Configuration de la fédération initiée par le fournisseur de services avec Amazon QuickSight édition Enterprise - Amazon QuickSight
Configuration de QuickSight en tant que fournisseur de services capable de lancer une fédération IAM pour un IdP existantActivation de la fédération IAM initiée par le fournisseur de services IdPDésactivation de la fédération IAM initiée par le fournisseur de services

Configuration de la fédération initiée par le fournisseur de services avec Amazon QuickSight édition Enterprise

 S'applique à : édition Enterprise 
   Public cible : administrateurs système 
Note

La fédération d'identité IAM ne prend pas en charge la synchronisation des groupes de fournisseurs d'identité avec Amazon QuickSight.

Après avoir configuré votre fournisseur d'identité avec AWS Identity and Access Management (IAM), vous pouvez configurer la connexion initiée par le fournisseur de services via Amazon QuickSight édition Enterprise. Pour que la fédération IAM initiée par QuickSight fonctionne, vous devez autoriser QuickSight à envoyer la demande d'authentification à votre IdP. Un administrateur QuickSight peut configurer cela en ajoutant les informations suivantes fournies par l'IdP :

  • URL de l'IdP : QuickSight redirige les utilisateurs vers cette URL à des fins d'authentification.

  • Le paramètre d'état de relais : ce paramètre indique l'état dans lequel se trouvait la session du navigateur lorsqu'elle a été redirigée pour authentification. L'IdP redirige l'utilisateur vers l'état initial après l'authentification. L'état est fourni sous forme d'URL.

Le tableau suivant indique l'URL d'authentification standard et le paramètre d'état de relais permettant de rediriger l'utilisateur vers l'URL Amazon QuickSight que vous fournissez.

Fournisseur d'identité Paramètre URL d'authentification

Auth0

RelayState

https://<sub_domain>.auth0.com/samlp/<app_id>

Comptes Google

RelayState

https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false

Microsoft Azure

RelayState

https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>

Okta

RelayState

https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml

PingFederate

TargetResource

https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>

PingOne

TargetResource

https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

QuickSight prend en charge la connexion à un IdP par Compte AWS. La page de configuration de QuickSight vous fournit des URL de test en fonction de vos entrées, afin que vous puissiez tester les paramètres avant d'activer la fonctionnalité. Pour rendre le processus encore plus fluide, QuickSight fournit un paramètre (enable-sso=0) permettant de désactiver temporairement la fédération IAM initiée par QuickSight, au cas où vous auriez besoin de la désactiver temporairement.

Configuration de QuickSight en tant que fournisseur de services capable de lancer une fédération IAM pour un IdP existant

  1. Assurez-vous que la fédération IAM est déjà configurée dans votre IdP, dans IAM et QuickSight. Pour tester cette configuration, vérifiez si vous pouvez partager un tableau de bord avec une autre personne dans le domaine de votre entreprise.

  2. Ouvrez QuickSight et choisissez Gérer QuickSight dans le menu de votre profil en haut à droite.

    Pour effectuer cette procédure, vous devez être un administrateur QuickSight. Si vous ne l'êtes pas, vous ne pouvez pas voir Gérer QuickSight dans le menu de votre profil.

  3. Choisissez Authentification unique (fédération IAM) dans le volet de navigation.

  4. Dans Configuration, URL IdP, saisissez l'URL fournie par votre IdP pour authentifier les utilisateurs.

  5. Pour URL IdP, saisissez le paramètre que votre IdP fournit à l'état de relais, par exemple RelayState. Le nom réel du paramètre est fourni par votre IdP.

  6. Testez la connexion :

    • Pour tester la connexion avec votre fournisseur d'identité, utilisez l'URL personnalisée fournie dans Test en commençant par votre IdP. Vous devriez arriver à la page d'accueil de QuickSight, par exemple https://quicksight.aws.amazon.com/sn/start (français non garanti).

    • Pour tester d'abord la connexion avec QuickSight, utilisez l'URL personnalisée fournie dans Test de l'expérience de bout en bout. Le paramètre enable-sso est ajouté à l'URL. Si enable-sso=1, la fédération IAM tente de s'authentifier.

  7. Choisissez Enregistrer pour conserver vos paramètres.

Activation de la fédération IAM initiée par le fournisseur de services IdP

  1. Assurez-vous que vos paramètres de fédération IAM sont configurés et testés. Si vous n'êtes pas sûr de la configuration, testez la connexion en utilisant les URL de la procédure précédente.

  2. Ouvrez QuickSight et choisissez Gérer QuickSight dans le menu de votre profil.

  3. Choisissez Authentification unique (fédération IAM) dans le volet de navigation.

  4. Pour État, sélectionnez Activé.

  5. Vérifiez qu'il fonctionne en vous déconnectant de votre IdP et en ouvrant QuickSight.

Désactivation de la fédération IAM initiée par le fournisseur de services

  1. Ouvrez QuickSight et choisissez Gérer QuickSight dans le menu de votre profil.

  2. Choisissez Authentification unique (fédération IAM) dans le volet de navigation.

  3. Pour État, sélectionnez Désactivé.