Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la fédération d'IdP à l'aide d'IAM et d'Amazon Quick Suite

Vous pouvez utiliser un rôle AWS Identity and Access Management (IAM) et une URL d'état de relais pour configurer un fournisseur d'identité (IdP) conforme à SAML 2.0. Le rôle accorde aux utilisateurs l'autorisation d'accéder à Amazon Quick Suite. RelayState est le portail vers lequel l’utilisateur est transféré après avoir été authentifié par AWS.

Prérequis

Avant de configurer votre connexion SAML 2.0, effectuez les opérations suivantes :

Après avoir créé la configuration pour fédérer selon AWS Management Console les instructions du didacticiel, vous pouvez modifier l'état du relais indiqué dans le didacticiel. Pour ce faire, utilisez l'état de relais d'Amazon Quick Suite, décrit à l'étape 5 ci-dessous.

Pour plus d’informations, consultez les ressources suivantes :

Étape 1 : créer un fournisseur SAML dans AWS

Votre fournisseur d'identité SAML définit l' AWS IdP de votre organisation pour. Pour ce faire, il utilise le document de métadonnées que vous avez généré précédemment par l’intermédiaire de votre IdP.

Étape 2 : configurer les autorisations AWS pour vos utilisateurs fédérés

Ensuite, créez un rôle &IAM qui établit une relation d’approbation entre IAM et le fournisseur d’identité de votre organisation. Ce rôle identifie votre fournisseur d’identité en tant que principal (entité de confiance) pour les besoins de la fédération. Le rôle définit également quels utilisateurs authentifiés par l'IdP de votre organisation sont autorisés à accéder à Amazon Quick Suite. Pour plus d’informations sur la création d’un rôle pour un IdP SAML, consultez la rubrique Création d’un rôle pour la fédération SAML 2.0 dans le Guide de l’utilisateur IAM.

Une fois que vous avez créé le rôle, vous pouvez le limiter afin d'avoir des autorisations uniquement pour Amazon Quick Suite en attachant une politique intégrée au rôle. L'exemple de document de politique suivant fournit un accès à Amazon Quick Suite. Cette politique permet aux utilisateurs d'accéder à Amazon Quick Suite et de créer à la fois des comptes d'auteur et des comptes de lecteur.

    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }
    

Si vous souhaitez donner accès à Amazon Quick Suite et également la possibilité de créer des administrateurs, des auteurs (utilisateurs standard) et des lecteurs Amazon Quick Suite, vous pouvez utiliser l'exemple de politique suivant.

    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }
                

Vous pouvez consulter les détails du compte dans le AWS Management Console.

Une fois que vous avez configuré SAML et la ou les politiques IAM, vous n’avez plus besoin d’inviter les utilisateurs manuellement. La première fois que les utilisateurs ouvrent Amazon Quick Suite, ils sont approvisionnés automatiquement, en utilisant les autorisations les plus élevées définies dans la politique. Par exemple, s’ils disposent des autorisations à la fois pour quicksight:CreateUser et quicksight:CreateReader, ils sont provisionnés en tant qu’auteurs. S’ils disposent également des autorisations pour quicksight:CreateAdmin, ils sont provisionnés en tant qu’administrateurs. Chaque niveau d’autorisation inclut la possibilité de créer le même niveau d’utilisateur et les niveaux inférieurs. Par exemple, un auteur peut ajouter d’autres auteurs ou des lecteurs.

Les utilisateurs qui sont invités manuellement sont créés dans le rôle attribué par la personne qui les a invités. Ils n’ont pas besoin d’avoir des stratégies qui leur accordent les autorisations.

Étape 3 : Configurer le fournisseur d’identité SAML

Après avoir créé le rôle IAM, mettez à jour votre idP SAML en AWS tant que fournisseur de services. Pour ce faire, installez le saml-metadata.xml fichier qui se trouve dans le fichier https://signin.aws.amazon.com/static/saml-metadata.xml.

Pour mettre à jour les métadonnées de votre fournisseur d’identité, consultez les instructions qu’il vous a fournies. Certains fournisseurs vous permettent d’entrer l’URL, après quoi ils récupèrent et installent le fichier automatiquement. D’autres fournisseurs exigent que vous téléchargiez le fichier à partir de l’URL afin de le fournir en tant que fichier local.

Pour de plus amples informations, veuillez consulter la documentation de votre fournisseur d’identité.

Étape 4 : Créer des assertions pour la réponse d’authentification SAML

Configurez ensuite les informations que l'IdP transmet sous forme d'attributs SAML dans le AWS cadre de la réponse d'authentification. Pour plus d’informations, veuillez consulter la rubrique Configuration des assertions SAML pour la réponse d’authentification dans le Guide de l’utilisateur IAM.

Étape 5 : Configurer l’état des relais de votre fédération

Enfin, configurez l'état du relais de votre fédération pour qu'il pointe vers l'URL de l'état du relais Amazon Quick Suite. Une fois l'authentification réussie par AWS, l'utilisateur est dirigé vers Amazon Quick Suite, défini comme l'état du relais dans la réponse d'authentification SAML.

L'URL de l'état du relais pour Amazon Quick Suite est la suivante.

https://quicksight.aws.amazon.com