Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione della sincronizzazione delle e-mail per gli utenti federati in Quick
| Si applica a: Enterprise Edition |
| Destinatari: amministratori di sistema e amministratori di Amazon Quick |
Nota
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick.
Nell'edizione Amazon Quick Enterprise, in qualità di amministratore puoi impedire ai nuovi utenti di utilizzare indirizzi e-mail personali durante il provisioning tramite il loro provider di identità (IdP) direttamente a Quick. Quick utilizza quindi gli indirizzi e-mail preconfigurati trasmessi tramite l'IdP per fornire nuovi utenti al tuo account. Ad esempio, puoi fare in modo che vengano utilizzati solo gli indirizzi e-mail assegnati dall'azienda quando gli utenti ricevono il provisioning del tuo account Amazon Quick tramite il tuo IdP.
Nota
Assicurati che i tuoi utenti si uniscano direttamente ad Amazon Quick tramite il loro IdP. La federazione Console di gestione AWS tramite il loro IdP e il successivo clic su Amazon Quick generano un errore e non saranno in grado di accedere ad Amazon Quick.
Quando configuri la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick, gli utenti che accedono al tuo account Amazon Quick per la prima volta hanno indirizzi e-mail preassegnati. Questi vengono utilizzati per registrare gli account. Con questo approccio, gli utenti possono bypassare manualmente inserendo un indirizzo e-mail. Inoltre, gli utenti non possono utilizzare un indirizzo e-mail che potrebbe essere diverso dall'indirizzo e-mail prescritto dall'amministratore.
Amazon Quick supporta il provisioning tramite un IdP che supporta l'autenticazione SAML o OpenID Connect (OIDC). Per configurare gli indirizzi e-mail per i nuovi utenti durante il provisioning tramite un IdP, aggiorni la relazione di attendibilità per il ruolo IAM che utilizzano AssumeRoleWithSAML o AssumeRoleWithWebIdentity. Quindi aggiungi un attributo SAML o un token OIDC nel loro IdP. Infine, attivi la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick.
La seguente procedura descrive in modo più dettagliato questi passaggi.
Fase 1: Aggiornamento della relazione di attendibilità per il ruolo IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity
Puoi configurare gli indirizzi e-mail che i tuoi utenti utilizzeranno durante il provisioning tramite il tuo IdP ad Amazon Quick. A tale scopo, aggiungi l'operazione sts:TagSession alla relazione di attendibilità per il ruolo IAM che utilizzi con AssumeRoleWithSAML o AssumeRoleWithWebIdentity. In questo modo, puoi passare i tag principal quando gli utenti assumono il ruolo.
L'esempio seguente illustra un ruolo IAM aggiornato in cui l'IdP è Okta. Per utilizzare questo esempio, aggiorna il nome della risorsa Amazon (ARN) di Federated con l'ARN del provider di servizi. Puoi sostituire gli articoli in rosso con informazioni specifiche relative al tuo servizio AWS e all'IdP.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/Email": "*" } } } ] }
Fase 2: Aggiunta di un attributo SAML o un token OIDC per il tag principale IAM nel tuo IdP
Dopo aver aggiornato la relazione di attendibilità per il ruolo IAM come descritto nella sezione precedente, aggiungi un attributo SAML o un token OIDC per il tag Principal IAM nel tuo IdP.
Gli esempi seguenti illustrano un attributo SAML e un token OIDC. Per utilizzare questi esempi, sostituisci l'indirizzo e-mail con una variabile nel tuo IdP che punti all'indirizzo e-mail di un utente. Puoi sostituire gli elementi evidenziati in rosso con le tue informazioni.
-
Attributo SAML: l'esempio seguente illustra un attributo SAML.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>Nota
Se utilizzi Okta come IdP, assicurati di attivare un flag di funzionalità nel tuo account utente Okta per utilizzare SAML. Per ulteriori informazioni, consulta Okta and AWS Partner to Simplify Access Via Session Tags
sul blog Okta. -
Token OIDC: l'esempio seguente illustra un esempio di token OIDC.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Passaggio 3: attiva la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick
Come descritto nella sezione precedente, aggiungi un attributo SAML o un token OIDC per il tag Principal IAM nel tuo IdP. Quindi attiva la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick come descritto nella procedura seguente.
Sincronizzazione delle e-mail per gli utenti federati
-
Da qualsiasi pagina di Amazon Quick, scegli il tuo nome utente in alto a destra, quindi scegli Manage Amazon Quick.
-
Scegli Single sign-on (federazione IAM) nel menu a sinistra.
-
Nella pagina Federazione IAM avviata dal provider di servizi, per Sincronizzazione delle e-mail per gli utenti federati, scegli ON.
Quando la sincronizzazione delle e-mail per gli utenti federati è attiva, Amazon Quick utilizza gli indirizzi e-mail che hai configurato nei passaggi 1 e 2 per assegnare nuovi utenti al tuo account. Gli utenti non possono inserire i propri indirizzi e-mail.
Quando la sincronizzazione delle e-mail per gli utenti federati è disattivata, Amazon Quick chiede agli utenti di inserire manualmente il proprio indirizzo e-mail quando assegnano nuovi utenti al tuo account. Possono utilizzare tutti gli indirizzi e-mail che desiderano.
