Konfiguration der E-Mail-Synchronisierung für Verbundbenutzer in Quick Suite - Amazon Quick Suite
Schritt 1: Aktualisieren Sie die Vertrauensbeziehung für die IAM-RolleSchritt 2: Fügen Sie ein SAML-Attribut oder OIDC-Token hinzuSchritt 3: Aktivieren Sie die E-Mail-Synchronisierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der E-Mail-Synchronisierung für Verbundbenutzer in Quick Suite

 Gilt für: Enterprise Edition 
   Zielgruppe: Systemadministratoren und Amazon Quick Suite-Administratoren 
Anmerkung

Der IAM-Identitätsverbund unterstützt die Synchronisierung von Identitätsanbietergruppen mit Amazon Quick Suite nicht.

In der Amazon Quick Suite Enterprise Edition können Sie als Administrator verhindern, dass neue Benutzer persönliche E-Mail-Adressen verwenden, wenn sie die Bereitstellung über ihren Identitätsanbieter (IdP) direkt an Quick Suite vornehmen. Quick Suite verwendet dann die vorkonfigurierten E-Mail-Adressen, die über den IdP weitergegeben wurden, wenn neue Benutzer für Ihr Konto bereitgestellt werden. Sie können beispielsweise festlegen, dass nur vom Unternehmen zugewiesene E-Mail-Adressen verwendet werden, wenn Benutzer über Ihren IdP Ihrem Amazon Quick Suite-Konto zugewiesen werden.

Anmerkung

Stellen Sie sicher, dass Ihre Benutzer über ihren IdP direkt mit Amazon Quick Suite verbunden sind. Wenn Sie sich AWS-Managementkonsole über ihren IdP mit ihnen verbinden und dann auf Amazon Quick Suite klicken, wird ein Fehler angezeigt und sie können nicht auf Amazon Quick Suite zugreifen.

Wenn Sie die E-Mail-Synchronisierung für Verbundbenutzer in Amazon Quick Suite konfigurieren, haben Benutzer, die sich zum ersten Mal bei Ihrem Amazon Quick Suite-Konto anmelden, vorab zugewiesene E-Mail-Adressen. Diese werden verwendet, um ihre Konten zu registrieren. Bei diesem Ansatz können die Nutzer den Zugang manuell durch Eingabe einer E-Mail-Adresse umgehen. Außerdem können die Benutzer keine E-Mail-Adresse verwenden, die sich von der von Ihnen, dem Administrator, angegebenen E-Mail-Adresse unterscheidet.

Amazon Quick Suite unterstützt die Bereitstellung über einen IdP, der die SAML- oder OpenID Connect (OIDC) -Authentifizierung unterstützt. Um E-Mail-Adressen für neue Benutzer bei der Bereitstellung über einen Identitätsanbieter zu konfigurieren, aktualisieren Sie die Vertrauensbeziehung für die IAM-Rolle, die sie mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity verwenden. Dann fügen Sie ihrem Identitätsanbieter ein SAML-Attribut oder ein OIDC-Token hinzu. Zuletzt aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in Amazon Quick Suite.

Das folgende Verfahren beschreibt diese Schritte im Detail.

Schritt 1: Aktualisieren Sie die Vertrauensbeziehung für die IAM-Rolle mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity

Sie können E-Mail-Adressen für Ihre Benutzer konfigurieren, die sie bei der Bereitstellung über Ihren IdP für Amazon Quick Suite verwenden. Fügen Sie dazu die sts:TagSession-Aktion zur Vertrauensbeziehung für die IAM-Rolle hinzu, die Sie mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity verwenden. Auf diese Weise können Sie principal-Tags übergeben, wenn Benutzer die Rolle übernehmen.

Das folgende Beispiel zeigt eine aktualisierte IAM-Rolle, bei der der Identitätsanbieter Okta ist. Um dieses Beispiel zu verwenden, aktualisieren Sie den Federated-Amazon-Ressourcennamen (ARN) mit dem ARN Ihres Dienstanbieters. Sie können rot markierte Artikel durch Ihre AWS und IdP-dienstspezifische Informationen ersetzen.

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

Schritt 2: Fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Prinzipal-Tag in Ihrem Identitätsanbieter hinzu

Nachdem Sie die Vertrauensbeziehung für die IAM-Rolle wie im vorangegangenen Abschnitt beschrieben aktualisiert haben, fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Principal-Tag in Ihrem Identitätsanbieter hinzu.

Die folgenden Beispiele veranschaulichen ein SAML-Attribut und ein OIDC-Token. Um diese Beispiele zu verwenden, ersetzen Sie die E-Mail-Adresse durch eine Variable in Ihrem Identitätsanbieter, die auf die E-Mail-Adresse eines Benutzers verweist. Sie können rot hervorgehobene Elemente durch Ihre Informationen ersetzen.

  • SAML-Attribut: Das folgende Beispiel veranschaulicht ein SAML-Attribut. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    Anmerkung

    Wenn Sie Okta als Ihren Identitätsanbieter verwenden, stellen Sie sicher, dass in Ihrem Okta-Benutzerkonto ein Feature-Flag aktiviert ist, um SAML zu verwenden. Weitere Informationen finden Sie im Okta-Blog unter Okta und AWS Partner to Simplify Access Via Session Tags.

  • OIDC-Token: Das folgende Beispiel veranschaulicht ein OIDC-Token-Beispiel. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Schritt 3: E-Mail-Synchronisierung für Verbundbenutzer in Amazon Quick Suite aktivieren

Aktualisieren Sie, wie oben beschrieben, die Vertrauensbeziehung für die IAM-Rolle und fügen Sie ein SAML-Attribut oder ein OIDC-Token für das IAM-Principal-Tag in Ihrem Identitätsanbieter hinzu. Aktivieren Sie dann die E-Mail-Synchronisierung für Verbundbenutzer in Amazon Quick Suite, wie im folgenden Verfahren beschrieben.

So aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer

  1. Wählen Sie auf einer beliebigen Seite in Amazon Quick Suite oben rechts Ihren Benutzernamen und dann Amazon Quick Suite verwalten.

  2. Wählen Sie im Menü auf der linken Seite Single Sign-On (IAM-Verbund) aus.

  3. Wählen Sie auf der Seite Vom Dienstanbieter initiierter IAM-Verbund für E-Mail-Synchronisierung für Verbundbenutzer die Option AN aus.

    Wenn die E-Mail-Synchronisierung für Verbundbenutzer aktiviert ist, verwendet Amazon Quick Suite bei der Bereitstellung neuer Benutzer für Ihr Konto die E-Mail-Adressen, die Sie in den Schritten 1 und 2 konfiguriert haben. Benutzer können ihre eigenen E-Mail-Adressen nicht eingeben.

    Wenn die E-Mail-Synchronisierung für Verbundbenutzer deaktiviert ist, fordert Amazon Quick Suite Benutzer auf, ihre E-Mail-Adresse manuell einzugeben, wenn neue Benutzer für Ihr Konto bereitgestellt werden. Sie können beliebige E-Mail-Adressen verwenden.