Einrichten eines Identitätsanbieter-Verbunds mit IAM und QuickSight
| Gilt für: Enterprise Edition und Standard Edition |
| Zielgruppe: Systemadministratoren |
Anmerkung
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon QuickSight nicht.
Mit einer AWS Identity and Access Management (IAM)-Rolle und einer RelayState-URL können Sie einen SAML 2.0-kompatiblen Identitätsanbieter konfigurieren. Die Rolle gewährt Benutzern die Berechtigung, auf Amazon QuickSight zuzugreifen. Der RelayState ist das Portal, an das der Benutzer nach einer erfolgreichen Authentifizierung durch AWS weitergeleitet wird.
Themen
Voraussetzungen
Bevor Sie die SAML 2.0-Verbindung konfigurieren können, müssen Sie Folgendes tun:
-
Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit AWS einzurichten:
-
Konfigurieren Sie im Netzwerk Ihres Unternehmens Ihren Identitätsspeicher, z. B. Windows Active Directory, für die Arbeit mit einem SAML-basierten Identitätsanbieter. SAML-basierte Identitätsanbieter sind beispielsweise Active Directory Federation Services, Shibboleth usw.
-
Generieren Sie mithilfe Ihres Identitätsanbieters ein Metadatendokument, in dem Ihre Organisation als Identitätsanbieter beschrieben wird.
-
Richten Sie SAML 2.0-Authentifizierung auf dieselbe Weise ein wie für die AWS Management Console. Anschließend können Sie Ihren Relay-Status konfigurieren und an den Relay-Status von Amazon QuickSight anpassen. Weitere Informationen finden Sie unter Schritt 5: Konfigurieren des Relay-Status für den Verbund.
-
-
Erstellen Sie ein Amazon-QuickSight-Konto und notieren Sie sich den Namen. Sie benötigen ihn zur Konfiguration Ihrer IAM-Richtlinie und Ihres Identitätsanbieters. Weitere Informationen zum Erstellen von Amazon-QuickSight-Konten finden Sie unter Registrierung für ein Amazon-QuickSight-Abonnement.
Nachdem Sie die Einrichtung des Verbunds für die AWS Management Console wie im Tutorial beschrieben erstellt haben, können Sie den im Tutorial angegebenen Relaisstatus bearbeiten. Das wird für den Relay-Status von Amazon QuickSight durchgeführt, beschrieben unten in Schritt 5.
Weitere Informationen finden Sie in den folgenden Ressourcen:
-
Integrieren von Drittanbieter-SAML-Lösungsanbietern mit AWS im IAM-Benutzerhandbuch.
-
Fehlerbehebung beim SAML-2.0-Verbund mit AWS, ebenfalls im IAM-Benutzerhandbuch.
-
Einrichten der Vertrauensstellung zwischen ADFS und AWS und Verwenden von Anmeldeinformationen von Active Directory zum Herstellen einer Verbindung mit Amazon Athena mit ODBC-Treiber
– Dieser Artikel ist hilfreich, obwohl Sie Athena nicht einrichten müssen, um QuickSight verwenden zu können.
Schritt 1: Erstellen Sie einen SAML-Anbieter in AWS
Der Identitätsanbieter für AWS Ihres Unternehmens wird über Ihren SAML-Identitätsanbieter festgelegt. Hierfür wird das Metadatendokument verwendet, das Sie zuvor mithilfe Ihres Identitätsanbieters erstellt haben.
So erstellen Sie einen SAML-Anbieter in AWS
Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Erstellen Sie einen neuen SAML-Anbieter. Dabei handelt es sich um eine Entität in IAM, in der die Informationen zum Identitätsanbieter Ihrer Organisation gespeichert sind. Weitere Informationen finden Sie unter Erstellen von SAML-Identitätsanbietern im IAM-Benutzerhandbuch.
-
Laden Sie in diesem Prozess das Metadatendokument hoch, das von der IdP-Software Ihrer Organisation wie im vorherigen Abschnitt erwähnt erstellt wurde.
Schritt 2: Konfigurieren von Berechtigungen in AWS für Verbundbenutzer
Erstellen Sie nun eine IAM-Rolle, die eine Vertrauensbeziehung zwischen IAM und dem Identitätsanbieter Ihres Unternehmens einrichtet. Diese Rolle identifiziert Ihren Identitätsanbieter als Prinzipal (vertrauenswürdige Entität) für die Zwecke des Identitätsverbunds. Mit der Rolle werden auch die Benutzer definiert, die vom Identitätsanbieter Ihres Unternehmens authentifiziert werden und auf Amazon QuickSight zugreifen dürfen. Weitere Informationen zum Erstellen einer Rolle für einen SAML-Identitätsanbieter finden Sie unter Erstellen einer Rolle für den SAML 2.0-Verbund im IAM-Benutzerhandbuch.
Nachdem Sie die Rolle erstellt haben, können Sie ihre Berechtigungen auf Amazon QuickSight beschränken, indem Sie der Rolle eine Inlinerichtlinie anfügen. Das folgende Musterrichtliniendokument bietet Zugriff auf Amazon QuickSight. Die Richtlinie gewährt Benutzern Zugriff auf Amazon QuickSight und ermöglicht das Erstellen von Autoren- und Leserkonten.
Anmerkung
Ersetzen Sie im folgenden Beispiel <YOUR_AWS_ACCOUNT_ID> durch die 12-stellige AWS-Konto-ID (ohne Bindestriche).
Wenn Sie Zugriff auf Amazon QuickSight sowie die Berechtigung zum Erstellen von Amazon-QuickSight-Administratoren, -Autoren (Standardbenutzer) und -Lesern gewähren möchten, können Sie das folgende Richtlinienbeispiel verwenden.
Sie können Einzelheiten zum Konto auf der AWS Management Console anzeigen.
Nachdem Sie SAML und die IAM-Richtlinie bzw. -Richtlinien eingerichtet haben, müssen Sie Benutzer nicht manuell einladen. Benutzer, die Amazon QuickSight zum ersten Mal öffnen, erhalten automatisch Anmeldeinformationen mit den höchsten Berechtigungen der Richtlinie auf Ressourcenebene. Beispiel: Wenn sie die Berechtigungen für quicksight:CreateUser und quicksight:CreateReader besitzen, werden sie als Autoren bereitgestellt. Wenn sie auch über Berechtigungen für quicksight:CreateAdmin verfügen, werden sie als Administratoren bereitgestellt. Jede Berechtigungsstufe umfasst die Möglichkeit zum Erstellen von Benutzern auf oder unter der eigenen Ebene.. Beispiel: Ein Autor oder Leser kann anderen Autoren hinzufügen.
Eingeladene Benutzer, die manuell in der Rolle erstellt werden, werden von der einladenden Person manuell zugewiesen. Sie müssen nicht über Richtlinien verfügen, die ihnen Berechtigungen erteilen.
Schritt 3: Konfigurieren des SAML IdP
Nachdem Sie die IAM-Rolle erstellt haben, müssen Sie Ihren SAML-Identitätsanbieter über AWS als Serviceanbieter aktualisieren. Installieren Sie dazu die Datei saml-metadata.xml von https://signin.aws.amazon.com/static/saml-metadata.xml
Eine Anleitung zum Aktualisieren der IdP-Metadaten erhalten Sie von Ihrem Identitätsanbieter. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen.
Weitere Informationen finden Sie in der Dokumentation des Identitätsanbieters.
Schritt 4: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort
Konfigurieren Sie als Nächstes die Informationen, die der Identitätsanbieter als SAML-Attribute an AWS als Teil der Authentifizierungsantwort übergibt. Weitere Informationen finden Sie unter Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort im IAM-Benutzerhandbuch.
Schritt 5: Konfigurieren des Relay-Status für den Verbund
Abschließend konfigurieren Sie den Relay-Status Ihres Verbunds so, dass er auf die Relay-Status-URL von QuickSight verweist. Nach einer erfolgreichen Authentifizierung durch AWS wird der Benutzer an Amazon QuickSight weitergeleitet, das in der SAML-Authentifizierungsantwort als RelayState definiert ist.
Die Relay-Status-URL für Amazon QuickSight lautet wie folgt.
https://quicksight.aws.amazon.com
