Konfigurieren der E-Mail-Synchronisierung für Verbundbenutzer in Amazon QuickSight
| Gilt für: Enterprise Edition |
| Zielgruppe: Systemadministratoren und Amazon-QuickSight-Administratoren |
Anmerkung
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon QuickSight nicht.
In der Amazon QuickSight Enterprise Edition können Sie als Administrator verhindern, dass neue Benutzer persönliche E-Mail-Adressen verwenden, wenn sie QuickSight direkt über ihren Identitätsanbieter (IDP) bereitstellen. QuickSight verwendet dann die vorkonfigurierten E-Mail-Adressen, die über den Identitätsanbieter weitergegeben wurden, wenn neue Benutzer für Ihr Konto bereitgestellt werden. Sie können beispielsweise festlegen, dass nur vom Unternehmen zugewiesene E-Mail-Adressen verwendet werden, wenn Benutzern über Ihren Identitätsanbieter Zugriff auf Ihr QuickSight-Konto gewährt wird.
Anmerkung
Stellen Sie sicher, dass Ihre Benutzer über ihren Identitätsanbieter direkt mit QuickSight verbunden sind. Wenn sie sich über ihren Identitätsanbieter mit dem AWS Management Console verbinden und dann auf QuickSight klicken, tritt ein Fehler auf und sie können nicht auf QuickSight zugreifen.
Wenn Sie die E-Mail-Synchronisierung für Verbundbenutzer in QuickSight konfigurieren, haben Benutzer, die sich zum ersten Mal bei Ihrem QuickSight-Konto anmelden, vorab E-Mail-Adressen zugewiesen. Diese werden verwendet, um ihre Konten zu registrieren. Bei diesem Ansatz können die Nutzer den Zugang manuell durch Eingabe einer E-Mail-Adresse umgehen. Außerdem können die Benutzer keine E-Mail-Adresse verwenden, die sich von der von Ihnen, dem Administrator, angegebenen E-Mail-Adresse unterscheidet.
QuickSight unterstützt die Bereitstellung über einen Identitätsanbieter, der die Authentifizierung über SAML oder OpenID Connect (OIDC) unterstützt. Um E-Mail-Adressen für neue Benutzer bei der Bereitstellung über einen Identitätsanbieter zu konfigurieren, aktualisieren Sie die Vertrauensbeziehung für die IAM-Rolle, die sie mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity verwenden. Dann fügen Sie ihrem Identitätsanbieter ein SAML-Attribut oder ein OIDC-Token hinzu. Zuletzt aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in QuickSight.
Das folgende Verfahren beschreibt diese Schritte im Detail.
Schritt 1: Aktualisieren Sie die Vertrauensbeziehung für die IAM-Rolle mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity
Sie können E-Mail-Adressen für Ihre Benutzer konfigurieren, die sie bei der Bereitstellung über Ihren Identitätsanbieter für QuickSight verwenden. Fügen Sie dazu die sts:TagSession-Aktion zur Vertrauensbeziehung für die IAM-Rolle hinzu, die Sie mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity verwenden. Auf diese Weise können Sie principal-Tags übergeben, wenn Benutzer die Rolle übernehmen.
Das folgende Beispiel zeigt eine aktualisierte IAM-Rolle, bei der der Identitätsanbieter Okta ist. Um dieses Beispiel zu verwenden, aktualisieren Sie den Federated-Amazon-Ressourcennamen (ARN) mit dem ARN Ihres Dienstanbieters. Sie können rot markierte Elemente durch Ihre AWS- und Identitätsanbieterdienstspezifischen Informationen ersetzen.
Schritt 2: Fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Prinzipal-Tag in Ihrem Identitätsanbieter hinzu
Nachdem Sie die Vertrauensbeziehung für die IAM-Rolle wie im vorangegangenen Abschnitt beschrieben aktualisiert haben, fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Principal-Tag in Ihrem Identitätsanbieter hinzu.
Die folgenden Beispiele veranschaulichen ein SAML-Attribut und ein OIDC-Token. Um diese Beispiele zu verwenden, ersetzen Sie die E-Mail-Adresse durch eine Variable in Ihrem Identitätsanbieter, die auf die E-Mail-Adresse eines Benutzers verweist. Sie können rot hervorgehobene Elemente durch Ihre Informationen ersetzen.
-
SAML-Attribut: Das folgende Beispiel veranschaulicht ein SAML-Attribut.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>Anmerkung
Wenn Sie Okta als Ihren Identitätsanbieter verwenden, stellen Sie sicher, dass in Ihrem Okta-Benutzerkonto ein Feature-Flag aktiviert ist, um SAML zu verwenden. Weitere Informationen finden Sie im Okta-Blog unter Okta und AWS-Partner zur Vereinfachung des Zugangs über Session Tags
. -
OIDC-Token: Das folgende Beispiel veranschaulicht ein OIDC-Token-Beispiel.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Schritt 3: Aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in QuickSight
Aktualisieren Sie, wie oben beschrieben, die Vertrauensbeziehung für die IAM-Rolle und fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Principal-Tag in Ihrem Identitätsanbieter hinzu. Aktivieren Sie dann die E-Mail-Synchronisierung für Verbundbenutzer in QuickSight, wie unten beschrieben, die E-Mail-Synchronisierung für Verbundbenutzer in QuickSight ein.
So aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer
-
Wählen Sie auf einer beliebigen Seite in QuickSight oben rechts Ihren Benutzernamen und dann QuickSight verwalten.
-
Wählen Sie im Menü auf der linken Seite Single Sign-On (IAM-Verbund) aus.
-
Wählen Sie auf der Seite Vom Dienstanbieter initiierter IAM-Verbund für E-Mail-Synchronisierung für Verbundbenutzer die Option AN aus.
Wenn die E-Mail-Synchronisierung für Verbundbenutzer aktiviert ist, verwendet QuickSight bei der Bereitstellung neuer Benutzer für Ihr Konto die E-Mail-Adressen, die Sie in den Schritten 1 und 2 konfiguriert haben. Benutzer können ihre eigenen E-Mail-Adressen nicht eingeben.
Wenn die E-Mail-Synchronisierung für Verbundbenutzer deaktiviert ist, fordert QuickSight die Benutzer auf, ihre E-Mail-Adresse manuell einzugeben, wenn neue Benutzer für Ihr Konto eingerichtet werden. Sie können beliebige E-Mail-Adressen verwenden.
