Amazon의 페더레이션 사용자를 위한 이메일 동기화 구성 QuickSight - Amazon QuickSight
1단계: IAM 역할에 대한 신뢰 관계 업데이트2단계: SAML 속성 또는 OIDC 토큰 추가3단계: 이메일 동기화 켜기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon의 페더레이션 사용자를 위한 이메일 동기화 구성 QuickSight

 적용 대상: Enterprise Edition 
   대상: 시스템 관리자 및 Amazon QuickSight 관리자 
참고

IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon 와 동기화하는 것을 지원하지 않습니다 QuickSight.

Amazon QuickSight Enterprise 에디션에서 관리자는 자격 증명 공급자(IdP )를 통해 로 직접 프로비저닝할 때 새 사용자가 개인 이메일 주소를 사용하지 못하도록 제한할 수 있습니다 QuickSight. QuickSight 그런 다음 계정에 새 사용자를 프로비저닝할 때 IdP를 통해 전달된 미리 구성된 이메일 주소를 사용합니다. 예를 들어 사용자가 IdP 를 통해 QuickSight 계정에 프로비저닝될 때 회사에서 할당한 이메일 주소만 사용하도록 할 수 있습니다.

참고

사용자가 IdP QuickSight 통해 에 직접 페더레이션하는지 확인합니다. IdP를 AWS Management Console 통해 에 페더레이션한 다음 를 클릭하면 오류가 QuickSight 발생하여 에 액세스할 수 없습니다 QuickSight.

에서 페더레이션 사용자에 대한 이메일 동기화를 구성하면 QuickSight 계정에 처음 로그인하는 QuickSight사용자에게 이메일 주소가 미리 할당됩니다. 이 정보는 계정을 등록하는 데 사용됩니다. 이 방법을 사용하면 사용자가 이메일 주소를 입력하여 수동으로 우회할 수 있습니다. 또한 관리자가 지정한 이메일 주소와 다를 수 있는 이메일 주소를 사용자는 사용할 수 없습니다.

QuickSight 는 SAML 또는 OpenID Connect(OIDC) 인증을 지원하는 IdP를 통한 프로비저닝을 지원합니다. IdP를 통해 프로비저닝할 때 새 사용자의 이메일 주소를 구성하려면 AssumeRoleWithSAML 또는 와 함께 사용하는 IAM 역할에 대한 신뢰 관계를 업데이트합니다AssumeRoleWithWebIdentity. 그런 다음 IdP 에 SAML 속성 또는 OIDC 토큰을 추가합니다. 마지막으로 에서 페더레이션 사용자에 대한 이메일 동기화를 켭니다 QuickSight.

다음 절차에서는 이 단계를 자세히 설명합니다.

1단계: 를 사용하여 IAM 역할의 신뢰 관계 업데이트 AssumeRoleWithSAML 또는 AssumeRoleWithWebIdentity

IdP를 통해 에 프로비저닝할 때 사용자가 사용할 이메일 주소를 구성할 수 있습니다 QuickSight. 이렇게 하려면 AssumeRoleWithSAML 또는 와 함께 사용하는 IAM 역할의 신뢰 관계에 sts:TagSession 작업을 추가합니다AssumeRoleWithWebIdentity. 이렇게 하면 사용자가 역할을 수임할 때 principal 태그를 전달할 수 있습니다.

다음 예제에서는 IdP가 Okta인 업데이트된 IAM 역할을 보여줍니다. 이 예제를 사용하려면 서비스 공급자의 로 Federated Amazon 리소스 이름(ARN)ARN을 업데이트합니다. 빨간색 항목을 AWS 및 IdP 서비스별 정보로 바꿀 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

2단계: IdP에서 IAM 보안 주체 태그의 SAML 속성 또는 OIDC 토큰 추가

이전 섹션에 설명된 대로 IAM 역할에 대한 신뢰 관계를 업데이트한 후 IdP 에 IAM Principal 태그에 대한 SAML 속성 또는 OIDC 토큰을 추가합니다.

다음 예제에서는 SAML 속성과 OIDC 토큰을 보여줍니다. 이 예제를 사용하려면 이메일 주소를 사용자의 이메일 주소를 가리키는 IdP의 변수로 바꾸십시오. 빨간색으로 강조 표시된 항목을 사용자 정보로 바꿀 수 있습니다.

  • SAML 속성 : 다음 예제에서는 SAML 속성을 보여줍니다.

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    참고

    Okta를 IdP로 사용하는 경우 Okta 사용자 계정에서 기능 플래그를 활성화하여 를 사용해야 합니다SAML. 자세한 내용은 Okta 블로그의 Okta 및 AWS Partner to Simplify Access Via Session Tags를 참조하세요.

  • OIDC 토큰 : 다음 예제에서는 OIDC 토큰 예제를 보여줍니다.

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

3단계: 에서 페더레이션 사용자의 이메일 동기화 켜기 QuickSight

앞서 설명한 대로 IAM 역할에 대한 신뢰 관계를 업데이트하고 IdP 에 IAM Principal 태그에 대한 SAML 속성 또는 OIDC 토큰을 추가합니다. 그런 다음 다음 절차에 설명된 QuickSight 대로 에서 페더레이션 사용자에 대한 이메일 동기화를 켭니다.

페더레이션 사용자를 위한 이메일 동기화 켜기

  1. 의 모든 페이지에서 오른쪽 상단의 사용자 이름을 QuickSight선택한 다음 관리를 QuickSight선택합니다.

  2. 왼쪽 메뉴에서 Single Sign-On(IAM 페더레이션)을 선택합니다.

  3. 서비스 공급자가 시작한 IAM 페더레이션 페이지의 페더레이션 사용자를 위한 이메일 동기화 에서 ON을 선택합니다.

    페더레이션 사용자에 대한 이메일 동기화가 켜져 있는 경우 는 계정에 새 사용자를 프로비저닝할 때 1단계와 2단계에서 구성한 이메일 주소를 QuickSight 사용합니다. 사용자는 자신의 이메일 주소를 입력할 수 없습니다.

    페더레이션 사용자에 대한 이메일 동기화가 꺼져 있는 경우 는 새 사용자를 계정에 프로비저닝할 때 사용자에게 이메일 주소를 수동으로 입력하도록 QuickSight 요청합니다. 사용자는 원하는 모든 이메일 주소를 사용할 수 있습니다.