Tutorial: QuickSight Identitätsverbund von Amazon und IAM - Amazon QuickSight

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: QuickSight Identitätsverbund von Amazon und IAM

   Gilt für: Enterprise Edition und Standard Edition 
   Zielgruppe: QuickSight Amazon-Administratoren und QuickSight Amazon-Entwickler 
Anmerkung

Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon nicht. QuickSight

Im folgenden Tutorial finden Sie eine Anleitung zur Einrichtung von IdP Okta als Verbunddienst für Amazon. QuickSight Dieses Tutorial zeigt zwar die Integration von AWS Identity and Access Management (IAM) und Okta, Sie können diese Lösung jedoch auch mit SAML 2.0 Ihrer Wahl replizieren. IdPs

Im folgenden Verfahren erstellen Sie eine App im Okta IdP mithilfe der Verknüpfung „AWS Account Federation“. Okta beschreibt diese Integrations-App wie folgt:

„Durch die Zusammenführung von Okta mit Amazon Web Services (AWS) Identity and Access Management (IAM) -Konten erhalten Endbenutzer mit ihren Okta-Anmeldeinformationen Single-Sign-On-Zugriff auf alle ihnen zugewiesenen AWS Rollen. In jedem Fall richten Administratoren einen Verbund ein und konfigurieren AWS Rollen so AWS-Konto, dass sie Okta vertrauen. Wenn sich Benutzer anmelden, erhalten sie die Möglichkeit AWS, sich mit Okta Single Sign-In anzumelden, um die ihnen zugewiesenen Rollen einzusehen. AWS Sie können dann eine gewünschte Rolle auswählen, die ihre Berechtigungen für die Dauer ihrer authentifizierten Sitzung definiert. Kunden mit einer großen Anzahl von AWS Konten sollten sich die AWS Single Sign-On-App als Alternative ansehen.“ () https://www.okta.com/aws/

Um eine Okta-App mithilfe der Anwendungsverknüpfung „AWS Account Federation“ von Okta zu erstellen

  1. Melden Sie sich in Ihrem Okta-Dashboard an. Wenn Sie noch keins haben, erstellen Sie ein kostenloses Okta Developer Edition-Konto, indem Sie diese QuickSight markenspezifische URL verwenden. Wenn Sie Ihre E-Mail-Adresse aktiviert haben, melden Sie sich bei Okta an.

  2. Wählen Sie auf der Okta-Website oben links <> Entwicklerkonsole und dann Classic UI aus.

  3. Wählen Sie Anwendungen hinzufügen und dann App hinzufügen.

  4. Geben Sie aws für Suche ein und wählen Sie in den Suchergebnissen AWS -Kontoverbund aus.

  5. Wählen Sie Hinzufügen, um eine Instance dieser Anwendung zu erstellen.

  6. Geben Sie unter Anwendungsbeschreibung AWS Account Federation - QuickSight ein.

  7. Wählen Sie Weiter.

  8. Geben Sie für SAML 2.0, Standardmäßiger Relay-Status, https://quicksight.aws.amazon.com ein.

  9. Öffnen Sie das Kontextmenü (rechte Maustaste) für Identitätsanbieter-Metadaten und wählen Sie die Option zum Speichern der Datei. Benennen Sie die Datei metadata.xml. Sie benötigen diese Datei für die nächsten Schritte.

    Der Inhalt der Datei ähnelt dem folgenden Beispiel.

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Nachdem Sie die XML-Datei gespeichert haben, scrollen Sie zum Ende der Okta-Seite und wählen Sie Fertig.

  11. Lassen Sie dieses Browserfenster nach Möglichkeit geöffnet. Sie benötigen es zu einem späteren Zeitpunkt in diesem Tutorial.

Als Nächstes erstellen Sie einen Identitätsanbieter in Ihrem AWS-Konto.

So erstellen Sie einen SAML-Anbieter in AWS Identity and Access Management (IAM)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Identitätsanbieter und dann Anbieter auswählen aus.

  3. Geben Sie die folgenden Einstellungen ein:

    • Anbietertyp – Wählen Sie SAML aus der Liste aus.

    • Anbietername – Geben Sie Okta ein.

    • Metadaten-Dokument – Laden Sie die XML-Datei manifest.xml aus dem vorherigen Verfahren hoch.

  4. Wählen Sie Nächster Schritt und Erstellen aus.

  5. Suchen Sie den Identitätsanbieter, den Sie erstellt haben, und wählen Sie ihn aus, um die Einstellungen anzuzeigen. Notieren Sie sich den Anbieter-ARN. Sie benötigen dies, um das Tutorial zu beenden.

  6. Stellen Sie sicher, dass der Identitätsanbieter mit Ihren Einstellungen erstellt wurde. Wählen Sie in IAM Identitätsanbieter, Okta (der von Ihnen hinzugefügte Identitätsanbiete) und Metadaten herunterladen aus. Bei der Datei sollte es sich um die Datei handeln, die Sie kürzlich hochgeladen haben.

Als Nächstes erstellen Sie eine IAM-Rolle, damit der SAML 2.0-Verbund als vertrauenswürdige Entität in Ihrem agieren kann. AWS-Konto Für diesen Schritt müssen Sie auswählen, wie Sie Benutzer in Amazon bereitstellen möchten QuickSight. Sie können einen der folgenden Schritte ausführen:

So erstellen Sie eine IAM-Rolle für einen SAML-2.0-Verbund als vertrauenswürdige Entität

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und Create Role (Rolle erstellen) aus.

  3. Wählen Sie für Typ der vertrauenswürdigen Entität auswählen die Karte mit der Bezeichnung SAML-2.0-Verbund aus.

  4. Wählen Sie für SAML-Anbieter den Identitätsanbieter aus, den Sie im vorherigen Vorgang erstellt haben, z. B. Okta.

  5. Aktivieren Sie die Option Programmatischen Zugriff und Zugriff auf die AWS Managementkonsole zulassen.

  6. Wählen Sie Weiter: Berechtigungen aus.

  7. Fügen Sie die folgende Richtlinie in den Editor ein.

    Aktualisieren Sie den JSON im Richtlinien-Editor mit dem Amazon-Ressourcenname (ARN) Ihres Anbieters. 

    {
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Wählen Sie Richtlinie prüfen.

  9. Geben Sie unter Name den Namen QuicksightOktaFederatedPolicy ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

  10. Wählen Sie ein zweites Mal Richtlinie erstellen, JSON aus.

  11. Fügen Sie die folgende Richtlinie in den Editor ein.

    Aktualisieren Sie im Richtlinien-Editor die JSON-Datei mit Ihrer AWS-Konto ID. Es sollte dieselbe Konto-ID sein, die Sie in der vorherigen Richtlinie im Anbieter-ARN verwendet haben.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    Sie können den AWS-Region Namen im ARN weglassen, wie im Folgenden gezeigt.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Wählen Sie Richtlinie prüfen.

  13. Geben Sie unter Name den Namen QuicksightCreateReader ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

  14. Aktualisieren Sie die Liste der Richtlinien, indem Sie das Aktualisierungssymbol auf der rechten Seite auswählen.

  15. Geben Sie für Suche QuicksightOktaFederatedPolicy ein. Wählen Sie die Richtlinie aus, um sie zu aktivieren ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Wenn Sie die automatische Bereitstellung nicht verwenden möchten, können Sie den folgenden Schritt überspringen.

    Verwenden Sie QuickSight register-user, um einen Benutzer hinzuzufügen. Um eine QuickSight Gruppe hinzuzufügen, verwenden Sie create-group. Um Benutzer zur QuickSight Gruppe hinzuzufügen, verwenden Sie. create-group-membership

  16. (Optional) Geben Sie für Suche QuicksightCreateReader ein. Wählen Sie die Richtlinie aus, um sie zu aktivieren ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Führen Sie diesen Schritt aus, wenn Sie QuickSight Benutzer automatisch bereitstellen möchten, anstatt die QuickSight API zu verwenden.

    Die QuicksightCreateReader-Richtlinie aktiviert die automatische Bereitstellung, indem sie die Verwendung der quicksight:CreateReader-Aktion zulässt. Dadurch erhalten Erstbenutzer Zugriff auf Dashboard-Subscriber (auf Leserebene). Ein QuickSight Administrator kann sie später über das QuickSight Profilmenü „Verwalten QuickSight“, „Benutzer verwalten“ aktualisieren.

  17. Um mit dem Anhängen der IAM-Richtlinie oder -Richtlinien fortzufahren, wählen Sie Weiter: Tags.

  18. Wählen Sie Weiter: Prüfen aus.

  19. Geben Sie für Rollenname den Namen QuicksightOktaFederatedRole ein und klicken Sie auf Rolle erstellen.

  20. Stellen Sie sicher, dass Sie den Vorgang erfolgreich abgeschlossen haben, indem Sie die folgenden Schritte ausführen:

    1. Kehren Sie zur Hauptseite der IAM-Konsole unter https://console.aws.amazon.com/iam/zurück. Sie können die Zurück-Schaltfläche Ihres Browsers verwenden.

    2. Wählen Sie Roles.

    3. Geben Sie für Suche Okta ein. Wählen Sie QuicksightOktaFederatedRoleaus den Suchergebnissen.

    4. Sehen Sie sich auf der Seite Übersicht für die Richtlinie den Tab Berechtigungen an. Vergewissern Sie sich, dass die Rolle über die Richtlinie oder Richtlinien verfügt, die Sie ihr zugewiesen haben. Sie sollte QuicksightOktaFederatedPolicy haben. Wenn Sie sich für die Möglichkeit entschieden haben, Benutzer zu erstellen, sollte diese auch QuicksightCreateReader haben.

    5. Verwenden Sie das Play button icon with a triangular shape pointing to the right. -Symbol, um jede Richtlinie zu öffnen. Stellen Sie sicher, dass der Text mit den Angaben in diesem Verfahren übereinstimmt. Vergewissern Sie sich, dass Sie anstelle der AWS-Konto Beispielkontonummer 1111111111 Ihre eigene Nummer hinzugefügt haben.

    6. Stellen Sie auf der Registerkarte Vertrauensbeziehungen sicher, dass das Feld Vertrauenswürdige Entitäten den ARN für den Identitätsanbieter enthält. Sie können den ARN in der IAM-Konsole überprüfen, indem Sie Identitätsanbieter, Okta öffnen.

So erstellen Sie einen Zugriffsschlüssel für Okta

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Fügen Sie eine Richtlinie hinzu, die es Okta ermöglicht, dem Benutzer eine Liste von IAM-Rollen anzuzeigen. Wählen Sie dazu Richtlinie, Richtlinie erstellen.

  3. Wählen Sie JSON, geben Sie dann die folgende Richtlinie ein.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Wählen Sie Review policy (Richtlinie überprüfen) aus.

  5. Geben Sie unter Name OktaListRolesPolicy ein. Wählen Sie dann Richtlinie erstellen aus.

  6. Fügen Sie einen Benutzer hinzu, damit Sie Okta einen Zugriffsschlüssel zur Verfügung stellen können.

    Klicken Sie im Navigationsbereich auf Benutzer und Benutzer hinzufügen.

  7. Verwenden Sie die folgenden Einstellungen:

    • Geben Sie unter User Name (Benutzername) den Text OktaSSOUser ein.

    • Aktivieren Sie als Zugriffstyp die Option Programmgesteuerter Zugriff.

  8. Wählen Sie Weiter: Berechtigungen aus.

  9. Wählen Sie Vorhandene Richtlinien direkt zuordnen.

  10. Geben Sie für Suchen den OktaListRolesPolicy Suchbegriff ein und wählen Sie OktaListRolesPolicyaus den Suchergebnissen aus.

  11. Wählen Sie Weiter: Tags und danach Weiter: Prüfen aus.

  12. Wählen Sie Create user (Benutzer erstellen) aus. Jetzt können Sie den Zugriffsschlüssel abrufen.

  13. Laden Sie das Schlüsselpaar herunter, indem Sie .csv herunterladen wählen. Die Datei enthält dieselbe Zugriffsschlüssel-ID und denselben geheimen Zugriffsschlüssel, die auf diesem Bildschirm angezeigt werden. Da diese Informationen jedoch AWS kein zweites Mal angezeigt werden, stellen Sie sicher, dass Sie die Datei herunterladen.

  14. Stellen Sie sicher, dass Sie diesen Schritt korrekt abgeschlossen haben, indem Sie wie folgt vorgehen:

    1. Öffnen Sie die IAM-Konsole und wählen Sie Benutzer aus. Suchen Sie nach Okta und öffnen Sie esSSOUser, indem Sie den Benutzernamen aus den Suchergebnissen auswählen.

    2. Vergewissern Sie sich auf der Registerkarte Berechtigungen, dass der angehängt OktaListRolesPolicyist.

    3. Verwenden Sie das Play button icon with a triangular shape pointing to the right. -Symbol, um die Richtlinie zu öffnen. Stellen Sie sicher, dass der Text mit den Angaben in diesem Verfahren übereinstimmt.

    4. Auf der Registerkarte Sicherheitsanmeldedaten können Sie den Zugriffsschlüssel überprüfen, obwohl Sie ihn bereits heruntergeladen haben. Sie können zu dieser Registerkarte zurückkehren, um einen Zugriffsschlüssel zu erstellen, wenn Sie einen neuen benötigen.

Im folgenden Verfahren kehren Sie zu Okta zurück, um den Zugriffsschlüssel bereitzustellen. Der Zugriffsschlüssel funktioniert mit Ihren neuen Sicherheitseinstellungen, damit AWS der Okta-IdP zusammenarbeiten kann.

Um die Konfiguration der Okta-Anwendung mit Einstellungen abzuschließen AWS

  1. Kehren Sie zu Ihrem Okta-Dashboard zurück. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Wenn die Entwicklerkonsole nicht mehr geöffnet ist, wählen Sie Admin, um sie erneut zu öffnen.

  2. Wenn Sie Okta erneut öffnen müssen, können Sie zu diesem Abschnitt zurückkehren, indem Sie die folgenden Schritte ausführen:

    1. Melden Sie sich bei Okta an. Wählen Sie Applications (Anwendungen).

    2. Wählen Sie AWS Account Federation QuickSight — die Anwendung, die Sie zu Beginn dieses Tutorials erstellt haben.

    3. Wählen Sie auf der Registerkarte Anmelden zwischen Allgemein und Mobil.

  3. Scrollen Sie zu den erweiterten Anmeldeeinstellungen.

  4. Geben Sie für Identitätsanbieter-ARN (nur für den SAML-IAM-Verbund erforderlich) den Dienst-ARN aus dem vorherigen Verfahren ein, zum Beispiel: 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Wählen Sie Fertig oder Speichern. Der Name der Schaltfläche hängt davon ab, ob Sie die Anwendung erstellen oder bearbeiten.

  6. Wählen Sie die Registerkarte Bereitstellung und wählen Sie im unteren Teil der Registerkarte die Option API-Integration konfigurieren aus.

  7. Aktivieren Sie die Option API-Integration aktivieren, um die Einstellungen anzuzeigen.

  8. Geben Sie für Zugriffsschlüssel und Geheimer Schlüssel den Zugriffsschlüssel und den geheimen Schlüssel ein, die Sie zuvor in eine Datei mit dem Namen OktaSSOUser_credentials.csv heruntergeladen haben.

  9. Wählen Sie API-Anmeldeinformationen testen aus. Suchen Sie über der Einstellung API-Integration aktivieren nach einer Meldung, die bestätigt, dass der AWS -Kontoverbund erfolgreich verifiziert wurde.

  10. Wählen Sie Save (Speichern) aus.

  11. Vergewissern Sie sich, dass Zur App auf der linken Seite markiert ist, und wählen Sie rechts Bearbeiten aus.

  12. Aktivieren Sie für Benutzer erstellen die Option Aktivieren.

  13. Wählen Sie Save (Speichern) aus.

  14. Wählen Sie auf der Registerkarte Zuweisungen neben Bereitstellung und Import die Option Zuweisen aus.

  15. Um den Verbundzugriff zu aktivieren, führen Sie einen oder mehrere der folgenden Schritte aus:

    • Um mit einzelnen Benutzern zu arbeiten, wählen Sie Personen zuweisen.

    • Um mit IAM-Gruppen zu arbeiten, wählen Sie Zu Gruppen zuordnen aus. Sie können bestimmte IAM-Gruppen oder Alle (Alle Benutzer in Ihrem Unternehmen) auswählen.

  16. Gehen Sie für jeden IAM-Benutzer oder jede Gruppe wie folgt vor:

    1. Wählen Sie Zuweisen, Rolle.

    2. Wählen Sie QuicksightOktaFederatedRoleaus der Liste der IAM-Rollen aus.

    3. Aktivieren Sie für SAML-Benutzerrollen. QuicksightOktaFederatedRole

  17. Wählen Sie Speichern und Zurück und anschließend Fertig.

  18. Stellen Sie sicher, dass Sie diesen Schritt korrekt abgeschlossen haben, indem Sie links den Filter Personen oder Gruppen auswählen und die von Ihnen eingegebenen Benutzer oder Gruppen überprüfen. Wenn Sie diesen Vorgang nicht abschließen können, weil die von Ihnen erstellte Rolle nicht in der Liste aufgeführt ist, kehren Sie zu den vorherigen Verfahren zurück, um die Einstellungen zu überprüfen.

So melden Sie sich QuickSight mit Okta an (Anmeldung von IdP zum Dienstanbieter)

  1. Wenn Sie ein Okta-Administratorkonto verwenden, wechseln Sie in den Benutzermodus.

  2. Melden Sie sich mit einem Benutzer, dem Verbundzugriff gewährt wurde, in Ihrem Okta-Anwendungs-Dashboard an. Sie sollten eine neue Anwendung mit Ihrem Label sehen, zum Beispiel AWS Account Federation -. QuickSight

  3. Wählen Sie das Anwendungssymbol, um AWS Account Federation - zu starten QuickSight.

Sie können jetzt Identitäten mit Okta verwalten und den Verbundzugriff mit Amazon verwenden. QuickSight

Der folgende Vorgang ist ein optionaler Teil dieses Tutorials. Wenn Sie die Anweisungen befolgen, autorisieren Sie, QuickSight Autorisierungsanfragen im Namen Ihrer Benutzer an den IdP weiterzuleiten. Mit dieser Methode können sich Benutzer anmelden, ohne sich QuickSight zuerst über die IdP-Seite anmelden zu müssen.

(Optional) Um das Senden von Authentifizierungsanfragen an Okta einzurichten QuickSight

  1. Öffnen Sie QuickSight und wählen Sie in Ihrem Profilmenü die Option Verwalten QuickSight aus.

  2. Wählen Sie im Navigationsbereich Single Sign-On (IAM-Verbund) aus.

  3. Geben Sie unter Konfiguration, IdP-URL die URL ein, die Ihr IdP zur Benutzerauthentifizierung bereitstellt, z. B. https://dev — .okta. 1-----0 com/home/amazon_aws/. 0oabababababaGQei5d5/282 Sie finden dies auf Ihrer Okta-App-Seite auf der Registerkarte Allgemein unter Link einbetten.

  4. Geben Sie RelayState für Identitätsanbieter-URL ein.

  5. Führen Sie eine der folgenden Aktionen aus:

    • Um die Anmeldung bei Ihrem Identitätsanbieter zu testen, verwenden Sie zunächst die benutzerdefinierte URL, die unter Testen Sie den Start mit Ihrem Identitätsanbieter angegeben ist. Sie sollten auf der Startseite ankommen QuickSight, zum Beispiel für Start. https://quicksight.aws.amazon.com/sn/

    • Um QuickSight zuerst die Anmeldung mit zu testen, verwenden Sie die benutzerdefinierte URL, die Sie unter end-to-end Erlebnis testen finden. Der enable-sso-Parameter wird an die URL angehängt. Wenn enable-sso=1, versucht der IAM-Verbund, sich zu authentifizieren. Wennenable-sso=0, sendet die Authentifizierungsanfrage QuickSight nicht und Sie melden sich QuickSight wie zuvor an.

  6. Wählen Sie unter Status die Option AN aus.

  7. Wählen Sie Speichern, um Ihre Einstellungen beizubehalten.

Sie können einen Deep-Link zu einem QuickSight Dashboard erstellen, damit Benutzer mithilfe des IAM-Verbunds eine direkte Verbindung zu bestimmten Dashboards herstellen können. Dazu hängen Sie das Relay-Status-Flag und die Dashboard-URL an die Okta-Single-Sign-On-URL an, wie im Folgenden beschrieben.

Um einen Deep-Link zu einem QuickSight Dashboard für Single Sign-On zu erstellen

  1. Suchen Sie die Single-Sign-On-URL (IAM-Verbund) der Okta-Anwendung in der metadata.xml-Datei, die Sie zu Beginn des Tutorials heruntergeladen haben. Sie finden die URL am Ende der Datei, in dem Element mit dem Namen md:SingleSignOnService. Das Attribut heißt Location und der Wert endet mit /sso/saml, wie im folgenden Beispiel gezeigt.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Fügen Sie den Wert der IAM-Verbund-URL hinzu, ?RelayState= gefolgt von der URL Ihres Dashboards. QuickSight Der RelayState-Parameter gibt den Status (die URL) weiter, in dem sich der Benutzer befand, als er zur Authentifizierungs-URL umgeleitet wurde.

  3. Fügen Sie dem neuen IAM-Verbund mit dem hinzugefügten Relay-Status die URL Ihres Dashboards hinzu. QuickSight Die resultierende URL sollte folgendermaßen aussehen.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Wenn sich der von Ihnen erstellte Link nicht öffnen lässt, überprüfen Sie, ob Sie die neueste IAM-Verbund-URL aus dem metadata.xml verwenden. Vergewissern Sie sich auch, dass der Benutzername, mit dem Sie sich anmelden, nicht in mehr als einer Okta-App für den IAM-Verbund zugewiesen wurde.