Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengonfigurasi sinkronisasi email untuk pengguna federasi di Amazon QuickSight
| Berlaku untuk: Enterprise Edition |
| Audiens yang dituju: Administrator sistem dan administrator Amazon QuickSight |
catatan
IAMfederasi identitas tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon QuickSight.
Di Amazon QuickSight Enterprise edition, sebagai administrator, Anda dapat membatasi pengguna baru untuk menggunakan alamat email pribadi saat menyediakan melalui penyedia identitas (iDP) mereka secara langsung. QuickSight QuickSight kemudian menggunakan alamat email yang telah dikonfigurasi yang melewati iDP saat menyediakan pengguna baru ke akun Anda. Misalnya, Anda dapat membuatnya sehingga hanya alamat email yang ditetapkan perusahaan yang digunakan saat pengguna disediakan ke akun QuickSight Anda melalui IDP Anda.
catatan
Pastikan bahwa pengguna Anda berfederasi langsung QuickSight melalui IDP mereka. Berfederasi ke AWS Management Console melalui IDP mereka dan kemudian mengklik QuickSight ke menghasilkan kesalahan dan mereka tidak akan dapat mengakses. QuickSight
Saat Anda mengonfigurasi sinkronisasi email untuk pengguna federasi QuickSight, pengguna yang masuk ke QuickSight akun Anda untuk pertama kalinya telah menetapkan alamat email sebelumnya. Ini digunakan untuk mendaftarkan akun mereka. Dengan pendekatan ini, pengguna dapat mem-bypass secara manual dengan memasukkan alamat email. Selain itu, pengguna tidak dapat menggunakan alamat email yang mungkin berbeda dari alamat email yang ditentukan oleh Anda, administrator.
QuickSight mendukung penyediaan melalui IDP yang mendukung atau otentikasi SAML OpenID Connect (). OIDC Untuk mengonfigurasi alamat email bagi pengguna baru saat menyediakan melalui iDP, Anda memperbarui hubungan kepercayaan untuk IAM peran yang mereka gunakan dengan atau. AssumeRoleWithSAML AssumeRoleWithWebIdentity Kemudian Anda menambahkan SAML atribut atau OIDC token di IDP mereka. Terakhir, Anda mengaktifkan sinkronisasi email untuk pengguna federasi di. QuickSight
Prosedur berikut menjelaskan langkah-langkah ini secara rinci.
Langkah 1: Perbarui hubungan kepercayaan untuk IAM peran dengan AssumeRoleWithSAML atau AssumeRoleWithWebIdentity
Anda dapat mengonfigurasi alamat email untuk digunakan pengguna saat menyediakan melalui IDP Anda. QuickSight Untuk melakukan ini, tambahkan sts:TagSession tindakan ke hubungan kepercayaan untuk IAM peran yang Anda gunakan dengan AssumeRoleWithSAML atauAssumeRoleWithWebIdentity. Dengan melakukan ini, Anda dapat meneruskan principal tag saat pengguna mengambil peran.
Contoh berikut menggambarkan IAM peran yang diperbarui di mana IDP adalah Okta. Untuk menggunakan contoh ini, perbarui Federated Amazon Resource Name (ARN) dengan ARN untuk penyedia layanan Anda. Anda dapat mengganti item berwarna merah dengan informasi khusus layanan AWS dan IDP Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/Email": "*" } } } ] }
Langkah 2: Tambahkan SAML atribut atau OIDC token untuk tag IAM utama di IDP Anda
Setelah memperbarui hubungan kepercayaan untuk IAM peran seperti yang dijelaskan di bagian sebelumnya, tambahkan SAML atribut atau OIDC token untuk IAM Principal tag di idP Anda.
Contoh berikut menggambarkan SAML atribut dan OIDC token. Untuk menggunakan contoh ini, ganti alamat email dengan variabel di IDP Anda yang menunjuk ke alamat email pengguna. Anda dapat mengganti item yang disorot dengan warna merah dengan informasi Anda.
-
SAMLatribut: Contoh berikut menggambarkan SAML atribut.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>catatan
Jika Anda menggunakan Okta sebagai IDP Anda, pastikan untuk mengaktifkan flag fitur di akun pengguna Okta Anda untuk digunakan. SAML Untuk informasi selengkapnya, lihat Okta dan AWS Mitra untuk Menyederhanakan Akses Melalui Tag Sesi
di blog Okta. -
OIDCtoken: Contoh berikut menggambarkan contoh OIDC token.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Langkah 3: Aktifkan sinkronisasi email untuk pengguna federasi di QuickSight
Seperti dijelaskan sebelumnya, perbarui hubungan kepercayaan untuk IAM peran tersebut dan tambahkan SAML atribut atau OIDC token untuk IAM Principal tag di idP Anda. Kemudian aktifkan sinkronisasi email untuk pengguna federasi QuickSight seperti yang dijelaskan dalam prosedur berikut.
Untuk mengaktifkan sinkronisasi email untuk pengguna federasi
-
Dari halaman mana pun QuickSight, pilih nama pengguna Anda di kanan atas, lalu pilih Kelola QuickSight.
-
Pilih Single sign-on (IAMfederasi) di menu di sebelah kiri.
-
Pada halaman IAMfederasi yang dimulai Penyedia Layanan, untuk Sinkronisasi Email untuk Pengguna Federasi, pilih ON.
Saat sinkronisasi email untuk pengguna federasi aktif, QuickSight gunakan alamat email yang Anda konfigurasikan pada langkah 1 dan 2 saat menyediakan pengguna baru ke akun Anda. Pengguna tidak dapat memasukkan alamat email mereka sendiri.
Ketika sinkronisasi email untuk pengguna federasi tidak aktif, QuickSight meminta pengguna untuk memasukkan alamat email mereka secara manual saat menyediakan pengguna baru ke akun Anda. Mereka dapat menggunakan alamat email apa pun yang mereka inginkan.
