Editor ein.
Aktualisieren Sie im Policy-Editor die JSON-Datei mit Ihrer AWS-Konto ID. Es sollte dieselbe Konto-ID sein, die Sie in der vorherigen Richtlinie im Anbieter-ARN verwendet haben.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
Sie können den AWS-Region Namen im ARN weglassen, wie im Folgenden gezeigt.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** den Namen **QuicksightCreateReader** ein und wählen Sie dann **Create policy (Richtlinie erstellen)** aus.
1. Aktualisieren Sie die Liste der Richtlinien, indem Sie das Aktualisierungssymbol auf der rechten Seite auswählen.
1. Geben Sie für **Suche** **QuicksightOktaFederatedPolicy** ein. Wählen Sie die Richtlinie aus, um sie zu aktivieren (![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/checkbox-on.png)).
Wenn Sie die automatische Bereitstellung nicht verwenden möchten, können Sie den folgenden Schritt überspringen.
Um einen Amazon Quick-Benutzer hinzuzufügen, verwenden Sie [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Um eine Amazon Quick-Gruppe hinzuzufügen, verwenden Sie [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Um Benutzer zur Amazon Quick-Gruppe hinzuzufügen, verwenden Sie [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Optional) Geben Sie für **Suche** **QuicksightCreateReader** ein. Wählen Sie die Richtlinie aus, um sie zu aktivieren (![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/checkbox-on.png)).
Führen Sie diesen Schritt aus, wenn Sie Amazon Quick-Benutzer automatisch bereitstellen möchten, anstatt die Amazon Quick API zu verwenden.
Die `QuicksightCreateReader`-Richtlinie aktiviert die automatische Bereitstellung, indem sie die Verwendung der `quicksight:CreateReader`-Aktion zulässt. Dadurch erhalten Erstbenutzer Zugriff auf Dashboard-Subscriber (auf Leserebene). Ein Amazon Quick-Administrator kann sie später über das Amazon Quick-Profilmenü, **Amazon Quick verwalten**, **Benutzer verwalten** aktualisieren.
1. Um mit dem Anhängen der IAM-Richtlinie oder -Richtlinien fortzufahren, wählen Sie **Weiter: Tags**.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie für **Rollenname** den Namen **QuicksightOktaFederatedRole** ein und klicken Sie auf **Rolle erstellen**.
1. Stellen Sie sicher, dass Sie den Vorgang erfolgreich abgeschlossen haben, indem Sie die folgenden Schritte ausführen:
1. Kehren Sie zur Hauptseite der IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)zurück. Sie können die **Zurück**-Schaltfläche Ihres Browsers verwenden.
1. Wählen Sie **Roles**.
1. Geben Sie für **Suche** Okta ein. Wählen Sie **QuicksightOktaFederatedRole**aus den Suchergebnissen.
1. Sehen Sie sich auf der Seite **Übersicht** für die Richtlinie den Tab **Berechtigungen** an. Vergewissern Sie sich, dass die Rolle über die Richtlinie oder Richtlinien verfügt, die Sie ihr zugewiesen haben. Sie sollte `QuicksightOktaFederatedPolicy` haben. Wenn Sie sich für die Möglichkeit entschieden haben, Benutzer zu erstellen, sollte diese auch `QuicksightCreateReader` haben.
1. Verwenden Sie das ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/caret-right-filled.png)-Symbol, um jede Richtlinie zu öffnen. Stellen Sie sicher, dass der Text mit den Angaben in diesem Verfahren übereinstimmt. Vergewissern Sie sich, dass Sie anstelle der AWS-Konto Beispielkontonummer 1111111111 Ihre eigene Nummer hinzugefügt haben.
1. Stellen Sie auf der Registerkarte **Vertrauensbeziehungen** sicher, dass das Feld **Vertrauenswürdige Entitäten** den ARN für den Identitätsanbieter enthält. Sie können den ARN in der IAM-Konsole überprüfen, indem Sie **Identitätsanbieter**, **Okta** öffnen.
**So erstellen Sie einen Zugriffsschlüssel für Okta**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Fügen Sie eine Richtlinie hinzu, die es Okta ermöglicht, dem Benutzer eine Liste von IAM-Rollen anzuzeigen. Wählen Sie dazu **Richtlinie**, **Richtlinie erstellen**.
1. Wählen Sie **JSON**, geben Sie dann die folgende Richtlinie ein.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Wählen Sie **Review policy** (Richtlinie überprüfen) aus.
1. Geben Sie unter **Name** **OktaListRolesPolicy** ein. Wählen Sie dann **Richtlinie erstellen** aus.
1. Fügen Sie einen Benutzer hinzu, damit Sie Okta einen Zugriffsschlüssel zur Verfügung stellen können.
Klicken Sie im Navigationsbereich auf **Benutzer** und **Benutzer hinzufügen**.
1. Verwenden Sie die folgenden Einstellungen:
+ Geben Sie unter **User Name (Benutzername)** den Text `OktaSSOUser` ein.
+ Aktivieren Sie als **Zugriffstyp** die Option **Programmgesteuerter Zugriff**.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wählen Sie **Vorhandene Richtlinien direkt zuordnen**.
1. Geben Sie für **Suchen den **OktaListRolesPolicy** Suchbegriff** ein und wählen Sie **OktaListRolesPolicy**aus den Suchergebnissen aus.
1. Wählen Sie **Weiter: Tags** und danach **Weiter: Prüfen** aus.
1. Wählen Sie **Create user** (Benutzer erstellen) aus. Jetzt können Sie den Zugriffsschlüssel abrufen.
1. Laden Sie das Schlüsselpaar herunter, indem Sie **.csv herunterladen** wählen. Die Datei enthält dieselbe Zugriffsschlüssel-ID und denselben geheimen Zugriffsschlüssel, die auf diesem Bildschirm angezeigt werden. Da diese Informationen jedoch AWS kein zweites Mal angezeigt werden, stellen Sie sicher, dass Sie die Datei herunterladen.
1. Stellen Sie sicher, dass Sie diesen Schritt korrekt abgeschlossen haben, indem Sie wie folgt vorgehen:
1. Öffnen Sie die IAM-Konsole und wählen Sie **Benutzer** aus. Suchen Sie nach **Okta** und öffnen Sie esSSOUser, indem Sie den Benutzernamen aus den Suchergebnissen auswählen.
1. Vergewissern Sie sich auf der Registerkarte **Berechtigungen**, dass der angehängt **OktaListRolesPolicy**ist.
1. Verwenden Sie das ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/caret-right-filled.png)-Symbol, um die Richtlinie zu öffnen. Stellen Sie sicher, dass der Text mit den Angaben in diesem Verfahren übereinstimmt.
1. Auf der Registerkarte **Sicherheitsanmeldedaten** können Sie den Zugriffsschlüssel überprüfen, obwohl Sie ihn bereits heruntergeladen haben. Sie können zu dieser Registerkarte zurückkehren, um einen Zugriffsschlüssel zu erstellen, wenn Sie einen neuen benötigen.
Im folgenden Verfahren kehren Sie zu Okta zurück, um den Zugriffsschlüssel bereitzustellen. Der Zugriffsschlüssel funktioniert mit Ihren neuen Sicherheitseinstellungen, damit AWS der Okta-IdP zusammenarbeiten kann.
**Um die Konfiguration der Okta-Anwendung mit den Einstellungen abzuschließen AWS**
1. Kehren Sie zu Ihrem Okta-Dashboard zurück. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Wenn die Entwicklerkonsole nicht mehr geöffnet ist, wählen Sie **Admin**, um sie erneut zu öffnen.
1. Wenn Sie Okta erneut öffnen müssen, können Sie zu diesem Abschnitt zurückkehren, indem Sie die folgenden Schritte ausführen:
1. Melden Sie sich bei Okta an. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie **AWS Account Federation — Amazon Quick** — die Anwendung, die Sie zu Beginn dieses Tutorials erstellt haben.
1. Wählen Sie auf der Registerkarte **Anmelden** zwischen **Allgemein** und **Mobil**.
1. Scrollen Sie zu den **erweiterten Anmeldeeinstellungen**.
1. Geben Sie für **Identitätsanbieter-ARN (nur für den SAML-IAM-Verbund erforderlich)** den Dienst-ARN aus dem vorherigen Verfahren ein, zum Beispiel:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Wählen Sie **Fertig** oder **Speichern**. Der Name der Schaltfläche hängt davon ab, ob Sie die Anwendung erstellen oder bearbeiten.
1. Wählen Sie die Registerkarte **Bereitstellung** und wählen Sie im unteren Teil der Registerkarte die Option **API-Integration konfigurieren** aus.
1. Aktivieren Sie die Option **API-Integration aktivieren**, um die Einstellungen anzuzeigen.
1. Geben Sie für **Zugriffsschlüssel** und **Geheimer Schlüssel** den Zugriffsschlüssel und den geheimen Schlüssel ein, die Sie zuvor in eine Datei mit dem Namen **OktaSSOUser**`_credentials.csv` heruntergeladen haben.
1. Wählen Sie **API-Anmeldeinformationen testen** aus. Suchen Sie über der Einstellung **API-Integration aktivieren** nach einer Meldung, die bestätigt, dass der **AWS -Kontoverbund erfolgreich verifiziert wurde**.
1. Wählen Sie **Speichern**.
1. Vergewissern Sie sich, dass **Zur App** auf der linken Seite markiert ist, und wählen Sie rechts **Bearbeiten** aus.
1. Aktivieren Sie für **Benutzer erstellen** die Option **Aktivieren**.
1. Wählen Sie **Speichern**.
1. Wählen Sie auf der Registerkarte **Zuweisungen** neben **Bereitstellung** und **Import** die Option **Zuweisen** aus.
1. Um den Verbundzugriff zu aktivieren, führen Sie einen oder mehrere der folgenden Schritte aus:
+ Um mit einzelnen Benutzern zu arbeiten, wählen Sie **Personen zuweisen**.
+ Um mit IAM-Gruppen zu arbeiten, wählen Sie **Zu Gruppen zuordnen** aus. Sie können bestimmte IAM-Gruppen oder **Alle (Alle Benutzer in Ihrem Unternehmen**) auswählen.
1. Gehen Sie für jeden IAM-Benutzer oder jede Gruppe wie folgt vor:
1. Wählen Sie **Zuweisen**, **Rolle**.
1. Wählen Sie **QuicksightOktaFederatedRole**aus der Liste der IAM-Rollen aus.
1. Aktivieren Sie für **SAML-Benutzerrollen**. **QuicksightOktaFederatedRole**
1. Wählen Sie **Speichern und Zurück** und anschließend **Fertig**.
1. Stellen Sie sicher, dass Sie diesen Schritt korrekt abgeschlossen haben, indem Sie links den Filter **Personen** oder **Gruppen** auswählen und die von Ihnen eingegebenen Benutzer oder Gruppen überprüfen. Wenn Sie diesen Vorgang nicht abschließen können, weil die von Ihnen erstellte Rolle nicht in der Liste aufgeführt ist, kehren Sie zu den vorherigen Verfahren zurück, um die Einstellungen zu überprüfen.
**So melden Sie sich mit Okta bei Amazon Quick an (Anmeldung von IdP zum Dienstanbieter)**
1. Wenn Sie ein Okta-Administratorkonto verwenden, wechseln Sie in den Benutzermodus.
1. Melden Sie sich mit einem Benutzer, dem Verbundzugriff gewährt wurde, in Ihrem Okta-Anwendungs-Dashboard an. Sie sollten eine neue Anwendung mit Ihrem Label sehen, zum Beispiel **AWS Account Federation — Amazon Quick**.
1. Wählen Sie das Anwendungssymbol, um **AWS Account Federation — Amazon Quick** zu starten.
Sie können jetzt Identitäten mit Okta verwalten und den Verbundzugriff mit Quick verwenden.
Der folgende Vorgang ist ein optionaler Teil dieses Tutorials. Wenn Sie die Anweisungen befolgen, autorisieren Sie Amazon Quick, Autorisierungsanfragen im Namen Ihrer Benutzer an den IdP weiterzuleiten. Mit dieser Methode können sich Benutzer bei Amazon Quick anmelden, ohne sich zuerst über die IdP-Seite anmelden zu müssen.
**(Optional) So richten Sie Amazon Quick für das Senden von Authentifizierungsanfragen an Okta ein**
1. Öffnen Sie Amazon Quick und wählen Sie in Ihrem Profilmenü **Amazon Quick verwalten**.
1. Wählen Sie im Navigationsbereich **Single Sign-On (IAM-Verbund)** aus.
1. Geben Sie unter **Konfiguration**, **IdP-URL** die URL ein, die Ihr IdP zur Benutzerauthentifizierung bereitstellt, z. B. https://dev — .okta. *1-----0* com/home/amazon\$1aws/. *0oabababababaGQei5d5/282* Sie finden dies auf Ihrer Okta-App-Seite auf der Registerkarte **Allgemein** unter **Link einbetten**.
1. Geben Sie `RelayState` für **Identitätsanbieter-URL** ein.
1. Führen Sie eine der folgenden Aktionen aus:
+ Um die Anmeldung bei Ihrem Identitätsanbieter zu testen, verwenden Sie zunächst die benutzerdefinierte URL, die unter **Testen Sie den Start mit Ihrem Identitätsanbieter** angegeben ist. Sie sollten auf der Startseite für Amazon Quick ankommen, zum Beispiel https://quicksight.aws.amazon.com/sn/ Start.
+ Um zunächst die Anmeldung bei Amazon Quick zu testen, verwenden Sie die benutzerdefinierte URL, **die Sie unter end-to-end Erlebnis testen finden**. Der `enable-sso`-Parameter wird an die URL angehängt. Wenn `enable-sso=1`, versucht der IAM-Verbund, sich zu authentifizieren. Falls`enable-sso=0`, Amazon Quick sendet die Authentifizierungsanfrage nicht und Sie melden sich wie zuvor bei Amazon Quick an.
1. Wählen Sie unter **Status** die Option **AN** aus.
1. Wählen Sie **Speichern**, um Ihre Einstellungen beizubehalten.
Sie können einen Deep-Link zu einem Amazon Quick-Dashboard erstellen, damit Benutzer mithilfe des IAM-Verbunds eine direkte Verbindung zu bestimmten Dashboards herstellen können. Dazu hängen Sie das Relay-Status-Flag und die Dashboard-URL an die Okta-Single-Sign-On-URL an, wie im Folgenden beschrieben.
**Um einen Deep-Link zu einem Amazon Quick-Dashboard für Single Sign-On zu erstellen**
1. Suchen Sie die Single-Sign-On-URL (IAM-Verbund) der Okta-Anwendung in der `metadata.xml`-Datei, die Sie zu Beginn des Tutorials heruntergeladen haben. Sie finden die URL am Ende der Datei, in dem Element mit dem Namen `md:SingleSignOnService`. Das Attribut heißt `Location` und der Wert endet mit `/sso/saml`, wie im folgenden Beispiel gezeigt.
```
```
1. Nehmen Sie den Wert der IAM-Verbund-URL und fügen Sie ihn an, `?RelayState=` gefolgt von der URL Ihres Amazon Quick-Dashboards. Der `RelayState`-Parameter gibt den Status (die URL) weiter, in dem sich der Benutzer befand, als er zur Authentifizierungs-URL umgeleitet wurde.
1. Fügen Sie dem neuen IAM-Verbund mit dem hinzugefügten Relay-Status die URL Ihres Amazon Quick-Dashboards hinzu. Die resultierende URL sollte folgendermaßen aussehen.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Wenn sich der von Ihnen erstellte Link nicht öffnen lässt, überprüfen Sie, ob Sie die neueste IAM-Verbund-URL aus dem `metadata.xml` verwenden. Vergewissern Sie sich auch, dass der Benutzername, mit dem Sie sich anmelden, nicht in mehr als einer Okta-App für den IAM-Verbund zugewiesen wurde.