Configurazione della sincronizzazione delle e-mail per gli utenti federati in Amazon QuickSight - Amazon QuickSight
Fase 1: Aggiornamento della relazione di attendibilità per il ruolo IAMFase 2: Aggiunta di un attributo SAML o un token OIDCFase 3: Attivazione la sincronizzazione delle e-mail

Configurazione della sincronizzazione delle e-mail per gli utenti federati in Amazon QuickSight

 Si applica a: Enterprise Edition 
   Destinatari: amministratori di sistema e amministratori di Amazon QuickSight 
Nota

La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon QuickSight.

In Amazon QuickSight Enterprise Edition, gli amministratori possono impedire ai nuovi utenti di utilizzare indirizzi e-mail personali durante il provisioning a QuickSight tramite il proprio gestore dell'identità digitale. QuickSight utilizza quindi gli indirizzi e-mail preconfigurati trasmessi tramite l'IdP per fornire nuovi utenti al tuo account. Ad esempio, puoi fare in modo che vengano utilizzati solo gli indirizzi e-mail assegnati dall'azienda quando gli utenti ricevono il provisioning del tuo account QuickSight tramite il tuo IdP.

Nota

Assicurati che i tuoi utenti vengano federati direttamente a QuickSight tramite il loro IdP. La federazione alla AWS Management Console tramite l'IdP e il successivo clic su QuickSight generano un errore e non saranno in grado di accedere a QuickSight.

Quando configuri la sincronizzazione delle e-mail per gli utenti federati in QuickSight, gli utenti che accedono al tuo account QuickSight per la prima volta hanno indirizzi e-mail preassegnati. Questi vengono utilizzati per registrare gli account. Con questo approccio, gli utenti possono bypassare manualmente inserendo un indirizzo e-mail. Inoltre, gli utenti non possono utilizzare un indirizzo e-mail che potrebbe essere diverso dall'indirizzo e-mail prescritto dall'amministratore.

QuickSight supporta il provisioning tramite un IdP che supporta l'autenticazione SAML o OpenID Connect (OIDC). Per configurare gli indirizzi e-mail per i nuovi utenti durante il provisioning tramite un IdP, aggiorni la relazione di attendibilità per il ruolo IAM che utilizzano AssumeRoleWithSAML o AssumeRoleWithWebIdentity. Quindi aggiungi un attributo SAML o un token OIDC nel loro IdP. Infine, attiva la sincronizzazione delle e-mail per gli utenti federati in QuickSight.

La seguente procedura descrive in modo più dettagliato questi passaggi.

Fase 1: Aggiornamento della relazione di attendibilità per il ruolo IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity

Puoi configurare gli indirizzi e-mail che gli utenti utilizzeranno durante il provisioning a QuickSight tramite il tuo IdP. A tale scopo, aggiungi l'operazione sts:TagSession alla relazione di attendibilità per il ruolo IAM che utilizzi con AssumeRoleWithSAML o AssumeRoleWithWebIdentity. In questo modo, puoi passare i tag principal quando gli utenti assumono il ruolo.

L'esempio seguente illustra un ruolo IAM aggiornato in cui l'IdP è Okta. Per utilizzare questo esempio, aggiorna il nome della risorsa Amazon (ARN) di Federated con l'ARN del provider di servizi. Puoi sostituire gli elementi in rosso con informazioni specifiche relative al tuo servizio AWS e all'IdP.

Fase 2: Aggiunta di un attributo SAML o un token OIDC per il tag principale IAM nel tuo IdP

Dopo aver aggiornato la relazione di attendibilità per il ruolo IAM come descritto nella sezione precedente, aggiungi un attributo SAML o un token OIDC per il tag Principal IAM nel tuo IdP.

Gli esempi seguenti illustrano un attributo SAML e un token OIDC. Per utilizzare questi esempi, sostituisci l'indirizzo e-mail con una variabile nel tuo IdP che punti all'indirizzo e-mail di un utente. Puoi sostituire gli elementi evidenziati in rosso con le tue informazioni.

  • Attributo SAML: l'esempio seguente illustra un attributo SAML. 

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    Nota

    Se utilizzi Okta come IdP, assicurati di attivare un flag di funzionalità nel tuo account utente Okta per utilizzare SAML. Per ulteriori informazioni, consulta Okta and partner AWS per semplificare l'accesso tramite tag di sessione.

  • Token OIDC: l'esempio seguente illustra un esempio di token OIDC. 

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Fase 3: Attivazione della sincronizzazione delle e-mail per gli utenti federati in QuickSight

Come descritto nella sezione precedente, aggiungi un attributo SAML o un token OIDC per il tag Principal IAM nel tuo IdP. Attiva quindi la sincronizzazione e-mail per gli utenti federati in QuickSight come descritto nella seguente procedura.

Sincronizzazione delle e-mail per gli utenti federati

  1. Da qualsiasi pagina di QuickSight, scegli il tuo nome utente in alto a destra, quindi scegli Gestisci QuickSight.

  2. Scegli Single sign-on (federazione IAM) nel menu a sinistra.

  3. Nella pagina Federazione IAM avviata dal provider di servizi, per Sincronizzazione delle e-mail per gli utenti federati, scegli ON.

    Quando la sincronizzazione delle e-mail per gli utenti federati è attiva, QuickSight utilizza gli indirizzi e-mail configurati nelle fasi 1 e 2 per fornire nuovi utenti al tuo account. Gli utenti non possono inserire i propri indirizzi e-mail.

    Quando la sincronizzazione delle e-mail per gli utenti federati è attiva, QuickSight richiede agli utenti di immettere manualmente gli indirizzi e-mail per fornire nuovi utenti al tuo account. Possono utilizzare tutti gli indirizzi e-mail che desiderano.