Initiieren der Anmeldung beim Identitätsanbieter (IdP) - Amazon QuickSight

Initiieren der Anmeldung beim Identitätsanbieter (IdP)

   Gilt für: Enterprise Edition und Standard Edition 
   Zielgruppe: Systemadministratoren 
Anmerkung

Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon QuickSight nicht.

In diesem Szenario initiieren Ihre Benutzer den Anmeldevorgang über das Portal des Identitätsanbieters. Nachdem die Benutzer authentifiziert wurden, melden sie sich bei QuickSight an. Nachdem QuickSight überprüft hat, ob sie autorisiert sind, können Ihre Benutzer auf QuickSight zugreifen.

Beginnend mit der Anmeldung eines Benutzers beim Identitätsanbieter durchläuft die Authentifizierung die folgenden Schritte:

  1. Der Benutzer besucht https://applications.example.com und meldet sich bei dem Identitätsanbieter an. Zu diesem Zeitpunkt ist der Benutzer nicht beim Dienstanbieter angemeldet.

  2. Der Verbunddienst und der Identitätsanbieter authentifizieren den Benutzer:

    1. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.

    2. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.

    3. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.

  3. Der Benutzer öffnet QuickSight:

    1. Der Browser des Benutzers sendet die SAML-Zusicherung an den SAML-Anmeldeendpunkt von AWS (https://signin.aws.amazon.com/saml).

    2. Die AWS-Anmeldung empfängt die SAML-Anforderung, verarbeitet die Anforderung, authentifiziert den Benutzer und leitet das Authentifizierungstoken weiter an den Amazon-QuickSight-Service.

  4. Amazon QuickSight akzeptiert das Authentifizierungstoken von AWS und präsentiert QuickSight dem Benutzer.

Für den Benutzer ist dieser Vorgang transparent. Der Benutzer beginnt im internen Portal des Unternehmens und wird zu einem Amazon-QuickSight-Anwendungsportal geleitet, ohne jemals irgendwelche AWS-Anmeldeinformationen anzugeben.

Im folgenden Diagramm finden Sie einen Authentifizierungsfluss zwischen Amazon QuickSight und einem Identitätsanbieter (IdP) eines Drittanbieters. In diesem Beispiel hat der Administrator die Anmeldeseite applications.example.com für den Zugriff auf Amazon QuickSight eingerichtet. Wenn sich ein Benutzer anmeldet, sendet die Anmeldeseite eine Anfrage an einen Verbunddienst, der SAML 2.0 entspricht. Der Endbenutzer initiiert die Authentifizierung auf der Anmeldeseite des Identitätsanbieters.

SAML Diagramm von Amazon QuickSight. Die Abbildung besteht aus zwei Feldern. Im ersten Feld wird der Authentifizierungsprozess innerhalb des Unternehmens erläutert. Im zweiten Feld wird die Authentifizierung innerhalb von AWS dargestellt. Der Prozess wird im Anschluss an die Tabelle erläutert.