Konfiguration der E-Mail-Synchronisierung für Verbundbenutzer in Amazon QuickSight - Amazon QuickSight
Schritt 1: Aktualisieren Sie die Vertrauensbeziehung für die IAM RolleSchritt 2: Fügen Sie ein SAML Attribut oder OIDC ein Token hinzuSchritt 3: Aktivieren Sie die E-Mail-Synchronisierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der E-Mail-Synchronisierung für Verbundbenutzer in Amazon QuickSight

 Gilt für: Enterprise Edition 
   Zielgruppe: Systemadministratoren und QuickSight Amazon-Administratoren 
Anmerkung

IAMIdentity Federation unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon QuickSight nicht.

In der Amazon QuickSight Enterprise Edition können Sie als Administrator verhindern, dass neue Benutzer persönliche E-Mail-Adressen verwenden, wenn sie direkt über ihren Identitätsanbieter (IdP) bereitstellen. QuickSight QuickSight verwendet dann die vorkonfigurierten E-Mail-Adressen, die über den IdP weitergegeben wurden, wenn neue Benutzer für Ihr Konto bereitgestellt werden. Sie können beispielsweise festlegen, dass nur vom Unternehmen zugewiesene E-Mail-Adressen verwendet werden, wenn Benutzer über Ihren IdP für Ihr QuickSight Konto bereitgestellt werden.

Anmerkung

Stellen Sie sicher, dass sich Ihre Benutzer direkt QuickSight über ihren IdP zusammenschließen. Wenn Sie sich AWS Management Console über ihren IdP mit ihnen verbinden und dann darauf klicken, wird ein Fehler angezeigt, und sie können nicht darauf zugreifen. QuickSight QuickSight

Wenn Sie die E-Mail-Synchronisierung für Verbundbenutzer in konfigurieren, haben Benutzer QuickSight, die sich zum ersten Mal bei Ihrem QuickSight Konto anmelden, vorab E-Mail-Adressen zugewiesen. Diese werden verwendet, um ihre Konten zu registrieren. Bei diesem Ansatz können die Nutzer den Zugang manuell durch Eingabe einer E-Mail-Adresse umgehen. Außerdem können die Benutzer keine E-Mail-Adresse verwenden, die sich von der von Ihnen, dem Administrator, angegebenen E-Mail-Adresse unterscheidet.

QuickSight unterstützt die Bereitstellung über einen IdP, der die OpenID Connect () OIDC -Authentifizierung unterstütztSAML. Um E-Mail-Adressen für neue Benutzer bei der Bereitstellung über einen IdP zu konfigurieren, aktualisieren Sie die Vertrauensstellung für die IAM Rolle, die sie mit AssumeRoleWithSAML oder verwenden. AssumeRoleWithWebIdentity Dann fügen Sie ihrem IdP ein SAML Attribut oder ein OIDC Token hinzu. Zuletzt aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in. QuickSight

Das folgende Verfahren beschreibt diese Schritte im Detail.

Schritt 1: Aktualisieren Sie die Vertrauensbeziehung für die Rolle mit IAM AssumeRoleWithSAML or AssumeRoleWithWebIdentity

Sie können E-Mail-Adressen für Ihre Benutzer konfigurieren, die sie bei der Bereitstellung über Ihren IdP verwenden. QuickSight Fügen Sie dazu die sts:TagSession Aktion zur Vertrauensstellung für die IAM Rolle hinzu, die Sie mit AssumeRoleWithSAML oder verwenden. AssumeRoleWithWebIdentity Auf diese Weise können Sie principal-Tags übergeben, wenn Benutzer die Rolle übernehmen.

Das folgende Beispiel zeigt eine aktualisierte IAM Rolle, bei der der IdP Okta ist. Um dieses Beispiel zu verwenden, aktualisieren Sie den Federated Amazon-Ressourcennamen (ARN) mit dem ARN für Ihren Dienstanbieter. Sie können rot markierte Artikel durch Ihre AWS und IdP-dienstspezifische Informationen ersetzen.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Schritt 2: Fügen Sie ein SAML Attribut oder ein OIDC Token für das IAM Principal-Tag in Ihrem IdP hinzu

Nachdem Sie die Vertrauensstellung für die IAM Rolle wie im vorherigen Abschnitt beschrieben aktualisiert haben, fügen Sie Ihrem IdP ein SAML Attribut oder OIDC Token für das IAM Principal Tag hinzu.

Die folgenden Beispiele veranschaulichen ein SAML Attribut und ein OIDC Token. Um diese Beispiele zu verwenden, ersetzen Sie die E-Mail-Adresse durch eine Variable in Ihrem Identitätsanbieter, die auf die E-Mail-Adresse eines Benutzers verweist. Sie können rot hervorgehobene Elemente durch Ihre Informationen ersetzen.

  • SAMLAttribut: Das folgende Beispiel veranschaulicht ein SAML Attribut. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    Anmerkung

    Wenn Sie Okta als Ihren IdP verwenden, stellen Sie sicher, dass in Ihrem Okta-Benutzerkonto ein Feature-Flag aktiviert ist, das verwendet werden kann. SAML Weitere Informationen finden Sie im Okta-Blog unter Okta und AWS Partner to Simplify Access Via Session Tags.

  • OIDCToken: Das folgende Beispiel veranschaulicht ein OIDC Token-Beispiel. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Schritt 3: Aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in QuickSight

Aktualisieren Sie wie oben beschrieben die Vertrauensbeziehung für die IAM Rolle und fügen Sie ein SAML Attribut oder OIDC Token für das IAM Principal Tag in Ihrem IdP hinzu. Aktivieren Sie dann die E-Mail-Synchronisierung für Verbundbenutzer, QuickSight wie im folgenden Verfahren beschrieben.

So aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer

  1. Wählen Sie auf einer QuickSight beliebigen Seite oben rechts Ihren Benutzernamen und dann Verwalten aus. QuickSight

  2. Wählen Sie im Menü links Single Sign-On (IAMFederation) aus.

  3. Wählen Sie auf der Seite „Service Provider Initiated IAM Federation“ für E-Mail-Synchronisierung für Verbundbenutzer die Option ON aus.

    Wenn die E-Mail-Synchronisierung für Verbundbenutzer aktiviert ist, werden bei der Bereitstellung neuer Benutzer für Ihr Konto die E-Mail-Adressen QuickSight verwendet, die Sie in den Schritten 1 und 2 konfiguriert haben. Benutzer können ihre eigenen E-Mail-Adressen nicht eingeben.

    Wenn die E-Mail-Synchronisierung für Verbundbenutzer deaktiviert ist, werden Benutzer QuickSight aufgefordert, ihre E-Mail-Adresse manuell einzugeben, wenn Sie Ihrem Konto neue Benutzer zuweisen. Sie können beliebige E-Mail-Adressen verwenden.