Personen in meiner Organisation erhalten die Meldung „Externe Anmeldung ist nicht autorisiert“, wenn sie versuchen, auf Quick Sight zuzugreifen - Amazon Quick Suite
Warum passiert das?Wie lässt sich dies beheben?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Personen in meiner Organisation erhalten die Meldung „Externe Anmeldung ist nicht autorisiert“, wenn sie versuchen, auf Quick Sight zuzugreifen

   Zielgruppe: Amazon Quick Suite-Administratoren 

Wenn sich eine Person in Ihrer Organisation mit Quick Sight zusammenschließt AssumeRoleWithWebIdentity, ordnet Quick Sight einen einzelnen rollenbasierten Benutzer einem einzelnen externen Anmeldenamen zu. In einigen Fällen kann diese Person über ein externes Login (wie Amazon Cognito) authentifiziert werden, das sich von dem ursprünglich zugewiesenen Benutzer unterscheidet. Wenn ja, können sie nicht auf Quick Sight zugreifen und erhalten die folgende unerwartete Fehlermeldung.

Die für den Verbund verwendete externe Anmeldung ist für den Quick Sight-Benutzer nicht autorisiert.

Weitere Informationen zur Behebung dieses Problems finden Sie in den folgenden Abschnitten:

Warum passiert das?

Sie verwenden einen vereinfachten Amazon Cognito-Flow

Wenn Sie Amazon Cognito verwenden, um sich mit Quick Sight zu verbinden, verwendet das Single Sign-On-Setup (IAM Identity Center) möglicherweise den CognitoIdentityCredentials API-Vorgang, um die Quick Sight-Rolle anzunehmen. Diese Methode ordnet alle Benutzer im Amazon Cognito Cognito-Identitätspool einem einzelnen Quick Sight-Benutzer zu und wird von Quick Sight nicht unterstützt.

Wir empfehlen, stattdessen die AssumeRoleWithWebIdentity-API-Operation zu verwenden, die den Namen der Rollensitzung angibt.

Sie verwenden nicht authentifizierte Amazon Cognito-Benutzer.

Amazon Cognito IAM Identity Center ist für nicht authentifizierte Benutzer im Amazon Cognito-Identitätspool eingerichtet. Die Quick Sight-Rollenvertrauensrichtlinie ist wie im folgenden Beispiel eingerichtet.

Dieses Setup ermöglicht es einem temporären Amazon Cognito Cognito-Benutzer, eine Rollensitzung anzunehmen, die einem eindeutigen Quick Sight-Benutzer zugeordnet ist. Da nicht authentifizierte Identitäten temporär sind, werden sie von Quick Sight nicht unterstützt.

Wir empfehlen, dieses Setup nicht zu verwenden. Dieses Setup wird von Quick Sight nicht unterstützt. Stellen Sie für Quick Sight sicher, dass das Amazon Cognito IAM Identity Center authentifizierte Benutzer verwendet.

Sie haben einen Amazon Cognito-Benutzer mit denselben Benutzernamenattributen gelöscht und neu erstellt

In diesem Fall wurde der zugehörige Amazon Cognito Cognito-Benutzer, der dem Quick Sight-Benutzer zugeordnet ist, gelöscht und neu erstellt. Der neu erstellte Amazon Cognito-Benutzer hat ein anderes zugrunde liegendes Thema. Je nachdem, wie der Name der Rollensitzung dem Quick Sight-Benutzer zugeordnet ist, entspricht der Sitzungsname möglicherweise demselben rollenbasierten Quick Sight-Benutzer.

Wir empfehlen, dass Sie den Quick Sight-Benutzer mithilfe der UpdateUser API-Operation dem aktualisierten Amazon Cognito Cognito-Benutzerbetreff neu zuordnen. Weitere Informationen finden Sie im folgenden UpdateUser API-Beispiel.

Sie ordnen mehrere Amazon Cognito Cognito-Benutzerpools in verschiedenen Identitätspools und mit Quick Sight AWS-Konten zu

Die Zuordnung mehrerer Amazon Cognito Cognito-Benutzerpools in verschiedenen AWS-Konten Identitätspools und Quick Sight wird von Quick Sight nicht unterstützt.

Wie lässt sich dies beheben?

Sie können öffentliche API-Operationen von Quick Sight verwenden, um die externen Anmeldeinformationen für Ihre Benutzer zu aktualisieren. Verwenden Sie die folgenden Optionen, um zu erfahren, wie das geht.

Wird verwendetRegisterUser , um Benutzer mit externen Anmeldeinformationen zu erstellen

Wenn der externe Login-Anbieter Amazon Cognito ist, verwenden Sie den folgenden CLI-Code, um Benutzer zu erstellen.

aws quicksight register-user --aws-account-id account-id --namespace namespace --email user-email --user-role user-role --identity-type IAM
--iam-arn arn:aws:iam::account-id:role/cognito-associated-iam-role 
--session-name cognito-username --external-login-federation-provider-type COGNITO 
--external-login-id cognito-identity-id --region identity-region

Das external-login-id sollte die Identitäts-ID für den Amazon Cognito-Benutzer sein. Wie in folgendem Beispiel gezeigt ist das Format <identity-region>:<cognito-user-sub>.

aws quicksight register-user --aws-account-id 111222333 --namespace default --email cognito-user@amazon.com --user-role ADMIN --identity-type IAM
--iam-arn arn:aws:iam::111222333:role/CognitoQuickSightRole 
--session-name cognito-user --external-login-federation-provider-type COGNITO 
--external-login-id us-east-1:12345678-1234-1234-abc1-a1b1234567 --region us-east-1

Wenn der externe Anmeldeanbieter ein benutzerdefinierter OpenID Connect (OIDC) -Anbieter ist, verwenden Sie den folgenden CLI-Code, um Benutzer zu erstellen.

aws quicksight register-user --aws-account-id account-id --namespace namespace
--email user-email --user-role user-role --identity-type IAM
--iam-arn arn:aws:iam::account-id:role/identity-provider-associated-iam-role 
--session-name identity-username --external-login-federation-provider-type CUSTOM_OIDC 
--custom-federation-provider-url custom-identity-provider-url 
--external-login-id custom-provider-identity-id --region identity-region

Im Folgenden wird ein -Beispiel gezeigt.

aws quicksight register-user --aws-account-id 111222333 --namespace default 
--email identity-user@amazon.com --user-role ADMIN --identity-type IAM
--iam-arn arn:aws:iam::111222333:role/CustomIdentityQuickSightRole
--session-name identity-user --external-login-federation-provider-type CUSTOM_OIDC 
--custom-federation-provider-url idp.us-east-1.amazonaws.com/us-east-1_ABCDE 
--external-login-id 12345678-1234-1234-abc1-a1b1234567 --region us-east-1

Weitere Informationen zur Verwendung RegisterUser in der CLI finden Sie RegisterUserin der Amazon Quick Suite API-Referenz.

Wird verwendetDescribeUser , um externe Anmeldeinformationen für Benutzer zu überprüfen

Wenn es sich bei einem Benutzer um einen rollenbasierten Verbundbenutzer eines externen Anmeldeanbieters handelt, verwenden Sie die DescribeUser-API-Operation, um die externen Anmeldeinformationen für diesen Benutzer zu überprüfen, wie im folgenden Code gezeigt.

aws quicksight describe-user --aws-account-id account-id  --namespace namespace
--user-name identity-provider-associated-iam-role/identity-username 
--region identity-region

Im Folgenden wird ein -Beispiel gezeigt.

aws quicksight describe-user --aws-account-id 111222333 --namespace default --user-name IdentityQuickSightRole/user --region us-west-2

Das Ergebnis enthält die externen Anmeldeinformationsfelder, falls vorhanden. Im Folgenden sehen Sie ein Beispiel.

{
    "Status": 200,
    "User": {
        "Arn": "arn:aws:quicksight:us-east-1:111222333:user-default-IdentityQuickSightRole-user",
        "UserName": "IdentityQuickSightRole-user",
        "Email": "user@amazon.com",
        "Role": "ADMIN",
        "IdentityType": "IAM",
        "Active": true,
        "PrincipalId": "federated-iam-AROAAAAAAAAAAAAAA:user",
        "ExternalLoginFederationProviderType": "COGNITO",
        "ExternalLoginFederationProviderUrl": "cognito-identity.amazonaws.com",
        "ExternalLoginId": "us-east-1:123abc-1234-123a-b123-12345678a"
    },
    "RequestId": "12345678-1234-1234-abc1-a1b1234567"
}

Weitere Informationen zur Verwendung DescribeUser in der CLI finden Sie DescribeUserin der Amazon Quick Suite API-Referenz.

Wird verwendet UpdateUser , um externe Anmeldeinformationen für Benutzer zu aktualisieren

In einigen Fällen stellen Sie möglicherweise fest, dass die externen Anmeldeinformationen, die für den Benutzer aus dem DescribeUser-Ergebnis gespeichert wurden, nicht korrekt sind oder die externen Anmeldeinformationen fehlen. In diesem Fall können Sie die UpdateUser-API-Operation verwenden, um ihn zu aktualisieren. Verwenden Sie die folgenden Beispiele.

Verwenden Sie für Amazon Cognito-Benutzer Folgendes.

aws quicksight update-user --aws-account-id account-id --namespace namespace 
--user-name cognito-associated-iam-role/cognito-username
 --email user-email --role user-role 
--external-login-federation-provider-type COGNITO 
--external-login-id cognito-identity-id --region identity-region

Im Folgenden wird ein -Beispiel gezeigt.

aws quicksight update-user --aws-account-id 111222333 --namespace default 
--user-name CognitoQuickSightRole/cognito-user --email cognito-user@amazon.com 
--role ADMIN --external-login-federation-provider-type COGNITO 
--external-login-id us-east-1:12345678-1234-1234-abc1-a1b1234567 --region us-west-2

Verwenden Sie für benutzerdefinierter OIDC-Anbieternutzer Folgendes.

aws quicksight update-user --aws-account-id account-id --namespace namespace 
 --user-name identity-provider-associated-iam-role/identity-username 
--email user-email --role user-role 
--external-login-federation-provider-type CUSTOM_OIDC 
--custom-federation-provider-url custom-identity-provider-url 
--external-login-id custom-provider-identity-id --region identity-region

Im Folgenden wird ein -Beispiel gezeigt.

aws quicksight update-user --aws-account-id 111222333 --namespace default 
--user-name IdentityQuickSightRole/user --email user@amazon.com --role ADMIN 
--external-login-federation-provider-type CUSTOM_OIDC 
--custom-federation-provider-url idp.us-east-1.amazonaws.com/us-east-1_ABCDE 
 --external-login-id 123abc-1234-123a-b123-12345678a --region us-west-2

Wenn Sie die externen Anmeldeinformationen für den Benutzer löschen möchten, verwenden Sie NONE external login federation provider type. Verwenden Sie den folgenden CLI-Befehl, um externe Anmeldeinformationen zu löschen.

aws quicksight update-user --aws-account-id account-id --namespace namespace 
 --user-name identity-provider-associated-iam-role/identity-username 
--email user-email --role user-role
--external-login-federation-provider-type NONE --region identity-region

Im Folgenden wird ein -Beispiel gezeigt.

aws quicksight update-user --aws-account-id 111222333 --namespace default 
--user-name CognitoQuickSightRole/cognito-user --email cognito-user@amazon.com --role ADMIN --external-login-federation-provider-type NONE --region us-west-2

Weitere Informationen zur Verwendung UpdateUser in der CLI finden Sie UpdateUserin der Amazon Quick Suite API-Referenz.