使用 IAM 和 QuickSight 设置 IdP 联合身份验证
适用于:企业版和标准版 |
目标受众:系统管理员 |
注意
IAM 身份联合验证不支持将身份提供者组与 Amazon QuickSight 同步。
您可以使用 AWS Identity and Access Management (IAM) 角色和一个中继状态 URL 以配置符合 SAML 2.0 标准的身份提供商 (IdP)。该角色为用户授予权限以访问 Amazon QuickSight。中继状态是在 AWS 成功进行身份验证后将用户转发到的门户。
主题
先决条件
在配置 SAML 2.0 连接之前,请执行以下操作:
-
配置 IdP 以建立与亚马逊云科技的信任关系:
-
在贵组织的网络内,将您的身份存储,例如,Windows Active Directory,与基于 SAML 的 IdP 一起工作。基于 SAML 的 IdP 包括 Active Directory 联合身份验证服务、Shibboleth,等等。
-
通过使用 IdP,可以生成一个元数据文档,此文档将您的组织描述为身份提供商。
-
通过使用与 AWS Management Console相同的步骤,设置 SAML 2.0 身份验证。该过程完成之后,您可以将中继状态配置为与 Amazon QuickSight 的中继状态匹配。有关更多信息,请参阅 步骤 5:配置您的联合身份验证的中继状态。
-
-
创建一个 Amazon QuickSight 账户并记下在配置 IAM policy 和 IdP 时使用的名称。有关创建 Amazon QuickSight 账户的更多信息,请参阅 注册 Amazon QuickSight 订阅。
在按照教程中的说明为 AWS Management Console设置联合身份验证后,您可以编辑教程中提供的中继状态。您可以通过下面的步骤 5 中所述的 Amazon QuickSight 中继状态执行该操作。
有关更多信息,请参阅以下资源:
-
《IAM 用户指南》中的将第三方 SAML 解决方案提供者与 AWS 集成。
-
同样是在《IAM 用户指南》中的 Troubleshooting SAML 2.0 federation with AWS。
-
在 ADFS 和 AWS 之间建立信任并使用 Active Directory 凭证连接到 Amazon Athena 与 ODBC 驱动程序
– 尽管您无需设置 Athena 即可使用 QuickSight,但此演练文章也很有用。
步骤 1:在 AWS 中创建 SAML 提供者
SAML 身份提供者将贵组织的 IdP 定义到 AWS。它通过使用之前通过 IdP 生成的元数据文档来进行此设置。
在 AWS 中创建 SAML 提供者
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
创建一个新的 SAML 提供者,该提供者是 IAM 中包含贵组织的身份提供者的相关信息的实体。有关更多信息,请参阅《IAM 用户指南》中的创建 SAML 身份提供商。
-
在此过程中,您可以上传由上一部分中记录的您的组织中的 IdP 软件生成的元数据文档。
步骤 2:在 AWS 中为您的联合用户配置权限
下一步是创建一个 IAM 角色,以在 IAM 与贵组织的 IdP 之间建立信任关系。该角色将您的 IdP 标识为委托人 (可信实体) 以实现联合身份验证目的。该角色还定义了由贵组织的 IdP 进行身份验证的哪些用户可以访问 Amazon QuickSight。有关为 SAML IdP 创建角色的更多信息,请参阅《IAM 用户指南》中的创建用于 SAML 2.0 联合身份验证的角色。
在创建角色后,您可以将一个内联策略附加到该角色以使其仅具有 Amazon QuickSight 权限。以下示例策略文档提供了 Amazon QuickSight 的访问权限。此策略允许用户访问 Amazon QuickSight,并允许其创建作者账户和读者账户。
注意
在以下示例中,将 <YOUR_AWS_ACCOUNT_ID>
替换为您的 12 位 AWS 账户 ID(不含连字符“-”)。
{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::
<YOUR_AWS_ACCOUNT_ID>
:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
如果要提供 Amazon QuickSight 的访问权限以及能够创建 Amazon QuickSight 管理员、作者(标准用户)或读者,您可以使用以下策略示例。
{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::
<YOUR_AWS_ACCOUNT_ID>
:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
您可以在 AWS Management Console中查看账户详细信息。
设置 SAML 和 IAM policy 后,您将无需手动邀请用户。在用户首次打开 Amazon QuickSight 时,将使用策略中的最高级别的权限自动预置这些用户。例如,如果他们同时具有 quicksight:CreateUser
和 quicksight:CreateReader
权限,则将其预置为作者。如果他们具有 quicksight:CreateAdmin
权限,则将其预置为管理员。每个权限级别可以创建相同级别的用户和以下级别用户。例如,作者可以添加其他作者或读者。
手动邀请的用户是在邀请他们的人员分配的角色中创建的。他们不需要具有为其授予权限的策略。
步骤 3:配置 SAML IdP
在创建 IAM 角色后,请更新您的 SAML IdP 以将 AWS 作为服务提供商。为此,请安装在 https://signin.aws.amazon.com/static/saml-metadata.xmlsaml-metadata.xml
文件。
要更新 IdP 元数据,请参阅您的 IdP 提供的说明。一些提供商为您提供了键入该 URL 的选项,此时,IdP 将为您获取并安装该文件。另一些提供商则要求您从该 URL 处下载该文件,然后将其作为本地文件提供。
有关更多信息,请参阅您的 IdP 文档。
步骤 4:为 SAML 身份验证响应创建断言
接下来,配置一条信息,IdP 在身份验证响应期间将此信息作为 SAML 属性传递到 AWS。有关更多信息,请参阅 IAM 用户指南中的为身份验证响应配置 SAML 断言。
步骤 5:配置您的联合身份验证的中继状态
最后,配置联合身份验证的中继状态以指向 QuickSight 中继状态 URL。在 AWS 成功进行身份验证后,用户将定向到 Amazon QuickSight,它在 SAML 身份验证响应中定义为中继状态。
Amazon QuickSight 的中继状态 URL 如下。
https://quicksight.aws.amazon.com