Prasyarat Langkah 1: Buat penyedia SAMP di AWS Langkah 2: Konfigurasikan izin AWS untuk pengguna federasi Anda Langkah 3: Konfigurasikan SAMP iDP Langkah 4: Buat pernyataan untuk respon otentikasi SAMP Langkah 5: Konfigurasikan status relai federasi Anda

Menyiapkan federasi iDP menggunakan IAM dan Amazon Quick Suite

Berlaku untuk: Edisi Perusahaan dan Edisi Standar

Audiens yang dituju: Administrator sistem

catatan

Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick Suite.

Anda dapat menggunakan peran AWS Identity and Access Management (IAM) dan URL status relai untuk mengonfigurasi penyedia identitas (idP) yang sesuai dengan SAMP 2.0. Peran tersebut memberi pengguna izin untuk mengakses Amazon Quick Suite. Status relai adalah portal tempat pengguna diteruskan, setelah otentikasi berhasil oleh. AWS

Topik

Prasyarat
Langkah 1: Buat penyedia SAMP di AWS
Langkah 2: Konfigurasikan izin AWS untuk pengguna federasi Anda
Langkah 3: Konfigurasikan SAMP iDP
Langkah 4: Buat pernyataan untuk respon otentikasi SAMP
Langkah 5: Konfigurasikan status relai federasi Anda

Prasyarat

Sebelum mengonfigurasi koneksi SAMP 2.0 Anda, lakukan hal berikut:

Konfigurasikan iDP Anda untuk membangun hubungan kepercayaan dengan AWS:
- Di dalam jaringan organisasi Anda, konfigurasikan penyimpanan identitas Anda, seperti Windows Active Directory, untuk bekerja dengan IDP berbasis SAMP. Berbasis SAML IdPs termasuk Layanan Federasi Direktori Aktif, Shibboleth, dan sebagainya.
- Menggunakan IDP Anda, buat dokumen metadata yang menjelaskan organisasi Anda sebagai penyedia identitas.
- Siapkan otentikasi SAMP 2.0, menggunakan langkah-langkah yang sama seperti untuk. Konsol Manajemen AWS Ketika proses ini selesai, Anda dapat mengonfigurasi status relai agar sesuai dengan status relai Quick Suite. Untuk informasi selengkapnya, lihat Mengonfigurasi status relai federasi Anda.
Buat akun Amazon Quick Suite dan catat nama yang akan digunakan saat Anda mengonfigurasi kebijakan IAM dan IDP. Untuk informasi selengkapnya tentang cara membuat akun Amazon Quick Suite, lihat Mendaftar untuk berlangganan Amazon Quick Suite.

Setelah Anda membuat setup untuk federasi ke Konsol Manajemen AWS seperti yang diuraikan dalam tutorial, Anda dapat mengedit status relay yang disediakan dalam tutorial. Anda melakukannya dengan status relai Amazon Quick Suite, yang dijelaskan pada langkah 5 berikut.

Untuk informasi selengkapnya, lihat sumber daya berikut:

Mengintegrasikan Penyedia Solusi SAMP Pihak Ketiga dengan AWS Panduan Pengguna IAM.
Memecahkan masalah federasi SAMP 2.0 dengan AWS, juga di Panduan Pengguna IAM.
Menyiapkan kepercayaan antara ADFS dan AWS dan menggunakan kredensil Direktori Aktif untuk terhubung ke Amazon Athena dengan driver ODBC — Artikel panduan ini sangat membantu, meskipun Anda tidak perlu mengatur Athena untuk menggunakan Amazon Quick Suite.

Langkah 1: Buat penyedia SAMP di AWS

Penyedia identitas SAMP Anda mendefinisikan IDP organisasi Anda. AWS Ia melakukannya dengan menggunakan dokumen metadata yang sebelumnya Anda buat menggunakan IDP Anda.

Untuk membuat penyedia SAMP di AWS

Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Buat penyedia SAMP baru, yang merupakan entitas di IAM yang menyimpan informasi tentang penyedia identitas organisasi Anda. Untuk informasi selengkapnya, lihat Membuat SAML Identitas di Panduan Pengguna IAM.
Sebagai bagian dari proses ini, unggah dokumen metadata yang dihasilkan oleh perangkat lunak iDP di organisasi Anda yang disebutkan di bagian sebelumnya.

Langkah 2: Konfigurasikan izin AWS untuk pengguna federasi Anda

Selanjutnya, buat peran IAM yang membangun hubungan kepercayaan antara IAM dan IDP organisasi Anda. Peran ini mengidentifikasi IDP Anda sebagai prinsipal (entitas tepercaya) untuk tujuan federasi. Peran ini juga menentukan pengguna mana yang diautentikasi oleh IDP organisasi Anda yang diizinkan untuk mengakses Amazon Quick Suite. Untuk informasi selengkapnya tentang membuat peran untuk IDP SAMP, lihat Membuat Peran untuk Federasi SAMP 2.0 di Panduan Pengguna IAM.

Setelah membuat peran, Anda dapat membatasi peran agar memiliki izin hanya untuk Amazon Quick Suite dengan melampirkan kebijakan sebaris ke peran tersebut. Contoh dokumen kebijakan berikut menyediakan akses ke Amazon Quick Suite. Kebijakan ini memungkinkan pengguna mengakses Amazon Quick Suite dan memungkinkan mereka membuat akun penulis dan akun pembaca.

catatan

Dalam contoh berikut, ganti <YOUR_AWS_ACCOUNT_ID> dengan Akun AWS ID 12 digit Anda (tanpa tanda hubung '‐').



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }

Jika Anda ingin memberikan akses ke Amazon Quick Suite dan juga kemampuan untuk membuat admin, penulis (pengguna standar), dan pembaca Amazon Quick Suite, Anda dapat menggunakan contoh kebijakan berikut.



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }

Anda dapat melihat detail akun di Konsol Manajemen AWS.

Setelah menyiapkan kebijakan atau kebijakan SAMP dan IAM, Anda tidak perlu mengundang pengguna secara manual. Pertama kali pengguna membuka Amazon Quick Suite, mereka disediakan secara otomatis, menggunakan izin tingkat tertinggi dalam kebijakan. Misalnya, jika mereka memiliki izin untuk keduanya quicksight:CreateUser danquicksight:CreateReader, mereka disediakan sebagai penulis. Jika mereka juga memiliki izinquicksight:CreateAdmin, mereka disediakan sebagai admin. Setiap tingkat izin mencakup kemampuan untuk membuat pengguna tingkat yang sama dan di bawahnya. Misalnya, seorang penulis dapat menambahkan penulis atau pembaca lain.

Pengguna yang diundang secara manual dibuat dalam peran yang diberikan oleh orang yang mengundang mereka. Mereka tidak perlu memiliki kebijakan yang memberi mereka izin.

Langkah 3: Konfigurasikan SAMP iDP

Setelah Anda membuat peran IAM, perbarui IDP SAMP Anda AWS sebagai penyedia layanan. Untuk melakukannya, instal saml-metadata.xml file yang ditemukan di https://signin.aws.amazon.com/static/saml-metadata.xml.

Untuk memperbarui metadata iDP, lihat petunjuk yang diberikan oleh iDP Anda. Beberapa penyedia memberi Anda opsi untuk mengetik URL, setelah itu IDP mendapatkan dan menginstal file untuk Anda. Lainnya mengharuskan Anda mengunduh file dari URL lalu menyediakannya sebagai file lokal.

Untuk informasi selengkapnya, lihat dokumentasi IDP Anda.

Langkah 4: Buat pernyataan untuk respon otentikasi SAMP

Selanjutnya, konfigurasikan informasi yang dilewati IDP sebagai atribut SAMP AWS sebagai bagian dari respons otentikasi. Untuk informasi selengkapnya, lihat Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi di Panduan Pengguna IAM.

Langkah 5: Konfigurasikan status relai federasi Anda

Terakhir, konfigurasikan status relai federasi Anda untuk menunjuk ke URL status relai Amazon Quick Suite. Setelah otentikasi berhasil oleh AWS, pengguna diarahkan ke Amazon Quick Suite, yang didefinisikan sebagai status relai dalam respons otentikasi SAMP.

URL status relai untuk Amazon Quick Suite adalah sebagai berikut.


https://quicksight.aws.amazon.com

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

IDP ke Amazon Quick Suite

Suite Cepat Amazon ke IDP