Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichtung eines IdP-Verbunds mit IAM und Amazon Quick Suite
| Gilt für: Enterprise Edition und Standard Edition |
| Zielgruppe: Systemadministratoren |
Anmerkung
Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick Suite nicht.
Sie können eine AWS Identity and Access Management (IAM) -Rolle und eine Relay-State-URL verwenden, um einen Identitätsanbieter (IdP) zu konfigurieren, der mit SAML 2.0 kompatibel ist. Die Rolle gewährt Benutzern Berechtigungen für den Zugriff auf Amazon Quick Suite. Der RelayState ist das Portal, an das der Benutzer nach einer erfolgreichen Authentifizierung durch AWS weitergeleitet wird.
Themen
Voraussetzungen
Bevor Sie die SAML 2.0-Verbindung konfigurieren können, müssen Sie Folgendes tun:
-
Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit AWS einzurichten:
-
Konfigurieren Sie im Netzwerk Ihres Unternehmens Ihren Identitätsspeicher, z. B. Windows Active Directory, für die Arbeit mit einem SAML-basierten Identitätsanbieter. Zu den SAML-basierten Diensten IdPs gehören Active Directory Federation Services, Shibboleth usw.
-
Generieren Sie mithilfe Ihres Identitätsanbieters ein Metadatendokument, in dem Ihre Organisation als Identitätsanbieter beschrieben wird.
-
Richten Sie SAML 2.0-Authentifizierung auf dieselbe Weise ein wie für die AWS-Managementkonsole. Wenn dieser Vorgang abgeschlossen ist, können Sie Ihren Relay-Status so konfigurieren, dass er dem Relay-Status von Quick Suite entspricht. Weitere Informationen finden Sie unter Den Relay-Status Ihres Verbunds konfigurieren.
-
-
Erstellen Sie ein Amazon Quick Suite-Konto und notieren Sie sich den Namen, den Sie bei der Konfiguration Ihrer IAM-Richtlinie und Ihres IdP verwenden möchten. Weitere Informationen zur Erstellung eines Amazon Quick Suite-Kontos finden Sie unter Registrierung für ein Amazon Quick Suite-Abonnement.
Nachdem Sie das Setup für die Verbindung mit dem erstellt haben, AWS-Managementkonsole wie im Tutorial beschrieben, können Sie den im Tutorial angegebenen Relay-Status bearbeiten. Sie tun dies mit dem Relay-Status von Amazon Quick Suite, der in Schritt 5 weiter unten beschrieben wird.
Weitere Informationen finden Sie in den folgenden Ressourcen:
-
Integrieren von Drittanbieter-SAML-Lösungsanbietern mit AWS im IAM-Benutzerhandbuch.
-
Fehlerbehebung beim SAML AWS 2.0-Verbund mit, ebenfalls im IAM-Benutzerhandbuch.
-
Einrichtung einer Vertrauensstellung zwischen ADFS AWS und Verwendung von Active Directory-Anmeldeinformationen für die Verbindung zu Amazon Athena mit dem ODBC-Treiber
— Dieser Artikel mit schrittweiser Vorgehensweise ist hilfreich, obwohl Sie Athena nicht einrichten müssen, um Amazon Quick Suite verwenden zu können.
Schritt 1: Erstellen Sie einen SAML-Anbieter in AWS
Ihr SAML-Identitätsanbieter definiert den IdP Ihrer Organisation für. AWS Hierfür wird das Metadatendokument verwendet, das Sie zuvor mithilfe Ihres Identitätsanbieters erstellt haben.
Um einen SAML-Anbieter zu erstellen in AWS
Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/
-
Erstellen Sie einen neuen SAML-Anbieter. Dabei handelt es sich um eine Entität in IAM, in der die Informationen zum Identitätsanbieter Ihrer Organisation gespeichert sind. Weitere Informationen finden Sie unter Erstellen von SAML-Identitätsanbietern im IAM-Benutzerhandbuch.
-
Laden Sie in diesem Prozess das Metadatendokument hoch, das von der IdP-Software Ihrer Organisation wie im vorherigen Abschnitt erwähnt erstellt wurde.
Schritt 2: Konfigurieren Sie die Berechtigungen AWS für Ihre Verbundbenutzer
Erstellen Sie nun eine IAM-Rolle, die eine Vertrauensbeziehung zwischen IAM und dem Identitätsanbieter Ihres Unternehmens einrichtet. Diese Rolle identifiziert Ihren Identitätsanbieter als Prinzipal (vertrauenswürdige Entität) für die Zwecke des Identitätsverbunds. Die Rolle definiert auch, welche Benutzer, die vom IdP Ihrer Organisation authentifiziert wurden, auf Amazon Quick Suite zugreifen dürfen. Weitere Informationen zum Erstellen einer Rolle für einen SAML-Identitätsanbieter finden Sie unter Erstellen einer Rolle für den SAML 2.0-Verbund im IAM-Benutzerhandbuch.
Nachdem Sie die Rolle erstellt haben, können Sie die Rolle so einschränken, dass sie nur Berechtigungen für Amazon Quick Suite hat, indem Sie der Rolle eine Inline-Richtlinie anhängen. Das folgende Musterrichtliniendokument bietet Zugriff auf Amazon Quick Suite. Diese Richtlinie gewährt dem Benutzer Zugriff auf Amazon Quick Suite und ermöglicht es ihm, sowohl Autorenkonten als auch Leserkonten zu erstellen.
Anmerkung
Im folgenden Beispiel <YOUR_AWS_ACCOUNT_ID> ersetzen Sie es durch Ihre 12-stellige AWS-Konto ID (ohne Bindestriche '‐').
{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Wenn Sie Zugriff auf Amazon Quick Suite und auch die Möglichkeit bieten möchten, Amazon Quick Suite-Administratoren, Autoren (Standardbenutzer) und Leser zu erstellen, können Sie das folgende Richtlinienbeispiel verwenden.
{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Sie können die Kontodetails in der AWS-Managementkonsole einsehen.
Nachdem Sie SAML und die IAM-Richtlinie bzw. -Richtlinien eingerichtet haben, müssen Sie Benutzer nicht manuell einladen. Wenn Benutzer Amazon Quick Suite zum ersten Mal öffnen, werden sie automatisch bereitgestellt, wobei die höchsten Berechtigungen in der Richtlinie verwendet werden. Beispiel: Wenn sie die Berechtigungen für quicksight:CreateUser und quicksight:CreateReader besitzen, werden sie als Autoren bereitgestellt. Wenn sie auch über Berechtigungen für quicksight:CreateAdmin verfügen, werden sie als Administratoren bereitgestellt. Jede Berechtigungsstufe umfasst die Möglichkeit zum Erstellen von Benutzern auf oder unter der eigenen Ebene.. Beispiel: Ein Autor oder Leser kann anderen Autoren hinzufügen.
Eingeladene Benutzer, die manuell in der Rolle erstellt werden, werden von der einladenden Person manuell zugewiesen. Sie müssen nicht über Richtlinien verfügen, die ihnen Berechtigungen erteilen.
Schritt 3: Konfigurieren des SAML IdP
Nachdem Sie die IAM-Rolle erstellt haben, aktualisieren Sie Ihren SAML-IdP etwa AWS als Dienstanbieter. Installieren Sie dazu die saml-metadata.xml Datei unter saml-metadata.xml. https://signin.aws.amazon.com/static/
Eine Anleitung zum Aktualisieren der IdP-Metadaten erhalten Sie von Ihrem Identitätsanbieter. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen.
Weitere Informationen finden Sie in der Dokumentation des Identitätsanbieters.
Schritt 4: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort
Als Nächstes konfigurieren Sie die Informationen, an die der IdP als SAML-Attribute AWS als Teil der Authentifizierungsantwort weitergibt. Weitere Informationen finden Sie unter Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort im IAM-Benutzerhandbuch.
Schritt 5: Konfigurieren des Relay-Status für den Verbund
Konfigurieren Sie abschließend den Relay-Status Ihres Verbunds so, dass er auf die Amazon Quick Suite-Relay-Status-URL verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zu Amazon Quick Suite weitergeleitet, die in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.
Die Relay-Status-URL für Amazon Quick Suite lautet wie folgt.
https://quicksight.aws.amazon.com
