Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la fédération IdP à l'aide de et IAM QuickSight

Vous pouvez utiliser un rôle AWS Identity and Access Management (IAM) et un état de relais URL pour configurer un fournisseur d'identité (IdP) conforme SAML à la version 2.0. Le rôle accorde aux utilisateurs l'autorisation d'accéder à Amazon QuickSight. L'état du relais est le portail vers lequel l'utilisateur est redirigé après une authentification réussie par AWS.

Prérequis

Avant de configurer votre connexion SAML 2.0, procédez comme suit :

Après avoir créé la configuration pour fédérer selon AWS Management Console les instructions du didacticiel, vous pouvez modifier l'état du relais indiqué dans le didacticiel. Pour ce faire, utilisez l'état de relais d'Amazon QuickSight, décrit à l'étape 5 ci-dessous.

Pour plus d’informations, consultez les ressources suivantes :

Étape 1 : créer un SAML fournisseur dans AWS

Votre fournisseur SAML d'identité définit l'IdP de votre organisation pour. AWS Pour ce faire, il utilise le document de métadonnées que vous avez généré précédemment par l'intermédiaire de votre IdP.

Étape 2 : Configurer des autorisations dans AWS pour vos utilisateurs fédérés

Ensuite, créez un rôle IAM qui établit une relation de confiance entre IAM et le fournisseur d'identité de votre organisation. Ce rôle identifie votre fournisseur d'identité en tant que principal (entité de confiance) pour les besoins de la fédération. Le rôle définit également quels utilisateurs authentifiés par l'IdP de votre organisation sont autorisés à accéder à Amazon. QuickSight Pour plus d'informations sur la création d'un rôle pour un SAML IdP, consultez la section Création d'un rôle pour la fédération SAML 2.0 dans le guide de l'IAMutilisateur.

Une fois que vous avez créé le rôle, vous pouvez le limiter afin de n'accorder des autorisations qu'à Amazon QuickSight en attachant une politique intégrée au rôle. L'exemple de document de politique suivant fournit un accès à Amazon QuickSight. Cette politique permet aux utilisateurs d'accéder à Amazon QuickSight et de créer à la fois des comptes d'auteur et des comptes de lecteur.

    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }
    

Si vous souhaitez fournir un accès à Amazon QuickSight et également la possibilité de créer des QuickSight administrateurs, des auteurs (utilisateurs standard) et des lecteurs Amazon, vous pouvez utiliser l'exemple de politique suivant.

    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }
                

Vous pouvez consulter les détails du compte dans le AWS Management Console.

Une fois que vous avez configuré SAML et défini la IAM ou les politiques, vous n'avez pas besoin d'inviter les utilisateurs manuellement. La première fois que les utilisateurs ouvrent Amazon QuickSight, ils sont approvisionnés automatiquement, en utilisant les autorisations les plus élevées définies dans la politique. Par exemple, s'ils disposent des autorisations à la fois pour quicksight:CreateUser et quicksight:CreateReader, ils sont provisionnés en tant qu'auteurs. S'ils disposent également des autorisations pour quicksight:CreateAdmin, ils sont provisionnés en tant qu'administrateurs. Chaque niveau d'autorisation inclut la possibilité de créer le même niveau d'utilisateur et les niveaux inférieurs. Par exemple, un auteur peut ajouter d'autres auteurs ou des lecteurs.

Les utilisateurs qui sont invités manuellement sont créés dans le rôle attribué par la personne qui les a invités. Ils n'ont pas besoin d'avoir des stratégies qui leur accordent les autorisations.

Étape 3 : Configuration de l'SAMLIdP

Après avoir créé le IAM rôle, mettez à jour votre SAML IdP en AWS tant que fournisseur de services. Pour ce faire, installez le saml-metadata.xml fichier qui se trouve dans le fichier https://signin.aws.amazon.com/static/saml-metadata.xml.

Pour mettre à jour les métadonnées de votre fournisseur d'identité, consultez les instructions qu'il vous a fournies. Certains fournisseurs vous offrent la possibilité de saisir le fichierURL, après quoi l'IdP obtient et installe le fichier pour vous. D'autres exigent que vous téléchargiez le fichier depuis le, URL puis que vous le fournissiez sous forme de fichier local.

Pour de plus amples informations, veuillez consulter la documentation de votre fournisseur d'identité.

Étape 4 : créer des assertions pour la réponse SAML d'authentification

Configurez ensuite les informations que l'IdP transmet sous forme d'SAMLattributs dans le AWS cadre de la réponse d'authentification. Pour plus d'informations, consultez la section Configuration SAML des assertions pour la réponse d'authentification dans le guide de l'IAMutilisateur.

Étape 5 : Configurer l'état des relais de votre fédération

Enfin, configurez l'état du relais de votre fédération pour qu'il pointe vers l'état du QuickSight relaisURL. Une fois l'authentification réussie AWS, l'utilisateur est dirigé vers Amazon QuickSight, défini comme l'état du relais dans la réponse SAML d'authentification.

L'état du relais URL pour Amazon QuickSight est le suivant.

https://quicksight.aws.amazon.com