Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Le persone della mia organizzazione ricevono il messaggio «Accesso esterno non autorizzato» quando tentano di accedere a Quick Sight
<a name="troubleshoot-webidentity-federation"></a>


|  | 
| --- |
|    Destinatari: amministratori di Amazon Quick  | 

Quando un individuo della tua organizzazione si sta federando in Quick Sight utilizzando **AssumeRoleWithWebIdentity**, Quick Sight associa un singolo utente basato sui ruoli a un unico accesso esterno. In alcuni casi, quella persona potrebbe essere autenticata tramite un accesso esterno (come Amazon Cognito) diverso dall'utente originariamente mappato. In tal caso, non possono accedere a Quick Sight e ricevere il seguente messaggio di errore imprevisto.

L'accesso esterno utilizzato per la federazione non è autorizzato per l'utente Quick Sight.

Per informazioni su come risolvere questo problema, consulta le sezioni seguenti:
+ [Perché succede?](#troubleshoot-webidentity-federation-why)
+ [Come posso risolvere il problema?](#troubleshoot-webidentity-federation-how)

## Perché succede?
<a name="troubleshoot-webidentity-federation-why"></a>

### Stai utilizzando un flusso semplificato di Amazon Cognito
<a name="troubleshoot-webidentity-federation-why-Cognito-SSO-1"></a>

Se utilizzi Amazon Cognito per la federazione in Quick Sight, la configurazione Single Sign-on (IAM Identity Center) potrebbe utilizzare l'operazione `CognitoIdentityCredentials` API per assumere il ruolo Quick Sight. Questo metodo associa tutti gli utenti del pool di identità di Amazon Cognito a un singolo utente Quick Sight e non è supportato da Quick Sight.

Ti consigliamo di utilizzare invece l'operazione API `AssumeRoleWithWebIdentity`, che specifica il nome della sessione del ruolo.

### Stai utilizzando utenti Amazon Cognito non autenticati
<a name="troubleshoot-webidentity-federation-why-Cognito-SSO-2"></a>

Il Centro identità IAM di Amazon Cognito è configurato per gli utenti non autenticati nel pool di identità di Amazon Cognito. La policy di fiducia dei ruoli di Quick Sight è configurata come nell'esempio seguente.

Questa configurazione consente a un utente temporaneo di Amazon Cognito di assumere una sessione di ruolo mappata a un utente Quick Sight univoco. Poiché le identità non autenticate sono temporanee, non sono supportate da Quick Sight.

Ti consigliamo di non utilizzare questa configurazione, che non è supportata da Quick Sight. Per Quick Sight, assicurati che Amazon Cognito IAM Identity Center utilizzi utenti autenticati.

### Hai eliminato e ricreato un utente Amazon Cognito con gli attributi dello stesso nome utente
<a name="troubleshoot-webidentity-federation-why-Cognito-user-delete"></a>

In questo caso, l'utente Amazon Cognito associato mappato all'utente Quick Sight è stato eliminato e ricreato. L'utente Amazon Cognito appena creato ha un oggetto sottostante diverso. A seconda di come il nome della sessione di ruolo viene mappato all'utente Quick Sight, il nome della sessione potrebbe corrispondere allo stesso utente Quick Sight basato sul ruolo.

Ti consigliamo di rimappare l'utente Quick Sight sull'oggetto utente aggiornato di Amazon Cognito utilizzando `UpdateUser` l'operazione API. Per ulteriori informazioni, consulta il seguente esempio di [UpdateUser API](#troubleshoot-webidentity-federation-solutions-updateuser).

### Stai mappando più pool di utenti Amazon Cognito in Account AWS un unico pool di identità e con Quick Sight
<a name="troubleshoot-webidentity-federation-why-Cognito-multi-pools"></a>

Mappatura di più pool di utenti Amazon Cognito in Account AWS un unico pool di identità e Quick Sight non è supportato da Quick Sight.

## Come posso risolvere il problema?
<a name="troubleshoot-webidentity-federation-how"></a>

Puoi utilizzare le operazioni API pubbliche di Quick Sight per aggiornare le informazioni di accesso esterne per i tuoi utenti. Utilizza gli esempi seguenti per scoprire come.

### RegisterUser Utilizzato per creare utenti con informazioni di accesso esterne
<a name="troubleshoot-webidentity-federation-how-registeruser"></a>

Se il provider di accesso esterno è Amazon Cognito, utilizza il seguente codice CLI per creare gli utenti.

```
aws quicksight register-user --aws-account-id {{account-id}} --namespace {{namespace}} --email {{user-email}} --user-role {{user-role}} --identity-type IAM
--iam-arn arn:aws:iam::{{account-id}}:role/{{cognito-associated-iam-role}} 
--session-name {{cognito-username}} --external-login-federation-provider-type COGNITO 
--external-login-id {{cognito-identity-id}} --region {{identity-region}}
```

`external-login-id` dovrebbe essere l'ID di identità dell'utente Amazon Cognito. Il formato è `<identity-region>:<cognito-user-sub>`, come riportato nel seguente esempio.

```
aws quicksight register-user --aws-account-id 111222333 --namespace default --email cognito-user@amazon.com --user-role ADMIN --identity-type IAM
--iam-arn arn:aws:iam::111222333:role/CognitoQuickSightRole 
--session-name cognito-user --external-login-federation-provider-type COGNITO 
--external-login-id us-east-1:12345678-1234-1234-abc1-a1b1234567 --region us-east-1
```

Se il provider di accesso esterno è un provider OpenID Connect (OIDC) personalizzato, utilizza il seguente codice CLI per creare gli utenti.

```
aws quicksight register-user --aws-account-id {{account-id}} --namespace {{namespace}}
--email {{user-email}} --user-role {{user-role}} --identity-type IAM
--iam-arn arn:aws:iam::{{account-id}}:role/{{identity-provider-associated-iam-role}} 
--session-name {{identity-username}} --external-login-federation-provider-type CUSTOM_OIDC 
--custom-federation-provider-url {{custom-identity-provider-url}} 
--external-login-id {{custom-provider-identity-id}} --region {{identity-region}}
```

Di seguito è riportato un esempio di :

```
aws quicksight register-user --aws-account-id 111222333 --namespace default 
--email identity-user@amazon.com --user-role ADMIN --identity-type IAM
--iam-arn arn:aws:iam::111222333:role/CustomIdentityQuickSightRole
--session-name identity-user --external-login-federation-provider-type CUSTOM_OIDC 
--custom-federation-provider-url idp.us-east-1.amazonaws.com/us-east-1_ABCDE 
--external-login-id 12345678-1234-1234-abc1-a1b1234567 --region us-east-1
```

Per ulteriori informazioni sull'utilizzo `RegisterUser` nella CLI, consulta [RegisterUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html)*Amazon Quick API* Reference.

### Utilizzalo DescribeUser per controllare le informazioni di accesso esterne per gli utenti
<a name="troubleshoot-webidentity-federation-how-describeuser"></a>

Se un utente è un utente federato basato sui ruoli di un provider di accesso esterno, utilizza l'operazione API `DescribeUser` per verificare le relative informazioni di accesso esterne, come mostrato nel codice seguente.

```
aws quicksight describe-user --aws-account-id {{account-id}}  --namespace {{namespace}}
--user-name {{identity-provider-associated-iam-role}}/{{identity-username}} 
--region {{identity-region}}
```

Di seguito è riportato un esempio di :

```
aws quicksight describe-user --aws-account-id 111222333 --namespace default --user-name IdentityQuickSightRole/user --region us-west-2
```

Il risultato contiene i campi di informazioni di accesso esterni, se presenti. Di seguito è riportato un esempio.

```
{
    "Status": 200,
    "User": {
        "Arn": "arn:aws:quicksight:us-east-1:111222333:user-default-IdentityQuickSightRole-user",
        "UserName": "IdentityQuickSightRole-user",
        "Email": "user@amazon.com",
        "Role": "ADMIN",
        "IdentityType": "IAM",
        "Active": true,
        "PrincipalId": "federated-iam-AROAAAAAAAAAAAAAA:user",
        "ExternalLoginFederationProviderType": "COGNITO",
        "ExternalLoginFederationProviderUrl": "cognito-identity.amazonaws.com",
        "ExternalLoginId": "us-east-1:123abc-1234-123a-b123-12345678a"
    },
    "RequestId": "12345678-1234-1234-abc1-a1b1234567"
}
```

Per ulteriori informazioni sull'utilizzo `DescribeUser` nella CLI, consulta [DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html)*Amazon Quick API* Reference.

### Utilizzato UpdateUser per aggiornare le informazioni di accesso esterne per gli utenti
<a name="troubleshoot-webidentity-federation-solutions-updateuser"></a>

In alcuni casi, potresti scoprire che le informazioni di accesso esterne salvate per l'utente dal risultato `DescribeUser` non sono corrette o non contengono le informazioni di accesso esterne. In tal caso, puoi utilizzare l'operazione API `UpdateUser` per aggiornarle. Fai riferimento agli esempi riportati di seguito.

Per gli utenti di Amazon Cognito, usa quanto segue.

```
aws quicksight update-user --aws-account-id {{account-id}} --namespace {{namespace}} 
--user-name {{cognito-associated-iam-role}}/{{cognito-username}}
 --email {{user-email}} --role {{user-role}} 
--external-login-federation-provider-type COGNITO 
--external-login-id {{cognito-identity-id}} --region {{identity-region}}
```

Di seguito è riportato un esempio di :

```
aws quicksight update-user --aws-account-id 111222333 --namespace default 
--user-name CognitoQuickSightRole/cognito-user --email cognito-user@amazon.com 
--role ADMIN --external-login-federation-provider-type COGNITO 
--external-login-id us-east-1:12345678-1234-1234-abc1-a1b1234567 --region us-west-2
```

Per gli utenti di provider OIDC personalizzati, usa quanto segue.

```
aws quicksight update-user --aws-account-id {{account-id}} --namespace {{namespace}} 
 --user-name {{identity-provider-associated-iam-role}}/{{identity-username}} 
--email {{user-email}} --role {{user-role}} 
--external-login-federation-provider-type CUSTOM_OIDC 
--custom-federation-provider-url {{custom-identity-provider-url}} 
--external-login-id {{custom-provider-identity-id}} --region {{identity-region}}
```

Di seguito è riportato un esempio di :

```
aws quicksight update-user --aws-account-id 111222333 --namespace default 
--user-name IdentityQuickSightRole/user --email user@amazon.com --role ADMIN 
--external-login-federation-provider-type CUSTOM_OIDC 
--custom-federation-provider-url idp.us-east-1.amazonaws.com/us-east-1_ABCDE 
 --external-login-id 123abc-1234-123a-b123-12345678a --region us-west-2
```

Se desideri eliminare le informazioni di accesso esterne per l'utente, usa `NONE` `external login federation provider type`. Utilizza il seguente comando della CLI per eliminare le informazioni di accesso esterne.

```
aws quicksight update-user --aws-account-id {{account-id}} --namespace {{namespace}} 
 --user-name {{identity-provider-associated-iam-role}}/{{identity-username}} 
--email {{user-email}} --role {{user-role}}
--external-login-federation-provider-type NONE --region {{identity-region}}
```

Di seguito è riportato un esempio di :

```
aws quicksight update-user --aws-account-id 111222333 --namespace default 
--user-name CognitoQuickSightRole/cognito-user --email cognito-user@amazon.com --role ADMIN --external-login-federation-provider-type NONE --region us-west-2
```

Per ulteriori informazioni sull'utilizzo `UpdateUser` nella CLI, consulta *Amazon Quick API* Reference. [UpdateUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateUser.html)