As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Tutorial: Amazon Quick e federação de identidades do IAM
| |
| --- |
| Aplica-se a: Enterprise Edition e Standard Edition |
| |
| --- |
| Público-alvo: administradores do Amazon Quick e desenvolvedores do Amazon Quick |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
No tutorial a seguir, você pode encontrar um passo a passo para configurar o IdP Okta como um serviço de federação para o Amazon Quick. Embora este tutorial mostre a integração do AWS Identity and Access Management (IAM) e do Okta, você também pode replicar essa solução usando o SAML 2.0 de sua escolha. IdPs
No procedimento a seguir, você cria um aplicativo no Okta IdP usando o atalho “Federação de contas AWS ”. O Okta descreve esse aplicativo de integração da seguinte forma:
“Ao federar o Okta às contas do Amazon Web Services (AWS) Identity and Access Management (IAM), os usuários finais obtêm acesso de login único a todas as funções atribuídas com suas credenciais Okta. AWS Em cada uma delas Conta da AWS, os administradores configuram a federação e configuram AWS funções para confiar no Okta. Quando os usuários fazem login AWS, eles obtêm a experiência de login único do Okta para ver as funções atribuídas. AWS Em seguida, eles podem selecionar um perfil desejado, que definiu suas permissões durante a sessão autenticada. Clientes com um grande número de AWS contas, confira o aplicativo AWS Single Sign-On como alternativa.” (https://www.okta.com/aws/)
**Para criar um aplicativo Okta usando o atalho do aplicativo “Federação de AWS contas” do Okta**
1. Faça login no painel do Okta. Se você não tiver uma, crie uma conta gratuita do Okta Developer Edition usando [esse URL da marca Amazon Quick](https://developer.okta.com/quickstart/). Depois de ativar seu e-mail, faça login no Okta.
1. No site do Okta, escolha **<> Developer Console** no canto superior esquerdo e selecione **Classic UI**.
1. Escolha **Add Applications** e **Add app**.
1. Insira **aws** em **Search** e escolha **AWS Account Federation** nos resultados da pesquisa.
1. Escolha **Add** para criar uma instância dessa aplicação.
1. Em **Application label**, insira **AWS Account Federation - Amazon Quick**.
1. Escolha **Próximo**.
1. Em **SAML 2.0**, **Default Relay State**, insira **https://quicksight.aws.amazon.com**.
1. Abra o menu de contexto (clique com o botão direito do mouse) em **Identity Provider metadata** e escolha salvar o arquivo. Nomeie o arquivo `metadata.xml`. Você precisará dele para o próximo procedimento.
O conteúdo do arquivo é semelhante ao seguinte:
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. Depois de salvar o arquivo XML, vá até o final da página do Okta e escolha **Done**.
1. Mantenha essa janela do navegador aberta, se possível. Você precisará dela posteriormente no tutorial.
Em seguida, você criará um provedor de identidades na sua Conta da AWS.
**Para criar um provedor SAML no AWS Identity and Access Management (IAM)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Provedores de identidades**, **Criar provedor**.
1. Insira as seguintes configurações:
+ **Tipo de provedor**: escolha **SAML** na lista.
+ **Nome do provedor**: insira **Okta**.
+ **Documento de metadados**: carregue o arquivo XML `manifest.xml` do procedimento anterior.
1. Escolha **Próximo passo**, **Criar**.
1. Localize o IdP que você criou e selecione-o para visualizar as configurações. Anote o **ARN do provedor**. Você precisa disso para concluir o tutorial.
1. Verifique se o provedor de identidades foi criado com suas configurações. No IAM, escolha **Provedores de identidades**, **Okta** (o IdP que você adicionou), **Baixar metadados**. O arquivo deve ser o que você carregou recentemente.
Em seguida, você cria uma função do IAM para permitir que a federação SAML 2.0 atue como uma entidade confiável em seu Conta da AWS. Para esta etapa, você precisa escolher como deseja provisionar usuários no Amazon Quick. Você pode executar uma das seguintes ações:
+ Conceda permissão à função do IAM para que visitantes iniciantes se tornem usuários do Amazon Quick automaticamente.
**Para criar um perfil do IAM para uma federação SAML 2.0 como uma entidade confiável**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Funções** e **Criar função**.
1. Em **Selecionar tipo de entidade confiável**, escolha o cartão rotulado como **Federação SAML 2.0**.
1. Em **Provedor SAML**, selecione o IdP criado no procedimento anterior, por exemplo, `Okta`.
1. Habilite a opção **Permitir acesso programático e ao Console de Gerenciamento da AWS **.
1. Escolha **Próximo: Permissões**.
1. Cole a política a seguir no editor.
No editor da política, atualize o JSON com o nome do recurso da Amazon (ARN) do seu provedor.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. Selecione **Revisar política**.
1. Em **Nome**, insira e **QuicksightOktaFederatedPolicy** e selecione **Create policy (Criar política)**.
1. Escolha **Criar política**, **JSON** pela segunda vez.
1. Cole a política a seguir no editor.
No editor de políticas, atualize o JSON com seu Conta da AWS ID. Deve ser o mesmo ID de conta que você usou na política anterior no ARN do provedor.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
Você pode omitir o Região da AWS nome no ARN, conforme mostrado a seguir.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. Selecione **Revisar política**.
1. Em **Nome**, insira e **QuicksightCreateReader** e selecione **Create policy (Criar política)**.
1. Atualize a lista de políticas escolhendo o ícone de atualização à direita.
1. Em **Pesquisar**, insira **QuicksightOktaFederatedPolicy**. Escolha a política para habilitá-la (![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/checkbox-on.png)).
Se você não quiser usar o provisionamento automático, ignore a etapa a seguir.
Para adicionar um usuário do Amazon Quick, use [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html). Para adicionar um grupo Amazon Quick, use [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html). Para adicionar usuários ao grupo Amazon Quick, use [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html).
1. (Opcional) Em **Pesquisar**, insira **QuicksightCreateReader**. Escolha a política para habilitá-la (![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/checkbox-on.png)).
Execute essa etapa se quiser provisionar usuários do Amazon Quick automaticamente, em vez de usar a API do Amazon Quick.
A política `QuicksightCreateReader` ativa o provisionamento automático ao permitir o uso da ação `quicksight:CreateReader`. Isso concede aos assinantes do painel (nível de leitor) acesso aos usuários iniciantes. Posteriormente, um administrador do Amazon Quick pode atualizá-los no menu de perfil do Amazon Quick, **Gerenciar o Amazon Quick**, **Gerenciar usuários**.
1. Para continuar anexando as políticas ou a política do IAM, escolha **Próximo: tags**.
1. Escolha **Próximo: revisar**.
1. Em **Nome do perfil**, insira **QuicksightOktaFederatedRole** e escolha **Criar perfil**.
1. Verifique se você concluiu essa parte com êxito seguindo as seguintes etapas:
1. Volte para a página principal do console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Você pode usar o botão **Voltar** do seu navegador.
1. Escolha **Perfis**.
1. Em **Pesquisar**, insira Okta. **QuicksightOktaFederatedRole**Escolha entre os resultados da pesquisa.
1. Na página **Resumo** da política, examine a guia **Permissões**. Verifique se o perfil tem a política ou as políticas que você anexou a ele. Ele deve ter `QuicksightOktaFederatedPolicy`. Se você optou por adicionar a capacidade de criar usuários, também deve ter `QuicksightCreateReader`.
1. Use o ícone ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/caret-right-filled.png) para abrir cada política. Verifique se o texto corresponde ao que é mostrado neste procedimento. Verifique novamente se você adicionou seu próprio Conta da AWS número no lugar do número de conta de exemplo 111111111111.
1. Na guia **Relações de confiança**, verifique se o campo **Entidades confiáveis** contém o ARN do provedor de identidades. Você pode verificar novamente o ARN no console do IAM abrindo **Provedores de identidades**, **Okta**.
**Para criar uma chave de acesso para o Okta**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Adicione uma política que permita ao Okta exibir uma lista de perfis do IAM para o usuário. Para isso, escolha **Política**, **Criar política**.
1. Escolha **JSON** e insira a política a seguir.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. Escolha **Revisar política**.
1. Em **Name (Nome)**, insira **OktaListRolesPolicy**. Selecione **Criar política**.
1. Adicione um usuário para que você possa fornecer uma chave de acesso ao Okta.
No painel de navegação, escolha **Usuários**, **Adicionar usuário**.
1. Use as seguintes configurações:
+ Em **Nome do usuário**, digite `OktaSSOUser`.
+ Em **Tipo de acesso**, habilite **Acesso programático**.
1. Escolha **Próximo: Permissões**.
1. Escolha **Anexar políticas existentes diretamente**.
1. Em **Pesquisar****OktaListRolesPolicy**, insira e escolha entre os resultados **OktaListRolesPolicy**da pesquisa.
1. Escolha **Próximo: tags** e **Próximo: revisar**.
1. Selecione **Criar usuário**. Agora você pode obter a chave de acesso.
1. Baixe o arquivo de chaves selecionando **Baixar .csv**. O arquivo contém o mesmo ID da chave de acesso e a mesma chave de acesso secreta que são exibidas nessa tela. No entanto, como AWS não exibe essas informações pela segunda vez, certifique-se de baixar o arquivo.
1. Verifique se você concluiu essa etapa corretamente seguindo os seguintes passos:
1. Abra o console do IAM e escolha **Usuários**. Pesquise **Okta SSOUser** e abra-o escolhendo o nome de usuário nos resultados da pesquisa.
1. Na guia **Permissões**, verifique se o **OktaListRolesPolicy**está anexado.
1. Use o ícone ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/quick/latest/userguide/images/caret-right-filled.png) para abrir a política. Verifique se o texto corresponde ao que é mostrado neste procedimento.
1. Na guia **Credenciais de segurança**, você pode verificar a chave de acesso, embora já a tenha baixado. Você pode voltar a essa guia para criar uma chave de acesso quando precisar de uma nova.
No procedimento a seguir, você retorna ao Okta para fornecer a chave de acesso. A chave de acesso funciona com suas novas configurações de segurança para permitir AWS e o Okta IdP para trabalhar em conjunto.
**Para finalizar a configuração do aplicativo Okta com as configurações AWS**
1. Volte para o painel do Okta. Se solicitado, faça login. Se o console do desenvolvedor não estiver mais aberto, escolha **Admin** para reabri-lo.
1. Se precisar reabrir o Okta, você pode retornar a esta seção seguindo as etapas a seguir:
1. Faça login no Okta. Selecione **Aplicações**.
1. Escolha **Federação de AWS contas - Amazon Quick** — o aplicativo que você criou no início deste tutorial.
1. Escolha a guia **Sign On**, entre **General** e **Mobile**.
1. Role até **Advanced Sign-On Settings**.
1. Em **Identity Provider ARN (Required only for SAML IAM federation)**, insira o ARN do provedor do procedimento anterior, por exemplo:
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. Escolha **Done** ou **Save**. O nome do botão varia se você estiver criando ou editando a aplicação.
1. Escolha a guia **Provisioning** e, na parte inferior da guia, selecione **Configure API Integration**.
1. Ative **Enable API integration** para exibir as configurações.
1. Em **Access Key** e **Secret Key**, forneça a chave de acesso e a chave secreta que você baixou anteriormente em um arquivo chamado **OktaSSOUser**`_credentials.csv`.
1. Escolha **Test API Credentials**. Veja acima da configuração **Enable API integration** para ver a mensagem de confirmação **AWS Account Federation was verified successfully**.
1. Escolha **Salvar**.
1. Certifique-se de que **To App** esteja destacado à esquerda e escolha **Edit** à direita.
1. Em **Create Users**, ative a opção **Enable**.
1. Escolha **Salvar**.
1. Na guia **Assignments**, perto de **Provisioning** e **Import**, escolha **Assign**.
1. Faça um ou mais dos seguintes procedimentos para habilitar o acesso federado:
+ Para trabalhar com usuários individuais, escolha **Assign to People**.
+ Para trabalhar com grupos do IAM, escolha **Assign to Groups**. Você pode escolher grupos específicos do IAM ou **Everyone (All users in your organization)**.
1. Para cada grupo ou usuário do IAM, faça o seguinte:
1. Escolha **Assign**, **Role**.
1. Selecione na **QuicksightOktaFederatedRole**lista de funções do IAM.
1. Para **funções de usuário do SAML**, habilite **QuicksightOktaFederatedRole**.
1. Escolha **Save and Go Back** e selecione **Done**.
1. Certifique-se de que você concluiu essa etapa corretamente escolhendo o filtro **People** ou **Groups** à esquerda e verificando os usuários ou grupos inseridos. Se você não conseguir concluir esse processo porque o perfil criado não aparece na lista, retorne aos procedimentos anteriores para verificar as configurações.
**Para fazer login no Amazon Quick usando Okta (login de IdP para provedor de serviços)**
1. Se você estiver usando uma conta de administrador do Okta, mude para o modo de usuário.
1. Entre no painel do Okta Applications com um usuário que tenha recebido acesso federado. Você deve ver um novo aplicativo com sua etiqueta, por exemplo, **Federação de AWS contas - Amazon Quick**.
1. Escolha o ícone do aplicativo para iniciar a **Federação de AWS Contas - Amazon Quick**.
Agora você pode gerenciar identidades usando o Okta e usar o acesso federado com o Quick.
O procedimento a seguir é uma parte opcional deste tutorial. Se você seguir suas etapas, você autoriza o Amazon Quick a encaminhar solicitações de autorização para o IdP em nome de seus usuários. Usando esse método, os usuários podem fazer login no Amazon Quick sem precisar primeiro fazer login usando a página do IdP.
**(Opcional) Para configurar o Amazon Quick para enviar solicitações de autenticação para a Okta**
1. Abra o Amazon Quick e escolha **Gerenciar Amazon Quick** no menu do seu perfil.
1. Selecione **Logon único (federação do IAM)** no painel de navegação.
1. Em **Configuração**, **URL do IdP**, insira o URL que seu IdP fornece para autenticar usuários, por exemplo, https://dev - .okta. *1-----0* com/home/amazon\$1foi/*0oabababababaGQei5d5/282*. Você encontra isso na página do seu aplicativo do Okta, na guia **General**, em **Embed Link**.
1. Para **URL do IdP**, insira `RelayState`.
1. Execute um destes procedimentos:
+ Para testar primeiro o login com seu provedor de identidades, use o URL personalizado fornecido em **Teste começando com seu IdP**. Você deve acessar a página inicial do Amazon Quick, por exemplo, https://quicksight.aws.amazon.com/sn/ começar.
+ Para testar primeiro o login com o Amazon Quick, use o URL personalizado fornecido em **Teste a end-to-end experiência**. O parâmetro `enable-sso` é anexado ao URL. Se `enable-sso=1`, a federação do IAM tenta se autenticar. Se`enable-sso=0`, o Amazon Quick não enviar a solicitação de autenticação e você fizer login no Amazon Quick como antes.
1. Em **Status**, escolha **ATIVADO**.
1. Para salvar suas configurações, selecione **Salvar**.
Você pode criar um link direto para um painel do Amazon Quick para permitir que os usuários usem a federação do IAM para se conectar diretamente a painéis específicos. Para isso, você anexa o sinalizador do estado de retransmissão e o URL do painel ao URL de logon único do Okta, conforme descrito a seguir.
**Para criar um link direto para um painel do Amazon Quick para login único**
1. Localize o URL de logon único (federação do IAM) da aplicação do Okta no arquivo `metadata.xml` que você baixou no início do tutorial. Você encontra o URL quase no fim do arquivo, no elemento chamado `md:SingleSignOnService`. O atributo chama-se `Location` e o valor termina com `/sso/saml`, como mostrado no exemplo a seguir.
```
```
1. Pegue o valor do URL da federação do IAM e acrescente `?RelayState=` seguido pelo URL do seu painel do Amazon Quick. O parâmetro `RelayState` retransmite o estado (o URL) em que o usuário estava quando foi redirecionado ao URL de autenticação.
1. À nova federação do IAM com o estado de retransmissão adicionado, anexe a URL do seu painel do Amazon Quick. O URL resultante deve ser semelhantes ao mostrado a seguir.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. Se o link criado não abrir, verifique se você está usando o URL da federação do IAM mais recente do `metadata.xml`. Verifique também se o nome de usuário que você usa para fazer login não está atribuído em mais de um aplicativo do Okta da federação do IAM.