Iniciar el inicio de sesión desde el proveedor de identidades (IdP) - Amazon QuickSight

Iniciar el inicio de sesión desde el proveedor de identidades (IdP)

   Se aplica a: Enterprise Edition y Standard Edition 
   Público al que va dirigido: administradores de sistemas 
nota

La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidades con Amazon QuickSight.

En este escenario, los usuarios inician el proceso de inicio de sesión desde el portal del proveedor de identidades. Una vez autenticados, los usuarios inician sesión en QuickSight. Una vez que QuickSight compruebe que están autorizados, los usuarios pueden acceder a QuickSight.

A partir del inicio de sesión del usuario en el IdP, la autenticación sigue estos pasos:

  1. El usuario busca https://applications.example.com e inicia sesión en el IdP. En este momento, el usuario no ha iniciado sesión en el proveedor de servicios.

  2. El servicio de federación y el IdP autentican al usuario:

    1. El servicio de federación solicita autenticación al almacén de identidades de la organización.

    2. El almacén de identidades autentica al usuario y devuelve la respuesta de autenticación al servicio de federación.

    3. Una vez realizada correctamente la autenticación, el servicio de federación publica la aserción de SAML en el navegador del usuario.

  3. El usuario abre QuickSight:

    1. El navegador del usuario publica la declaración SAML en el punto de conexión SAML de la página de inicio de sesión de AWS (https://signin.aws.amazon.com/saml).

    2. La página de inicio de sesión de AWS recibe la solicitud SAML, la procesa, autentica al usuario y reenvía el token de autenticación al servicio Amazon QuickSight.

  4. Amazon QuickSight acepta el token de autenticación de AWS y permite que el usuario acceda a QuickSight.

Desde el punto de vista del usuario, el proceso se realiza de forma transparente. El usuario comienza en el portal interno de su organización y termina en el portal de aplicaciones de Amazon QuickSight sin tener que proporcionar ninguna credencial de AWS.

En el siguiente diagrama puede ver un flujo de autenticación entre Amazon QuickSight y un proveedor de identidades (IdP) externo. En este ejemplo, el administrador ha configurado una página de inicio de sesión para obtener acceso a Amazon QuickSight, denominada applications.example.com. Cuando un usuario inicia sesión, la página de inicio de sesión publica una solicitud a un servicio de federación que cumple con los requisitos de SAML 2.0. El usuario final inicia la autenticación desde la página de inicio de sesión del IdP.

Diagrama de SAML de Amazon QuickSight. El diagrama incluye dos cuadros. El primero describe un proceso de autenticación dentro de la compañía. El segundo describe la autenticación dentro de AWS. El proceso se describe en el texto que aparece después de la tabla.