Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Configuración de la sincronización del correo electrónico para los usuarios federados en Amazon QuickSight

PDF
RSS
Modo de enfoque
Configuración de la sincronización del correo electrónico para los usuarios federados en Amazon QuickSight - Amazon QuickSight
Paso 1: actualización de la relación de confianza del rol de IAMPaso 2: adición de un atributo SAML o un token OIDCPaso 3: activación de la sincronización del correo electrónico

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

 Se aplica a: Enterprise Edition 
   Público objetivo: administradores de sistemas y administradores de Amazon QuickSight  
nota

La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon. QuickSight

En la edición Amazon QuickSight Enterprise, como administrador, puede impedir que los nuevos usuarios utilicen direcciones de correo electrónico personales cuando aprovisionen directamente a través de su proveedor de identidad (IdP). QuickSight QuickSight a continuación, utiliza las direcciones de correo electrónico preconfiguradas que se transfieren a través del IdP al aprovisionar nuevos usuarios a su cuenta. Por ejemplo, puede hacer que solo se usen las direcciones de correo electrónico asignadas por la empresa cuando se aprovisionen usuarios a su QuickSight cuenta a través de su IdP.

nota

Asegúrese de que sus usuarios se federen directamente a QuickSight través de su IdP. Al federarse a AWS Management Console través de su IdP y, a continuación, hacer clic QuickSight en él, se produce un error y no podrán acceder. QuickSight

Al configurar la sincronización del correo electrónico para los usuarios federados en QuickSight, los usuarios que inician sesión en su QuickSight cuenta por primera vez tienen direcciones de correo electrónico preasignadas. Se utilizan para registrar sus cuentas. Con este enfoque, los usuarios pueden omitir manualmente esto ingresando una dirección de correo electrónico. Además, los usuarios no pueden usar una dirección de correo electrónico que pueda diferir de la dirección de correo electrónico que indique en calidad de administrador.

QuickSight admite el aprovisionamiento a través de un IdP que admite la autenticación SAML u OpenID Connect (OIDC). Para configurar las direcciones de correo electrónico de los nuevos usuarios al aprovisionar a través de un IdP, debe actualizar la relación de confianza del rol de IAM que utilizan con AssumeRoleWithSAML o AssumeRoleWithWebIdentity. A continuación, agrega un atributo SAML o un token OIDC a su IdP. Por último, se activa la sincronización del correo electrónico para los usuarios federados en. QuickSight

Los siguientes procedimientos describen los pasos de manera más detallada.

Paso 1: actualice la relación de confianza del rol de IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity

Puede configurar las direcciones de correo electrónico para que las usen sus usuarios cuando aprovisionen a través de su QuickSight IdP. Para ello, agregue la acción sts:TagSession a la relación de confianza del rol de IAM que utilice con AssumeRoleWithSAML o AssumeRoleWithWebIdentity. De este modo, puede transferir etiquetas principal cuando los usuarios asuman el rol.

El siguiente ejemplo ilustra un rol de IAM actualizado en el que el IdP es Okta. Para utilizar este ejemplo, actualice el nombre de recurso de Amazon (ARN) Federated con el ARN de su proveedor de servicios. Puede reemplazar los elementos en rojo con su información específica del servicio AWS y del IdP.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Paso 2: adición de un atributo SAML o un token OIDC para la etiqueta de la entidad principal de IAM en su IdP

Tras actualizar la relación de confianza del rol de IAM como se describe en la sección anterior, agregue un atributo SAML o un token OIDC para la etiqueta Principal de IAM en su IdP.

Los siguientes ejemplos ilustran un atributo SAML y un token OIDC. Para usar estos ejemplos, reemplace la dirección de correo electrónico por una variable en su IdP que apunte a la dirección de correo electrónico de un usuario. Puede reemplazar los elementos resaltados en rojo por su información.

  • Atributo SAML: el siguiente ejemplo ilustra un atributo SAML. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    nota

    Si utiliza Okta como IdP, asegúrese de activar un indicador de característica en su cuenta de usuario de Okta para usar SAML. Para obtener más información, consulte Okta y AWS su asociación para simplificar el acceso mediante etiquetas de sesión en el blog de Okta.

  • Token OIDC: el siguiente ejemplo ilustra un ejemplo de token OIDC. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Paso 3: Activa la sincronización del correo electrónico para los usuarios federados en QuickSight

Como se ha descrito anteriormente, actualice la relación de confianza del rol de IAM y agregue un atributo SAML o un token OIDC para la etiqueta Principal de IAM en su IdP. A continuación, active la sincronización del correo electrónico para los usuarios federados tal y QuickSight como se describe en el siguiente procedimiento.

Activación de la sincronización del correo electrónico para los usuarios federados

  1. Desde cualquier página QuickSight, elige tu nombre de usuario en la parte superior derecha y, a continuación, selecciona Administrar. QuickSight

  2. Seleccione Inicio de sesión único (federación de IAM) en el menú de la izquierda.

  3. En la página Federación de IAM iniciada por el proveedor de servicios, en Sincronización de email para usuarios federados, seleccione ACTIVADO.

    Cuando la sincronización del correo electrónico para los usuarios federados está activada, QuickSight utiliza las direcciones de correo electrónico que configuró en los pasos 1 y 2 al aprovisionar nuevos usuarios a su cuenta. Los usuarios no pueden ingresar sus propias direcciones de correo electrónico.

    Si la sincronización del correo electrónico para los usuarios federados está desactivada, QuickSight pide a los usuarios que introduzcan su dirección de correo electrónico manualmente al aprovisionar nuevos usuarios a su cuenta. Pueden usar las direcciones de correo electrónico que deseen.

En esta página

Related resources

Amazon QuickSight 
Soporte técnico 
Foro de QuickSight usuarios de Amazon 

Related resources

Amazon QuickSight 
Soporte técnico 
Foro de QuickSight usuarios de Amazon 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.