Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
| Gilt für: Enterprise Edition |
| Zielgruppe: Systemadministratoren und QuickSight Amazon-Administratoren |
Anmerkung
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon nicht. QuickSight
In der Amazon QuickSight Enterprise Edition können Sie als Administrator verhindern, dass neue Benutzer persönliche E-Mail-Adressen verwenden, wenn sie direkt über ihren Identitätsanbieter (IdP) bereitstellen. QuickSight QuickSight verwendet dann die vorkonfigurierten E-Mail-Adressen, die über den IdP weitergegeben wurden, wenn neue Benutzer für Ihr Konto bereitgestellt werden. Sie können beispielsweise festlegen, dass nur vom Unternehmen zugewiesene E-Mail-Adressen verwendet werden, wenn Benutzer über Ihren IdP für Ihr QuickSight Konto bereitgestellt werden.
Anmerkung
Stellen Sie sicher, dass sich Ihre Benutzer direkt QuickSight über ihren IdP zusammenschließen. Wenn Sie sich AWS Management Console über ihren IdP mit ihnen verbinden und dann darauf klicken, wird ein Fehler angezeigt, und sie können nicht darauf zugreifen. QuickSight QuickSight
Wenn Sie die E-Mail-Synchronisierung für Verbundbenutzer in konfigurieren, haben Benutzer QuickSight, die sich zum ersten Mal bei Ihrem QuickSight Konto anmelden, vorab E-Mail-Adressen zugewiesen. Diese werden verwendet, um ihre Konten zu registrieren. Bei diesem Ansatz können die Nutzer den Zugang manuell durch Eingabe einer E-Mail-Adresse umgehen. Außerdem können die Benutzer keine E-Mail-Adresse verwenden, die sich von der von Ihnen, dem Administrator, angegebenen E-Mail-Adresse unterscheidet.
QuickSight unterstützt die Bereitstellung über einen IdP, der die SAML- oder OpenID Connect (OIDC) -Authentifizierung unterstützt. Um E-Mail-Adressen für neue Benutzer bei der Bereitstellung über einen Identitätsanbieter zu konfigurieren, aktualisieren Sie die Vertrauensbeziehung für die IAM-Rolle, die sie mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity verwenden. Dann fügen Sie ihrem Identitätsanbieter ein SAML-Attribut oder ein OIDC-Token hinzu. Zuletzt aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in. QuickSight
Das folgende Verfahren beschreibt diese Schritte im Detail.
Schritt 1: Aktualisieren Sie die Vertrauensbeziehung für die IAM-Rolle mit AssumeRoleWithSAML or AssumeRoleWithWebIdentity
Sie können E-Mail-Adressen für Ihre Benutzer konfigurieren, die sie bei der Bereitstellung über Ihren IdP verwenden. QuickSight Fügen Sie dazu die sts:TagSession-Aktion zur Vertrauensbeziehung für die IAM-Rolle hinzu, die Sie mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity verwenden. Auf diese Weise können Sie principal-Tags übergeben, wenn Benutzer die Rolle übernehmen.
Das folgende Beispiel zeigt eine aktualisierte IAM-Rolle, bei der der Identitätsanbieter Okta ist. Um dieses Beispiel zu verwenden, aktualisieren Sie den Federated-Amazon-Ressourcennamen (ARN) mit dem ARN Ihres Dienstanbieters. Sie können rot markierte Artikel durch Ihre AWS und IdP-dienstspezifische Informationen ersetzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/Email": "*" } } } ] }
Schritt 2: Fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Prinzipal-Tag in Ihrem Identitätsanbieter hinzu
Nachdem Sie die Vertrauensbeziehung für die IAM-Rolle wie im vorangegangenen Abschnitt beschrieben aktualisiert haben, fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Principal-Tag in Ihrem Identitätsanbieter hinzu.
Die folgenden Beispiele veranschaulichen ein SAML-Attribut und ein OIDC-Token. Um diese Beispiele zu verwenden, ersetzen Sie die E-Mail-Adresse durch eine Variable in Ihrem Identitätsanbieter, die auf die E-Mail-Adresse eines Benutzers verweist. Sie können rot hervorgehobene Elemente durch Ihre Informationen ersetzen.
-
SAML-Attribut: Das folgende Beispiel veranschaulicht ein SAML-Attribut.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>Anmerkung
Wenn Sie Okta als Ihren Identitätsanbieter verwenden, stellen Sie sicher, dass in Ihrem Okta-Benutzerkonto ein Feature-Flag aktiviert ist, um SAML zu verwenden. Weitere Informationen finden Sie im Okta-Blog unter Okta und AWS Partner to Simplify Access Via Session Tags
. -
OIDC-Token: Das folgende Beispiel veranschaulicht ein OIDC-Token-Beispiel.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Schritt 3: Aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in QuickSight
Aktualisieren Sie, wie oben beschrieben, die Vertrauensbeziehung für die IAM-Rolle und fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Principal-Tag in Ihrem Identitätsanbieter hinzu. Aktivieren Sie anschließend die E-Mail-Synchronisierung für Verbundbenutzer, QuickSight wie im folgenden Verfahren beschrieben.
So aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer
-
Wählen Sie auf einer QuickSight beliebigen Seite oben rechts Ihren Benutzernamen und dann Verwalten aus. QuickSight
-
Wählen Sie im Menü auf der linken Seite Single Sign-On (IAM-Verbund) aus.
-
Wählen Sie auf der Seite Vom Dienstanbieter initiierter IAM-Verbund für E-Mail-Synchronisierung für Verbundbenutzer die Option AN aus.
Wenn die E-Mail-Synchronisierung für Verbundbenutzer aktiviert ist, werden bei der Bereitstellung neuer Benutzer für Ihr Konto die E-Mail-Adressen QuickSight verwendet, die Sie in den Schritten 1 und 2 konfiguriert haben. Benutzer können ihre eigenen E-Mail-Adressen nicht eingeben.
Wenn die E-Mail-Synchronisierung für Verbundbenutzer deaktiviert ist, werden Benutzer QuickSight aufgefordert, ihre E-Mail-Adresse manuell einzugeben, wenn Sie Ihrem Konto neue Benutzer zuweisen. Sie können beliebige E-Mail-Adressen verwenden.
