Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Tutorial: federação de identidades da Amazon QuickSight e do IAM

PDF
RSS
Modo de foco
Tutorial: federação de identidades da Amazon QuickSight e do IAM - Amazon QuickSight

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: QuickSight administradores da Amazon e desenvolvedores da Amazon QuickSight  
nota

A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com a Amazon QuickSight.

No tutorial a seguir, você pode encontrar um passo a passo para configurar o IdP Okta como um serviço de federação para a Amazon. QuickSight Embora este tutorial mostre a integração do AWS Identity and Access Management (IAM) e do Okta, você também pode replicar essa solução usando o SAML 2.0 de sua escolha. IdPs

No procedimento a seguir, você cria um aplicativo no Okta IdP usando o atalho “Federação de contas AWS ”. O Okta descreve esse aplicativo de integração da seguinte forma:

“Ao federar o Okta às contas do Amazon Web Services (AWS) Identity and Access Management (IAM), os usuários finais obtêm acesso de login único a todas as funções atribuídas com suas credenciais Okta. AWS Em cada uma delas Conta da AWS, os administradores configuram a federação e configuram AWS funções para confiar no Okta. Quando os usuários fazem login AWS, eles obtêm a experiência de login único do Okta para ver as funções atribuídas. AWS Em seguida, eles podem selecionar um perfil desejado, que definiu suas permissões durante a sessão autenticada. Clientes com um grande número de AWS contas, confira o aplicativo AWS Single Sign-On como alternativa.” (https://www.okta.com/aws/)

Para criar um aplicativo Okta usando o atalho do aplicativo “Federação de AWS contas” do Okta

  1. Faça login no painel do Okta. Se você não tiver uma, crie uma conta gratuita do Okta Developer Edition usando esse URL QuickSight de marca. Depois de ativar seu e-mail, faça login no Okta.

  2. No site do Okta, escolha <> Developer Console no canto superior esquerdo e selecione Classic UI.

  3. Escolha Add Applications e Add app.

  4. Insira aws em Search e escolha AWS Account Federation nos resultados da pesquisa.

  5. Escolha Add para criar uma instância dessa aplicação.

  6. Em Application label, insira AWS Account Federation - QuickSight.

  7. Escolha Próximo.

  8. Em SAML 2.0, Default Relay State, insira https://quicksight.aws.amazon.com.

  9. Abra o menu de contexto (clique com o botão direito do mouse) em Identity Provider metadata e escolha salvar o arquivo. Nomeie o arquivo metadata.xml. Você precisará dele para o próximo procedimento.

    O conteúdo do arquivo é semelhante ao seguinte:

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Depois de salvar o arquivo XML, vá até o final da página do Okta e escolha Done.

  11. Mantenha essa janela do navegador aberta, se possível. Você precisará dela posteriormente no tutorial.

Em seguida, você criará um provedor de identidades na sua Conta da AWS.

Para criar um provedor SAML no AWS Identity and Access Management (IAM)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Provedores de identidades, Criar provedor.

  3. Insira as seguintes configurações:

    • Tipo de provedor: escolha SAML na lista.

    • Nome do provedor: insira Okta.

    • Documento de metadados: carregue o arquivo XML manifest.xml do procedimento anterior.

  4. Escolha Próximo passo, Criar.

  5. Localize o IdP que você criou e selecione-o para visualizar as configurações. Anote o ARN do provedor. Você precisa disso para concluir o tutorial.

  6. Verifique se o provedor de identidades foi criado com suas configurações. No IAM, escolha Provedores de identidades, Okta (o IdP que você adicionou), Baixar metadados. O arquivo deve ser o que você carregou recentemente.

Em seguida, você cria uma função do IAM para permitir que a federação SAML 2.0 atue como uma entidade confiável em seu Conta da AWS. Para esta etapa, você precisa escolher como deseja provisionar usuários na Amazon QuickSight. Você pode executar uma das seguintes ações:

  • Conceda permissão à função do IAM para que visitantes iniciantes se tornem QuickSight usuários automaticamente.

  • Provisione QuickSight usuários com antecedência usando a QuickSight API. Ao escolher essa opção, você pode provisionar usuários e adicioná-los aos grupos ao mesmo tempo. Para obter mais informações, consulte Criação e gerenciamento de grupos na Amazon QuickSight.

Para criar um perfil do IAM para uma federação SAML 2.0 como uma entidade confiável

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Funções e Criar função.

  3. Em Selecionar tipo de entidade confiável, escolha o cartão rotulado como Federação SAML 2.0.

  4. Em Provedor SAML, selecione o IdP criado no procedimento anterior, por exemplo, Okta.

  5. Ative a opção Permitir acesso programático e ao console AWS de gerenciamento.

  6. Escolha Próximo: Permissões.

  7. Cole a política a seguir no editor.

    No editor da política, atualize o JSON com o nome do recurso da Amazon (ARN) do seu provedor. 

    {
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Escolha Revisar política.

  9. Em Nome, insira e QuicksightOktaFederatedPolicy e selecione Create policy (Criar política).

  10. Escolha Criar política, JSON pela segunda vez.

  11. Cole a política a seguir no editor.

    No editor de políticas, atualize o JSON com seu Conta da AWS ID. Deve ser o mesmo ID de conta que você usou na política anterior no ARN do provedor.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    Você pode omitir o Região da AWS nome no ARN, conforme mostrado a seguir.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Escolha Revisar política.

  13. Em Nome, insira e QuicksightCreateReader e selecione Create policy (Criar política).

  14. Atualize a lista de políticas escolhendo o ícone de atualização à direita.

  15. Em Pesquisar, insira QuicksightOktaFederatedPolicy. Escolha a política para habilitá-la ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Se você não quiser usar o provisionamento automático, ignore a etapa a seguir.

    Para adicionar um QuickSight usuário, use register-user. Para adicionar um QuickSight grupo, use create-group. Para adicionar usuários ao QuickSight grupo, use create-group-membership.

  16. (Opcional) Em Pesquisar, insira QuicksightCreateReader. Escolha a política para habilitá-la ( Icon representing a cloud with an arrow pointing downward, indicating download or cloud storage. ).

    Execute essa etapa se quiser provisionar QuickSight usuários automaticamente, em vez de usar a QuickSight API.

    A política QuicksightCreateReader ativa o provisionamento automático ao permitir o uso da ação quicksight:CreateReader. Isso concede aos assinantes do painel (nível de leitor) acesso aos usuários iniciantes. Posteriormente, um QuickSight administrador pode atualizá-los no menu de QuickSight perfil, Gerenciar QuickSight, Gerenciar usuários.

  17. Para continuar anexando as políticas ou a política do IAM, escolha Próximo: tags.

  18. Escolha Próximo: revisar.

  19. Em Nome do perfil, insira QuicksightOktaFederatedRole e escolha Criar perfil.

  20. Verifique se você concluiu essa parte com êxito seguindo as seguintes etapas:

    1. Volte para a página principal do console do IAM em https://console.aws.amazon.com/iam/. Você pode usar o botão Voltar do seu navegador.

    2. Escolha Perfis.

    3. Em Pesquisar, insira Okta. QuicksightOktaFederatedRoleEscolha entre os resultados da pesquisa.

    4. Na página Resumo da política, examine a guia Permissões. Verifique se o perfil tem a política ou as políticas que você anexou a ele. Ele deve ter QuicksightOktaFederatedPolicy. Se você optou por adicionar a capacidade de criar usuários, também deve ter QuicksightCreateReader.

    5. Use o ícone Play button icon with a triangular shape pointing to the right. para abrir cada política. Verifique se o texto corresponde ao que é mostrado neste procedimento. Verifique novamente se você adicionou seu próprio Conta da AWS número no lugar do número de conta de exemplo 111111111111.

    6. Na guia Relações de confiança, verifique se o campo Entidades confiáveis contém o ARN do provedor de identidades. Você pode verificar novamente o ARN no console do IAM abrindo Provedores de identidades, Okta.

Para criar uma chave de acesso para o Okta

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Adicione uma política que permita ao Okta exibir uma lista de perfis do IAM para o usuário. Para isso, escolha Política, Criar política.

  3. Escolha JSON e insira a política a seguir.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Escolha Revisar política.

  5. Em Name (Nome), insira OktaListRolesPolicy. Selecione Criar política.

  6. Adicione um usuário para que você possa fornecer uma chave de acesso ao Okta.

    No painel de navegação, escolha Usuários, Adicionar usuário.

  7. Use as seguintes configurações:

    • Em Nome do usuário, digite OktaSSOUser.

    • Em Tipo de acesso, habilite Acesso programático.

  8. Escolha Próximo: Permissões.

  9. Escolha Anexar políticas existentes diretamente.

  10. Em PesquisarOktaListRolesPolicy, insira e escolha entre os resultados OktaListRolesPolicyda pesquisa.

  11. Escolha Próximo: tags e Próximo: revisar.

  12. Selecione Criar usuário. Agora você pode obter a chave de acesso.

  13. Baixe o arquivo de chaves selecionando Baixar .csv. O arquivo contém o mesmo ID da chave de acesso e a mesma chave de acesso secreta que são exibidas nessa tela. No entanto, como AWS não exibe essas informações pela segunda vez, certifique-se de baixar o arquivo.

  14. Verifique se você concluiu essa etapa corretamente seguindo os seguintes passos:

    1. Abra o console do IAM e escolha Usuários. Pesquise Okta SSOUser e abra-o escolhendo o nome de usuário nos resultados da pesquisa.

    2. Na guia Permissões, verifique se o OktaListRolesPolicyestá anexado.

    3. Use o ícone Play button icon with a triangular shape pointing to the right. para abrir a política. Verifique se o texto corresponde ao que é mostrado neste procedimento.

    4. Na guia Credenciais de segurança, você pode verificar a chave de acesso, embora já a tenha baixado. Você pode voltar a essa guia para criar uma chave de acesso quando precisar de uma nova.

No procedimento a seguir, você retorna ao Okta para fornecer a chave de acesso. A chave de acesso funciona com suas novas configurações de segurança para permitir AWS e o Okta IdP para trabalhar em conjunto.

Para finalizar a configuração do aplicativo Okta com as configurações AWS

  1. Volte para o painel do Okta. Se solicitado, faça login. Se o console do desenvolvedor não estiver mais aberto, escolha Admin para reabri-lo.

  2. Se precisar reabrir o Okta, você pode retornar a esta seção seguindo as etapas a seguir:

    1. Faça login no Okta. Selecione Aplicações.

    2. Escolha Federação de AWS contas - QuickSight —o aplicativo que você criou no início deste tutorial.

    3. Escolha a guia Sign On, entre General e Mobile.

  3. Role até Advanced Sign-On Settings.

  4. Em Identity Provider ARN (Required only for SAML IAM federation), insira o ARN do provedor do procedimento anterior, por exemplo: 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Escolha Done ou Save. O nome do botão varia se você estiver criando ou editando a aplicação.

  6. Escolha a guia Provisioning e, na parte inferior da guia, selecione Configure API Integration.

  7. Ative Enable API integration para exibir as configurações.

  8. Em Access Key e Secret Key, forneça a chave de acesso e a chave secreta que você baixou anteriormente em um arquivo chamado OktaSSOUser_credentials.csv.

  9. Escolha Test API Credentials. Veja acima da configuração Enable API integration para ver a mensagem de confirmação AWS Account Federation was verified successfully.

  10. Escolha Salvar.

  11. Certifique-se de que To App esteja destacado à esquerda e escolha Edit à direita.

  12. Em Create Users, ative a opção Enable.

  13. Escolha Salvar.

  14. Na guia Assignments, perto de Provisioning e Import, escolha Assign.

  15. Faça um ou mais dos seguintes procedimentos para habilitar o acesso federado:

    • Para trabalhar com usuários individuais, escolha Assign to People.

    • Para trabalhar com grupos do IAM, escolha Assign to Groups. Você pode escolher grupos específicos do IAM ou Everyone (All users in your organization).

  16. Para cada grupo ou usuário do IAM, faça o seguinte:

    1. Escolha Assign, Role.

    2. Selecione na QuicksightOktaFederatedRolelista de funções do IAM.

    3. Para funções de usuário do SAML, habilite QuicksightOktaFederatedRole.

  17. Escolha Save and Go Back e selecione Done.

  18. Certifique-se de que você concluiu essa etapa corretamente escolhendo o filtro People ou Groups à esquerda e verificando os usuários ou grupos inseridos. Se você não conseguir concluir esse processo porque o perfil criado não aparece na lista, retorne aos procedimentos anteriores para verificar as configurações.

Para fazer login QuickSight usando o Okta (login de IdP para provedor de serviços)

  1. Se você estiver usando uma conta de administrador do Okta, mude para o modo de usuário.

  2. Entre no painel do Okta Applications com um usuário que tenha recebido acesso federado. Você deve ver um novo aplicativo com sua etiqueta, por exemplo, Federação de AWS contas - QuickSight.

  3. Escolha o ícone do aplicativo para iniciar a Federação de AWS Contas - QuickSight.

Agora você pode gerenciar identidades usando o Okta e usar o acesso federado com a Amazon. QuickSight

O procedimento a seguir é uma parte opcional deste tutorial. Se você seguir as etapas, você QuickSight autoriza a encaminhar solicitações de autorização para o IdP em nome de seus usuários. Usando esse método, os usuários podem fazer login QuickSight sem precisar fazer login usando primeiro a página do IdP.

(Opcional) Para configurar o envio QuickSight de solicitações de autenticação ao Okta

  1. Abra QuickSight e escolha Gerenciar no menu QuickSight do seu perfil.

  2. Selecione Logon único (federação do IAM) no painel de navegação.

  3. Em Configuração, URL do IdP, insira o URL que seu IdP fornece para autenticar usuários, por exemplo, https://dev - .okta. 1-----0 com/home/amazon_foi/0oabababababaGQei5d5/282. Você encontra isso na página do seu aplicativo do Okta, na guia General, em Embed Link.

  4. Para URL do IdP, insira RelayState.

  5. Execute um destes procedimentos:

    • Para testar primeiro o login com seu provedor de identidades, use o URL personalizado fornecido em Teste começando com seu IdP. Você deve chegar à página inicial para QuickSight, por exemplo, https://quicksight.aws.amazon.com/sn/ começar.

    • Para testar o login QuickSight primeiro, use o URL personalizado fornecido em Testar a end-to-end experiência. O parâmetro enable-sso é anexado ao URL. Se enable-sso=1, a federação do IAM tenta se autenticar. Seenable-sso=0, QuickSight não envia a solicitação de autenticação e você faz login QuickSight como antes.

  6. Em Status, escolha ATIVADO.

  7. Para salvar suas configurações, selecione Salvar.

Você pode criar um link direto para um QuickSight painel para permitir que os usuários usem a federação do IAM para se conectar diretamente a painéis específicos. Para isso, você anexa o sinalizador do estado de retransmissão e o URL do painel ao URL de logon único do Okta, conforme descrito a seguir.

Para criar um link direto para um QuickSight painel para login único

  1. Localize o URL de logon único (federação do IAM) da aplicação do Okta no arquivo metadata.xml que você baixou no início do tutorial. Você encontra o URL quase no fim do arquivo, no elemento chamado md:SingleSignOnService. O atributo chama-se Location e o valor termina com /sso/saml, como mostrado no exemplo a seguir.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Pegue o valor do URL da federação do IAM e acrescente ?RelayState= seguido pelo URL do seu QuickSight painel. O parâmetro RelayState retransmite o estado (o URL) em que o usuário estava quando foi redirecionado ao URL de autenticação.

  3. À nova federação do IAM com o estado de retransmissão adicionado, anexe a URL do seu painel. QuickSight O URL resultante deve ser semelhantes ao mostrado a seguir.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Se o link criado não abrir, verifique se você está usando o URL da federação do IAM mais recente do metadata.xml. Verifique também se o nome de usuário que você usa para fazer login não está atribuído em mais de um aplicativo do Okta da federação do IAM.

Related resources

Amazon QuickSight 
Technical support (Suporte técnico) 
Fórum de QuickSight usuários da Amazon 

Related resources

Amazon QuickSight 
Technical support (Suporte técnico) 
Fórum de QuickSight usuários da Amazon 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.