Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione della sincronizzazione delle e-mail per gli utenti federati in Quick Suite
| Si applica a: Enterprise Edition |
| Destinatari: amministratori di sistema e amministratori di Amazon Quick Suite |
Nota
La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick Suite.
Nell'edizione Amazon Quick Suite Enterprise, in qualità di amministratore puoi impedire ai nuovi utenti di utilizzare indirizzi e-mail personali durante il provisioning tramite il loro provider di identità (IdP) direttamente a Quick Suite. Quick Suite utilizza quindi gli indirizzi e-mail preconfigurati trasmessi tramite l'IdP per fornire nuovi utenti al tuo account. Ad esempio, puoi fare in modo che vengano utilizzati solo gli indirizzi e-mail assegnati dall'azienda quando gli utenti ricevono il provisioning del tuo account Amazon Quick Suite tramite il tuo IdP.
Nota
Assicurati che i tuoi utenti si uniscano direttamente ad Amazon Quick Suite tramite il loro IdP. La federazione Console di gestione AWS tramite il loro IdP e il successivo clic su Amazon Quick Suite generano un errore e non saranno in grado di accedere ad Amazon Quick Suite.
Quando configuri la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick Suite, gli utenti che accedono al tuo account Amazon Quick Suite per la prima volta hanno indirizzi e-mail preassegnati. Questi vengono utilizzati per registrare gli account. Con questo approccio, gli utenti possono bypassare manualmente inserendo un indirizzo e-mail. Inoltre, gli utenti non possono utilizzare un indirizzo e-mail che potrebbe essere diverso dall'indirizzo e-mail prescritto dall'amministratore.
Amazon Quick Suite supporta il provisioning tramite un IdP che supporta l'autenticazione SAML o OpenID Connect (OIDC). Per configurare gli indirizzi e-mail per i nuovi utenti durante il provisioning tramite un IdP, aggiorni la relazione di attendibilità per il ruolo IAM che utilizzano AssumeRoleWithSAML o AssumeRoleWithWebIdentity. Quindi aggiungi un attributo SAML o un token OIDC nel loro IdP. Infine, attivi la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick Suite.
La seguente procedura descrive in modo più dettagliato questi passaggi.
Fase 1: Aggiornamento della relazione di attendibilità per il ruolo IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity
Puoi configurare gli indirizzi e-mail che i tuoi utenti utilizzeranno durante il provisioning tramite il tuo IdP ad Amazon Quick Suite. A tale scopo, aggiungi l'operazione sts:TagSession alla relazione di attendibilità per il ruolo IAM che utilizzi con AssumeRoleWithSAML o AssumeRoleWithWebIdentity. In questo modo, puoi passare i tag principal quando gli utenti assumono il ruolo.
L'esempio seguente illustra un ruolo IAM aggiornato in cui l'IdP è Okta. Per utilizzare questo esempio, aggiorna il nome della risorsa Amazon (ARN) di Federated con l'ARN del provider di servizi. Puoi sostituire gli articoli in rosso con informazioni specifiche relative al tuo servizio AWS e all'IdP.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/Email": "*" } } } ] }
Fase 2: Aggiunta di un attributo SAML o un token OIDC per il tag principale IAM nel tuo IdP
Dopo aver aggiornato la relazione di attendibilità per il ruolo IAM come descritto nella sezione precedente, aggiungi un attributo SAML o un token OIDC per il tag Principal IAM nel tuo IdP.
Gli esempi seguenti illustrano un attributo SAML e un token OIDC. Per utilizzare questi esempi, sostituisci l'indirizzo e-mail con una variabile nel tuo IdP che punti all'indirizzo e-mail di un utente. Puoi sostituire gli elementi evidenziati in rosso con le tue informazioni.
-
Attributo SAML: l'esempio seguente illustra un attributo SAML.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>Nota
Se utilizzi Okta come IdP, assicurati di attivare un flag di funzionalità nel tuo account utente Okta per utilizzare SAML. Per ulteriori informazioni, consulta Okta and AWS Partner to Simplify Access Via Session Tags
sul blog Okta. -
Token OIDC: l'esempio seguente illustra un esempio di token OIDC.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Passaggio 3: attiva la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick Suite
Come descritto nella sezione precedente, aggiungi un attributo SAML o un token OIDC per il tag Principal IAM nel tuo IdP. Quindi attiva la sincronizzazione delle e-mail per gli utenti federati in Amazon Quick Suite come descritto nella procedura seguente.
Sincronizzazione delle e-mail per gli utenti federati
-
Da qualsiasi pagina di Amazon Quick Suite, scegli il tuo nome utente in alto a destra, quindi scegli Manage Amazon Quick Suite.
-
Scegli Single sign-on (federazione IAM) nel menu a sinistra.
-
Nella pagina Federazione IAM avviata dal provider di servizi, per Sincronizzazione delle e-mail per gli utenti federati, scegli ON.
Quando la sincronizzazione delle e-mail per gli utenti federati è attiva, Amazon Quick Suite utilizza gli indirizzi e-mail che hai configurato nei passaggi 1 e 2 per assegnare nuovi utenti al tuo account. Gli utenti non possono inserire i propri indirizzi e-mail.
Quando la sincronizzazione delle e-mail per gli utenti federati è disattivata, Amazon Quick Suite chiede agli utenti di inserire manualmente il proprio indirizzo e-mail quando assegnano nuovi utenti al tuo account. Possono utilizzare tutti gli indirizzi e-mail che desiderano.
