Prasyarat Langkah 1: Buat SAML penyedia di AWS Langkah 2: Konfigurasikan izin AWS untuk pengguna federasi Anda Langkah 3: Konfigurasikan SAML IDP Langkah 4: Buat pernyataan untuk respons otentikasi SAML Langkah 5: Konfigurasikan status relai federasi Anda

Menyiapkan federasi IDP menggunakan dan IAM QuickSight

Berlaku untuk: Edisi Perusahaan dan Edisi Standar

Audiens yang dituju: Administrator sistem

catatan

IAMfederasi identitas tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon QuickSight.

Anda dapat menggunakan peran AWS Identity and Access Management (IAM) dan status relai URL untuk mengonfigurasi penyedia identitas (iDP) yang sesuai dengan 2.0. SAML Peran tersebut memberikan izin kepada pengguna untuk mengakses Amazon. QuickSight Status relai adalah portal tempat pengguna diteruskan, setelah otentikasi berhasil oleh. AWS

Topik

Prasyarat
Langkah 1: Buat SAML penyedia di AWS
Langkah 2: Konfigurasikan izin AWS untuk pengguna federasi Anda
Langkah 3: Konfigurasikan SAML IDP
Langkah 4: Buat pernyataan untuk respons otentikasi SAML
Langkah 5: Konfigurasikan status relai federasi Anda

Prasyarat

Sebelum mengonfigurasi koneksi SAML 2.0 Anda, lakukan hal berikut:

Konfigurasikan IDP Anda untuk membangun hubungan kepercayaan dengan: AWS
- Di dalam jaringan organisasi Anda, konfigurasikan penyimpanan identitas Anda, seperti Windows Active Directory, untuk bekerja dengan iDP SAML berbasis. SAMLberbasis IdPs termasuk Layanan Federasi Direktori Aktif, Shibboleth, dan sebagainya.
- Menggunakan IDP Anda, buat dokumen metadata yang menjelaskan organisasi Anda sebagai penyedia identitas.
- Siapkan otentikasi SAML 2.0, menggunakan langkah yang sama seperti untuk. AWS Management Console Saat proses ini selesai, Anda dapat mengonfigurasi status relai agar sesuai dengan status relai Amazon QuickSight. Untuk informasi selengkapnya, lihat Langkah 5: Konfigurasikan status relai federasi Anda.
Buat QuickSight akun Amazon dan catat nama yang akan digunakan saat Anda mengonfigurasi IAM kebijakan dan IDP. Untuk informasi selengkapnya tentang membuat QuickSight akun Amazon, lihatMendaftar untuk QuickSight berlangganan Amazon.

Setelah Anda membuat setup untuk federasi ke AWS Management Console seperti yang diuraikan dalam tutorial, Anda dapat mengedit status relay yang disediakan dalam tutorial. Anda melakukannya dengan status relai Amazon QuickSight, dijelaskan pada langkah 5 berikut.

Untuk informasi selengkapnya, lihat sumber daya berikut:

Mengintegrasikan Penyedia SAML Solusi Pihak Ketiga dengan AWS dalam Panduan IAM Pengguna.
Pemecahan masalah federasi SAML 2.0 dengan AWS, juga di IAMPanduan Pengguna.
Menyiapkan kepercayaan antara ADFS AWS dan dan menggunakan kredensil Direktori Aktif untuk terhubung ke Amazon Athena ODBC dengan driver — Artikel panduan ini sangat membantu, meskipun Anda tidak perlu mengatur Athena untuk menggunakannya. QuickSight

Langkah 1: Buat SAML penyedia di AWS

Penyedia SAML identitas Anda mendefinisikan AWS IDP organisasi Anda. Ia melakukannya dengan menggunakan dokumen metadata yang sebelumnya Anda buat menggunakan IDP Anda.

Untuk membuat SAML penyedia di AWS

Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.
Buat SAML penyedia baru, yang merupakan entitas IAM yang menyimpan informasi tentang penyedia identitas organisasi Anda. Untuk informasi selengkapnya, lihat Membuat Penyedia SAML Identitas di Panduan IAM Pengguna.
Sebagai bagian dari proses ini, unggah dokumen metadata yang dihasilkan oleh perangkat lunak iDP di organisasi Anda yang disebutkan di bagian sebelumnya.

Langkah 2: Konfigurasikan izin AWS untuk pengguna federasi Anda

Selanjutnya, buat IAM peran yang membangun hubungan kepercayaan antara IAM dan IDP organisasi Anda. Peran ini mengidentifikasi IDP Anda sebagai prinsipal (entitas tepercaya) untuk tujuan federasi. Peran ini juga menentukan pengguna mana yang diautentikasi oleh IDP organisasi Anda yang diizinkan mengakses Amazon. QuickSight Untuk informasi selengkapnya tentang membuat peran untuk SAML iDP, lihat Membuat Peran untuk Federasi SAML 2.0 di IAMPanduan Pengguna.

Setelah membuat peran, Anda dapat membatasi peran agar memiliki izin hanya untuk Amazon QuickSight dengan melampirkan kebijakan sebaris ke peran tersebut. Contoh dokumen kebijakan berikut menyediakan akses ke Amazon QuickSight. Kebijakan ini memungkinkan pengguna mengakses Amazon QuickSight dan memungkinkan mereka membuat akun penulis dan akun pembaca.

catatan

Dalam contoh berikut, ganti <YOUR_AWS_ACCOUNT_ID> dengan Akun AWS ID 12 digit Anda (tanpa tanda hubung '‐').



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }

Jika Anda ingin memberikan akses ke Amazon QuickSight dan juga kemampuan untuk membuat QuickSight admin Amazon, penulis (pengguna standar), dan pembaca, Anda dapat menggunakan contoh kebijakan berikut.



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }

Anda dapat melihat detail akun di AWS Management Console.

Setelah menyiapkan SAML dan IAM kebijakan atau kebijakan, Anda tidak perlu mengundang pengguna secara manual. Pertama kali pengguna membuka Amazon QuickSight, mereka disediakan secara otomatis, menggunakan izin tingkat tertinggi dalam kebijakan. Misalnya, jika mereka memiliki izin untuk keduanya quicksight:CreateUser danquicksight:CreateReader, mereka disediakan sebagai penulis. Jika mereka juga memiliki izinquicksight:CreateAdmin, mereka disediakan sebagai admin. Setiap tingkat izin mencakup kemampuan untuk membuat pengguna tingkat yang sama dan di bawahnya. Misalnya, seorang penulis dapat menambahkan penulis atau pembaca lain.

Pengguna yang diundang secara manual dibuat dalam peran yang diberikan oleh orang yang mengundang mereka. Mereka tidak perlu memiliki kebijakan yang memberi mereka izin.

Langkah 3: Konfigurasikan SAML IDP

Setelah Anda membuat IAM peran, perbarui SAML IDP Anda AWS sebagai penyedia layanan. Untuk melakukannya, instal saml-metadata.xml file yang ditemukan di https://signin.aws.amazon.com/static/saml-metadata.xml.

Untuk memperbarui metadata iDP, lihat petunjuk yang diberikan oleh iDP Anda. Beberapa penyedia memberi Anda opsi untuk mengetikURL, setelah itu IDP mendapatkan dan menginstal file untuk Anda. Yang lain mengharuskan Anda untuk mengunduh file dari URL dan kemudian menyediakannya sebagai file lokal.

Untuk informasi selengkapnya, lihat dokumentasi IDP Anda.

Langkah 4: Buat pernyataan untuk respons otentikasi SAML

Selanjutnya, konfigurasikan informasi yang diberikan IDP sebagai SAML atribut AWS sebagai bagian dari respons otentikasi. Untuk informasi selengkapnya, lihat Mengonfigurasi SAML Pernyataan untuk Respons Otentikasi di Panduan Pengguna. IAM

Langkah 5: Konfigurasikan status relai federasi Anda

Terakhir, konfigurasikan status relai federasi Anda untuk menunjuk ke status QuickSight relaiURL. Setelah otentikasi berhasil oleh AWS, pengguna diarahkan ke Amazon QuickSight, didefinisikan sebagai status relai dalam respons SAML otentikasi.

Status relai URL untuk Amazon QuickSight adalah sebagai berikut.


https://quicksight.aws.amazon.com

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

iDP ke QuickSight

QuickSight ke iDP