Configuration de la synchronisation des e-mails pour les utilisateurs fédérés sur Amazon QuickSight - Amazon QuickSight
Étape 1 : mettre à jour la relation de confiance pour le IAM rôleÉtape 2 : ajouter un SAML attribut ou un OIDC jetonÉtape 3 : Activer la synchronisation des e-mails

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la synchronisation des e-mails pour les utilisateurs fédérés sur Amazon QuickSight

 S'applique à : édition Enterprise 
   Public cible : administrateurs système et QuickSight administrateurs Amazon 
Note

IAMla fédération d'identités ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon QuickSight.

Dans QuickSight l'édition Amazon Enterprise, en tant qu'administrateur, vous pouvez empêcher les nouveaux utilisateurs d'utiliser des adresses e-mail personnelles lorsqu'ils fournissent des informations directement via leur fournisseur d'identité (IdP) à. QuickSight QuickSight utilise ensuite les adresses e-mail préconfigurées transmises via l'IdP lors de l'attribution de nouveaux utilisateurs à votre compte. Par exemple, vous pouvez faire en sorte que seules les adresses e-mail attribuées à l'entreprise soient utilisées lorsque des utilisateurs accèdent à votre QuickSight compte via votre IdP.

Note

Assurez-vous que vos utilisateurs se fédèrent directement QuickSight via leur IdP. Le fait de les fédérer AWS Management Console via leur IdP puis de cliquer dessus QuickSight entraîne une erreur et ils ne pourront pas y accéder. QuickSight

Lorsque vous configurez la synchronisation des e-mails pour les utilisateurs fédérés QuickSight, les utilisateurs qui se connectent à votre QuickSight compte pour la première fois disposent d'adresses e-mail préattribuées. Celles-ci sont utilisées pour enregistrer leurs comptes. Avec cette approche, les utilisateurs peuvent contourner manuellement en saisissant une adresse e-mail. En outre, les utilisateurs ne peuvent pas utiliser une adresse e-mail qui pourrait différer de l'adresse e-mail prescrite par vous, l'administrateur.

QuickSight prend en charge le provisionnement via un IdP qui prend en charge l'SAMLauthentification OpenID Connect OIDC (). Pour configurer les adresses e-mail des nouveaux utilisateurs lors du provisionnement via un IdP, vous devez mettre à jour la relation de confiance pour IAM le rôle qu'ils utilisent AssumeRoleWithSAML avec ou. AssumeRoleWithWebIdentity Ensuite, vous ajoutez un SAML attribut ou un OIDC jeton dans leur IdP. Enfin, vous activez la synchronisation des e-mails pour les utilisateurs fédérés dans. QuickSight

Les procédures suivantes décrivent ces étapes en détail.

Étape 1 : mettre à jour la relation de confiance pour le IAM rôle avec AssumeRoleWithSAML or AssumeRoleWithWebIdentity

Vous pouvez configurer les adresses e-mail que vos utilisateurs utiliseront lors du provisionnement via votre QuickSight IdP pour. Pour ce faire, ajoutez l'sts:TagSessionaction à la relation de confiance pour le IAM rôle que vous utilisez avec AssumeRoleWithSAML ouAssumeRoleWithWebIdentity. Ce faisant, vous pouvez transmettre des balises principal lorsque les utilisateurs assument le rôle.

L'exemple suivant illustre un IAM rôle mis à jour où l'IdP est Okta. Pour utiliser cet exemple, mettez à jour le nom de ressource Federated Amazon (ARN) avec celui ARN de votre fournisseur de services. Vous pouvez remplacer les éléments en rouge par vos informations AWS et celles spécifiques au service IdP.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Étape 2 : ajouter un SAML attribut ou un OIDC jeton pour la balise IAM principale de votre IdP

Après avoir mis à jour la relation de confiance pour le IAM rôle comme décrit dans la section précédente, ajoutez un SAML attribut ou un OIDC jeton pour le IAM Principal tag dans votre IdP.

Les exemples suivants illustrent un SAML attribut et un OIDC jeton. Pour utiliser ces exemples, remplacez l'adresse e-mail par une variable dans votre IdP qui pointe vers l'adresse e-mail d'un utilisateur. Vous pouvez remplacer les éléments surlignés en rouge par vos informations.

  • SAMLattribut : L'exemple suivant illustre un SAML attribut. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    Note

    Si vous utilisez Okta comme IdP, assurez-vous d'activer un indicateur de fonctionnalité dans votre compte utilisateur Okta pour pouvoir l'utiliser. SAML Pour plus d'informations, consultez Okta et AWS son partenariat pour simplifier l'accès via des balises de session sur le blog d'Okta.

  • OIDCjeton : L'exemple suivant illustre un exemple de OIDC jeton. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Étape 3 : activer la synchronisation des e-mails pour les utilisateurs fédérés dans QuickSight

Comme décrit précédemment, mettez à jour la relation de confiance pour le IAM rôle et ajoutez un SAML attribut ou un OIDC jeton pour le IAM Principal tag dans votre IdP. Activez ensuite la synchronisation des e-mails pour les utilisateurs fédérés QuickSight comme décrit dans la procédure suivante.

Activation de la synchronisation des e-mails pour les utilisateurs fédérés

  1. Sur n'importe quelle page QuickSight, choisissez votre nom d'utilisateur en haut à droite, puis sélectionnez Gérer QuickSight.

  2. Choisissez Authentification unique (IAMfédération) dans le menu de gauche.

  3. Sur la page IAMFédération initiée par le fournisseur de services, pour la synchronisation des e-mails pour les utilisateurs fédérés, sélectionnez ON.

    Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est activée, QuickSight utilise les adresses e-mail que vous avez configurées aux étapes 1 et 2 lors de l'attribution de nouveaux utilisateurs à votre compte. Les utilisateurs ne peuvent pas saisir leur propre adresse e-mail.

    Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est désactivée, QuickSight demande aux utilisateurs de saisir leur adresse e-mail manuellement lors de l'attribution de nouveaux utilisateurs à votre compte. Ils peuvent utiliser toutes les adresses e-mail qu'ils souhaitent.