Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Tutorial: federazione delle identità tra Amazon QuickSight e IAM

Modalità Focus
Tutorial: federazione delle identità tra Amazon QuickSight e IAM - Amazon QuickSight

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

   Si applica a: Enterprise Edition e Standard Edition 
   Destinatari: QuickSight amministratori Amazon e sviluppatori Amazon QuickSight  
Nota

La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon QuickSight.

Nel seguente tutorial, puoi trovare una procedura dettagliata per configurare IdP Okta come servizio federativo per Amazon. QuickSight Sebbene questo tutorial mostri l'integrazione di AWS Identity and Access Management (IAM) e Okta, puoi anche replicare questa soluzione utilizzando SAML 2.0 a tua scelta. IdPs

Nella procedura seguente, crei un'app in Okta IdP utilizzando la scorciatoia AWS "Account Federation». Okta descrive questa app di integrazione come segue:

«Federando Okta agli account Amazon Web Services (AWS) Identity and Access Management (IAM), gli utenti finali ottengono l'accesso Single Sign-On a tutti i ruoli assegnati AWS con le proprie credenziali Okta. In ognuno di essi Account AWS, gli amministratori impostano la federazione e configurano i ruoli per fidarsi di Okta. AWS Quando gli utenti accedono AWS, ottengono l'esperienza di accesso singolo di Okta per vedere i ruoli assegnati. AWS Possono quindi selezionare il ruolo desiderato, che definisce le loro autorizzazioni per la durata della sessione autenticata. I clienti con un numero elevato di AWS account possono utilizzare l'app AWS Single Sign-On come alternativa». () https://www.okta.com/aws/

Per creare un'app Okta utilizzando la scorciatoia «AWS Account Federation» di Okta
  1. Accedi al pannello di controllo di Okta. Se non ne hai uno, crea un account Okta Developer Edition gratuito utilizzando questo URL con marchio. QuickSight Dopo aver attivato la tua e-mail, accedi a Okta.

  2. Sul sito Web di Okta, scegli Console degli sviluppatori <> in alto a sinistra, quindi scegli Interfaccia utente classica.

  3. Scegli Aggiungi applicazioni e scegli Aggiungi app.

  4. Inserisci aws per Cerca e scegli Federazione account AWS dai risultati della ricerca.

  5. Scegli Aggiungi per creare un'istanza di questa applicazione.

  6. Per Etichetta applicazione, immetti AWS Account Federation - QuickSight.

  7. Scegli Next (Successivo).

  8. Per SAML 2.0, Stato di inoltro predefinito, inserisci https://quicksight.aws.amazon.com.

  9. Apri il menu contestuale (tasto destro del mouse) per Metadati del provider di identità e scegli di salvare il file. Assegnare un nome al file metadata.xml. Questo file servirà per la procedura successiva.

    L'aspetto del contenuto del file è simile al seguente:

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5"> <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <md:KeyDescriptor use="signing"> <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate> MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG . . (certificate content omitted) . QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4= </ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat> <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/> <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/> </md:IDPSSODescriptor> </md:EntityDescriptor>
  10. Dopo aver salvato il file XML, scorri fino alla fine della pagina Okta e scegli Fatto.

  11. Tieni aperta questa finestra del browser, se possibile. Sarà necessario più avanti nel tutorial.

Successivamente, crea un provider di identità nel tuo Account AWS.

Per creare un provider SAML in (IAM) AWS Identity and Access Management
  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Provider di identità, Crea provider.

  3. Specificare le seguenti impostazioni:

    • Tipo di provider: scegli SAML dall'elenco.

    • Nome provider: immetti Okta.

    • Documento di metadati: carica il file XML manifest.xml della procedura precedente.

  4. Seleziona Fase successiva, quindi Crea gruppo.

  5. Individua l'IdP che hai creato e sceglilo per visualizzare le impostazioni. Prendi nota dell'ARN del provider. Sarà necessario per completare il tutorial.

  6. Verifica che il provider di identità sia stato creato con le tue impostazioni. In IAM, scegli Provider di identità, Okta (l'IdP che hai aggiunto), Scarica metadati. Il file deve essere quello che hai caricato di recente.

Successivamente, crei un ruolo IAM per consentire alla federazione SAML 2.0 di agire come entità affidabile all'interno del tuo Account AWS. Per questo passaggio, devi scegliere come effettuare il provisioning degli utenti in Amazon QuickSight. Puoi effettuare una delle seguenti operazioni:

  • Concedi l'autorizzazione al ruolo IAM in modo che i visitatori che visitano per la prima volta diventino QuickSight utenti automaticamente.

  • Effettua il provisioning QuickSight degli utenti in anticipo utilizzando l'QuickSight API. Scegliendo questa opzione, è possibile effettuare il provisioning degli utenti e aggiungerli ai gruppi contemporaneamente. Per ulteriori informazioni, consulta Creazione e gestione di gruppi in Amazon QuickSight.

Creazione di un ruolo IAM per una federazione SAML 2.0 come entità attendibile
  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli, quindi Crea nuovo ruolo.

  3. Per Seleziona tipo di entità attendibile, scegli la scheda Federazione SAML 2.0.

  4. Per Provider SAML, seleziona l'IdP creato nella procedura precedente, ad esempio Okta.

  5. Abilita l'opzione Consenti l'accesso programmatico e alla console di AWS gestione.

  6. Scegli Successivo: autorizzazioni.

  7. Incolla la seguente policy nell'editor.

    Nell'editor di policy, aggiorna il codice JSON con il nome della risorsa Amazon (ARN) del provider.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRoleWithSAML", "Resource": "arn:aws:iam::111111111111:saml-provider/Okta", "Condition": { "StringEquals": { "saml:aud": "https://signin.aws.amazon.com/saml" } } } ] }
  8. Scegli Verifica policy.

  9. Per Name (Nome), immettere QuicksightOktaFederatedPolicy, quindi scegliere Create policy (Crea criterio).

  10. Scegli Crea policy, JSON una seconda volta.

  11. Incolla la seguente policy nell'editor.

    Nell'editor delle policy, aggiorna il codice JSON con il tuo Account AWS ID. Dovrebbe essere lo stesso ID account utilizzato nella policy precedente nell'ARN del provider.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateReader" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::111111111111:user/${aws:userid}" ] } ] }

    È possibile omettere il Regione AWS nome nell'ARN, come illustrato di seguito.

    arn:aws:quicksight::111111111111:user/$${aws:userid}
  12. Scegli Verifica policy.

  13. Per Name (Nome), immettere QuicksightCreateReader, quindi scegliere Create policy (Crea criterio).

  14. Aggiorna l'elenco delle policy scegliendo l'icona di aggiornamento a destra.

  15. Per Cerca, inserisci QuicksightOktaFederatedPolicy. Scegli la policy per abilitarla ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Se non desideri utilizzare il provisioning automatico, puoi saltare il passaggio seguente.

    Per aggiungere un QuickSight utente, usa register-user. Per aggiungere un QuickSight gruppo, usa create-group. Per aggiungere utenti al QuickSight gruppo, usa. create-group-membership

  16. (Facoltativo) Per Cerca, immetti QuicksightCreateReader. Scegli la policy per abilitarla ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Esegui questo passaggio se desideri effettuare il provisioning automatico QuickSight degli utenti, anziché utilizzare l' QuickSight API.

    La policy QuicksightCreateReader attiva il provisioning automatico consentendo l'uso dell'operazione quicksight:CreateReader. In questo modo si concede l'accesso come abbonato al pannello di controllo (a livello di lettore) agli utenti alle prime armi. Un QuickSight amministratore può successivamente aggiornarli dal menu del QuickSight profilo, Gestisci QuickSight, Gestisci utenti.

  17. Per continuare a collegare la policy o le policy IAM, scegli Successivo: Tag.

  18. Scegli Prossimo: Rivedi.

  19. In Nome ruolo immetti QuicksightOktaFederatedRole e quindi seleziona Crea ruolo.

  20. Verifica di averlo completato correttamente eseguendo questi passaggi:

    1. Torna alla pagina principale della console IAM all'indirizzo https://console.aws.amazon.com/iam/. Puoi utilizzare il pulsante Indietro del browser.

    2. Scegli Ruoli.

    3. Per Cerca, inserisci Okta. Scegli QuicksightOktaFederatedRoletra i risultati della ricerca.

    4. Nella pagina Riepilogo per la policy, esamina la scheda Autorizzazioni. Verifica che il ruolo abbia le policy collegate. Dovrebbe avere QuicksightOktaFederatedPolicy. Se hai scelto di aggiungere la possibilità di creare utenti, dovrebbe avere anche QuicksightCreateReader.

    5. Usa l'icona Play button icon with a triangular shape pointing to the right. per aprire la ogni policy. Verifica che il testo corrisponda a quanto mostrato in questa procedura. Ricontrolla di aver aggiunto il tuo Account AWS numero di conto al posto del numero di conto di esempio 1111.

    6. Nella scheda Relazioni di attendibilità, verifica che il campo Entità attendibili contenga l'ARN per il provider di identità. Puoi ricontrollare l'ARN nella console IAM aprendo Provider di identità, Okta.

Creazione di una chiave di accesso per Okta
  1. Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

  2. Aggiungi una policy che consenta a Okta di mostrare all'utente un elenco di ruoli IAM. A tale scopo, scegli Policy, Crea policy.

  3. Scegli JSON, quindi immetti la seguente policy.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListAccountAliases" ], "Resource": "*" } ] }
  4. Scegli Esamina la policy.

  5. Per Nome, immetti OktaListRolesPolicy. Quindi scegliere Create policy (Crea policy).

  6. Aggiungi un utente in modo da fornire a Okta una chiave di accesso.

    Nel riquadro di navigazione, seleziona Utenti, Aggiungi utente.

  7. Utilizzare le seguenti impostazioni:

    • In Nome utente, inserisci OktaSSOUser.

    • In Tipo di accesso, scegli Accesso programmatico.

  8. Scegli Successivo: autorizzazioni.

  9. Scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  10. Per CercaOktaListRolesPolicy, inserisci e scegli OktaListRolesPolicytra i risultati della ricerca.

  11. Scegli Successivo: Tag, quindi Successivo: Rivedi.

  12. Selezionare Create user (Crea utente). Ora puoi ottenere la chiave di accesso.

  13. Scarica il file della chiave scegliendo Scarica .csv. Il file contiene lo stesso ID chiave di accesso e la chiave di accesso segreta visualizzati in questa schermata. Tuttavia, poiché AWS non visualizza queste informazioni una seconda volta, assicurati di scaricare il file.

  14. Verifica di aver completato correttamente questo passaggio effettuando le seguenti operazioni:

    1. Apri la console IAM e scegli Utenti. Cerca Okta SSOUser e aprilo scegliendo il nome utente dai risultati della ricerca.

    2. Nella scheda Autorizzazioni, verifica che OktaListRolesPolicysia allegato.

    3. Usa l'icona Play button icon with a triangular shape pointing to the right. per aprire la policy. Verifica che il testo corrisponda a quanto mostrato in questa procedura.

    4. Nella scheda Credenziali di sicurezza, puoi controllare la chiave di accesso, anche se l'hai già scaricata. Puoi tornare a questa scheda per creare una chiave di accesso quando ne hai bisogno di una nuova.

Nella procedura seguente, si torna a Okta per fornire la chiave di accesso. La chiave di accesso funziona con le nuove impostazioni di sicurezza per consentire AWS e l'IdP di Okta per lavorare insieme.

Per completare la configurazione dell'applicazione Okta con le impostazioni AWS
  1. Torna al pannello di Okta. Se richiesto, effettua l'accesso. Se la console per gli sviluppatori non è più aperta, scegli Amministratore per riaprirla.

  2. Se devi riaprire Okta, puoi tornare a questa sezione seguendo questi passaggi:

    1. Accedi a Okta. Selezionare Applications (Applicazioni).

    2. Scegli AWS Account Federation QuickSight, l'applicazione che hai creato all'inizio di questo tutorial.

    3. Scegli la scheda Accedi, tra Generale e Mobile.

  3. Scorri fino a Impostazioni di accesso avanzate.

  4. Per ARN del provider di identità (obbligatorio solo per la federazione IAM SAML), inserisci l'ARN del provider della procedura precedente, ad esempio:

    arn:aws:iam::111122223333:saml-provider/Okta
  5. Scegli Fine o Salva. Il nome del pulsante varia a seconda che si stia creando o modificando l'applicazione.

  6. Scegli la scheda Provisioning e, nella parte inferiore della scheda, scegli Configura integrazione API.

  7. Attiva Abilita integrazione API per visualizzare le impostazioni.

  8. Per Chiave di accesso e Chiave segreta, fornisci la chiave di accesso e la chiave segreta che hai scaricato in precedenza in un file denominato OktaSSOUser_credentials.csv.

  9. Scegli Verifica credenziali API. Cerca sopra l'impostazione Abilita integrazione API un messaggio La federazione dell'account AWS è stata verificata correttamente.

  10. Seleziona Salva.

  11. Assicurati che All'app sia evidenziato a sinistra e scegli Modifica a destra.

  12. Per Crea utenti, attiva l'opzione Abilita.

  13. Seleziona Salva.

  14. Nella scheda Assegnazioni, accanto a Provisioning e Importa, scegli Assegna.

  15. Per abilitare l'accesso federato, effettua una o più delle seguenti operazioni:

    • Per lavorare con singoli utenti, scegli Assegna a persone.

    • Per lavorare con i gruppi IAM, scegli Assegna ai gruppi. Puoi scegliere gruppi IAM specifici o Tutti (tutti gli utenti della tua organizzazione).

  16. Per ogni utente o gruppo IAM, completa le seguenti operazioni:

    1. Scegli Assegna, Ruolo.

    2. Seleziona QuicksightOktaFederatedRoledall'elenco dei ruoli IAM.

    3. Per i ruoli utente SAML, abilita. QuicksightOktaFederatedRole

  17. Scegli Salva e torna indietro, quindi scegli Fine.

  18. Verifica di aver completato correttamente questo passaggio scegliendo il filtro Persone o Gruppi a sinistra e controllando gli utenti o i gruppi che hai inserito. Se non riesci a completare questo processo perché il ruolo che hai creato non compare nell'elenco, torna alle procedure precedenti per verificare le impostazioni.

Per accedere all' QuickSight utilizzo di Okta (accesso da IdP a provider di servizi)
  1. Se utilizzi un account amministratore Okta, passa alla modalità utente.

  2. Accedi al pannello di controllo delle applicazioni Okta con un utente a cui è stato concesso l'accesso federato. Dovresti vedere una nuova applicazione con la tua etichetta, ad esempio AWS Account Federation -. QuickSight

  3. Scegli l'icona dell'applicazione per avviare AWS Account Federation - QuickSight.

Ora puoi gestire le identità utilizzando Okta e utilizzare l'accesso federato con Amazon. QuickSight

La procedura seguente è una parte facoltativa di questo tutorial. Se segui i passaggi, autorizzi QuickSight a inoltrare le richieste di autorizzazione all'IdP per conto dei tuoi utenti. Utilizzando questo metodo, gli utenti possono accedere QuickSight senza dover prima accedere utilizzando la pagina IdP.

(Facoltativo) Per configurare l'invio QuickSight di richieste di autenticazione a Okta
  1. Apri QuickSight e scegli Gestisci QuickSight dal menu del tuo profilo.

  2. Scegli Single sign-on (federazione IAM) dal pannello di navigazione.

  3. Per Configurazione, URL IdP, inserisci l'URL fornito dal tuo IdP per autenticare gli utenti, ad esempio https://dev - .okta. 1-----0 com/home/amazon_aws/. 0oabababababaGQei5d5/282 Puoi trovarlo nella pagina dell'app Okta, nella scheda Generale, in Link per l'incorporamento.

  4. Per URL IdP, immetti RelayState.

  5. Esegui una di queste operazioni:

    • Per testare prima l'accesso con il tuo provider di identità, utilizza l'URL personalizzato fornito in Verifica l'avvio con il tuo IdP. Dovresti arrivare alla pagina iniziale QuickSight, ad esempio start. https://quicksight.aws.amazon.com/sn/

    • Per testare l'accesso con QuickSight First, utilizza l'URL personalizzato fornito in Prova l' end-to-endesperienza. Il parametro enable-sso viene aggiunto all'URL. Se enable-sso=1, la federazione IAM prova ad autenticarsi. Seenable-sso=0, QuickSight non invia la richiesta di autenticazione e accedi QuickSight come prima.

  6. Per Stato, scegli ON.

  7. Per mantenere le impostazioni, scegli Salva.

Puoi creare un collegamento diretto a una QuickSight dashboard per consentire agli utenti di utilizzare la federazione IAM per connettersi direttamente a dashboard specifici. A tale scopo, aggiungi il flag di stato del relay e l'URL del pannello di controllo all'URL Single Sign-on di Okta, come descritto di seguito.

Per creare un collegamento diretto a una QuickSight dashboard per il Single Sign-On
  1. Individua l'URL Single Sign-On (federazione IAM) dell'applicazione Okta nel file metadata.xml che hai scaricato all'inizio del tutorial. Puoi trovare l'URL nella parte inferiore del file, nell'elemento denominato md:SingleSignOnService. L'attributo viene denominato Location e il valore termina con /sso/saml, come mostrato nell'esempio seguente.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>
  2. Prendi il valore dell'URL della federazione IAM e aggiungilo ?RelayState= seguito dall'URL della tua dashboard. QuickSight Il parametro RelayState comunica lo stato (l'URL) in cui si trovava l'utente quando è stato reindirizzato all'URL di autenticazione.

  3. Alla nuova federazione IAM con lo stato di inoltro aggiunto, aggiungi l'URL della dashboard. QuickSight L'URL risultante dovrebbe essere simile al seguente.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
  4. Se il link che crei non si apre, verifica di utilizzare l'URL di federazione IAM più recente fornito da metadata.xml. Verifica anche che il nome utente che usi per accedere non sia assegnato a più di un'app Okta della federazione IAM.

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.