Tutorial: Amazon Quick Suite dan federasi identitas IAM - Amazon Quick Suite

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Amazon Quick Suite dan federasi identitas IAM

   Berlaku untuk: Edisi Perusahaan dan Edisi Standar 
   Pemirsa yang dituju: Administrator Amazon Quick Suite dan pengembang Amazon Quick Suite 
catatan

Federasi identitas IAM tidak mendukung sinkronisasi grup penyedia identitas dengan Amazon Quick Suite.

Dalam tutorial berikut, Anda dapat menemukan panduan untuk mengatur iDP Okta sebagai layanan federasi untuk Amazon Quick Suite. Meskipun tutorial ini menunjukkan integrasi AWS Identity and Access Management (IAM) dan Okta, Anda juga dapat mereplikasi solusi ini menggunakan SAMP 2.0 pilihan Anda. IdPs

Dalam prosedur berikut, Anda membuat aplikasi di Okta iDP menggunakan pintasan AWS "Federasi Akun” mereka. Okta menjelaskan aplikasi integrasi ini sebagai berikut:

“Dengan menggabungkan akun Okta ke Amazon Web Services (AWS) Identity and Access Management (IAM), pengguna akhir mendapatkan akses masuk tunggal ke semua peran yang ditugaskan dengan kredensi Okta mereka. AWS Di masing-masing Akun AWS, administrator mengatur federasi dan mengonfigurasi AWS peran untuk mempercayai Okta. Saat pengguna masuk AWS, mereka mendapatkan pengalaman masuk tunggal Okta untuk melihat peran yang ditetapkan AWS . Mereka kemudian dapat memilih peran yang diinginkan, yang menentukan izin mereka selama sesi yang diautentikasi. Pelanggan dengan sejumlah besar AWS Akun, lihat aplikasi AWS Single Sign-On sebagai alternatif.” (https://www.okta.com/aws/)

Untuk membuat aplikasi Okta menggunakan pintasan aplikasi "Federasi AWS Akun” Okta

  1. Masuk ke dasbor Okta Anda. Jika Anda tidak memilikinya, buat akun Okta Developer Edition gratis dengan menggunakan URL bermerek Amazon Quick Suite ini. Setelah Anda mengaktifkan email Anda, masuk ke Okta.

  2. Di situs web Okta, pilih <> Konsol Pengembang di kiri atas, lalu pilih UI Klasik.

  3. Pilih Add Applications, dan pilih Add app.

  4. Masuk aws untuk Pencarian, dan pilih Federasi AWS Akun dari hasil pencarian.

  5. Pilih Tambah untuk membuat instance dari aplikasi ini.

  6. Untuk label Aplikasi, masukkanAWS Account Federation - Amazon Quick Suite.

  7. Pilih Berikutnya.

  8. Untuk SAMP 2.0, Status Relay Default, masukkanhttps://quicksight.aws.amazon.com.

  9. Buka menu konteks (klik kanan) untuk metadata Penyedia Identitas, dan pilih untuk menyimpan file. Beri nama filemetadata.xml. Anda memerlukan file ini di prosedur selanjutnya.

    Isi file terlihat mirip dengan yang berikut ini.

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Setelah Anda menyimpan file XHTML, gulir ke bagian bawah halaman Okta, dan pilih Selesai.

  11. Biarkan jendela browser ini tetap terbuka, jika memungkinkan. Anda membutuhkannya nanti di tutorial.

Selanjutnya, Anda membuat penyedia identitas di Akun AWS.

Untuk membuat penyedia SAMP di AWS Identity and Access Management (IAM)

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Penyedia identitas, Buat Penyedia.

  3. Masukkan setelan berikut:

    • Jenis Penyedia - Pilih SAMP dari daftar.

    • Nama Penyedia — MasukkanOkta.

    • Dokumen Metadata - Unggah file manifest.xml XMLdari prosedur sebelumnya.

  4. Pilih Langkah Berikutnya, Buat.

  5. Temukan iDP yang Anda buat dan pilih untuk melihat pengaturan. Perhatikan Penyedia ARN. Anda membutuhkan ini untuk menyelesaikan tutorial.

  6. Verifikasi bahwa penyedia identitas dibuat dengan pengaturan Anda. Di IAM, pilih Penyedia identitas, Okta (IDP yang Anda tambahkan), Unduh metadata. File harus menjadi file yang baru saja Anda unggah.

Selanjutnya, Anda membuat peran IAM untuk mengaktifkan federasi SAMP 2.0 untuk bertindak sebagai entitas tepercaya di Anda. Akun AWS Untuk langkah ini, Anda harus memilih bagaimana Anda ingin menyediakan pengguna di Amazon Amazon Quick Suite. Anda dapat melakukan salah satu dari yang berikut:

  • Berikan izin ke peran IAM sehingga pengunjung pertama kali menjadi pengguna Amazon Quick Suite secara otomatis.

Untuk membuat peran IAM untuk federasi SAMP 2.0 sebagai entitas tepercaya

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Dalam panel navigasi, pilih Roles (Peran), Create role (Buat Peran).

  3. Untuk Pilih jenis entitas tepercaya, pilih kartu berlabel federasi SAMP 2.0.

  4. Untuk penyedia SAMP, pilih IDP yang Anda buat di prosedur sebelumnya, misalnya. Okta

  5. Aktifkan opsi Izinkan akses Konsol Terprogram dan AWS Manajemen.

  6. Pilih Berikutnya: Izin.

  7. Tempelkan kebijakan berikut ke editor.

    Di editor kebijakan, perbarui JSON dengan Nama Sumber Daya Amazon (ARN) penyedia Anda. 

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Pilih Tinjau kebijakan.

  9. Untuk Nama, masukkan QuicksightOktaFederatedPolicy, lalu pilih Buat kebijakan.

  10. Pilih Buat kebijakan, JSON untuk kedua kalinya.

  11. Tempelkan kebijakan berikut ke editor.

    Di editor kebijakan, perbarui JSON dengan Akun AWS ID Anda. Ini harus ID akun yang sama dengan yang Anda gunakan dalam kebijakan sebelumnya di penyedia ARN.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    Anda dapat menghilangkan Wilayah AWS nama di ARN, seperti yang ditunjukkan berikut.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Pilih Tinjau kebijakan.

  13. Untuk Nama, masukkan QuicksightCreateReader, lalu pilih Buat kebijakan.

  14. Segarkan daftar kebijakan dengan memilih ikon penyegaran di sebelah kanan.

  15. Untuk Pencarian, masukkanQuicksightOktaFederatedPolicy. Pilih kebijakan untuk mengaktifkannya ( ).

    Jika Anda tidak ingin menggunakan penyediaan otomatis, Anda dapat melewati langkah berikut.

    Untuk menambahkan pengguna Amazon Quick Suite, gunakan register-user. Untuk menambahkan grup Amazon Quick Suite, gunakan create-group. Untuk menambahkan pengguna ke grup Amazon Quick Suite, gunakan create-group-membership.

  16. (Opsional) Untuk Pencarian, masukkanQuicksightCreateReader. Pilih kebijakan untuk mengaktifkannya ( ).

    Lakukan langkah ini jika Anda ingin menyediakan pengguna Amazon Quick Suite secara otomatis, daripada menggunakan Amazon Quick Suite API.

    QuicksightCreateReaderKebijakan mengaktifkan penyediaan otomatis dengan mengizinkan penggunaan tindakan. quicksight:CreateReader Melakukan hal ini memberikan pelanggan dasbor (tingkat pembaca) akses ke pengguna pertama kali. Administrator Amazon Quick Suite nantinya dapat memutakhirkannya dari menu profil Amazon Quick Suite, Kelola Amazon Quick Suite, Kelola pengguna.

  17. Untuk terus melampirkan kebijakan atau kebijakan IAM, pilih Berikutnya: Tag.

  18. Pilih Berikutnya: Tinjauan.

  19. Untuk nama Peran, masukkanQuicksightOktaFederatedRole, dan pilih Buat peran.

  20. Verifikasi bahwa Anda berhasil menyelesaikan ini dengan mengambil langkah-langkah berikut:

    1. Kembali ke halaman utama konsol IAM di https://console.aws.amazon.com/iam/. Anda dapat menggunakan tombol Kembali browser Anda.

    2. Pilih Peran.

    3. Untuk Pencarian, masukkan Okta. Pilih QuicksightOktaFederatedRoledari hasil pencarian.

    4. Pada halaman Ringkasan kebijakan, periksa tab Izin. Verifikasi bahwa peran tersebut memiliki kebijakan atau kebijakan yang Anda lampirkan padanya. Seharusnya adaQuicksightOktaFederatedPolicy. Jika Anda memilih untuk menambahkan kemampuan untuk membuat pengguna, itu juga harus memilikiQuicksightCreateReader.

    5. Gunakan ikon untuk membuka setiap kebijakan. Verifikasi bahwa teks cocok dengan apa yang ditampilkan dalam prosedur ini. Periksa kembali apakah Anda menambahkan nomor Anda sendiri sebagai pengganti contoh Akun AWS nomor akun 111111111111.

    6. Pada tab Hubungan kepercayaan, verifikasi bahwa bidang Entitas tepercaya berisi ARN untuk penyedia identitas. Anda dapat memeriksa ulang ARN di konsol IAM dengan membuka penyedia Identity, Okta.

Untuk membuat kunci akses untuk Okta

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Tambahkan kebijakan yang memungkinkan Okta menampilkan daftar peran IAM ke pengguna. Untuk melakukan ini, pilih Kebijakan, Buat kebijakan.

  3. Pilih JSON, lalu masukkan kebijakan berikut.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Pilih Tinjau Kebijakan.

  5. Untuk Nama, masukkan OktaListRolesPolicy. Kemudian pilih Buat kebijakan.

  6. Tambahkan pengguna sehingga Anda dapat memberikan Okta dengan kunci akses.

    Di panel navigasi, pilih Pengguna, Tambahkan Pengguna.

  7. Gunakan pengaturan berikut:

    • Untuk Nama pengguna, masukkan OktaSSOUser.

    • Untuk tipe Access, aktifkan akses Programmatic.

  8. Pilih Berikutnya: Izin.

  9. Pilih Lampirkan kebijakan yang sudah ada secara langsung.

  10. Untuk PenelusuranOktaListRolesPolicy, masukkan, dan pilih OktaListRolesPolicydari hasil pencarian.

  11. Pilih Selanjutnya: Tags, lalu pilih Selanjutnya: Tinjau.

  12. Pilih Create user (Buat pengguna). Sekarang Anda bisa mendapatkan kunci akses.

  13. Unduh file kunci dengan memilih Unduh.csv. File tersebut berisi ID kunci akses yang sama dan kunci akses rahasia yang ditampilkan di layar ini. Namun, karena AWS tidak menampilkan informasi ini untuk kedua kalinya, pastikan untuk mengunduh file.

  14. Verifikasi bahwa Anda menyelesaikan langkah ini dengan benar dengan melakukan hal berikut:

    1. Buka konsol IAM, dan pilih Pengguna. Cari Okta SSOUser, dan buka dengan memilih nama pengguna dari hasil pencarian.

    2. Pada tab Izin, verifikasi bahwa OktaListRolesPolicyterlampir.

    3. Gunakan ikon untuk membuka kebijakan. Verifikasi bahwa teks cocok dengan apa yang ditampilkan dalam prosedur ini.

    4. Pada tab Security credentials, Anda dapat memeriksa kunci akses, meskipun Anda sudah mengunduhnya. Anda dapat kembali ke tab ini untuk membuat kunci akses saat Anda membutuhkan yang baru.

Dalam prosedur berikut, Anda kembali ke Okta untuk memberikan kunci akses. Kunci akses berfungsi dengan pengaturan keamanan baru Anda untuk memungkinkan AWS dan Okta iDP untuk bekerja sama.

Untuk menyelesaikan konfigurasi aplikasi Okta dengan pengaturan AWS

  1. Kembali ke dasbor Okta Anda. Jika diminta untuk melakukannya, masuk. Jika konsol pengembang tidak lagi terbuka, pilih Admin untuk membukanya kembali.

  2. Jika Anda harus membuka kembali Okta, Anda dapat kembali ke bagian ini dengan mengikuti langkah-langkah berikut:

    1. Masuk ke Okta. Pilih Aplikasi.

    2. Pilih Federasi AWS Akun - Amazon Quick Suite —aplikasi yang Anda buat di awal tutorial ini.

    3. Pilih tab Masuk, antara Umum dan Seluler.

  3. Gulir ke Pengaturan Masuk Tingkat Lanjut.

  4. Untuk Penyedia Identitas ARN (Diperlukan hanya untuk federasi IAM SAMP), masukkan penyedia ARN dari prosedur sebelumnya, misalnya: 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Pilih Selesai atau Simpan. Nama tombol bervariasi tergantung apakah Anda membuat atau mengedit aplikasi.

  6. Pilih tab Penyediaan, dan di bagian bawah tab, pilih Konfigurasi Integrasi API.

  7. Aktifkan Aktifkan integrasi API untuk menampilkan pengaturan.

  8. Untuk Kunci Akses dan Kunci Rahasia, berikan kunci akses dan kunci rahasia yang Anda unduh sebelumnya ke file bernama OktaSSOUser_credentials.csv.

  9. Pilih Test API Credentials. Lihat di atas pengaturan Aktifkan integrasi API untuk pesan yang mengonfirmasi bahwa Federasi AWS Akun berhasil diverifikasi.

  10. Pilih Simpan.

  11. Pastikan To App disorot di sebelah kiri, dan pilih Edit di kanan.

  12. Untuk Buat Pengguna, aktifkan opsi Aktifkan.

  13. Pilih Simpan.

  14. Pada tab Penugasan, dekat Penyediaan dan Impor, pilih Tetapkan.

  15. Lakukan satu atau beberapa hal berikut untuk mengaktifkan akses federasi:

    • Untuk bekerja dengan pengguna individu, pilih Tetapkan ke Orang.

    • Untuk bekerja dengan grup IAM, pilih Tetapkan ke Grup. Anda dapat memilih grup IAM tertentu atau Semua orang (Semua pengguna di organisasi Anda).

  16. Untuk setiap pengguna atau grup IAM, lakukan hal berikut:

    1. Pilih Tetapkan, Peran.

    2. Pilih QuicksightOktaFederatedRoledari daftar peran IAM.

    3. Untuk Peran Pengguna SAMP, aktifkan QuicksightOktaFederatedRole.

  17. Pilih Simpan dan Kembali, lalu pilih Selesai.

  18. Pastikan Anda menyelesaikan langkah ini dengan benar dengan memilih filter Orang atau Grup di sebelah kiri, dan memeriksa pengguna atau grup yang Anda masukkan. Jika Anda tidak dapat menyelesaikan proses ini karena peran yang Anda buat tidak muncul dalam daftar, kembali ke prosedur sebelumnya untuk memverifikasi pengaturan.

Untuk masuk ke Amazon Quick Suite menggunakan Okta (iDP ke login penyedia layanan)

  1. Jika Anda menggunakan akun administrator Okta, beralihlah ke mode pengguna.

  2. Masuk ke dasbor Aplikasi Okta Anda dengan pengguna yang telah diberikan akses federasi. Anda akan melihat aplikasi baru dengan label Anda, misalnya Federasi AWS Akun - Amazon Quick Suite.

  3. Pilih ikon aplikasi untuk meluncurkan Federasi AWS Akun - Amazon Quick Suite.

Anda sekarang dapat mengelola identitas menggunakan Okta dan menggunakan akses federasi dengan Quick Suite.

Prosedur berikut adalah bagian opsional dari tutorial ini. Jika Anda mengikuti langkah-langkahnya, Anda mengizinkan Amazon Quick Suite untuk meneruskan permintaan otorisasi ke IDP atas nama pengguna Anda. Dengan menggunakan metode ini, pengguna dapat masuk ke Amazon Quick Suite tanpa perlu masuk menggunakan halaman iDP terlebih dahulu.

(Opsional) Untuk mengatur Amazon Quick Suite untuk mengirim permintaan otentikasi ke Okta

  1. Buka Amazon Quick Suite, dan pilih Kelola Amazon Quick Suite dari menu profil Anda.

  2. Pilih Single sign-on (IAM federation) dari panel navigasi.

  3. Untuk Konfigurasi, URL iDP, masukkan URL yang disediakan IDP Anda untuk mengautentikasi pengguna, misalnya https://dev - .okta. 1-----0 com/home/amazon_aws/0oabababababaGQei5d5/282. Anda dapat menemukannya di halaman aplikasi Okta Anda, di tab Umum, di Tautan Sematkan.

  4. Untuk URL iDP, masukkan. RelayState

  5. Lakukan salah satu tindakan berikut:

    • Untuk menguji masuk dengan penyedia identitas Anda terlebih dahulu, gunakan URL kustom yang disediakan dalam Pengujian dimulai dengan IDP Anda. Anda harus tiba di halaman awal untuk Amazon Quick Suite, misalnya https://quicksight.aws.amazon.com/sn/ mulai.

    • Untuk menguji masuk dengan Amazon Quick Suite terlebih dahulu, gunakan URL khusus yang disediakan di Uji end-to-end pengalaman. enable-ssoParameter ditambahkan ke URL. Jikaenable-sso=1, federasi IAM mencoba untuk mengautentikasi. Jikaenable-sso=0, Amazon Quick Suite tidak mengirimkan permintaan otentikasi, dan Anda masuk ke Amazon Quick Suite seperti sebelumnya.

  6. Untuk Status, pilih ON.

  7. Pilih Simpan untuk menjaga pengaturan Anda.

Anda dapat membuat tautan dalam ke dasbor Amazon Quick Suite untuk memungkinkan pengguna menggunakan federasi IAM untuk terhubung langsung ke dasbor tertentu. Untuk melakukan ini, Anda menambahkan bendera status relai dan URL dasbor ke URL masuk tunggal Okta, seperti yang dijelaskan berikut.

Untuk membuat tautan dalam ke dasbor Amazon Quick Suite untuk proses masuk tunggal

  1. Temukan URL single sign-on (IAM federation) aplikasi Okta di metadata.xml file yang Anda unduh di awal tutorial. Anda dapat menemukan URL di dekat bagian bawah file, dalam elemen bernamamd:SingleSignOnService. Atribut diberi nama Location dan nilai berakhir dengan/sso/saml, seperti yang ditunjukkan pada contoh berikut.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Ambil nilai URL federasi IAM dan tambahkan ?RelayState= diikuti dengan URL dasbor Amazon Quick Suite Anda. RelayStateParameter menyampaikan status (URL) tempat pengguna berada saat mereka dialihkan ke URL otentikasi.

  3. Ke federasi IAM baru dengan status relai ditambahkan, tambahkan URL dasbor Amazon Quick Suite Anda. URL yang dihasilkan harus menyerupai berikut ini.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Jika tautan yang Anda buat tidak terbuka, periksa apakah Anda menggunakan URL federasi IAM terbaru darimetadata.xml. Periksa juga apakah nama pengguna yang Anda gunakan untuk masuk tidak ditetapkan di lebih dari satu aplikasi Okta federasi IAM.