Configuración de la sincronización del correo electrónico para los usuarios federados en Amazon QuickSight - Amazon QuickSight
Paso 1: Actualizar la relación de confianza del IAM rolPaso 2: Agrega un SAML atributo o OIDC un tokenPaso 3: activación de la sincronización del correo electrónico

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la sincronización del correo electrónico para los usuarios federados en Amazon QuickSight

 Se aplica a: Enterprise Edition 
   Destinatarios: administradores de sistemas y QuickSight administradores de Amazon 
nota

IAMLa federación de identidades no admite la sincronización de grupos de proveedores de identidad con Amazon QuickSight.

En la edición Amazon QuickSight Enterprise, como administrador, puede impedir que los nuevos usuarios utilicen direcciones de correo electrónico personales cuando aprovisionen directamente a través de su proveedor de identidad (IdP). QuickSight QuickSight a continuación, utiliza las direcciones de correo electrónico preconfiguradas que se transfieren a través del IdP al aprovisionar nuevos usuarios a su cuenta. Por ejemplo, puede hacer que solo se usen las direcciones de correo electrónico asignadas por la empresa cuando se aprovisionen usuarios a su QuickSight cuenta a través de su IdP.

nota

Asegúrese de que sus usuarios se federen directamente a QuickSight través de su IdP. Al federarse a AWS Management Console través de su IdP y, a continuación, hacer clic QuickSight en él, se produce un error y no podrán acceder. QuickSight

Al configurar la sincronización del correo electrónico para los usuarios federados en QuickSight, los usuarios que inician sesión en su QuickSight cuenta por primera vez tienen direcciones de correo electrónico preasignadas. Se utilizan para registrar sus cuentas. Con este enfoque, los usuarios pueden omitir manualmente esto ingresando una dirección de correo electrónico. Además, los usuarios no pueden usar una dirección de correo electrónico que pueda diferir de la dirección de correo electrónico que indique en calidad de administrador.

QuickSight admite el aprovisionamiento a través de un IdP que admite la SAML autenticación OpenID Connect OIDC (). Para configurar las direcciones de correo electrónico de los nuevos usuarios al aprovisionar a través de un IdP, debe actualizar la relación de confianza IAM del rol que utilizan AssumeRoleWithSAML con o. AssumeRoleWithWebIdentity A continuación, añades un SAML atributo o un OIDC token a su IdP. Por último, activas la sincronización del correo electrónico para los usuarios federados en. QuickSight

Los siguientes procedimientos describen los pasos de manera más detallada.

Paso 1: actualice la relación de confianza del IAM rol con AssumeRoleWithSAML o AssumeRoleWithWebIdentity

Puede configurar las direcciones de correo electrónico para que las usen sus usuarios cuando aprovisionen a través de su QuickSight IdP. Para ello, añada la sts:TagSession acción a la relación de confianza del IAM rol que utilice con AssumeRoleWithSAML o. AssumeRoleWithWebIdentity De este modo, puede transferir etiquetas principal cuando los usuarios asuman el rol.

El siguiente ejemplo ilustra un IAM rol actualizado en el que el IdP es Okta. Para usar este ejemplo, actualiza el nombre del recurso de Federated Amazon (ARN) con el ARN de tu proveedor de servicios. Puede reemplazar los elementos en rojo con su información específica del servicio AWS y del IdP.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Paso 2: Agrega un SAML atributo o un OIDC token para la etiqueta IAM principal de tu IdP

Tras actualizar la relación de confianza del IAM rol como se describe en la sección anterior, añada un SAML atributo o un OIDC token para la IAM Principal etiqueta en su IdP.

Los siguientes ejemplos ilustran un SAML atributo y un OIDC token. Para usar estos ejemplos, reemplace la dirección de correo electrónico por una variable en su IdP que apunte a la dirección de correo electrónico de un usuario. Puede reemplazar los elementos resaltados en rojo por su información.

  • SAMLatributo: el siguiente ejemplo ilustra un SAML atributo. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    nota

    Si utilizas Okta como IdP, asegúrate de activar una marca de función en tu cuenta de usuario de Okta para utilizarla. SAML Para obtener más información, consulte Okta y AWS su asociación para simplificar el acceso mediante etiquetas de sesión en el blog de Okta.

  • OIDCtoken: el siguiente ejemplo ilustra un ejemplo de OIDC token. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Paso 3: Activa la sincronización del correo electrónico para los usuarios federados en QuickSight

Como se ha descrito anteriormente, actualice la relación de confianza del IAM rol y añada un SAML atributo o un OIDC token para la IAM Principal etiqueta en su IdP. A continuación, active la sincronización del correo electrónico para los usuarios federados tal y QuickSight como se describe en el siguiente procedimiento.

Activación de la sincronización del correo electrónico para los usuarios federados

  1. Desde cualquier página QuickSight, elige tu nombre de usuario en la parte superior derecha y, a continuación, selecciona Administrar. QuickSight

  2. Selecciona Inicio de sesión único (IAMfederación) en el menú de la izquierda.

  3. En la página de IAMfederación iniciada por el proveedor de servicios, en Sincronización del correo electrónico para usuarios federados, selecciona ACTIVADO.

    Cuando la sincronización del correo electrónico para los usuarios federados está activada, QuickSight utiliza las direcciones de correo electrónico que configuró en los pasos 1 y 2 al aprovisionar nuevos usuarios a su cuenta. Los usuarios no pueden ingresar sus propias direcciones de correo electrónico.

    Si la sincronización del correo electrónico para los usuarios federados está desactivada, QuickSight pide a los usuarios que introduzcan su dirección de correo electrónico manualmente al aprovisionar nuevos usuarios a su cuenta. Pueden usar las direcciones de correo electrónico que deseen.