As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando a sincronização de e-mail para usuários federados na Amazon QuickSight
| Aplica-se a: Enterprise Edition |
| Público-alvo: administradores de sistemas e administradores da Amazon QuickSight |
nota
IAMa federação de identidades não oferece suporte à sincronização de grupos de provedores de identidade com a Amazon QuickSight.
Na edição Amazon QuickSight Enterprise, como administrador, você pode impedir que novos usuários usem endereços de e-mail pessoais ao provisionar por meio de seu provedor de identidade (IdP) diretamente para. QuickSight QuickSight em seguida, usa os endereços de e-mail pré-configurados passados pelo IdP ao provisionar novos usuários para sua conta. Por exemplo, você pode fazer com que somente endereços de e-mail atribuídos pela empresa sejam usados quando os usuários forem provisionados para sua conta QuickSight por meio do seu IdP.
nota
Certifique-se de que seus usuários estejam se federando diretamente QuickSight por meio do IdP. Federar até o AWS Management Console por meio de seu IdP e depois clicar QuickSight em resulta em um erro e eles não conseguirão acessar. QuickSight
Quando você configura a sincronização de e-mail para usuários federados em QuickSight, os usuários que fazem login na sua QuickSight conta pela primeira vez têm endereços de e-mail pré-atribuídos. Eles são usados para registrar as contas desses usuários. Com essa abordagem, os usuários podem ignorar manualmente inserindo um endereço de e-mail. Além disso, os usuários não podem usar um endereço de e-mail que possa ser diferente do prescrito por você, o administrador.
QuickSight oferece suporte ao provisionamento por meio de um IdP que oferece suporte à autenticação SAML OpenID Connect (). OIDC Para configurar endereços de e-mail para novos usuários ao provisionar por meio de um IdP, você atualiza a relação de confiança da IAM função que eles usam com ou. AssumeRoleWithSAML AssumeRoleWithWebIdentity Em seguida, você adiciona um SAML atributo ou OIDC token em seu IdP. Por último, você ativa a sincronização de e-mail para usuários federados em. QuickSight
Os procedimentos a seguir descrevem essas etapas em detalhes.
Etapa 1: atualizar a relação de confiança da IAM função com AssumeRoleWithSAML or AssumeRoleWithWebIdentity
Você pode configurar endereços de e-mail para que seus usuários usem ao provisionar por meio de seu IdP para. QuickSight Para fazer isso, adicione a sts:TagSession ação à relação de confiança da IAM função que você usa com AssumeRoleWithSAML ouAssumeRoleWithWebIdentity. Ao fazer isso, você pode transferir tags de principal quando os usuários assumirem o perfil.
O exemplo a seguir ilustra uma IAM função atualizada em que o IdP é Okta. Para usar esse exemplo, atualize o Federated Amazon Resource Name (ARN) com o do ARN seu provedor de serviços. Você pode substituir itens em vermelho por suas informações específicas do serviço AWS e do IdP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/Email": "*" } } } ] }
Etapa 2: adicionar um SAML atributo ou OIDC token para a tag IAM principal em seu IdP
Depois de atualizar a relação de confiança da IAM função, conforme descrito na seção anterior, adicione um SAML atributo ou OIDC token para a IAM Principal tag em seu IdP.
Os exemplos a seguir ilustram um SAML atributo e um OIDC token. Para usar esses exemplos, substitua o endereço de e-mail por uma variável no seu IdP que aponte para o endereço de e-mail de um usuário. Você pode substituir os itens destacados em vermelho pelas suas informações.
-
SAMLatributo: o exemplo a seguir ilustra um SAML atributo.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>nota
Se você estiver usando o Okta como seu IdP, certifique-se de ativar um sinalizador de recurso na sua conta de usuário do Okta para usar. SAML Para obter mais informações, consulte Okta e AWS parceria para simplificar o acesso por meio de tags de sessão
no blog da Okta. -
OIDCtoken: O exemplo a seguir ilustra um exemplo de OIDC token.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Etapa 3: ativar a sincronização de e-mail para usuários federados no QuickSight
Conforme descrito anteriormente, atualize a relação de confiança da IAM função e adicione um SAML atributo ou OIDC token para a IAM Principal tag em seu IdP. Em seguida, ative a sincronização de e-mail para usuários federados QuickSight conforme descrito no procedimento a seguir.
Para ativar a sincronização de e-mail para usuários federados
-
Em qualquer página QuickSight, escolha seu nome de usuário no canto superior direito e escolha Gerenciar QuickSight.
-
Escolha Login único (IAMfederação) no menu à esquerda.
-
Na página de IAMfederação iniciada pelo provedor de serviços, em Sincronização de e-mail para usuários federados, escolha ATIVADO.
Quando a sincronização de e-mail para usuários federados está ativada, QuickSight usa os endereços de e-mail que você configurou nas etapas 1 e 2 ao provisionar novos usuários para sua conta. Os usuários não podem inserir seus próprios endereços de e-mail.
Quando a sincronização de e-mail para usuários federados está desativada, QuickSight solicita que os usuários insiram seus endereços de e-mail manualmente ao provisionar novos usuários para sua conta. Eles podem usar qualquer endereço de e-mail que quiserem.
