Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de la federación de IdP mediante IAM y Amazon Quick Suite
| Se aplica a: Enterprise Edition y Standard Edition |
| Público al que va dirigido: administradores de sistemas |
nota
La federación de identidades de IAM no admite la sincronización de grupos de proveedores de identidad con Amazon Quick Suite.
Puedes usar un rol AWS Identity and Access Management (IAM) y una URL de estado de retransmisión para configurar un proveedor de identidad (IdP) que sea compatible con SAML 2.0. El rol otorga a los usuarios permisos para acceder a Amazon Quick Suite. El estado de retransmisión es el portal al que se reenvía al usuario después de que se haya autenticado correctamente en AWS.
Temas
Requisitos previos
Antes de configurar la conexión SAML 2.0, haga lo siguiente:
-
Configure el IdP para establecer una relación de confianza con AWS:
-
Dentro de la red de su organización, configure su almacén de identidades, como Windows Active Directory, para trabajar con un proveedor de identidad (IdP) basado en SAML. IdPs Los basados en SAML incluyen Active Directory Federation Services, Shibboleth, etc.
-
Utilice el IdP para generar un documento de metadatos que describa a su organización como proveedor de identidades.
-
Configure la autenticación SAML 2.0 realizando los mismos pasos que para la Consola de administración de AWS. Cuando se complete este proceso, puede configurar el estado de retransmisión para que coincida con el estado de retransmisión de Quick Suite. Para obtener más información, consulte Configurar el estado de retransmisión de su federación.
-
-
Cree una cuenta de Amazon Quick Suite y anote el nombre que utilizará al configurar la política de IAM y el IdP. Para obtener más información sobre cómo crear una cuenta de Amazon Quick Suite, consulte Cómo suscribirse a Amazon Quick Suite.
Después de crear la configuración para federarse Consola de administración de AWS según lo descrito en el tutorial, puede editar el estado de retransmisión que se proporciona en el tutorial. Lo hace con el estado de retransmisión de Amazon Quick Suite, que se describe en el paso 5 siguiente.
Para obtener más información, consulte los siguientes recursos:
-
Integración de proveedores de soluciones SAML externos con AWS en la Guía del usuario de IAM.
-
Solución de problemas de federación de SAML 2.0 con AWS, también en la Guía del usuario de IAM.
-
Configurar la confianza entre ADFS AWS y utilizar las credenciales de Active Directory para conectarse a Amazon Athena con el controlador ODBC
: este artículo explicativo es útil, aunque no es necesario configurar Athena para utilizar Amazon Quick Suite.
Paso 1: Cree un proveedor de SAML en AWS
Su proveedor de identidad SAML define el AWS IdP de su organización para. Lo hace a través del documento de metadatos generado anteriormente con su IdP.
Para crear un proveedor de SAML en AWS
Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/iam/
-
Cree un nuevo proveedor de SAML, que es una entidad de IAM que contiene la información sobre el proveedor de identidades de la organización. Para obtener más información, consulte Creación de proveedores de identidad SAML en la Guía del usuario de IAM.
-
Durante este proceso, cargue el documento de metadatos generado por el software de IdP de la organización que anotó en la sección anterior.
Paso 2: Configure los permisos de entrada AWS para sus usuarios federados
A continuación, cree un rol de IAM que establezca una relación de confianza entre IAM y el IdP de su organización. Este rol identifica su IdP como una entidad de confianza (principal) a efectos de la federación. El rol también define qué usuarios autenticados por el IdP de su organización pueden acceder a Amazon Quick Suite. Para obtener más información sobre cómo crear un rol para un IdP SAML, consulte Creación de un rol para una federación SAML 2.0 en la Guía del usuario de IAM.
Una vez que haya creado el rol, puede limitarlo para que solo tenga permisos para Amazon Quick Suite adjuntando una política en línea al rol. El siguiente ejemplo de documento de política proporciona acceso a Amazon Quick Suite. Esta política permite al usuario acceder a Amazon Quick Suite y crear cuentas de autor y cuentas de lector.
nota
En el siguiente ejemplo, <YOUR_AWS_ACCOUNT_ID> sustitúyalo por tu Cuenta de AWS ID de 12 dígitos (sin guiones «‐»).
{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Si desea proporcionar acceso a Amazon Quick Suite y también la posibilidad de crear administradores, autores (usuarios estándar) y lectores de Amazon Quick Suite, puede utilizar el siguiente ejemplo de política.
{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Puede ver los detalles de la Consola de administración de AWS cuenta en.
Una vez que haya configurado SAML y la política o políticas de IAM, no es necesario invitar a los usuarios manualmente. La primera vez que los usuarios abren Amazon Quick Suite, se aprovisionan automáticamente con los permisos de nivel más alto de la política. Por ejemplo, si tienen permisos para quicksight:CreateUser y quicksight:CreateReader, se aprovisionan como autores. Si también tienen permisos para quicksight:CreateAdmin, se aprovisionan como administradores. Cada nivel de permiso incluye la capacidad de crear el mismo nivel de usuario e inferiores. Por ejemplo, un autor puede añadir otros autores o lectores.
Los usuarios que se invitan manualmente se crean en la función asignada por la persona que les invitó. No necesitan tener políticas que les concedan permisos.
Paso 3: configuración del IdP SAML
Tras crear el rol de IAM, actualiza tu IdP de SAML AWS como proveedor de servicios. Para ello, instala el saml-metadata.xml archivo que se encuentra en saml-metadata.xml. https://signin.aws.amazon.com/static/
Para actualizar los metadatos del IdP, consulte las instrucciones proporcionadas por su IdP. Algunos proveedores ofrecen la opción de escribir la URL, después de la cual el IdP obtiene e instala el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo proporcione como archivo local.
Para obtener más información, consulte la documentación del IdP.
Paso 4: creación de las declaraciones para la respuesta de autenticación SAML
A continuación, configure la información que el IdP transfiere como atributos de SAML AWS como parte de la respuesta de autenticación. Para obtener más información, consulte Configuración de aserciones SAML para la respuesta de autenticación en la Guía del usuario de IAM.
Paso 5: configuración del estado de retransmisión de la federación
Por último, configure el estado de retransmisión de su federación para que apunte a la URL del estado de retransmisión de Amazon Quick Suite. Tras la autenticación correcta AWS, se dirige al usuario a Amazon Quick Suite, que se define como el estado de retransmisión en la respuesta de autenticación de SAML.
La URL del estado de retransmisión de Amazon Quick Suite es la siguiente.
https://quicksight.aws.amazon.com
