Einrichten eines von einem Dienstanbieter initiierten Verbunds mit Amazon QuickSight Enterprise Edition - Amazon QuickSight
So richten Sie QuickSight als Dienstanbieter ein, der einen IAM-Verbund für einen vorhandenen Identitätsanbieter initiieren kannAktivieren Sie den vom Dienstanbieter initiierten IAM-Verbund-IdentitätsanbieterSo deaktivieren Sie den vom Dienstanbieter initiierten IAM-Verbund

Einrichten eines von einem Dienstanbieter initiierten Verbunds mit Amazon QuickSight Enterprise Edition

 Gilt für: Enterprise Edition 
   Zielgruppe: Systemadministratoren 
Anmerkung

Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon QuickSight nicht.

Nachdem Sie die Konfiguration Ihres Identitätsanbieters mit AWS Identity and Access Management-(IAM) abgeschlossen haben, können Sie die vom Dienstanbieter initiierte Anmeldung über Amazon QuickSight Enterprise Edition einrichten. Damit der von QuickSight initiierte IAM-Verbund funktioniert, müssen Sie QuickSight autorisieren, die Authentifizierungsanfrage an Ihren Identitätsanbieter zu senden. Ein QuickSight-Administrator kann dies konfigurieren, indem er die folgenden vom Identitätsanbieter bereitgestellten Informationen hinzufügt:

  • Die Identitätsanbieter-URL – QuickSight leitet Benutzer zur Authentifizierung an diese URL weiter.

  • Der Relay-Status-Parameter – Dieser Parameter gibt den Status an, in dem sich die Browsersitzung befand, als sie zur Authentifizierung umgeleitet wurde. Der Identitätsanbieter leitet den Benutzer nach der Authentifizierung zurück in den ursprünglichen Status. Der Status wird als URL bereitgestellt.

Die folgende Tabelle zeigt die Standard-Authentifizierungs-URL und den Relay-Status-Parameter für die Umleitung des Benutzers auf die von Ihnen angegebene Amazon-QuickSight-URL.

Identitätsanbieter Parameter Authentifizierungs-URL

Auth0

RelayState

https://<sub_domain>.auth0.com/samlp/<app_id>

Google-Konten

RelayState

https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false

Microsoft Azure

RelayState

https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>

Okta

RelayState

https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml

PingFederate

TargetResource

https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>

PingOne

TargetResource

https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

QuickSight unterstützt die Verbindung zu einem Identitätsanbieter pro AWS-Konto. Auf der Konfigurationsseite in QuickSight finden Sie Test-URLs, die auf Ihren Eingaben basieren, sodass Sie die Einstellungen testen können, bevor Sie das Feature aktivieren. Um den Prozess noch reibungsloser zu gestalten, bietet QuickSight einen Parameter (enable-sso=0) zum vorübergehenden Ausschalten des von QuickSight initiierten IAM-Verbunds, falls Sie ihn vorübergehend deaktivieren müssen.

So richten Sie QuickSight als Dienstanbieter ein, der einen IAM-Verbund für einen vorhandenen Identitätsanbieter initiieren kann

  1. Stellen Sie sicher, dass Sie in Ihrem Identitätsanbieter, in IAM und QuickSight bereits einen IAM-Verbund eingerichtet haben. Um diese Einrichtung zu testen, prüfen Sie, ob Sie ein Dashboard mit einer anderen Person in der Domain Ihres Unternehmens teilen können.

  2. Öffnen Sie QuickSight und wählen Sie in Ihrem Profilmenü oben rechts die Option QuickSight verwalten.

    Um dieses Verfahren durchführen zu können, müssen Sie ein QuickSight-Administrator sein. Ist dies nicht der Fall, wird QuickSight verwalten nicht in Ihrem Profilmenü angezeigt.

  3. Wählen Sie im Navigationsbereich Single Sign-On (IAM-Verbund) aus.

  4. Geben Sie unter Konfiguration, Identitätsanbieter-URL die URL ein, die Ihr Identitätsanbieter zur Benutzerauthentifizierung bereitstellt.

  5. Geben Sie für Identitätsanbieter-URL den Parameter ein, den Ihr Identitätsanbieter für den Relay-Status bereitstellt, z. B. RelayState. Der tatsächliche Name des Parameters wird von Ihrem Identitätsanbieter bereitgestellt.

  6. Testen Sie die Anmeldung:

    • Um die Anmeldung bei Ihrem Identitätsanbieter zu testen, verwenden Sie die benutzerdefinierte URL, die unter Testen Sie den Start mit Ihrem Identitätsanbieter angegeben ist. Sie sollten auf der Startseite für QuickSight ankommen, zum Beispiel https://quicksight.aws.amazon.com/sn/start.

    • Um zuerst die Anmeldung mit QuickSight zu testen, verwenden Sie die benutzerdefinierte URL, die unter Testen Sie die End-to-End-Erfahrung bereitgestellt wird. Der enable-sso-Parameter wird an die URL angehängt. Wenn enable-sso=1, versucht der IAM-Verbund, sich zu authentifizieren.

  7. Wählen Sie Speichern, um Ihre Einstellungen beizubehalten.

Aktivieren Sie den vom Dienstanbieter initiierten IAM-Verbund-Identitätsanbieter

  1. Stellen Sie sicher, dass Ihre IAM-Verbundeinstellungen konfiguriert und getestet sind. Wenn Sie sich bei der Konfiguration nicht sicher sind, testen Sie die Verbindung mithilfe der URLs aus dem vorherigen Verfahren.

  2. Öffnen Sie QuickSight und wählen Sie in Ihrem Profilmenü die Option QuickSight verwalten.

  3. Wählen Sie im Navigationsbereich Single Sign-On (IAM-Verbund) aus.

  4. Wählen Sie unter Status die Option AN aus.

  5. Stellen Sie sicher, dass es funktioniert, indem Sie die Verbindung zu Ihrem Identitätsanbieter trennen und QuickSight öffnen.

So deaktivieren Sie den vom Dienstanbieter initiierten IAM-Verbund

  1. Öffnen Sie QuickSight und wählen Sie in Ihrem Profilmenü die Option QuickSight verwalten.

  2. Wählen Sie im Navigationsbereich Single Sign-On (IAM-Verbund) aus.

  3. Wählen Sie unter Status die Option AUS aus.