Configurando a federação de IdP usando IAM e QuickSight - Amazon QuickSight
Pré-requisitosEtapa 1: criar um provedor SAML no AWSEtapa 2: configurar permissões na AWS para os usuários federadosEtapa 3: configurar o IdP SAMLEtapa 4: criar declarações para a resposta de autenticação de SAMLEtapa 5: configurar o estado de retransmissão da federação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando a federação de IdP usando IAM e QuickSight

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: administradores de sistemas 
nota

A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com a Amazon QuickSight.

Você pode usar uma função AWS Identity and Access Management (IAM) e uma URL de estado de retransmissão para configurar um provedor de identidade (IdP) compatível com o SAML 2.0. A função concede aos usuários permissões para acessar a Amazon QuickSight. O estado de retransmissão é o portal para o qual o usuário é encaminhado, após a autenticação bem-sucedida pelo. AWS

Pré-requisitos

Antes de configurar a conexão com o SAML 2.0, faça o seguinte:

  • Configure seu IdP para estabelecer uma relação de confiança com a AWS:

    • Na rede de sua organização, configure o armazenamento de identidades, como o Windows Active Directory, para trabalhar com um IdP com base no SAML. IdPs Os baseados em SAML incluem os Serviços de Federação do Active Directory, Shibboleth e assim por diante.

    • Usando seu IdP, gerencie o documento de metadados que descreve sua empresa como um provedor de identidades.

    • Configure a autenticação SAML 2.0 usando as mesmas etapas do AWS Management Console. Quando esse processo estiver concluído, você poderá configurar seu estado de retransmissão para corresponder ao estado de retransmissão da Amazon. QuickSight Para ter mais informações, consulte Etapa 5: configurar o estado de retransmissão da federação.

  • Crie uma QuickSight conta da Amazon e anote o nome a ser usado ao configurar sua política do IAM e o IdP. Para obter mais informações sobre como criar uma QuickSight conta na Amazon, consulteInscrever-se para uma QuickSight assinatura da Amazon.

Depois de criar a configuração para federar de acordo com o AWS Management Console descrito no tutorial, você pode editar o estado de retransmissão fornecido no tutorial. Você faz isso com o estado de retransmissão da Amazon QuickSight, descrito na etapa 5 a seguir.

Para obter mais informações, consulte os seguintes recursos do :

Etapa 1: criar um provedor SAML no AWS

Seu provedor de identidade SAML define o AWS IdP da sua organização como. Ele faz isso usando o documento de metadados que você gerou anteriormente usando seu IdP.

Para criar um provedor SAML no AWS

  1. Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Crie um novo provedor SAML, que é uma entidade no IAM que mantém informações sobre o provedor de identidades da sua organização. Para obter mais informações, consulte Criar provedores de identidade SAML no Manual do usuário do IAM.

  3. Como parte do processo, carregue o documento de metadados produzido pelo software de IdP em sua empresa mencionado na seção anterior.

Etapa 2: configurar permissões na AWS para os usuários federados

Em seguida, crie um perfil do IAM que estabeleça uma relação de confiança entre o IAM e o IdP da sua organização. Essa função identifica o IdP como uma entidade de segurança (entidade confiável) para fins de federação. A função também define quais usuários autenticados pelo IdP da sua organização têm permissão para acessar a Amazon. QuickSight Para obter mais informações sobre como criar um perfil para um IdP SAML, consulte Criar um perfil para uma federação do SAML 2.0 no Guia do usuário do IAM.

Depois de criar a função, você pode limitar a função a ter permissões somente para a Amazon QuickSight anexando uma política embutida à função. O exemplo de documento de política a seguir fornece acesso à Amazon QuickSight. Essa política permite que o usuário acesse a Amazon QuickSight e permite que ele crie contas de autor e contas de leitores.

nota

No exemplo a seguir, substitua <YOUR_AWS_ACCOUNT_ID> por seu ID da Conta da AWS com 12 dígitos (sem hifens ‘‐’).


    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }

Se você quiser fornecer acesso à Amazon QuickSight e também a capacidade de criar QuickSight administradores, autores (usuários padrão) e leitores da Amazon, você pode usar o exemplo de política a seguir. 


    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }

Você pode ver os detalhes da conta no AWS Management Console.

Depois de configurar o SAML e as políticas ou política do IAM, não é necessário convidar manualmente os usuários. Na primeira vez que os usuários abrem a Amazon QuickSight, eles são provisionados automaticamente, usando as permissões de nível mais alto da política. Por exemplo, se tiverem permissões para quicksight:CreateUser e quicksight:CreateReader, serão provisionados como autores. Se também tiverem permissões para quicksight:CreateAdmin, serão provisionados como administradores. Cada nível de permissão inclui a capacidade de criar o mesmo nível de usuário e abaixo. Por exemplo, um autor pode adicionar autores ou leitores.

Os usuários convidados manualmente são criados na função atribuída pela pessoa que os convidou. Eles não precisam ter políticas que concedam permissões a eles.

Etapa 3: configurar o IdP SAML

Depois de criar a função do IAM, atualize seu SAML IdP AWS sobre como provedor de serviços. Para isso, instale o arquivo saml-metadata.xml, encontrado em https://signin.aws.amazon.com/static/saml-metadata.xml.

Para atualizar os metadados do IdP, consulte as instruções fornecidas por seu IdP. Alguns provedores fornecem a opção de digitar a URL, depois do que o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local.

Para obter mais informações, consulte a documentação de seu IdP.

Etapa 4: criar declarações para a resposta de autenticação de SAML

Em seguida, configure as informações para as quais o IdP passa como atributos SAML AWS como parte da resposta de autenticação. Para obter mais informações, consulte Configurando declarações de SAML para a resposta de autenticação no Manual do usuário do IAM.

Etapa 5: configurar o estado de retransmissão da federação

Por fim, configure o estado de retransmissão da sua federação para apontar para a URL do estado de QuickSight retransmissão. Após a autenticação bem-sucedida AWS, o usuário é direcionado para a Amazon QuickSight, definido como o estado de retransmissão na resposta de autenticação SAML.

A URL do estado de retransmissão da Amazon QuickSight é a seguinte.

https://quicksight.aws.amazon.com