必要條件步驟 1：在中建立 SAML 提供者 AWS 步驟 2：在 AWS 中為聯合身分使用者設定許可步驟 3：設定 SAML IdP 步驟 4：為 SAML 身分驗證回應建立聲明步驟 5：設定聯合的轉送狀態

使用 IAM 和設定 IdP 聯盟 QuickSight

適用對象：企業版和標準版

目標對象：系統管理員

注意

IAM 身分聯合不支援將身分識別提供者群組與 Amazon 同步 QuickSight。

您可以使用 AWS Identity and Access Management (IAM) 角色和轉送狀態 URL 來設定符合 SAML 2.0 的身分識別提供者 (IdP)。該角色授予用戶訪問 Amazon 的權限 QuickSight。轉送狀態是指使用者在驗證成功之後轉寄至的入口網站 AWS。

必要條件

設定 SAML 2.0 連線之前，請執行下列動作：

設定您的 IdP 與 AWS 建立信任關係：
- 在組織的網路內，設定身分存放區 (例如，Windows Active Directory) 用於以 SAML 為基礎的 IdP。以 SAML 為基礎的 IdPs 包括使用中目錄聯合服務、Shibboleth 等等。
- 使用 IdP 產生一個中繼資料文件，該文件將您的組織描述為身分提供商。
- 使用 AWS Management Console的相同步驟，設定 SAML 2.0 的身分驗證。完成此程序後，您可以設定轉送狀態以符合 Amazon 的轉送狀態 QuickSight。如需詳細資訊，請參閱步驟 5：設定聯合的轉送狀態。
建立 Amazon QuickSight 帳戶，並記下設定 IAM 政策和 IdP 時要使用的名稱。如需建立 Amazon QuickSight 帳戶的詳細資訊，請參閱註冊 Amazon QuickSight 訂閱。

建立與自學課程中所述聯合的設置後，您可以編輯自學課程中提供的轉送狀態。 AWS Management Console 您可以使用 Amazon 的中繼狀態執行此操作 QuickSight，請參閱以下步驟 5 中所述。

如需詳細資訊，請參閱下列資源：

將第三方 SAML 解決方案提供者與 IAM 使用者指南 AWS中的整合。
與 SAML 2.0 聯盟相關的疑難排解 AWS，也請參閱 IAM 使用者指南。
在 ADFS 之間設定信任，以 AWS 及使用 Active Directory 登入資料以及使用 ODBC 驅動程式連線到 Amazon Athena — 本逐步解說文章很有幫助，雖然您不需要設定 Athena 即可使用。 QuickSight

步驟 1：在中建立 SAML 提供者 AWS

您的 SAML 身分識別提供者會將組織的 IdP 定義為。 AWS這會使用您先前使用 IdP 產生的中繼資料文件進行定義。

若要在中建立 SAML 提供者 AWS

登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。
建立新的 SAML 提供者，該提供者是 IAM 中包含您組織之身分提供者的相關資訊之實體。如需詳細資訊，請參閱《IAM 使用者指南》中的建立 SAML 身分提供者。
在此過程中，上傳在前一章節中由組織中的 IdP 軟體所產生的中繼資料文件。

步驟 2：在 AWS 中為聯合身分使用者設定許可

接著，建立 IAM 角色，以便建立 IAM 和組織的 IdP 之間的信任關係。這個角色會基於聯合目的將您的 IdP 識別為委託人 (信任的實體)。該角色還定義了允許哪些經過組織 IdP 驗證的使用者存取 Amazon QuickSight。如需有關建立用於 SAML IdP 的角色的詳細資訊，請參閱《IAM 使用者指南》中的為 SAML 2.0 聯合身分建立角色。

建立角色之後，您可以 QuickSight透過將內嵌政策附加到角色，將角色限制為僅具有 Amazon 的許可。以下政策文件範例可讓您存取 Amazon QuickSight。此政策允許用戶訪問 Amazon， QuickSight 並允許他們創建作者帳戶和讀者帳戶。

注意

在下列範例中，將 <YOUR_AWS_ACCOUNT_ID> 取代為 12 位數的 AWS 帳戶 ID (不含連字號 '‐')。



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }

如果您想要提供對 Amazon 的存取權，以 QuickSight 及建立 Amazon QuickSight 管理員、作者 (標準使用者) 和讀者的功能，您可以使用下列政策範例。



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }

您可以在中檢視帳戶詳細資訊 AWS Management Console。

在您設定一項或多項 SAML 和 IAM 政策之後，您不需要手動邀請使用者。使用者第一次開啟 Amazon 時 QuickSight，會使用政策中最高層級的許可自動佈建它們。例如，如果使用者有 quicksight:CreateUser 和 quicksight:CreateReader 的許可，則系統會將這些使用者佈建為作者。如果使用者也有 quicksight:CreateAdmin 的許可，則會佈建成為管理員。每個許可層級均能夠建立相同層級和以下層級的使用者。例如，作者可以新增其他作者或讀者。

在邀請使用者的人員所指派的角色中，會建立獲得手動邀請的使用者。使用者不需要有授予許可的政策。

步驟 3：設定 SAML IdP

建立 IAM 角色後，請以服務提供者身分更新您的 SAML IdP。 AWS 為此，請安裝在 https://signin.aws.amazon.com/static/saml-metadata.xml 找到的 saml-metadata.xml 檔案。

若要更新 IdP 中繼資料，請參閱 IdP 提供的指示。部分提供者為您提供了輸入該 URL 的選項，此後，IdP 將為您取得並安裝該檔案。另一些提供者則要求您從該 URL 處下載檔案，然後將其做為本機檔案提供。

如需詳細資訊，請參閱 IdP 文件。

步驟 4：為 SAML 身分驗證回應建立聲明

接下來，設定 IdP 作為 SAML 屬性傳遞的資訊， AWS 做為驗證回應的一部分。如需詳細資訊，請參閱《IAM 使用者指南》中的的為身分驗證回應設定 SAML 聲明。

步驟 5：設定聯合的轉送狀態

最後，將同盟的轉送狀態設定為指向 QuickSight轉送狀態 URL。成功驗證之後 AWS，使用者會被導向至 Amazon QuickSight，並定義為 SAML 身份驗證回應中的轉送狀態。

Amazon QuickSight 的中繼狀態 URL 如下。


https://quicksight.aws.amazon.com

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

IdP 至 QuickSight

QuickSight 至 IdP