Tutorial: Amazon QuickSight und IAM Identity Federation - Amazon QuickSight

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Amazon QuickSight und IAM Identity Federation

   Gilt für: Enterprise Edition und Standard Edition 
   Zielgruppe: QuickSight Amazon-Administratoren und QuickSight Amazon-Entwickler 
Anmerkung

IAMIdentity Federation unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon QuickSight nicht.

Im folgenden Tutorial finden Sie eine Anleitung zur Einrichtung von IdP Okta als Verbunddienst für Amazon. QuickSight Dieses Tutorial zeigt zwar die Integration von AWS Identity and Access Management (IAM) und Okta, Sie können diese Lösung jedoch auch mit 2.0 Ihrer Wahl replizieren. SAML IdPs

Im folgenden Verfahren erstellen Sie eine App im Okta IdP mithilfe der Verknüpfung „AWS Account Federation“. Okta beschreibt diese Integrations-App wie folgt:

„Durch die Zusammenführung von Okta mit Amazon Web Services (AWS) Identity and Access Management (IAM) -Konten erhalten Endbenutzer mit ihren Okta-Anmeldeinformationen Single-Sign-On-Zugriff auf alle ihnen zugewiesenen AWS Rollen. In jedem Fall richten Administratoren einen Verbund ein und konfigurieren AWS Rollen so AWS-Konto, dass sie Okta vertrauen. Wenn sich Benutzer anmelden, erhalten sie die Möglichkeit AWS, sich mit Okta Single Sign-In anzumelden, sodass sie die ihnen zugewiesenen Rollen einsehen können. AWS Sie können dann eine gewünschte Rolle auswählen, die ihre Berechtigungen für die Dauer ihrer authentifizierten Sitzung definiert. Kunden mit einer großen Anzahl von AWS Konten sollten sich die AWS Single Sign-On-App als Alternative ansehen.“ () https://www.okta.com/aws/

Um eine Okta-App mithilfe der Anwendungsverknüpfung „AWS Account Federation“ von Okta zu erstellen

  1. Melden Sie sich in Ihrem Okta-Dashboard an. Wenn Sie noch keins haben, erstellen Sie ein kostenloses Okta Developer Edition-Konto, indem Sie dieses Markenkonto verwenden. QuickSight URL Wenn Sie Ihre E-Mail-Adresse aktiviert haben, melden Sie sich bei Okta an.

  2. Wählen Sie auf der Okta-Website oben links <> Entwicklerkonsole und dann Classic UI aus.

  3. Wählen Sie Anwendungen hinzufügen und dann App hinzufügen.

  4. Geben Sie aws für Suche ein und wählen Sie in den Suchergebnissen AWS -Kontoverbund aus.

  5. Wählen Sie Hinzufügen, um eine Instance dieser Anwendung zu erstellen.

  6. Geben Sie unter Anwendungsbeschreibung AWS Account Federation - QuickSight ein.

  7. Wählen Sie Weiter.

  8. Geben Sie für SAML2.0, Default Relay State, ein. https://quicksight.aws.amazon.com

  9. Öffnen Sie das Kontextmenü (rechte Maustaste) für Identitätsanbieter-Metadaten und wählen Sie die Option zum Speichern der Datei. Benennen Sie die Datei metadata.xml. Sie benötigen diese Datei für die nächsten Schritte.

    Der Inhalt der Datei ähnelt dem folgenden Beispiel.

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Nachdem Sie die XML Datei gespeichert haben, scrollen Sie zum Ende der Okta-Seite und wählen Sie Fertig.

  11. Lassen Sie dieses Browserfenster nach Möglichkeit geöffnet. Sie benötigen es zu einem späteren Zeitpunkt in diesem Tutorial.

Als Nächstes erstellen Sie einen Identitätsanbieter in Ihrem AWS-Konto.

Um einen SAML Anbieter in AWS Identity and Access Management () IAM zu erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Identitätsanbieter und dann Anbieter auswählen aus.

  3. Geben Sie die folgenden Einstellungen ein:

    • Anbietertyp — Wählen Sie SAMLaus der Liste aus.

    • Anbietername – Geben Sie Okta ein.

    • Metadaten-Dokument — Laden Sie die XML Datei manifest.xml aus dem vorherigen Verfahren hoch.

  4. Wählen Sie Nächster Schritt und Erstellen aus.

  5. Suchen Sie den Identitätsanbieter, den Sie erstellt haben, und wählen Sie ihn aus, um die Einstellungen anzuzeigen. Notieren Sie sich den Anbieter ARN. Sie benötigen dies, um das Tutorial zu beenden.

  6. Stellen Sie sicher, dass der Identitätsanbieter mit Ihren Einstellungen erstellt wurde. Wählen Sie IAM unter Identitätsanbieter, Okta (der von Ihnen hinzugefügte IdP), Metadaten herunterladen aus. Bei der Datei sollte es sich um die Datei handeln, die Sie kürzlich hochgeladen haben.

Als Nächstes erstellen Sie eine IAM Rolle, damit der SAML 2.0-Föderation als vertrauenswürdige Entität in Ihrem agieren kann. AWS-Konto Für diesen Schritt müssen Sie auswählen, wie Sie Benutzer in Amazon bereitstellen möchten QuickSight. Sie können einen der folgenden Schritte ausführen:

  • Erteilen Sie der IAM Rolle die Berechtigung, sodass Erstbesucher automatisch zu QuickSight Benutzern werden.

  • Richten Sie QuickSight Benutzer im Voraus ein, indem Sie den QuickSight APIverwenden. Wenn Sie diese Option wählen, können Sie Benutzer bereitstellen und sie gleichzeitig zu Gruppen hinzufügen. Weitere Informationen finden Sie unter Gruppen in Amazon erstellen und verwalten QuickSight.

Um eine IAM Rolle für einen SAML 2.0-Verbund als vertrauenswürdige Entität zu erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und Create Role (Rolle erstellen) aus.

  3. Wählen Sie unter Typ der vertrauenswürdigen Entität auswählen die Karte mit der Bezeichnung SAML2.0 Federation aus.

  4. Wählen Sie als SAMLAnbieter beispielsweise Okta den IdP aus, den Sie im vorherigen Verfahren erstellt haben.

  5. Aktivieren Sie die Option Programmatischen Zugriff und Zugriff auf die AWS Managementkonsole zulassen.

  6. Wählen Sie Weiter: Berechtigungen aus.

  7. Fügen Sie die folgende Richtlinie in den Editor ein.

    Aktualisieren Sie im Richtlinien-Editor den JSON mit dem Amazon-Ressourcennamen Ihres Anbieters (ARN). 

    {
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Wählen Sie Richtlinie prüfen.

  9. Geben Sie unter Name den Namen QuicksightOktaFederatedPolicy ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

  10. Wählen Sie JSONein zweites Mal Richtlinie erstellen aus.

  11. Fügen Sie die folgende Richtlinie in den Editor ein.

    Aktualisieren Sie im Richtlinien-Editor die JSON mit Ihrer AWS-Konto ID. Es sollte dieselbe Konto-ID sein, die Sie in der vorherigen Richtlinie beim Anbieter verwendet habenARN.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    Sie können den AWS-Region Namen in der weglassenARN, wie im Folgenden gezeigt.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Wählen Sie Richtlinie prüfen.

  13. Geben Sie unter Name den Namen QuicksightCreateReader ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

  14. Aktualisieren Sie die Liste der Richtlinien, indem Sie das Aktualisierungssymbol auf der rechten Seite auswählen.

  15. Geben Sie für Suche QuicksightOktaFederatedPolicy ein. Wählen Sie die Richtlinie aus, um sie zu aktivieren ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Wenn Sie die automatische Bereitstellung nicht verwenden möchten, können Sie den folgenden Schritt überspringen.

    Um einen QuickSight Benutzer hinzuzufügen, verwenden Sie register-user. Um eine QuickSight Gruppe hinzuzufügen, verwenden Sie create-group. Um Benutzer zur QuickSight Gruppe hinzuzufügen, verwenden Sie. create-group-membership

  16. (Optional) Geben Sie für Suche QuicksightCreateReader ein. Wählen Sie die Richtlinie aus, um sie zu aktivieren ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Führen Sie diesen Schritt aus, wenn Sie QuickSight Benutzer automatisch bereitstellen möchten, anstatt den zu verwenden QuickSight API.

    Die QuicksightCreateReader-Richtlinie aktiviert die automatische Bereitstellung, indem sie die Verwendung der quicksight:CreateReader-Aktion zulässt. Dadurch erhalten Erstbenutzer Zugriff auf Dashboard-Subscriber (auf Leserebene). Ein QuickSight Administrator kann sie später über das QuickSight Profilmenü „Verwalten QuickSight“, „Benutzer verwalten“ aktualisieren.

  17. Um mit dem Anhängen der IAM Richtlinie oder Richtlinien fortzufahren, wählen Sie Weiter: Tags.

  18. Wählen Sie Weiter: Prüfen aus.

  19. Geben Sie für Rollenname den Namen QuicksightOktaFederatedRole ein und klicken Sie auf Rolle erstellen.

  20. Stellen Sie sicher, dass Sie den Vorgang erfolgreich abgeschlossen haben, indem Sie die folgenden Schritte ausführen:

    1. Kehren Sie unter https://console.aws.amazon.com/iam/zur Hauptseite der IAM Konsole zurück. Sie können die Zurück-Schaltfläche Ihres Browsers verwenden.

    2. Wählen Sie Roles.

    3. Geben Sie für Suche Okta ein. Wählen Sie QuicksightOktaFederatedRoleaus den Suchergebnissen.

    4. Sehen Sie sich auf der Seite Übersicht für die Richtlinie den Tab Berechtigungen an. Vergewissern Sie sich, dass die Rolle über die Richtlinie oder Richtlinien verfügt, die Sie ihr zugewiesen haben. Sie sollte QuicksightOktaFederatedPolicy haben. Wenn Sie sich für die Möglichkeit entschieden haben, Benutzer zu erstellen, sollte diese auch QuicksightCreateReader haben.

    5. Verwenden Sie das Play button icon with a triangular shape pointing to the right. -Symbol, um jede Richtlinie zu öffnen. Stellen Sie sicher, dass der Text mit den Angaben in diesem Verfahren übereinstimmt. Vergewissern Sie sich, dass Sie anstelle der AWS-Konto Beispielkontonummer 1111111111 Ihre eigene Nummer hinzugefügt haben.

    6. Vergewissern Sie sich auf der Registerkarte Vertrauensbeziehungen, dass das Feld Vertrauenswürdige Entitäten den Wert für den Identitätsanbieter enthält. ARN Sie können das ARN in der IAM Konsole überprüfen, indem Sie Identitätsanbieter, Okta, öffnen.

So erstellen Sie einen Zugriffsschlüssel für Okta

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

  2. Fügen Sie eine Richtlinie hinzu, die es Okta ermöglicht, dem Benutzer eine Liste von IAM Rollen anzuzeigen. Wählen Sie dazu Richtlinie, Richtlinie erstellen.

  3. Wählen Sie JSONund geben Sie dann die folgende Richtlinie ein.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Wählen Sie Review policy (Richtlinie überprüfen) aus.

  5. Geben Sie unter Name OktaListRolesPolicy ein. Wählen Sie dann Richtlinie erstellen aus.

  6. Fügen Sie einen Benutzer hinzu, damit Sie Okta einen Zugriffsschlüssel zur Verfügung stellen können.

    Klicken Sie im Navigationsbereich auf Benutzer und Benutzer hinzufügen.

  7. Verwenden Sie die folgenden Einstellungen:

    • Geben Sie unter User Name (Benutzername) den Text OktaSSOUser ein.

    • Aktivieren Sie als Zugriffstyp die Option Programmgesteuerter Zugriff.

  8. Wählen Sie Weiter: Berechtigungen aus.

  9. Wählen Sie Vorhandene Richtlinien direkt zuordnen.

  10. Geben Sie OktaListRolesPolicy für Suchen ein und wählen Sie OktaListRolesPolicyaus den Suchergebnissen aus.

  11. Wählen Sie Weiter: Tags und danach Weiter: Prüfen aus.

  12. Wählen Sie Create user (Benutzer erstellen) aus. Jetzt können Sie den Zugriffsschlüssel abrufen.

  13. Laden Sie das Schlüsselpaar herunter, indem Sie .csv herunterladen wählen. Die Datei enthält dieselbe Zugriffsschlüssel-ID und denselben geheimen Zugriffsschlüssel, die auf diesem Bildschirm angezeigt werden. Da diese Informationen jedoch AWS kein zweites Mal angezeigt werden, stellen Sie sicher, dass Sie die Datei herunterladen.

  14. Stellen Sie sicher, dass Sie diesen Schritt korrekt abgeschlossen haben, indem Sie wie folgt vorgehen:

    1. Öffnen Sie die IAM Konsole und wählen Sie Benutzer aus. Suchen Sie nach O und öffnen Sie esktaSSOUser, indem Sie den Benutzernamen aus den Suchergebnissen auswählen.

    2. Vergewissern Sie sich auf der Registerkarte Berechtigungen, dass der angehängt OktaListRolesPolicyist.

    3. Verwenden Sie das Play button icon with a triangular shape pointing to the right. -Symbol, um die Richtlinie zu öffnen. Stellen Sie sicher, dass der Text mit den Angaben in diesem Verfahren übereinstimmt.

    4. Auf der Registerkarte Sicherheitsanmeldedaten können Sie den Zugriffsschlüssel überprüfen, obwohl Sie ihn bereits heruntergeladen haben. Sie können zu dieser Registerkarte zurückkehren, um einen Zugriffsschlüssel zu erstellen, wenn Sie einen neuen benötigen.

Im folgenden Verfahren kehren Sie zu Okta zurück, um den Zugriffsschlüssel bereitzustellen. Der Zugriffsschlüssel funktioniert mit Ihren neuen Sicherheitseinstellungen, damit AWS der Okta-IdP zusammenarbeiten kann.

Um die Konfiguration der Okta-Anwendung mit den Einstellungen abzuschließen AWS

  1. Kehren Sie zu Ihrem Okta-Dashboard zurück. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Wenn die Entwicklerkonsole nicht mehr geöffnet ist, wählen Sie Admin, um sie erneut zu öffnen.

  2. Wenn Sie Okta erneut öffnen müssen, können Sie zu diesem Abschnitt zurückkehren, indem Sie die folgenden Schritte ausführen:

    1. Melden Sie sich bei Okta an. Wählen Sie Applications (Anwendungen).

    2. Wählen Sie AWS Account Federation QuickSight — die Anwendung, die Sie zu Beginn dieses Tutorials erstellt haben.

    3. Wählen Sie auf der Registerkarte Anmelden zwischen Allgemein und Mobil.

  3. Scrollen Sie zu den erweiterten Anmeldeeinstellungen.

  4. Geben Sie für Identity Provider ARN (nur für den SAML IAM Verbund erforderlich) den Anbieter ARN aus dem vorherigen Verfahren ein, zum Beispiel: 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Wählen Sie Fertig oder Speichern. Der Name der Schaltfläche hängt davon ab, ob Sie die Anwendung erstellen oder bearbeiten.

  6. Wählen Sie die Registerkarte Provisioning und wählen Sie im unteren Teil der Registerkarte die Option Configure API Integration aus.

  7. Aktivieren Sie die Option API Integration aktivieren, um die Einstellungen anzuzeigen.

  8. Geben Sie für Zugriffsschlüssel und Geheimer Schlüssel den Zugriffsschlüssel und den geheimen Schlüssel ein, die Sie zuvor in eine Datei mit dem Namen OktaSSOUser_credentials.csv heruntergeladen haben.

  9. Wählen Sie APITestanmeldedaten aus. Suchen Sie über der Einstellung „APIIntegration aktivieren“ nach einer Meldung, die bestätigt, dass der AWS Kontoverbund erfolgreich verifiziert wurde.

  10. Wählen Sie Save (Speichern) aus.

  11. Vergewissern Sie sich, dass Zur App auf der linken Seite markiert ist, und wählen Sie rechts Bearbeiten aus.

  12. Aktivieren Sie für Benutzer erstellen die Option Aktivieren.

  13. Wählen Sie Save (Speichern) aus.

  14. Wählen Sie auf der Registerkarte Zuweisungen neben Bereitstellung und Import die Option Zuweisen aus.

  15. Um den Verbundzugriff zu aktivieren, führen Sie einen oder mehrere der folgenden Schritte aus:

    • Um mit einzelnen Benutzern zu arbeiten, wählen Sie Personen zuweisen.

    • Um mit IAM Gruppen zu arbeiten, wählen Sie „Gruppen zuweisen“. Sie können bestimmte IAM Gruppen oder Alle (Alle Benutzer in Ihrer Organisation) auswählen.

  16. Gehen Sie für jeden IAM Benutzer oder jede Gruppe wie folgt vor:

    1. Wählen Sie Zuweisen, Rolle.

    2. Wählen Sie eine Rolle QuicksightOktaFederatedRoleaus der Liste der IAM Rollen aus.

    3. Aktivieren Sie für SAMLBenutzerrollen QuicksightOktaFederatedRole.

  17. Wählen Sie Speichern und Zurück und anschließend Fertig.

  18. Stellen Sie sicher, dass Sie diesen Schritt korrekt abgeschlossen haben, indem Sie links den Filter Personen oder Gruppen auswählen und die von Ihnen eingegebenen Benutzer oder Gruppen überprüfen. Wenn Sie diesen Vorgang nicht abschließen können, weil die von Ihnen erstellte Rolle nicht in der Liste aufgeführt ist, kehren Sie zu den vorherigen Verfahren zurück, um die Einstellungen zu überprüfen.

So melden Sie sich QuickSight mit Okta an (Anmeldung von IdP zum Dienstanbieter)

  1. Wenn Sie ein Okta-Administratorkonto verwenden, wechseln Sie in den Benutzermodus.

  2. Melden Sie sich mit einem Benutzer, dem Verbundzugriff gewährt wurde, in Ihrem Okta-Anwendungs-Dashboard an. Sie sollten eine neue Anwendung mit Ihrem Label sehen, zum Beispiel AWS Account Federation -. QuickSight

  3. Wählen Sie das Anwendungssymbol, um AWS Account Federation - zu starten QuickSight.

Sie können jetzt Identitäten mit Okta verwalten und den Verbundzugriff mit Amazon verwenden. QuickSight

Der folgende Vorgang ist ein optionaler Teil dieses Tutorials. Wenn Sie die Anweisungen befolgen, autorisieren Sie, QuickSight Autorisierungsanfragen im Namen Ihrer Benutzer an den IdP weiterzuleiten. Mit dieser Methode können sich Benutzer anmelden, ohne sich QuickSight zuerst über die IdP-Seite anmelden zu müssen.

(Optional) Um das Senden von Authentifizierungsanfragen an Okta einzurichten QuickSight

  1. Öffnen Sie QuickSight und wählen Sie in Ihrem Profilmenü die Option Verwalten QuickSight aus.

  2. Wählen Sie im Navigationsbereich Single Sign-On (IAMFederation) aus.

  3. Geben Sie für Konfiguration, IdP den Wert ein URLURL, den Ihr IdP zur Benutzerauthentifizierung bereitstellt, z. B. https://dev -1-----0.okta. com/home/amazon_aws/0oabababababaGQei5d5/282. Sie finden dies auf Ihrer Okta-App-Seite auf der Registerkarte Allgemein unter Link einbetten.

  4. Geben RelayState Sie für IdP URL ein.

  5. Führen Sie eine der folgenden Aktionen aus:

    • Um zunächst die Anmeldung bei Ihrem Identitätsanbieter zu testen, verwenden Sie zunächst den in Test URL angegebenen benutzerdefinierten Code, der mit Ihrem IdP beginnt. Sie sollten beispielsweise auf der Startseite für QuickSight https://quicksight.aws.amazon.com/sn/ Start ankommen.

    • Um QuickSight zuerst die Anmeldung mit zu testen, verwenden Sie die benutzerdefinierte Option, die unter end-to-endErfahrung testen URL bereitgestellt wird. Der enable-sso Parameter wird an den URL angehängt. Fallsenable-sso=1, versucht der IAM Verband, sich zu authentifizieren. Wennenable-sso=0, sendet die Authentifizierungsanfrage QuickSight nicht, und Sie melden sich QuickSight wie zuvor an.

  6. Wählen Sie unter Status die Option AN aus.

  7. Wählen Sie Speichern, um Ihre Einstellungen beizubehalten.

Sie können einen Deep-Link zu einem QuickSight Dashboard erstellen, damit Benutzer mithilfe des IAM Verbunds eine direkte Verbindung zu bestimmten Dashboards herstellen können. Dazu fügen Sie das Relay-State-Flag und das Dashboard an das Okta-Single-Sign-On URL anURL, wie im Folgenden beschrieben.

Um einen Deep-Link zu einem QuickSight Dashboard für Single Sign-On zu erstellen

  1. Suchen Sie das Single Sign-On (IAMFederation) der Okta-Anwendung URL in der metadata.xml Datei, die Sie zu Beginn des Tutorials heruntergeladen haben. Sie finden es ganz unten URL in der Datei, in dem Element mit dem Namen. md:SingleSignOnService Das Attribut heißt Location und der Wert endet mit /sso/saml, wie im folgenden Beispiel gezeigt.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Nehmen Sie den Wert des IAM Verbunds URL und fügen Sie ihn an, ?RelayState= gefolgt vom Wert URL Ihres QuickSight Dashboards. Der RelayState Parameter gibt den Status (denURL) weiter, in dem sich der Benutzer befand, als er zur Authentifizierung weitergeleitet wurde. URL

  3. Fügen Sie dem neuen IAM Verbund mit dem hinzugefügten Relay-Status den URL Ihres QuickSight Dashboards hinzu. Das Ergebnis URL sollte wie folgt aussehen.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Wenn der von Ihnen erstellte Link nicht geöffnet werden kann, überprüfen Sie, ob Sie den neuesten IAM Verbund URL aus dem verwendenmetadata.xml. Vergewissern Sie sich auch, dass der Benutzername, mit dem Sie sich anmelden, nicht in mehr als einer IAM Verbund-Okta-App zugewiesen ist.