Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tutorial: Amazon Quick e la federazione delle identità IAM
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di Amazon Quick e sviluppatori Amazon Quick |
**Nota**
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Nel seguente tutorial, puoi trovare una procedura dettagliata per configurare IdP Okta come servizio federativo per Amazon Quick. Sebbene questo tutorial mostri l'integrazione di AWS Identity and Access Management (IAM) e Okta, puoi anche replicare questa soluzione utilizzando SAML 2.0 a tua scelta. IdPs
Nella procedura seguente, crei un'app in Okta IdP utilizzando la scorciatoia AWS "Account Federation». Okta descrive questa app di integrazione come segue:
«Federando Okta agli account Amazon Web Services (AWS) Identity and Access Management (IAM), gli utenti finali ottengono l'accesso Single Sign-On a tutti i ruoli assegnati AWS con le proprie credenziali Okta. In ognuno di essi Account AWS, gli amministratori impostano la federazione e configurano i ruoli per fidarsi di Okta. AWS Quando gli utenti accedono AWS, ottengono l'esperienza di accesso singolo di Okta per vedere i ruoli assegnati. AWS Possono quindi selezionare il ruolo desiderato, che definisce le loro autorizzazioni per la durata della sessione autenticata. I clienti con un numero elevato di AWS account possono utilizzare l'app AWS Single Sign-On come alternativa». () https://www.okta.com/aws/
**Per creare un'app Okta utilizzando la scorciatoia «AWS Account Federation» di Okta**
1. Accedi al pannello di controllo di Okta. Se non ne hai uno, crea un account Okta Developer Edition gratuito utilizzando [questo URL a marchio Amazon Quick](https://developer.okta.com/quickstart/). Dopo aver attivato la tua e-mail, accedi a Okta.
1. Sul sito web di Okta, scegli **Console degli sviluppatori <>** in alto a sinistra, quindi scegli **Interfaccia utente classica**.
1. Scegli **Aggiungi applicazioni** e scegli **Aggiungi app**.
1. Inserisci **aws** per **Cerca** e scegli **Federazione account AWS ** dai risultati della ricerca.
1. Scegli **Aggiungi** per creare un'istanza di questa applicazione.
1. Per **Etichetta applicazione**, immetti **AWS Account Federation - Amazon Quick**.
1. Scegli **Next (Successivo)**.
1. Per **SAML 2.0**, **Stato di inoltro predefinito**, inserisci **https://quicksight.aws.amazon.com**.
1. Apri il menu contestuale (tasto destro del mouse) per **Metadati del provider di identità** e scegli di salvare il file. Assegnare un nome al file `metadata.xml`. Questo file servirà per la procedura successiva.
L'aspetto del contenuto del file è simile al seguente:
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Dopo aver salvato il file XML, scorri fino alla fine della pagina Okta e scegli **Fatto**.
1. Tieni aperta questa finestra del browser, se possibile. Sarà necessario più avanti nel tutorial.
Successivamente, crea un provider di identità nel tuo Account AWS.
**Per creare un provider SAML in (IAM) AWS Identity and Access Management**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Provider di identità**, **Crea provider**.
1. Specificare le seguenti impostazioni:
+ **Tipo di provider**: scegli **SAML** dall'elenco.
+ **Nome provider**: immetti **Okta**.
+ **Documento di metadati**: carica il file XML `manifest.xml` della procedura precedente.
1. Seleziona **Fase successiva**, quindi **Crea gruppo**.
1. Individua l'IdP che hai creato e sceglilo per visualizzare le impostazioni. Prendi nota dell'**ARN del provider**. Sarà necessario per completare il tutorial.
1. Verifica che il provider di identità sia stato creato con le tue impostazioni. In IAM, scegli **Provider di identità**, **Okta** (l'IdP che hai aggiunto), **Scarica metadati**. Il file deve essere quello che hai caricato di recente.
Successivamente, crei un ruolo IAM per consentire alla federazione SAML 2.0 di agire come entità affidabile all'interno del tuo Account AWS. Per questo passaggio, devi scegliere come effettuare il provisioning degli utenti in Amazon Quick. Puoi effettuare una delle seguenti operazioni:
+ Concedi l'autorizzazione al ruolo IAM in modo che i visitatori che visitano per la prima volta diventino automaticamente utenti di Amazon Quick.
**Creazione di un ruolo IAM per una federazione SAML 2.0 come entità attendibile**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**, quindi **Crea nuovo ruolo**.
1. Per **Seleziona tipo di entità attendibile**, scegli la scheda **Federazione SAML 2.0**.
1. Per **Provider SAML**, seleziona l'IdP creato nella procedura precedente, ad esempio `Okta`.
1. Abilita l'opzione **Consenti l'accesso programmatico e alla console di gestione AWS **.
1. Scegli **Successivo: autorizzazioni**.
1. Incolla la seguente policy nell'editor.
Nell'editor di policy, aggiorna il codice JSON con il nome della risorsa Amazon (ARN) del provider.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Scegliere **Esamina policy**.
1. Per **Name (Nome)**, immettere **QuicksightOktaFederatedPolicy**, quindi scegliere **Create policy (Crea criterio)**.
1. Scegli **Crea policy**, **JSON** una seconda volta.
1. Incolla la seguente policy nell'editor.
Nell'editor delle policy, aggiorna il codice JSON con il tuo Account AWS ID. Dovrebbe essere lo stesso ID account utilizzato nella policy precedente nell'ARN del provider.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
È possibile omettere il Regione AWS nome nell'ARN, come illustrato di seguito.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Scegliere **Esamina policy**.
1. Per **Name (Nome)**, immettere **QuicksightCreateReader**, quindi scegliere **Create policy (Crea criterio)**.
1. Aggiorna l'elenco delle policy scegliendo l'icona di aggiornamento a destra.
1. Per **Cerca**, inserisci **QuicksightOktaFederatedPolicy**. Scegli la policy per abilitarla (![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/checkbox-on.png)).
Se non desideri utilizzare il provisioning automatico, puoi saltare il passaggio seguente.
Per aggiungere un utente Amazon Quick, usa [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Per aggiungere un gruppo Amazon Quick, usa [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Per aggiungere utenti al gruppo Amazon Quick, usa [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Facoltativo) Per **Cerca**, immetti **QuicksightCreateReader**. Scegli la policy per abilitarla (![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/checkbox-on.png)).
Esegui questo passaggio se desideri effettuare il provisioning automatico degli utenti Amazon Quick, anziché utilizzare l'API Amazon Quick.
La policy `QuicksightCreateReader` attiva il provisioning automatico consentendo l'uso dell'operazione `quicksight:CreateReader`. In questo modo si concede l'accesso come abbonato al pannello di controllo (a livello di lettore) agli utenti alle prime armi. Un amministratore di Amazon Quick può successivamente aggiornarli dal menu del profilo Amazon Quick, **Manage Amazon Quick**, **Manage users**.
1. Per continuare a collegare la policy o le policy IAM, scegli **Successivo: Tag**.
1. Scegli **Prossimo: Rivedi**.
1. In **Nome ruolo** immetti **QuicksightOktaFederatedRole** e quindi seleziona **Crea ruolo**.
1. Verifica di averlo completato correttamente eseguendo questi passaggi:
1. Torna alla pagina principale della console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Puoi utilizzare il pulsante **Indietro** del browser.
1. Scegli **Ruoli**.
1. Per **Cerca**, inserisci Okta. Scegli **QuicksightOktaFederatedRole**tra i risultati della ricerca.
1. Nella pagina **Riepilogo** per la policy, esamina la scheda **Autorizzazioni**. Verifica che il ruolo abbia le policy collegate. Dovrebbe avere `QuicksightOktaFederatedPolicy`. Se hai scelto di aggiungere la possibilità di creare utenti, dovrebbe avere anche `QuicksightCreateReader`.
1. Usa l'icona ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/caret-right-filled.png) per aprire la ogni policy. Verifica che il testo corrisponda a quanto mostrato in questa procedura. Ricontrolla di aver aggiunto il tuo Account AWS numero di conto al posto del numero di conto di esempio 1111.
1. Nella scheda **Relazioni di attendibilità**, verifica che il campo **Entità attendibili** contenga l'ARN per il provider di identità. Puoi ricontrollare l'ARN nella console IAM aprendo **Provider di identità**, **Okta**.
**Creazione di una chiave di accesso per Okta**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Aggiungi una policy che consenta a Okta di mostrare all'utente un elenco di ruoli IAM. A tale scopo, scegli **Policy**, **Crea policy**.
1. Scegli **JSON**, quindi immetti la seguente policy.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Scegli **Esamina la policy**.
1. In **Nome**, inserisci **OktaListRolesPolicy**. Quindi scegliere **Create policy (Crea policy)**.
1. Aggiungi un utente in modo da fornire a Okta una chiave di accesso.
Nel riquadro di navigazione, seleziona **Utenti**, **Aggiungi utente**.
1. Utilizzare le seguenti impostazioni:
+ In **Nome utente**, inserisci `OktaSSOUser`.
+ In **Tipo di accesso**, scegli **Accesso programmatico**.
1. Scegli **Successivo: autorizzazioni**.
1. Scegli **Attach existing policies directly (Collega direttamente le policy esistenti)**.
1. Per **Cerca****OktaListRolesPolicy**, inserisci e scegli **OktaListRolesPolicy**tra i risultati della ricerca.
1. Scegli **Successivo: Tag**, quindi **Successivo: Rivedi**.
1. Selezionare **Create user (Crea utente)**. Ora puoi ottenere la chiave di accesso.
1. Scarica il file della chiave scegliendo **Scarica .csv**. Il file contiene lo stesso ID chiave di accesso e la chiave di accesso segreta visualizzati in questa schermata. Tuttavia, poiché AWS non visualizza queste informazioni una seconda volta, assicurati di scaricare il file.
1. Verifica di aver completato correttamente questo passaggio effettuando le seguenti operazioni:
1. Apri la console IAM e scegli **Utenti**. Cerca **Okta SSOUser** e aprilo scegliendo il nome utente dai risultati della ricerca.
1. Nella scheda **Autorizzazioni**, verifica che **OktaListRolesPolicy**sia allegato.
1. Usa l'icona ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/images/caret-right-filled.png) per aprire la policy. Verifica che il testo corrisponda a quanto mostrato in questa procedura.
1. Nella scheda **Credenziali di sicurezza**, puoi controllare la chiave di accesso, anche se l'hai già scaricata. Puoi tornare a questa scheda per creare una chiave di accesso quando ne hai bisogno di una nuova.
Nella procedura seguente, si torna a Okta per fornire la chiave di accesso. La chiave di accesso funziona con le nuove impostazioni di sicurezza per consentire AWS e l'IdP di Okta per lavorare insieme.
**Per completare la configurazione dell'applicazione Okta con le impostazioni AWS**
1. Torna al pannello di Okta. Se richiesto, effettua l'accesso. Se la console per gli sviluppatori non è più aperta, scegli **Amministratore** per riaprirla.
1. Se devi riaprire Okta, puoi tornare a questa sezione seguendo questi passaggi:
1. Accedi a Okta. Selezionare **Applications (Applicazioni)**.
1. Scegli **AWS Account Federation - Amazon Quick**, l'applicazione che hai creato all'inizio di questo tutorial.
1. Scegli la scheda **Accedi**, tra **Generale** e **Mobile**.
1. Scorri fino a **Impostazioni di accesso avanzate**.
1. Per **ARN del provider di identità (obbligatorio solo per la federazione IAM SAML)**, inserisci l'ARN del provider della procedura precedente, ad esempio:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Scegli **Fine** o **Salva**. Il nome del pulsante varia a seconda che si stia creando o modificando l'applicazione.
1. Scegli la scheda **Provisioning** e, nella parte inferiore della scheda, scegli **Configura integrazione API**.
1. Attiva **Abilita integrazione API** per visualizzare le impostazioni.
1. Per **Chiave di accesso** e **Chiave segreta**, fornisci la chiave di accesso e la chiave segreta che hai scaricato in precedenza in un file denominato **OktaSSOUser**`_credentials.csv`.
1. Scegli **Verifica credenziali API**. Cerca sopra l'impostazione **Abilita integrazione API** un messaggio **La federazione dell'account AWS è stata verificata correttamente**.
1. Scegli **Save** (Salva).
1. Assicurati che **All'app** sia evidenziato a sinistra e scegli **Modifica** a destra.
1. Per **Crea utenti**, attiva l'opzione **Abilita**.
1. Scegli **Save** (Salva).
1. Nella scheda **Assegnazioni**, accanto a **Provisioning** e **Importa**, scegli **Assegna**.
1. Per abilitare l'accesso federato, effettua una o più delle seguenti operazioni:
+ Per lavorare con singoli utenti, scegli **Assegna a persone**.
+ Per lavorare con i gruppi IAM, scegli **Assegna ai gruppi**. Puoi scegliere gruppi IAM specifici o **Tutti (tutti gli utenti della tua organizzazione)**.
1. Per ogni utente o gruppo IAM, completa le seguenti operazioni:
1. Scegli **Assegna**, **Ruolo**.
1. Seleziona **QuicksightOktaFederatedRole**dall'elenco dei ruoli IAM.
1. Per i **ruoli utente SAML**, abilita. **QuicksightOktaFederatedRole**
1. Scegli **Salva e torna indietro**, quindi scegli **Fine**.
1. Verifica di aver completato correttamente questo passaggio scegliendo il filtro **Persone** o **Gruppi** a sinistra e controllando gli utenti o i gruppi che hai inserito. Se non riesci a completare questo processo perché il ruolo che hai creato non compare nell'elenco, torna alle procedure precedenti per verificare le impostazioni.
**Per accedere ad Amazon Quick utilizzando Okta (accesso da IdP a fornitore di servizi)**
1. Se utilizzi un account amministratore Okta, passa alla modalità utente.
1. Accedi al pannello di controllo delle applicazioni Okta con un utente a cui è stato concesso l'accesso federato. Dovresti vedere una nuova applicazione con la tua etichetta, ad esempio **AWS Account Federation - Amazon Quick**.
1. Scegli l'icona dell'applicazione per avviare **AWS Account Federation - Amazon Quick**.
Ora puoi gestire le identità utilizzando Okta e utilizzare l'accesso federato con Quick.
La procedura seguente è una parte facoltativa di questo tutorial. Se segui i passaggi, autorizzi Amazon Quick a inoltrare le richieste di autorizzazione all'IdP per conto dei tuoi utenti. Utilizzando questo metodo, gli utenti possono accedere ad Amazon Quick senza dover prima accedere utilizzando la pagina IdP.
**(Facoltativo) Per configurare Amazon Quick per l'invio di richieste di autenticazione a Okta**
1. Apri Amazon Quick e scegli **Manage Amazon Quick** dal menu del tuo profilo.
1. Scegli **Single sign-on (federazione IAM)** dal pannello di navigazione.
1. Per **Configurazione**, URL **IdP, inserisci l'URL** fornito dal tuo IdP per autenticare gli utenti, ad esempio https://dev - .okta. *1-----0* com/home/amazon\$1aws/. *0oabababababaGQei5d5/282* Puoi trovarlo nella pagina dell'app Okta, nella scheda **Generale**, in **Link per l'incorporamento**.
1. Per **URL IdP**, immetti `RelayState`.
1. Esegui una delle seguenti operazioni:
+ Per testare prima l'accesso con il tuo provider di identità, utilizza l'URL personalizzato fornito in **Verifica l'avvio con il tuo IdP**. Dovresti arrivare alla pagina iniziale di Amazon Quick, ad esempio https://quicksight.aws.amazon.com/sn/ start.
+ Per testare prima l'accesso con Amazon Quick, utilizza l'URL personalizzato fornito in **Prova l' end-to-endesperienza**. Il parametro `enable-sso` viene aggiunto all'URL. Se `enable-sso=1`, la federazione IAM prova ad autenticarsi. Se`enable-sso=0`, Amazon Quick non invia la richiesta di autenticazione e accedi ad Amazon Quick come prima.
1. Per **Stato**, scegli **ON**.
1. Per mantenere le impostazioni, scegli **Salva**.
Puoi creare un collegamento diretto a un dashboard Amazon Quick per consentire agli utenti di utilizzare la federazione IAM per connettersi direttamente a dashboard specifici. A tale scopo, aggiungi il flag di stato del relay e l'URL del pannello di controllo all'URL Single Sign-on di Okta, come descritto di seguito.
**Per creare un collegamento diretto a una dashboard Amazon Quick per Single Sign-On**
1. Individua l'URL Single Sign-On (federazione IAM) dell'applicazione Okta nel file `metadata.xml` che hai scaricato all'inizio del tutorial. Puoi trovare l'URL nella parte inferiore del file, nell'elemento denominato `md:SingleSignOnService`. L'attributo viene denominato `Location` e il valore termina con `/sso/saml`, come mostrato nell'esempio seguente.
```
```
1. Prendi il valore dell'URL della federazione IAM e aggiungilo `?RelayState=` seguito dall'URL del tuo pannello di controllo Amazon Quick. Il parametro `RelayState` comunica lo stato (l'URL) in cui si trovava l'utente quando è stato reindirizzato all'URL di autenticazione.
1. Alla nuova federazione IAM con lo stato di inoltro aggiunto, aggiungi l'URL del tuo pannello di controllo Amazon Quick. L'URL risultante dovrebbe essere simile al seguente.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Se il link che crei non si apre, verifica di utilizzare l'URL di federazione IAM più recente fornito da `metadata.xml`. Verifica anche che il nome utente che usi per accedere non sia assegnato a più di un'app Okta della federazione IAM.