Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione della federazione IdP tramite IAM e Amazon Quick Suite
| Si applica a: Enterprise Edition e Standard Edition |
| Destinatari: amministratori di sistema |
Nota
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick Suite.
Puoi utilizzare un ruolo AWS Identity and Access Management (IAM) e un URL dello stato di inoltro per configurare un provider di identità (IdP) conforme a SAML 2.0. Il ruolo concede agli utenti le autorizzazioni per accedere ad Amazon Quick Suite. Lo stato del relay è il portale a cui viene inoltrato l'utente in seguito alla corretta autenticazione da parte di AWS.
Argomenti
Prerequisiti
Prima di configurare la tua connessione SAML 2.0, procedi nel seguente modo:
-
Configura il tuo provider di identità per stabilire una relazione di trust con AWS:
-
All'interno della rete della tua organizzazione, configura l'archivio identità, come Windows Active Directory, affinché funzioni con un provider di identità basato su SAML. I sistemi basati su SAML IdPs includono Active Directory Federation Services, Shibboleth e così via.
-
Utilizzando il tuo provider di identità, genera un documento di metadati che descrive l'organizzazione come un provider di identità.
-
Configura l'autenticazione SAML 2.0 attenendoti alle stesse fasi utilizzate per la Console di gestione AWS. Una volta completato questo processo, è possibile configurare lo stato del relè in modo che corrisponda allo stato del relè di Quick Suite. Per ulteriori informazioni, consulta Configurare lo stato di inoltro della federazione.
-
-
Crea un account Amazon Quick Suite e annota il nome da utilizzare quando configuri la policy IAM e l'IdP. Per ulteriori informazioni sulla creazione di un account Amazon Quick Suite, consulta Registrazione di un abbonamento Amazon Quick Suite.
Dopo aver creato la configurazione per la federazione Console di gestione AWS come descritto nel tutorial, puoi modificare lo stato del relè fornito nel tutorial. Puoi farlo con lo stato di inoltro di Amazon Quick Suite, descritto nel passaggio 5 seguente.
Per maggiori informazioni, consulta le seguenti risorse:
-
Integrazione di provider di soluzioni SAML di terze parti con AWS nella Guida per l'utente IAM.
-
Risoluzione dei problemi di federazione SAML 2.0 con AWS, anche nella IAM User Guide.
-
Configurazione della fiducia tra ADFS AWS e utilizzo delle credenziali di Active Directory per la connessione ad Amazon Athena con il driver ODBC
: questo articolo dettagliato è utile, anche se non è necessario configurare Athena per utilizzare Amazon Quick Suite.
Passaggio 1: crea un provider SAML in AWS
Il tuo provider di identità SAML definisce l' AWS IdP della tua organizzazione a. Per farlo utilizza il documento di metadati generato precedentemente utilizzando il tuo provider di identità.
Per creare un provider SAML in AWS
Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Creare un nuovo provider SAML, che è un'entità in IAM che contiene informazioni sul provider di identità della propria organizzazione. Per ulteriori informazioni, consulta Creazione di provider di identità SAML nella Guida per l'utente di IAM.
-
Come parte di questo processo, caricare il documento di metadati prodotto dal software IdP nella propria organizzazione di cui si è preso nota nella sezione precedente.
Passaggio 2: configura le autorizzazioni AWS per i tuoi utenti federati
A questo punto, devi creare un ruolo IAM che stabilisca una relazione di attendibilità tra IAM e il provider di identità della tua organizzazione. Questo ruolo identifica il tuo provider di identità come principale (entità attendibile) ai fini della federazione. Il ruolo definisce anche quali utenti autenticati dall'IdP della tua organizzazione possono accedere ad Amazon Quick Suite. Per ulteriori informazioni sulla creazione di un ruolo per un gestore delle identità SAML, consulta Creazione di un ruolo per una federazione SAML 2.0 nella Guida per l'utente di IAM.
Dopo aver creato il ruolo, puoi limitare il ruolo in modo che abbia le autorizzazioni solo per Amazon Quick Suite allegando una policy in linea al ruolo. Il seguente documento di policy di esempio fornisce l'accesso ad Amazon Quick Suite. Questa politica consente all'utente di accedere ad Amazon Quick Suite e consente loro di creare sia account autore che account lettore.
Nota
Nell'esempio seguente, sostituiscilo <YOUR_AWS_ACCOUNT_ID> con il tuo Account AWS ID a 12 cifre (senza trattini '‐').
{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Se desideri fornire l'accesso ad Amazon Quick Suite e anche la possibilità di creare amministratori, autori (utenti standard) e lettori di Amazon Quick Suite, puoi utilizzare il seguente esempio di policy.
{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }
Puoi visualizzare i dettagli dell'account in. Console di gestione AWS
Una volta configurato SAML e la policy (o le policy) IAM, non dovrai invitare manualmente gli utenti. La prima volta che gli utenti aprono Amazon Quick Suite, il provisioning viene eseguito automaticamente, utilizzando le autorizzazioni di livello più elevato previste dalla policy. Ad esempio, se dispongono delle autorizzazioni per eseguire sia quicksight:CreateUser che quicksight:CreateReader, gli utenti sono assegnati come autori. Se dispongono anche delle autorizzazioni per eseguire quicksight:CreateAdmin, gli utenti sono assegnati come amministratori. Ogni livello di autorizzazione include la possibilità di creare un utente del medesimo livello e dei livelli inferiori. Ad esempio, un autore può aggiungere altri autori o lettori.
Gli utenti invitati manualmente vengono creati nel ruolo assegnato dalla persona che li ha invitati. Non è necessario che dispongano di policy che concedano loro le autorizzazioni.
Fase 3: configurazione del provider di identità SAML
Dopo aver creato il ruolo IAM, aggiorna il tuo IdP SAML come AWS fornitore di servizi. A tale scopo, installa il saml-metadata.xml file che si trova in https://signin.aws.amazon.com/static/ saml-metadata.xml.
Per aggiornare i metadati del provider di identità, consulta le istruzioni fornite dal tuo provider di identità. Alcuni provider ti offrono la possibilità di digitare l'URL, dopodiché il provider di identità ottiene e installa il file al tuo posto. Altri richiedono di scaricare il file dall'URL e quindi fornirlo come file locale.
Per ulteriori informazioni, consulta la documentazione relativa al tuo provider di identità.
Fase 4: Creazione delle asserzioni per la risposta di autenticazione SAML
Successivamente, configura le informazioni a cui l'IdP passa come attributi SAML AWS come parte della risposta di autenticazione. Per ulteriori informazioni, consultare Configurazione delle asserzioni SAML per la risposta di autenticazione nella Guida per l'utente di IAM.
Fase 5: Configurazione dello stato del relay della federazione
Infine, configura lo stato di inoltro della tua federazione in modo che punti all'URL dello stato di inoltro di Amazon Quick Suite. Una volta completata con successo l'autenticazione tramite AWS, l'utente viene indirizzato ad Amazon Quick Suite, definito come lo stato di inoltro nella risposta di autenticazione SAML.
L'URL dello stato di inoltro per Amazon Quick Suite è il seguente.
https://quicksight.aws.amazon.com
