Configuración de QuickSight como un proveedor de servicios que pueda iniciar la federación de IAM para un IdP existente Habilitación del IdP de federación de IAM iniciado por el proveedor de servicios Deshabilitación de la federación de IAM iniciada por el proveedor de servicios

Configuración de la federación iniciada por el proveedor de servicios con la edición Enterprise de Amazon QuickSight

Se aplica a: Enterprise Edition

Público al que va dirigido: administradores de sistemas

nota

La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidades con Amazon QuickSight.

Cuando haya terminado de configurar su proveedor de identidad con AWS Identity and Access Management (IAM), podrá configurar el inicio de sesión iniciado por el proveedor de servicios a través de la edición Enterprise de Amazon QuickSight. Para que la federación de IAM iniciada por QuickSight funcione, debe autorizar a QuickSight a enviar la solicitud de autenticación a su IdP. Un administrador de QuickSight puede configurarlo agregando la siguiente información proporcionada por el IdP:

La URL de proveedor de identidad: QuickSight redirige a los usuarios a esta URL para su autenticación.
El parámetro de estado de retransmisión: este parámetro transmite el estado en el que se encontraba la sesión del navegador cuando se redirigió para la autenticación. El IdP redirige al usuario al estado original después de la autenticación. El estado se proporciona como una URL.

La siguiente tabla muestra la URL de autenticación estándar y el parámetro de estado de retransmisión para redirigir al usuario a la URL de Amazon QuickSight que usted proporcione.

Proveedor de identidades	Parámetro	URL de autenticación
Auth0	`RelayState`	`https://<sub_domain>.auth0.com/samlp/<app_id>`
Cuentas de Google	`RelayState`	`https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false`
Microsoft Azure	`RelayState`	`https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>`
Okta	`RelayState`	`https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml`
PingFederate	`TargetResource`	`https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>`
PingOne	`TargetResource`	`https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>`

QuickSight admite la conexión a un IdP por Cuenta de AWS. La página de configuración de QuickSight le proporciona las URL de prueba basadas en sus entradas, para que pueda probar la configuración antes de activar la característica. Para que el proceso sea aún más fluido, QuickSight proporciona un parámetro (enable-sso=0) para desactivar temporalmente la federación de IAM iniciada por QuickSight, en caso de que necesite deshabilitarla temporalmente.

Configuración de QuickSight como un proveedor de servicios que pueda iniciar la federación de IAM para un IdP existente

Asegúrese de que ya tenga configurada la federación de IAM en su IdP, en IAM y en QuickSight. Para probar esta configuración, compruebe si puede compartir un panel con otra persona del dominio de su empresa.
Abra QuickSight y elija Administrar QuickSight en el menú de su perfil en la esquina superior derecha.

Para realizar este procedimiento, debe ser administrador de QuickSight. Si no lo es, no podrá ver Administrar QuickSight en el menú de su perfil.
Seleccione Inicio de sesión único (federación de IAM) en el panel de navegación.
En Configuración, URL de proveedor de identidad, ingrese la URL que proporciona el IdP para autenticar a los usuarios.
En URL de proveedor de identidad, ingrese el parámetro que su IdP proporciona al estado de retransmisión, por ejemplo, RelayState. El nombre real del parámetro lo proporciona su IdP.
Pruebe el inicio de sesión:
- Para probar el inicio de sesión con su proveedor de identidades, use la URL personalizada proporcionada en Inicio de la prueba con el IdP. Debería ir a la página de inicio de QuickSight, por ejemplo, https://quicksight.aws.amazon.com/sn/start.
- Para probar primero el inicio de sesión con QuickSight, utilice la URL personalizada que se proporciona en Probar la experiencia integral. El parámetro enable-sso se adjunta a la URL. Si enable-sso=1, la federación de IAM intenta autenticarse.
Seleccione Guardar para conservar los ajustes.

Habilitación del IdP de federación de IAM iniciado por el proveedor de servicios

Asegúrese de que los ajustes de federación de IAM estén configurados y probados. Si tiene dudas acerca de la configuración, pruebe la conexión mediante las direcciones URL del procedimiento anterior.
Abra QuickSight y elija Administrar QuickSight en el menú de su perfil.
Seleccione Inicio de sesión único (federación de IAM) en el panel de navegación.
En Estado, elija ACTIVADO.
Compruebe que funciona desconectándose del IdP y abriendo QuickSight.

Deshabilitación de la federación de IAM iniciada por el proveedor de servicios

Abra QuickSight y elija Administrar QuickSight en el menú de su perfil.
Seleccione Inicio de sesión único (federación de IAM) en el panel de navegación.
En Estado, elija DESACTIVADO.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

QuickSight a IdP

Tutorial: Federación de identidades de QuickSight e IAM