Tutoriel : Amazon QuickSight et la fédération des IAM identités - Amazon QuickSight

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Amazon QuickSight et la fédération des IAM identités

   S'applique à : édition Enterprise et édition Standard 
   Public cible : QuickSight administrateurs Amazon et QuickSight développeurs Amazon 
Note

IAMla fédération d'identités ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon QuickSight.

Dans le didacticiel suivant, vous trouverez une procédure pas à pas pour configurer l'IdP Okta en tant que service de fédération pour Amazon. QuickSight Bien que ce didacticiel montre l'intégration de AWS Identity and Access Management (IAM) et Okta, vous pouvez également reproduire cette solution en utilisant la version 2.0 de SAML votre choix. IdPs

Dans la procédure suivante, vous créez une application dans l'IdP Okta à l'aide de leur »AWS Raccourci « Fédération des comptes ». Okta décrit cette application d'intégration comme suit :

« En fédérant Okta et Amazon Web Services (AWS) Comptes Identity and Access Management (IAM), les utilisateurs finaux bénéficient d'un accès par authentification unique à tous les comptes qui leur sont assignés AWS rôles avec leurs informations d'identification Okta. Dans chaque Compte AWS, les administrateurs installent la fédération et configurent AWS rôles pour faire confiance à Okta. Lorsque les utilisateurs se connectent à AWS, ils bénéficient de l'expérience de connexion unique Okta pour voir ce qui leur est assigné AWS rôles. Ils peuvent ensuite sélectionner le rôle souhaité, qui définit leurs autorisations pour la durée de leur session authentifiée. Des clients possédant un grand nombre de AWS Comptes, consultez le AWS L'application Single Sign-On comme alternative. » (https://www.okta.com/aws/)

Pour créer une application Okta à l'aide de « Okta »AWS Raccourci de l'application « Fédération de comptes »

  1. Connectez-vous à votre tableau de bord Okta. Si vous n'en avez pas, créez un compte Okta Developer Edition gratuit en utilisant cette marque QuickSight. URL Lorsque vous avez activé votre e-mail, connectez-vous à Okta.

  2. Sur le site web d'Okta, choisissez la <> Console du développeur en haut à gauche, puis Interface utilisateur classique.

  3. Choisissez Ajouter des applications, puis Ajouter une application.

  4. Entrez dans aws le champ Rechercher, puis choisissez AWS Fédération de comptes à partir des résultats de recherche.

  5. Choisissez Ajouter pour créer une instance de cette application.

  6. Dans le champ Nom de l'application, saisissez AWS Account Federation - QuickSight.

  7. Choisissez Suivant.

  8. Pour SAML2.0, État du relais par défaut, entrezhttps://quicksight.aws.amazon.com.

  9. Ouvrez le menu contextuel (par un clic droit) pour les métadonnées du fournisseur d'identité et choisissez d'enregistrer le fichier. Nommez le fichier metadata.xml. Vous aurez besoin de ce fichier pour la procédure suivante.

    Le contenu du fichier ressemble à ce qui suit.

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Une fois le XML fichier enregistré, faites défiler la page Okta vers le bas et choisissez OK.

  11. Laissez cette fenêtre de navigateur ouverte, si possible. Vous en aurez besoin ultérieurement dans le didacticiel.

Ensuite, vous créez un fournisseur d'identité dans votre Compte AWS.

Pour créer un SAML fournisseur dans AWS Identity and Access Management (IAM)

  1. Connectez-vous au AWS Management Console et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Fournisseurs d'identité, Créer un fournisseur.

  3. Définissez les paramètres suivants :

    • Type de fournisseurSAMLChoisissez dans la liste.

    • Nom du fournisseur : saisissez Okta.

    • Document de métadonnées — Téléchargez le XML fichier manifest.xml à partir de la procédure précédente.

  4. Choisissez Étape suivante, Créer.

  5. Localisez l'IdP que vous avez créé et choisissez-le pour consulter les paramètres. Notez le fournisseur ARN. Vous en avez besoin pour terminer le didacticiel.

  6. Vérifiez que le fournisseur d'identité est créé avec vos paramètres. DansIAM, choisissez Fournisseurs d'identité, Okta (l'IdP que vous avez ajouté), Télécharger les métadonnées. Le fichier doit être celui que vous avez récemment chargé.

Ensuite, vous créez un IAM rôle pour permettre à la fédération SAML 2.0 d'agir en tant qu'entité de confiance dans votre Compte AWS. Pour cette étape, vous devez choisir la manière dont vous souhaitez approvisionner les utilisateurs sur Amazon QuickSight. Vous pouvez effectuer l'une des actions suivantes :

  • Accordez l'autorisation au IAM rôle afin que les nouveaux visiteurs deviennent automatiquement QuickSight des utilisateurs.

  • Fournissez QuickSight des informations aux utilisateurs à l'avance en utilisant le QuickSight API. En choisissant cette option, vous pouvez provisionner des utilisateurs et les ajouter à des groupes en même temps. Pour de plus amples informations, veuillez consulter Création et gestion de groupes sur Amazon QuickSight.

Pour créer un IAM rôle pour une fédération SAML 2.0 en tant qu'entité de confiance

  1. Connectez-vous au AWS Management Console et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Rôles, puis Créer un rôle.

  3. Pour Sélectionner le type d'entité de confiance, choisissez la carte intitulée Fédération SAML 2.0.

  4. Pour le SAMLfournisseur, sélectionnez l'IdP que vous avez créé lors de la procédure précédente, par exemple. Okta

  5. Activez l'option Autoriser la programmation et AWS Accès à la console de gestion.

  6. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  7. Collez le politique suivante dans l'éditeur.

    Dans l'éditeur de politiques, mettez-le à jour JSON avec le nom de ressource Amazon de votre fournisseur (ARN). 

    {
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Choisissez Review policy (Examiner une politique).

  9. Pour Name (Nom), saisissez QuicksightOktaFederatedPolicy, puis choisissez Create policy (Créer une stratégie).

  10. Choisissez Créer une politique, JSONune deuxième fois.

  11. Collez le politique suivante dans l'éditeur.

    Dans l'éditeur de règles, mettez à jour le JSON avec votre Compte AWS IDENTIFIANT. Il doit s'agir du même identifiant de compte que celui que vous avez utilisé dans la politique précédente du fournisseurARN.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    Vous pouvez omettre le Région AWS nom dans leARN, comme indiqué ci-dessous.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Choisissez Review policy (Examiner une politique).

  13. Pour Name (Nom), saisissez QuicksightCreateReader, puis choisissez Create policy (Créer une stratégie).

  14. Actualisez la liste des politiques en cliquant sur l'icône d'actualisation à droite.

  15. Dans le champ Recherche, saisissez QuicksightOktaFederatedPolicy. Choisissez la politique pour l'activer ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Si vous ne voulez pas utiliser le provisionnement automatique, vous pouvez ignorer l'étape suivante.

    Pour ajouter un QuickSight utilisateur, utilisez register-user. Pour ajouter un QuickSight groupe, utilisez create-group. Pour ajouter des utilisateurs au QuickSight groupe, utilisez create-group-membership.

  16. (Facultatif) Dans le champ Recherche, saisissez QuicksightCreateReader. Choisissez la politique pour l'activer ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Effectuez cette étape si vous souhaitez configurer les QuickSight utilisateurs automatiquement, plutôt que d'utiliser le QuickSight API.

    La politique QuicksightCreateReader active le provisionnement automatique en autorisant l'utilisation de l'action quicksight:CreateReader. Cette action permet d'accorder aux nouveaux utilisateurs un accès au tableau de bord en tant qu'abonné (niveau lecteur). Un QuickSight administrateur peut ensuite les mettre à niveau depuis le menu du QuickSight profil, Gérer QuickSight, Gérer les utilisateurs.

  17. Pour continuer à joindre la IAM ou les politiques, choisissez Next : Tags.

  18. Choisissez Suivant : vérification.

  19. Pour Nom du rôle, saisissez QuicksightOktaFederatedRole, puis choisissez Créer un rôle.

  20. Vérifiez que vous avez effectué cette opération avec succès en suivant les étapes ci-dessous :

    1. Retournez à la page principale de la IAM console à l'adresse https://console.aws.amazon.com/iam/. Vous pouvez utiliser le bouton Retour de votre navigateur.

    2. Sélectionnez Roles (Rôles).

    3. Dans le champ Recherche, saisissez Okta. Choisissez QuicksightOktaFederatedRoleparmi les résultats de recherche.

    4. Sur la page Résumé de la politique, examinez l'onglet Autorisations. Vérifiez que le rôle possède la ou les politiques que vous lui avez associées. Il devrait avoir QuicksightOktaFederatedPolicy. Si vous avez choisi d'ajouter la possibilité de créer des utilisateurs, il devrait également avoir QuicksightCreateReader.

    5. Utilisez l'icône  Play button icon with a triangular shape pointing to the right. pour ouvrir chaque politique. Vérifiez que le texte correspond à ce qui est indiqué dans cette procédure. Vérifiez que vous avez ajouté le vôtre Compte AWS numéro à la place du numéro de compte d'exemple 111111111111.

    6. Dans l'onglet Relations de confiance, vérifiez que le champ Entités fiables contient le ARN nom du fournisseur d'identité. Vous pouvez le vérifier ARN dans la IAM console en ouvrant Okta, fournisseurs d'identité.

Création d'une clé d'accès pour Okta

  1. Connectez-vous au AWS Management Console et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Ajoutez une politique qui permet à Okta d'afficher une liste de IAM rôles à l'utilisateur. Pour ce faire, choisissez Politique, Créer une nouvelle politique.

  3. Choisissez JSON, puis entrez la politique suivante.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Choisissez Examiner une politique.

  5. Pour Name (Nom), saisissez OktaListRolesPolicy. Sélectionnez ensuite Créer une politique.

  6. Ajoutez un utilisateur afin de fournir à Okta une clé d'accès.

    Dans le volet de navigation, choisissez Utilisateurs, Ajouter un utilisateur.

  7. Utilisez les paramètres suivants :

    • Dans User name (Nom d'utilisateur), saisissez OktaSSOUser.

    • Pour Type d'accès, activez Accès par programmation.

  8. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  9. Choisissez Attach existing policies directly (Attacher directement les politiques existantes).

  10. Pour RechercherOktaListRolesPolicy, entrez et choisissez OktaListRolesPolicyparmi les résultats de recherche.

  11. Sélectionnez Suivant : Balises, puis Suivant : Vérification).

  12. Choisissez Create user (Créer un utilisateur). Vous pouvez maintenant obtenir la clé d'accès.

  13. Téléchargez le fichier clé en choisissant Télécharger .csv. Le fichier contient le même ID de clé d'accès et la même clé d'accès secrète que ceux affichés sur cet écran. Cependant, parce que AWS n'affiche pas ces informations une seconde fois, assurez-vous de télécharger le fichier.

  14. Vérifiez que vous avez correctement effectué cette étape en procédant comme suit :

    1. Ouvrez la IAM console, puis sélectionnez Utilisateurs. Recherchez O ktaSSOUser, puis ouvrez-le en choisissant le nom d'utilisateur dans les résultats de recherche.

    2. Dans l'onglet Autorisations, vérifiez que le OktaListRolesPolicyest joint.

    3. Utilisez l'icône  Play button icon with a triangular shape pointing to the right. pour ouvrir la politique. Vérifiez que le texte correspond à ce qui est indiqué dans cette procédure.

    4. Dans l'onglet Informations d'identification de sécurité, vous pouvez vérifier la clé d'accès, même si vous l'avez déjà téléchargée. Vous pouvez revenir à cet onglet pour créer une clé d'accès lorsque vous en avez besoin d'une nouvelle.

Dans la procédure suivante, vous retournez à Okta pour fournir la clé d'accès. La clé d'accès fonctionne avec vos nouveaux paramètres de sécurité pour permettre AWS et l'Okta IdP pour travailler ensemble.

Pour terminer la configuration de l'application Okta avec AWS paramètres

  1. Retournez à votre tableau de bord Okta. Si vous y êtes invité, connectez-vous. Si la console du développeur n'est plus ouverte, choisissez Admin pour la rouvrir.

  2. Si vous devez rouvrir Okta, vous pouvez revenir à cette section en suivant les étapes ci-dessous :

    1. Connectez-vous à Okta. Choisissez Applications.

    2. Choisissez AWS Account Federation QuickSight  : application que vous avez créée au début de ce didacticiel.

    3. Choisissez l'onglet Authentification, entre Général et Mobile.

  3. Faites défiler l'écran jusqu'à Paramètres d'authentification avancés.

  4. Pour le fournisseur d'identité ARN (obligatoire uniquement pour la SAML IAM fédération), entrez le fournisseur ARN de la procédure précédente, par exemple : 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Choisissez Terminer ou Enregistrer. Le nom du bouton varie selon que vous créez ou modifiez l'application.

  6. Choisissez l'onglet Provisioning, puis dans la partie inférieure de l'onglet, sélectionnez Configurer API l'intégration.

  7. Activez Activer API l'intégration pour afficher les paramètres.

  8. Pour la clé d'accès et la clé secrète, indiquez la clé d'accès et la clé secrète que vous avez précédemment téléchargées dans un fichier nommé OktaSSOUser_credentials.csv.

  9. Choisissez Test API Credentials. Regardez au-dessus du paramètre Activer API l'intégration pour voir un message confirmant que AWS La fédération des comptes a été vérifiée avec succès.

  10. Choisissez Save (Enregistrer).

  11. Assurez-vous que Vers l'application est en surbrillance à gauche, puis choisissez Modifier à droite.

  12. Pour Créer des utilisateurs, activez l'option Activer.

  13. Choisissez Save (Enregistrer).

  14. Dans l'onglet Attributions, près de Provisionnement et Importation, choisissez Attribuer.

  15. Effectuez une ou plusieurs des opérations suivantes pour activer l'accès fédéré :

    • Pour travailler avec des utilisateurs individuels, choisissez Attribuer à des personnes.

    • Pour travailler avec IAM des groupes, choisissez Affecter aux groupes. Vous pouvez choisir des IAM groupes spécifiques ou Tout le monde (tous les utilisateurs de votre organisation).

  16. Pour chaque IAM utilisateur ou groupe, procédez comme suit :

    1. Choisissez Attribuer, Rôle.

    2. Sélectionnez un QuicksightOktaFederatedRolerôle dans la liste des IAM rôles.

    3. Pour les rôles SAML d'utilisateur, activez QuicksightOktaFederatedRole.

  17. Choisissez Enregistrer et revenir en arrière, puis cliquez sur OK.

  18. Vérifiez que vous avez effectué cette étape correctement en choisissant le filtre Personnes ou Groupes à gauche et en vérifiant les utilisateurs ou les groupes que vous avez saisis. Si vous ne parvenez pas à terminer ce processus parce que le rôle que vous avez créé ne figure pas dans la liste, revenez aux procédures précédentes pour vérifier les paramètres.

Pour vous connecter à QuickSight l'aide d'Okta (connexion de l'IdP au fournisseur de services)

  1. Si vous utilisez un compte administrateur Okta, passez en mode utilisateur.

  2. Connectez-vous à votre tableau de bord Okta Applications avec un utilisateur auquel un accès fédéré a été accordé. Vous devriez voir une nouvelle application avec votre étiquette, par exemple AWS Fédération de comptes - QuickSight.

  3. Choisissez l'icône de l'application pour lancer AWS Fédération de comptes - QuickSight.

Vous pouvez désormais gérer les identités à l'aide d'Okta et utiliser l'accès fédéré avec Amazon. QuickSight

La procédure suivante est une partie facultative de ce didacticiel. Si vous suivez ses étapes, vous autorisez QuickSight à transmettre les demandes d'autorisation à l'IdP au nom de vos utilisateurs. Grâce à cette méthode, les utilisateurs peuvent se connecter sans avoir QuickSight à se connecter d'abord à l'aide de la page IdP.

(Facultatif) Pour configurer QuickSight l'envoi de demandes d'authentification à Okta

  1. Ouvrez QuickSight et choisissez Gérer dans le menu QuickSight de votre profil.

  2. Choisissez Single Sign-on (IAMfédération) dans le volet de navigation.

  3. Dans Configuration, IdP URL, entrez le URL code fourni par votre IdP pour authentifier les utilisateurs, par exemple https://dev -1-----0.okta.com/home/amazon_aws/0oabababababaGQei5d5/282. Vous pouvez le trouver sur la page de votre application Okta, dans l'onglet Général, dans Intégrer le lien.

  4. Pour IdPURL, entrez. RelayState

  5. Effectuez l’une des actions suivantes :

    • Pour tester d'abord la connexion avec votre fournisseur d'identité, utilisez la personnalisation URL fournie dans Test en commençant par votre IdP. Vous devriez arriver sur la page d'accueil pour QuickSight, par exemple, https://quicksight.aws.amazon.com/sn/ démarrer.

    • Pour tester d' QuickSight abord la connexion avec, utilisez le paramètre personnalisé URL fourni dans Tester l' end-to-end expérience. Le enable-sso paramètre est ajouté auURL. Si enable-sso=1 la IAM fédération tente de s'authentifier. Sienable-sso=0, QuickSight n'envoie pas la demande d'authentification et vous vous connectez QuickSight comme avant.

  6. Pour État, sélectionnez Activé.

  7. Choisissez Enregistrer pour conserver vos paramètres.

Vous pouvez créer un lien profond vers un QuickSight tableau de bord pour permettre aux utilisateurs d'utiliser la IAM fédération pour se connecter directement à des tableaux de bord spécifiques. Pour ce faire, vous ajoutez l'indicateur d'état du relais et le tableau de bord URL à l'authentification unique OktaURL, comme décrit ci-dessous.

Pour créer un lien profond vers un QuickSight tableau de bord pour l'authentification unique

  1. Localisez l'authentification unique (IAMfédération) de l'application Okta URL dans le metadata.xml fichier que vous avez téléchargé au début du didacticiel. Vous pouvez le URL trouver en bas du fichier, dans l'élément nommémd:SingleSignOnService. L'attribut est nommé Location et la valeur se termine par /sso/saml, comme illustré dans l'exemple suivant.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Prenez la valeur de la IAM fédération URL et ajoutez-la, ?RelayState= puis celle de votre QuickSight tableau URL de bord. Le RelayState paramètre indique l'état (l'URL) dans lequel se trouvait l'utilisateur lorsqu'il a été redirigé vers l'authentificationURL.

  3. À la nouvelle IAM fédération avec l'état du relais ajouté, ajoutez le de votre QuickSight tableau URL de bord. Le résultat URL devrait ressembler à ce qui suit.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Si le lien que vous créez ne s'ouvre pas, vérifiez que vous utilisez la IAM fédération la plus récente URL dumetadata.xml. Vérifiez également que le nom d'utilisateur que vous utilisez pour vous connecter n'est pas attribué dans plusieurs applications Okta de IAM fédération.