Requisitos previos Paso 1: creación de un proveedor de SAML en AWS Paso 2: configuración de los permisos en AWS para los usuarios federados Paso 3: configuración del IdP SAML Paso 4: creación de las declaraciones para la respuesta de autenticación SAML Paso 5: configuración del estado de retransmisión de la federación

Configuración de la federación de IdP mediante IAM y QuickSight

Se aplica a: Enterprise Edition y Standard Edition

Público al que va dirigido: administradores de sistemas

nota

La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidades con Amazon QuickSight.

Puede usar un rol de AWS Identity and Access Management (IAM) y una URL de estado de retransmisión para configurar un proveedor de identidad (IdP) compatible con SAML 2.0. El rol otorga a los usuarios los permisos para obtener acceso a Amazon QuickSight. El estado de retransmisión es el portal al que se reenvía al usuario después de que se haya autenticado correctamente en AWS.

Temas

Requisitos previos
Paso 1: creación de un proveedor de SAML en AWS
Paso 2: configuración de los permisos en AWS para los usuarios federados
Paso 3: configuración del IdP SAML
Paso 4: creación de las declaraciones para la respuesta de autenticación SAML
Paso 5: configuración del estado de retransmisión de la federación

Requisitos previos

Antes de configurar la conexión SAML 2.0, haga lo siguiente:

Configure el IdP para establecer una relación de confianza con AWS:
- Dentro de la red de su organización, configure su almacén de identidades, como Windows Active Directory, para trabajar con un proveedor de identidad (IdP) basado en SAML. Entre los proveedores de identidades basados en SAML se incluyen Active Directory Federation Services y Shibboleth, entre otros.
- Utilice el IdP para generar un documento de metadatos que describa a su organización como proveedor de identidades.
- Configure la autenticación SAML 2.0 realizando los mismos pasos que para la AWS Management Console. Una vez completado este proceso, puede configurar el estado de retransmisión para adaptarse al estado de retransmisión de Amazon QuickSight. Para obtener más información, consulte Paso 5: configuración del estado de retransmisión de la federación.
Cree una cuenta de Amazon QuickSight y anote el nombre para usarlo al configurar la política de IAM y el proveedor de identidades (IdP). Para obtener más información sobre cómo crear una cuenta de Amazon QuickSight, consulte Registro para obtener una suscripción a Amazon QuickSight.

Una vez que haya creado la configuración para llevar a cabo la federación con la AWS Management Console, tal y como se describe en el tutorial, puede editar el estado de retransmisión indicado en el tutorial. Puede hacerlo con el estado de retransmisión de Amazon QuickSight, que se describe en el paso 5 siguiente.

Para obtener más información, consulte los siguientes recursos:

Integración de proveedores de soluciones SAML externos con AWS en la Guía del usuario de IAM.
Solución de problemas de la federación SAML 2.0 con AWS, también en la Guía del usuario de IAM.
Setting up trust between ADFS and AWS and using Active Directory credentials to connect to Amazon Athena with ODBC driver: este artículo explicativo es útil, aunque no necesita configurar Athena para utilizar QuickSight.

Paso 1: creación de un proveedor de SAML en AWS

El proveedor de identidad SAML define el proveedor de identidad (IdP) de su organización para AWS. Lo hace a través del documento de metadatos generado anteriormente con su IdP.

Creación de un proveedor de SAML en AWS

Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.
Cree un nuevo proveedor de SAML, que es una entidad de IAM que contiene la información sobre el proveedor de identidades de la organización. Para obtener más información, consulte Creación de proveedores de identidad SAML en la Guía del usuario de IAM.
Durante este proceso, cargue el documento de metadatos generado por el software de IdP de la organización que anotó en la sección anterior.

Paso 2: configuración de los permisos en AWS para los usuarios federados

A continuación, cree un rol de IAM que establezca una relación de confianza entre IAM y el IdP de su organización. Este rol identifica su IdP como una entidad de confianza (principal) a efectos de la federación. El rol también define qué usuarios autenticados mediante el IdP de la organización tendrán autorización para obtener acceso a Amazon QuickSight. Para obtener más información sobre cómo crear un rol para un IdP SAML, consulte Creación de un rol para una federación SAML 2.0 en la Guía del usuario de IAM.

Una vez que haya creado el rol, puede limitarlo de modo que solamente disponga de permisos para Amazon QuickSight. Para ello, asocie una política insertada al rol. En el siguiente documento de ejemplo de política se proporciona acceso a Amazon QuickSight. Esta política permite a los usuarios obtener acceso a Amazon QuickSight y les permite crear tanto cuentas de autor como cuentas de lector.

nota

En el siguiente ejemplo, reemplace <YOUR_AWS_ACCOUNT_ID> con su ID de Cuenta de AWS de 12 dígitos (sin guiones “‐”).

Si desea proporcionar acceso a Amazon QuickSight y también la capacidad de crear administradores, autores (usuarios estándar) y lectores de Amazon QuickSight, puede utilizar el siguiente ejemplo de política.

Puede ver los detalles de la cuenta en la AWS Management Console.

Una vez que haya configurado SAML y la política o políticas de IAM, no es necesario invitar a los usuarios manualmente. La primera vez que los usuarios abren Amazon QuickSight, se aprovisionan de forma automática con los permisos de mayor nivel de la política. Por ejemplo, si tienen permisos para quicksight:CreateUser y quicksight:CreateReader, se aprovisionan como autores. Si también tienen permisos para quicksight:CreateAdmin, se aprovisionan como administradores. Cada nivel de permiso incluye la capacidad de crear el mismo nivel de usuario e inferiores. Por ejemplo, un autor puede añadir otros autores o lectores.

Los usuarios que se invitan manualmente se crean en la función asignada por la persona que les invitó. No necesitan tener políticas que les concedan permisos.

Paso 3: configuración del IdP SAML

Una vez creado el rol de IAM, informe al proveedor de identidades (IdP) SAML acerca de AWS como proveedor de servicios. Para ello, instale el archivo saml-metadata.xml que se encuentra en https://signin.aws.amazon.com/static/saml-metadata.xml.

Para actualizar los metadatos del IdP, consulte las instrucciones proporcionadas por su IdP. Algunos proveedores ofrecen la opción de escribir la URL, después de la cual el IdP obtiene e instala el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo proporcione como archivo local.

Para obtener más información, consulte la documentación del IdP.

Paso 4: creación de las declaraciones para la respuesta de autenticación SAML

A continuación, configure la información que el IdP pasa como atributos SAML a AWS dentro de la respuesta de autenticación. Para obtener más información, consulte Configuración de aserciones SAML para la respuesta de autenticación en la Guía del usuario de IAM.

Paso 5: configuración del estado de retransmisión de la federación

Por último, configure el estado de retransmisión de la federación para que señale a la URL del estado de retransmisión de QuickSight. Una vez que AWS haya realizado la autenticación correctamente, se dirige al usuario a Amazon QuickSight, definido como estado de retransmisión en la respuesta de autenticación SAML.

La URL del estado de retransmisión de Amazon QuickSight es la siguiente.


https://quicksight.aws.amazon.com

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

IdP a QuickSight

QuickSight a IdP