在 Amazon 中为联合用户配置电子邮件同步 QuickSight - Amazon QuickSight
步骤 1:更新IAM角色的信任关系步骤 2:添加SAML属性或OIDC标记步骤 3:开启电子邮件同步功能

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 中为联合用户配置电子邮件同步 QuickSight

 适用于:企业版 
   目标受众:系统管理员和 Amazon QuickSight 管理员 
注意

IAM联合身份验证不支持将身份提供商群组与 Amazon QuickSight 同步。

在 Amazon E QuickSight nterprise 版中,作为管理员,您可以限制新用户在通过身份提供商 (IdP) 直接向其进行配置时使用个人电子邮件地址。 QuickSight QuickSight 然后在为您的账户配置新用户时,使用通过 IdP 传递的预配置电子邮件地址。例如,您可以设定在通过您的 IdP 向您的 QuickSight 账户配置用户时,仅使用公司分配的电子邮件地址。

注意

确保您的用户直接 QuickSight 通过其 IdP 进行联合。 AWS Management Console 通过他们的 IdP 联合,然后点击 QuickSight 进入会导致错误,他们将无法访问。 QuickSight

在中为联合用户配置电子邮件同步时 QuickSight,首次登录您 QuickSight 账户的用户会预先分配电子邮件地址。这些用于注册他们的账户。使用这种方法,用户可以通过输入电子邮件地址来手动绕过。此外,用户不能使用可能与您(管理员)规定的电子邮件地址不同的电子邮件地址。

QuickSight 支持通过支持 Op SAML enID Connect () 身份验证的 IdP 进行配置。OIDC要在通过 IdP 置备时为新用户配置电子邮件地址,请更新他们与或一起AssumeRoleWithSAML使用的IAM角色的信任关系。AssumeRoleWithWebIdentity然后在他们的 IdP 中添加SAML属性或OIDC标记。最后,您可以在中 QuickSight为联合用户开启电子邮件同步。

以下过程将详细介绍这些步骤。

步骤 1:使用更新IAM角色的信任关系 AssumeRoleWithSAML 或者 AssumeRoleWithWebIdentity

您可以配置电子邮件地址供用户在通过 IdP 进行配置时使用。 QuickSight为此,请将sts:TagSession操作添加到与AssumeRoleWithSAML或一起使用的IAM角色的信任关系中AssumeRoleWithWebIdentity。这样,您可以在用户代入角色时传入 principal 标签。

以下示例说明了更新后的IAM角色,其中 IdP 为 Okta。要使用此示例,请使用服务提供商的 Federated Amazon 资源名称 (ARN) 更新。ARN您可以将红色项目替换为您 AWS 和 IdP 服务的特定信息。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

第 2 步:在 I SAML dP 中为IAM委托人标签添加属性或标OIDC记

按照上一节所述更新IAM角色的信任关系后,请在 IdP 中为该IAMPrincipal标签添加SAML属性或OIDC令牌。

以下示例说明了SAML属性和标OIDC记。要使用这些示例,将电子邮件地址替换为 IdP 中指向用户电子邮件地址的变量。您可以用您的信息替换以红色突出显示的项目。

  • SAML属性:以下示例说明了一个SAML属性。

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    注意

    如果您使用 Okta 作为 IdP,请务必在 Okta 用户帐户中打开要使用的功能标记。SAML有关更多信息,请参阅 Okta 博客上的 Okta 和 AWS 合作伙伴通过会话标签简化访问

  • OIDCtoken:以下示例说明了一个OIDC令牌示例。

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

步骤 3:在中为联合用户开启电子邮件同步 QuickSight

如前所述,更新IAM角色的信任关系,并在您的 IdP 中为IAMPrincipal标签添加SAML属性或OIDC令牌。然后按照以下步骤为联合用户开 QuickSight 启电子邮件同步。

为联合用户开启电子邮件同步功能

  1. 在任一页面中 QuickSight,在右上角选择您的用户名,然后选择管理 QuickSight

  2. 在左侧菜单中选择单点登录(IAM联合)

  3. 在 “服务提供商发起的IAM联合” 页面,对于 “联合用户的电子邮件同步”,选择 “开”。

    当为联合用户开启电子邮件同步功能时, QuickSight 使用您在步骤 1 和步骤 2 中配置的电子邮件地址向您的账户配置新用户。用户无法输入自己的电子邮件地址。

    当联合用户的电子邮件同步功能关闭时, QuickSight 会要求用户在为您的账户配置新用户时手动输入其电子邮件地址。他们可以使用他们想要的任何电子邮件地址。