Configuration de la synchronisation des e-mails pour les utilisateurs fédérés dans Amazon QuickSight
| S'applique à : édition Enterprise |
| Public cible : Administrateurs système et administrateurs Amazon QuickSight |
Note
La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon QuickSight.
Dans Amazon QuickSight édition Entreprise, en tant qu'administrateur, vous pouvez empêcher les nouveaux utilisateurs d'utiliser des adresses e-mail personnelles lors du provisionnement via leur fournisseur d'identité (IdP) directement dans QuickSight. QuickSight utilise ensuite les adresses e-mail préconfigurées transmises par l'IdP lors du provisionnement de nouveaux utilisateurs dans votre compte. Par exemple, vous pouvez faire en sorte que seules les adresses e-mail attribuées par l'entreprise soient utilisées lorsque les utilisateurs sont provisionnés dans votre compte QuickSight via votre IdP.
Note
Assurez-vous que vos utilisateurs se fédèrent directement à QuickSight via leur IdP. La fédération vers la AWS Management Console via leur IdP et le fait de cliquer sur QuickSight entraînent une erreur et les utilisateurs ne peuvent pas accéder à QuickSight.
Lorsque vous configurez la synchronisation des e-mails pour les utilisateurs fédérés dans QuickSight, les utilisateurs qui se connectent à votre compte QuickSight pour la première fois ont des adresses e-mail préattribuées. Celles-ci sont utilisées pour enregistrer leurs comptes. Avec cette approche, les utilisateurs peuvent contourner manuellement en saisissant une adresse e-mail. En outre, les utilisateurs ne peuvent pas utiliser une adresse e-mail qui pourrait différer de l'adresse e-mail prescrite par vous, l'administrateur.
QuickSight prend en charge le provisionnement via un IdP qui prend en charge l'authentification SAML ou OpenID Connect (OIDC). Pour configurer les adresses e-mail des nouveaux utilisateurs lors du provisionnement via un IdP, vous devez mettre à jour la relation d'approbation du rôle IAM qu'ils utilisent avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity. Ensuite, ajoutez un attribut SAML ou un jeton OIDC dans leur IdP. Enfin, activez la synchronisation des e-mails pour les utilisateurs fédérés dans QuickSight.
Les procédures suivantes décrivent ces étapes en détail.
Étape 1 : Mettre à jour la relation d'approbation du rôle IAM avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity
Vous pouvez configurer les adresses e-mail que vos utilisateurs utiliseront lors du provisionnement vers QuickSight via votre IdP. Pour ce faire, ajoutez l'action sts:TagSession à la relation d'approbation du rôle IAM que vous utilisez avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity. Ce faisant, vous pouvez transmettre des balises principal lorsque les utilisateurs assument le rôle.
L'exemple suivant illustre un rôle IAM mis à jour où l'IdP est Okta. Pour utiliser cet exemple, mettez à jour l'Amazon Resource Name (ARN) Federated avec l'ARN de votre fournisseur de services. Vous pouvez remplacer les éléments en rouge par vos informations AWS et celles spécifiques au service IdP.
Étape 2 : Ajouter un attribut SAML ou un jeton OIDC pour la balise principale IAM dans votre IdP
Après avoir mis à jour la relation d'approbation du rôle IAM comme décrit dans la section précédente, ajoutez un attribut SAML ou un jeton OIDC pour la balise Principal IAM dans votre IdP.
Les exemples suivants illustrent un attribut SAML et un jeton OIDC. Pour utiliser ces exemples, remplacez l'adresse e-mail par une variable dans votre IdP qui pointe vers l'adresse e-mail d'un utilisateur. Vous pouvez remplacer les éléments surlignés en rouge par vos informations.
-
Attribut SAML : l'exemple suivant illustre un attribut SAML.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>Note
Si vous utilisez Okta comme IdP, assurez-vous d'activer un indicateur de fonctionnalité dans votre compte utilisateur Okta pour utiliser le protocole SAML. Pour plus d'informations, consultez Okta et partenaire AWS pour simplifier l'accès via les balises de session
sur le blog d'Okta. -
Jeton OIDC : l'exemple suivant illustre un exemple de jeton OIDC.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Étape 3 : Activer la synchronisation des e-mails pour les utilisateurs fédérés dans QuickSight
Comme décrit précédemment, mettez à jour la relation d'approbation du rôle IAM et ajoutez un attribut SAML ou un jeton OIDC pour la balise Principal IAM dans votre IdP. Activez ensuite la synchronisation des e-mails pour les utilisateurs fédérés dans QuickSight comme décrit dans la procédure suivante.
Activation de la synchronisation des e-mails pour les utilisateurs fédérés
-
Sur n'importe quelle page de QuickSight, choisissez votre nom d'utilisateur en haut à droite, puis choisissez Gérer QuickSight.
-
Choisissez Authentification unique (fédération IAM) dans le menu de gauche.
-
Sur la page Fédération IAM initiée par le fournisseur de services, pour Synchronisation des e-mails pour les utilisateurs fédérés, choisissez Activé.
Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est activée, QuickSight utilise les adresses e-mail que vous avez configurées aux étapes 1 et 2 lors du provisionnement de nouveaux utilisateurs dans votre compte. Les utilisateurs ne peuvent pas saisir leur propre adresse e-mail.
Lorsque la synchronisation des e-mails pour les utilisateurs fédérés est désactivée, QuickSight demande aux utilisateurs de saisir manuellement leur adresse e-mail lors du provisionnement de nouveaux utilisateurs dans votre compte. Ils peuvent utiliser toutes les adresses e-mail qu'ils souhaitent.
