Lancement de la connexion à partir du fournisseur d'identité (IdP) - Amazon QuickSight

Lancement de la connexion à partir du fournisseur d'identité (IdP)

   S'applique à : édition Enterprise et édition Standard 
   Public cible : administrateurs système 
Note

La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon QuickSight.

Dans ce scénario, vos utilisateurs lancent le processus de connexion à partir du portail du fournisseur d'identité. Une fois les utilisateurs authentifiés, ils se connectent à QuickSight. Une fois que QuickSight a vérifié qu'ils sont autorisés, vos utilisateurs peuvent accéder à QuickSight.

À partir de la connexion d'un utilisateur au fournisseur d'identité (IdP), le processus d'authentification se déroule en plusieurs étapes :

  1. L'utilisateur se rend sur le site https://applications.example.com et se connecte à l'IdP. À ce stade, l'utilisateur n'est pas connecté au fournisseur de services.

  2. Le service de fédération et l'IdP authentifient l'utilisateur :

    1. Le service de fédération demande l'authentification à partir de la base d'identités de l'organisation.

    2. La base d'identités authentifie l'utilisateur et renvoie la réponse d'authentification au service de fédération.

    3. Une fois l'authentification effectuée, le service de fédération publie l'assertion SAML sur le navigateur de l'utilisateur.

  3. L'utilisateur ouvre QuickSight :

    1. Le navigateur de l'utilisateur envoie l'assertion SAML au point de terminaison SAML de connexion AWS (https://signin.aws.amazon.com/saml).

    2. La connexion AWS reçoit et traite la demande SAML, authentifie l'utilisateur et transmet le jeton d'authentification au service Amazon QuickSight.

  4. Amazon QuickSight accepte le jeton d'authentification d'AWS et présente QuickSight à l'utilisateur.

Du point de vue de l'utilisateur, le processus est entièrement transparent. L'utilisateur commence sur le portail interne de votre organisation et aboutit directement sur le portail d'une application Amazon QuickSight, sans avoir à saisir d'informations d'identification AWS.

Dans le schéma suivant, vous trouverez un flux entrant d'authentification entre Amazon QuickSight et un fournisseur d'identité (IdP) tiers. Dans cet exemple, l'administrateur a configuré une page de connexion pour accéder à Amazon QuickSight, appelée applications.example.com. Lorsqu'un utilisateur se connecte, la page de connexion envoie une demande à un service de fédération conforme à SAML 2.0. L'utilisateur final lance l'authentification à partir de la page de connexion de l'IdP.

Schéma SAML Amazon QuickSight. Le schéma contient deux cadres. Le premier décrit un processus d'authentification au sein de l'entreprise. Le deuxième décrit l'authentification au sein de AWS. Le processus est décrit en dessous du tableau.