Configuration de la fédération IdP à l'aide d'IAM et de QuickSight
| S'applique à : édition Enterprise et édition Standard |
| Public cible : administrateurs système |
Note
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon QuickSight.
Vous pouvez utiliser un rôle AWS Identity and Access Management (IAM) et une URL RelayState pour configurer un fournisseur d'identité compatible avec SAML 2.0. Le rôle octroie aux utilisateurs les autorisations nécessaires pour accéder à Amazon QuickSight. RelayState est le portail vers lequel l'utilisateur est transféré après avoir été authentifié par AWS.
Rubriques
Prérequis
Avant de configurer votre connexion SAML 2.0, effectuez les opérations suivantes :
-
Configurez votre IdP pour établir une relation d'approbation avec AWS:
-
A l'intérieur du réseau de votre organisation, configurez votre base d'identités, par exemple Windows Active Directory, de telle sorte qu'elle fonctionne avec un fournisseur d'identité SAML. Parmi les fournisseurs d'identité SAML figurent Active Directory Federation Services, Shibboleth, etc.
-
Via votre fournisseur d'identité, générez un document de métadonnées décrivant votre organisation comme fournisseur d'identité.
-
Configurez l'authentification SAML 2.0 en procédant de la même manière que pour la AWS Management Console. Lorsque ce processus est terminé, vous pouvez configurer votre état de relais pour qu'il corresponde à l'état de relais d'Amazon QuickSight. Pour de plus amples informations, consultez Étape 5 : Configurer l'état des relais de votre fédération.
-
-
Créez un compte Amazon QuickSight et notez le nom à utiliser lorsque vous configurez votre politique IAM et votre IdP. Pour plus d'informations sur la création d'un compte Amazon QuickSight, consultez la rubrique Inscription à un abonnement Amazon QuickSight.
Après avoir créé la configuration de la fédération avec la AWS Management Console comme expliqué dans le didacticiel, vous pouvez remplacer l'état du relais fourni dans le didacticiel. Pour ce faire, vous devez utiliser l'état de relais d'Amazon QuickSight décrit à l'étape 5 ci-après.
Pour plus d’informations, consultez les ressources suivantes :
-
Intégration de fournisseurs de solutions SAML tiers à AWS dans le Guide de l'utilisateur IAM.
-
Résolution des problèmes liés à la fédération SAML 2.0 avec AWSAWS, également dans le Guide de l'utilisateur IAM.
-
Configuration de la relation d'approbation entre ADFS et AWS et utilisation des informations d'identification Active Directory pour se connecter à Amazon Athena avec le pilote ODBC
– Cet article est utile, bien qu'il ne soit pas nécessaire de configurer Athena pour pouvoir utiliser QuickSight.
Etape 1 : Créer un fournisseur SAML dans AWS
Votre fournisseur d'identité SAML définit le fournisseur d'identité de votre organisation pour AWS. Pour ce faire, il utilise le document de métadonnées que vous avez généré précédemment par l'intermédiaire de votre IdP.
Création d'un fournisseur SAML dans AWS
Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Créez un nouveau fournisseur SAML, c'est-à-dire une entité dans IAM qui contienne des informations sur le fournisseur d'identité de votre organisation. Pour plus d'informations, consultez la rubrique Création de fournisseurs d'identité SAML du Guide de l'utilisateur IAM.
-
Au cours du processus, téléchargez le document de métadonnées généré par le logiciel IdP de votre organisation, noté à la section précédente.
Étape 2 : Configurer des autorisations dans AWS pour vos utilisateurs fédérés
Ensuite, créez un rôle &IAM qui établit une relation d'approbation entre IAM et le fournisseur d'identité de votre organisation. Ce rôle identifie votre fournisseur d'identité en tant que principal (entité de confiance) pour les besoins de la fédération. Ce rôle identifie également les utilisateurs authentifiés par le fournisseur d'identité de votre organisation qui sont autorisés à accéder à Amazon QuickSight. Pour plus d'informations sur la création d'un rôle pour un IdP SAML, consultez la rubrique Création d'un rôle pour la fédération SAML 2.0 dans le Guide de l'utilisateur IAM.
Après avoir créé le rôle, vous pouvez faire en sorte que les autorisations du rôle soient limitées à Amazon QuickSight en associant une stratégie en ligne au rôle. Le modèle de document de stratégie suivant donne accès à Amazon QuickSight. Cette politique permet aux utilisateurs d'accéder à Amazon QuickSight et de créer des comptes auteur et des comptes lecteur.
Note
Dans l'exemple suivant, remplacez <YOUR_AWS_ACCOUNT_ID> par votre ID de compte Compte AWS à 12 chiffres (sans tirets « ‐ »).
Si vous souhaitez fournir un accès à Amazon QuickSight et permettre également la création d'administrateurs, d'auteurs (utilisateurs standard) et de lecteurs Amazon QuickSight, vous pouvez utiliser l'exemple de politique suivant.
Vous pouvez afficher les détails du compte dans AWS Management Console.
Une fois que vous avez configuré SAML et la ou les politiques IAM, vous n'avez plus besoin d'inviter les utilisateurs manuellement. La première fois que les utilisateurs ouvrent Amazon QuickSight, ils sont automatiquement provisionnés avec le plus haut niveau d'autorisations de la politique. Par exemple, s'ils disposent des autorisations à la fois pour quicksight:CreateUser et quicksight:CreateReader, ils sont provisionnés en tant qu'auteurs. S'ils disposent également des autorisations pour quicksight:CreateAdmin, ils sont provisionnés en tant qu'administrateurs. Chaque niveau d'autorisation inclut la possibilité de créer le même niveau d'utilisateur et les niveaux inférieurs. Par exemple, un auteur peut ajouter d'autres auteurs ou des lecteurs.
Les utilisateurs qui sont invités manuellement sont créés dans le rôle attribué par la personne qui les a invités. Ils n'ont pas besoin d'avoir des stratégies qui leur accordent les autorisations.
Étape 3 : Configurer le fournisseur d'identité SAML
Une fois que vous avez créé le rôle IAM, mettez à jour votre fournisseur d'identité SAML en spécifiant AWS comme fournisseur de service. Pour ce faire, installez le fichier saml-metadata.xml disponible à l'adresse https://signin.aws.amazon.com/static/saml-metadata.xml
Pour mettre à jour les métadonnées de votre fournisseur d'identité, consultez les instructions qu'il vous a fournies. Certains fournisseurs vous permettent d'entrer l'URL, après quoi ils récupèrent et installent le fichier automatiquement. D'autres fournisseurs exigent que vous téléchargiez le fichier à partir de l'URL afin de le fournir en tant que fichier local.
Pour de plus amples informations, veuillez consulter la documentation de votre fournisseur d'identité.
Étape 4 : Créer des assertions pour la réponse d'authentification SAML
Ensuite, configurez les informations que l'IdP transmet comme attributs SAML à AWS dans le cadre de la réponse d'authentification. Pour plus d'informations, veuillez consulter la rubrique Configuration des assertions SAML pour la réponse d'authentification dans le Guide de l'utilisateur IAM.
Étape 5 : Configurer l'état des relais de votre fédération
Enfin, configurez l'état de relais de votre fédération pour qu'il renvoie à l'URL de l'état de relais QuickSight. Après une authentification réussie par AWS, l'utilisateur est dirigé vers Amazon QuickSight, défini comme état de relais dans la réponse d'authentification SAML.
L'URL de l'état de relais pour Amazon QuickSight est la suivante.
https://quicksight.aws.amazon.com
