Tutorial: Amazon Quick Suite e federazione delle identità IAM - Amazon Quick Suite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: Amazon Quick Suite e federazione delle identità IAM

   Si applica a: Enterprise Edition e Standard Edition 
   Destinatari: amministratori di Amazon Quick Suite e sviluppatori di Amazon Quick Suite 
Nota

La federazione delle identità IAM non supporta la sincronizzazione dei gruppi di provider di identità con Amazon Quick Suite.

Nel seguente tutorial, puoi trovare una procedura dettagliata per configurare IdP Okta come servizio federativo per Amazon Quick Suite. Sebbene questo tutorial mostri l'integrazione di AWS Identity and Access Management (IAM) e Okta, puoi anche replicare questa soluzione utilizzando SAML 2.0 a tua scelta. IdPs

Nella procedura seguente, crei un'app in Okta IdP utilizzando la scorciatoia AWS "Account Federation». Okta descrive questa app di integrazione come segue:

«Federando Okta agli account Amazon Web Services (AWS) Identity and Access Management (IAM), gli utenti finali ottengono l'accesso Single Sign-On a tutti i ruoli assegnati AWS con le proprie credenziali Okta. In ognuno di essi Account AWS, gli amministratori impostano la federazione e configurano i ruoli per fidarsi di Okta. AWS Quando gli utenti accedono AWS, ottengono l'esperienza di accesso singolo di Okta per vedere i ruoli assegnati. AWS Possono quindi selezionare il ruolo desiderato, che definisce le loro autorizzazioni per la durata della sessione autenticata. I clienti con un numero elevato di AWS account possono utilizzare l'app AWS Single Sign-On come alternativa». () https://www.okta.com/aws/

Per creare un'app Okta utilizzando la scorciatoia «AWS Account Federation» di Okta

  1. Accedi al pannello di controllo di Okta. Se non ne hai uno, crea un account Okta Developer Edition gratuito utilizzando questo URL con marchio Amazon Quick Suite. Dopo aver attivato la tua e-mail, accedi a Okta.

  2. Sul sito web di Okta, scegli Console degli sviluppatori <> in alto a sinistra, quindi scegli Interfaccia utente classica.

  3. Scegli Aggiungi applicazioni e scegli Aggiungi app.

  4. Inserisci aws per Cerca e scegli Federazione account AWS dai risultati della ricerca.

  5. Scegli Aggiungi per creare un'istanza di questa applicazione.

  6. Per Etichetta applicazione, immetti AWS Account Federation - Amazon Quick Suite.

  7. Scegli Next (Successivo).

  8. Per SAML 2.0, Stato di inoltro predefinito, inserisci https://quicksight.aws.amazon.com.

  9. Apri il menu contestuale (tasto destro del mouse) per Metadati del provider di identità e scegli di salvare il file. Assegnare un nome al file metadata.xml. Questo file servirà per la procedura successiva.

    L'aspetto del contenuto del file è simile al seguente:

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Dopo aver salvato il file XML, scorri fino alla fine della pagina Okta e scegli Fatto.

  11. Tieni aperta questa finestra del browser, se possibile. Sarà necessario più avanti nel tutorial.

Successivamente, crea un provider di identità nel tuo Account AWS.

Per creare un provider SAML in (IAM) AWS Identity and Access Management

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Provider di identità, Crea provider.

  3. Specificare le seguenti impostazioni:

    • Tipo di provider: scegli SAML dall'elenco.

    • Nome provider: immetti Okta.

    • Documento di metadati: carica il file XML manifest.xml della procedura precedente.

  4. Seleziona Fase successiva, quindi Crea gruppo.

  5. Individua l'IdP che hai creato e sceglilo per visualizzare le impostazioni. Prendi nota dell'ARN del provider. Sarà necessario per completare il tutorial.

  6. Verifica che il provider di identità sia stato creato con le tue impostazioni. In IAM, scegli Provider di identità, Okta (l'IdP che hai aggiunto), Scarica metadati. Il file deve essere quello che hai caricato di recente.

Successivamente, crei un ruolo IAM per consentire alla federazione SAML 2.0 di agire come entità affidabile all'interno del tuo Account AWS. Per questo passaggio, devi scegliere come effettuare il provisioning degli utenti in Amazon Amazon Quick Suite. Puoi effettuare una delle seguenti operazioni:

  • Concedi l'autorizzazione al ruolo IAM in modo che i visitatori alle prime armi diventino automaticamente utenti di Amazon Quick Suite.

Creazione di un ruolo IAM per una federazione SAML 2.0 come entità attendibile

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli, quindi Crea nuovo ruolo.

  3. Per Seleziona tipo di entità attendibile, scegli la scheda Federazione SAML 2.0.

  4. Per Provider SAML, seleziona l'IdP creato nella procedura precedente, ad esempio Okta.

  5. Abilita l'opzione Consenti l'accesso programmatico e alla console di gestione AWS .

  6. Scegli Successivo: autorizzazioni.

  7. Incolla la seguente policy nell'editor.

    Nell'editor di policy, aggiorna il codice JSON con il nome della risorsa Amazon (ARN) del provider. 

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Scegliere Esamina policy.

  9. Per Name (Nome), immettere QuicksightOktaFederatedPolicy, quindi scegliere Create policy (Crea criterio).

  10. Scegli Crea policy, JSON una seconda volta.

  11. Incolla la seguente policy nell'editor.

    Nell'editor delle policy, aggiorna il codice JSON con il tuo Account AWS ID. Dovrebbe essere lo stesso ID account utilizzato nella policy precedente nell'ARN del provider.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    È possibile omettere il Regione AWS nome nell'ARN, come illustrato di seguito.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Scegliere Esamina policy.

  13. Per Name (Nome), immettere QuicksightCreateReader, quindi scegliere Create policy (Crea criterio).

  14. Aggiorna l'elenco delle policy scegliendo l'icona di aggiornamento a destra.

  15. Per Cerca, inserisci QuicksightOktaFederatedPolicy. Scegli la policy per abilitarla ( ).

    Se non desideri utilizzare il provisioning automatico, puoi saltare il passaggio seguente.

    Per aggiungere un utente Amazon Quick Suite, usa register-user. Per aggiungere un gruppo Amazon Quick Suite, usa create-group. Per aggiungere utenti al gruppo Amazon Quick Suite, usa create-group-membership.

  16. (Facoltativo) Per Cerca, immetti QuicksightCreateReader. Scegli la policy per abilitarla ( ).

    Esegui questo passaggio se desideri effettuare il provisioning automatico degli utenti di Amazon Quick Suite, anziché utilizzare l'API Amazon Quick Suite.

    La policy QuicksightCreateReader attiva il provisioning automatico consentendo l'uso dell'operazione quicksight:CreateReader. In questo modo si concede l'accesso come abbonato al pannello di controllo (a livello di lettore) agli utenti alle prime armi. Un amministratore di Amazon Quick Suite può successivamente aggiornarli dal menu del profilo Amazon Quick Suite, Manage Amazon Quick Suite, Manage users.

  17. Per continuare a collegare la policy o le policy IAM, scegli Successivo: Tag.

  18. Scegli Prossimo: Rivedi.

  19. In Nome ruolo immetti QuicksightOktaFederatedRole e quindi seleziona Crea ruolo.

  20. Verifica di averlo completato correttamente eseguendo questi passaggi:

    1. Torna alla pagina principale della console IAM all'indirizzo https://console.aws.amazon.com/iam/. Puoi utilizzare il pulsante Indietro del browser.

    2. Scegli Ruoli.

    3. Per Cerca, inserisci Okta. Scegli QuicksightOktaFederatedRoletra i risultati della ricerca.

    4. Nella pagina Riepilogo per la policy, esamina la scheda Autorizzazioni. Verifica che il ruolo abbia le policy collegate. Dovrebbe avere QuicksightOktaFederatedPolicy. Se hai scelto di aggiungere la possibilità di creare utenti, dovrebbe avere anche QuicksightCreateReader.

    5. Usa l'icona per aprire la ogni policy. Verifica che il testo corrisponda a quanto mostrato in questa procedura. Ricontrolla di aver aggiunto il tuo Account AWS numero di conto al posto del numero di conto di esempio 1111.

    6. Nella scheda Relazioni di attendibilità, verifica che il campo Entità attendibili contenga l'ARN per il provider di identità. Puoi ricontrollare l'ARN nella console IAM aprendo Provider di identità, Okta.

Creazione di una chiave di accesso per Okta

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

  2. Aggiungi una policy che consenta a Okta di mostrare all'utente un elenco di ruoli IAM. A tale scopo, scegli Policy, Crea policy.

  3. Scegli JSON, quindi immetti la seguente policy.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Scegli Esamina la policy.

  5. Per Nome, immetti OktaListRolesPolicy. Quindi scegliere Create policy (Crea policy).

  6. Aggiungi un utente in modo da fornire a Okta una chiave di accesso.

    Nel riquadro di navigazione, seleziona Utenti, Aggiungi utente.

  7. Utilizzare le seguenti impostazioni:

    • In Nome utente, inserisci OktaSSOUser.

    • In Tipo di accesso, scegli Accesso programmatico.

  8. Scegli Successivo: autorizzazioni.

  9. Scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  10. Per CercaOktaListRolesPolicy, inserisci e scegli OktaListRolesPolicytra i risultati della ricerca.

  11. Scegli Successivo: Tag, quindi Successivo: Rivedi.

  12. Selezionare Create user (Crea utente). Ora puoi ottenere la chiave di accesso.

  13. Scarica il file della chiave scegliendo Scarica .csv. Il file contiene lo stesso ID chiave di accesso e la chiave di accesso segreta visualizzati in questa schermata. Tuttavia, poiché AWS non visualizza queste informazioni una seconda volta, assicurati di scaricare il file.

  14. Verifica di aver completato correttamente questo passaggio effettuando le seguenti operazioni:

    1. Apri la console IAM e scegli Utenti. Cerca Okta SSOUser e aprilo scegliendo il nome utente dai risultati della ricerca.

    2. Nella scheda Autorizzazioni, verifica che OktaListRolesPolicysia allegato.

    3. Usa l'icona per aprire la policy. Verifica che il testo corrisponda a quanto mostrato in questa procedura.

    4. Nella scheda Credenziali di sicurezza, puoi controllare la chiave di accesso, anche se l'hai già scaricata. Puoi tornare a questa scheda per creare una chiave di accesso quando ne hai bisogno di una nuova.

Nella procedura seguente, si torna a Okta per fornire la chiave di accesso. La chiave di accesso funziona con le nuove impostazioni di sicurezza per consentire AWS e l'IdP di Okta per lavorare insieme.

Per completare la configurazione dell'applicazione Okta con le impostazioni AWS

  1. Torna al pannello di Okta. Se richiesto, effettua l'accesso. Se la console per gli sviluppatori non è più aperta, scegli Amministratore per riaprirla.

  2. Se devi riaprire Okta, puoi tornare a questa sezione seguendo questi passaggi:

    1. Accedi a Okta. Selezionare Applications (Applicazioni).

    2. Scegli AWS Account Federation - Amazon Quick Suite, l'applicazione che hai creato all'inizio di questo tutorial.

    3. Scegli la scheda Accedi, tra Generale e Mobile.

  3. Scorri fino a Impostazioni di accesso avanzate.

  4. Per ARN del provider di identità (obbligatorio solo per la federazione IAM SAML), inserisci l'ARN del provider della procedura precedente, ad esempio: 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Scegli Fine o Salva. Il nome del pulsante varia a seconda che si stia creando o modificando l'applicazione.

  6. Scegli la scheda Provisioning e, nella parte inferiore della scheda, scegli Configura integrazione API.

  7. Attiva Abilita integrazione API per visualizzare le impostazioni.

  8. Per Chiave di accesso e Chiave segreta, fornisci la chiave di accesso e la chiave segreta che hai scaricato in precedenza in un file denominato OktaSSOUser_credentials.csv.

  9. Scegli Verifica credenziali API. Cerca sopra l'impostazione Abilita integrazione API un messaggio La federazione dell'account AWS è stata verificata correttamente.

  10. Scegli Save (Salva).

  11. Assicurati che All'app sia evidenziato a sinistra e scegli Modifica a destra.

  12. Per Crea utenti, attiva l'opzione Abilita.

  13. Scegli Save (Salva).

  14. Nella scheda Assegnazioni, accanto a Provisioning e Importa, scegli Assegna.

  15. Per abilitare l'accesso federato, effettua una o più delle seguenti operazioni:

    • Per lavorare con singoli utenti, scegli Assegna a persone.

    • Per lavorare con i gruppi IAM, scegli Assegna ai gruppi. Puoi scegliere gruppi IAM specifici o Tutti (tutti gli utenti della tua organizzazione).

  16. Per ogni utente o gruppo IAM, completa le seguenti operazioni:

    1. Scegli Assegna, Ruolo.

    2. Seleziona QuicksightOktaFederatedRoledall'elenco dei ruoli IAM.

    3. Per i ruoli utente SAML, abilita. QuicksightOktaFederatedRole

  17. Scegli Salva e torna indietro, quindi scegli Fine.

  18. Verifica di aver completato correttamente questo passaggio scegliendo il filtro Persone o Gruppi a sinistra e controllando gli utenti o i gruppi che hai inserito. Se non riesci a completare questo processo perché il ruolo che hai creato non compare nell'elenco, torna alle procedure precedenti per verificare le impostazioni.

Per accedere ad Amazon Quick Suite utilizzando Okta (accesso da IdP a provider di servizi)

  1. Se utilizzi un account amministratore Okta, passa alla modalità utente.

  2. Accedi al pannello di controllo delle applicazioni Okta con un utente a cui è stato concesso l'accesso federato. Dovresti vedere una nuova applicazione con la tua etichetta, ad esempio AWS Account Federation - Amazon Quick Suite.

  3. Scegli l'icona dell'applicazione per avviare AWS Account Federation - Amazon Quick Suite.

Ora puoi gestire le identità utilizzando Okta e utilizzare l'accesso federato con Quick Suite.

La procedura seguente è una parte facoltativa di questo tutorial. Se segui i passaggi, autorizzi Amazon Quick Suite a inoltrare le richieste di autorizzazione all'IdP per conto dei tuoi utenti. Utilizzando questo metodo, gli utenti possono accedere ad Amazon Quick Suite senza dover prima accedere utilizzando la pagina IdP.

(Facoltativo) Per configurare Amazon Quick Suite per inviare richieste di autenticazione a Okta

  1. Apri Amazon Quick Suite e scegli Manage Amazon Quick Suite dal menu del tuo profilo.

  2. Scegli Single sign-on (federazione IAM) dal pannello di navigazione.

  3. Per Configurazione, URL IdP, inserisci l'URL fornito dal tuo IdP per autenticare gli utenti, ad esempio https://dev - .okta. 1-----0 com/home/amazon_aws/. 0oabababababaGQei5d5/282 Puoi trovarlo nella pagina dell'app Okta, nella scheda Generale, in Link per l'incorporamento.

  4. Per URL IdP, immetti RelayState.

  5. Esegui una di queste operazioni:

    • Per testare prima l'accesso con il tuo provider di identità, utilizza l'URL personalizzato fornito in Verifica l'avvio con il tuo IdP. Dovresti arrivare alla pagina iniziale di Amazon Quick Suite, ad esempio https://quicksight.aws.amazon.com/sn/ start.

    • Per testare prima l'accesso con Amazon Quick Suite, utilizza l'URL personalizzato fornito in Prova l' end-to-endesperienza. Il parametro enable-sso viene aggiunto all'URL. Se enable-sso=1, la federazione IAM prova ad autenticarsi. Seenable-sso=0, Amazon Quick Suite non invia la richiesta di autenticazione e accedi ad Amazon Quick Suite come prima.

  6. Per Stato, scegli ON.

  7. Per mantenere le impostazioni, scegli Salva.

Puoi creare un collegamento diretto a un dashboard di Amazon Quick Suite per consentire agli utenti di utilizzare la federazione IAM per connettersi direttamente a dashboard specifici. A tale scopo, aggiungi il flag di stato del relay e l'URL del pannello di controllo all'URL Single Sign-on di Okta, come descritto di seguito.

Per creare un collegamento diretto a una dashboard di Amazon Quick Suite per Single Sign-On

  1. Individua l'URL Single Sign-On (federazione IAM) dell'applicazione Okta nel file metadata.xml che hai scaricato all'inizio del tutorial. Puoi trovare l'URL nella parte inferiore del file, nell'elemento denominato md:SingleSignOnService. L'attributo viene denominato Location e il valore termina con /sso/saml, come mostrato nell'esempio seguente.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Prendi il valore dell'URL della federazione IAM e aggiungilo ?RelayState= seguito dall'URL della dashboard di Amazon Quick Suite. Il parametro RelayState comunica lo stato (l'URL) in cui si trovava l'utente quando è stato reindirizzato all'URL di autenticazione.

  3. Alla nuova federazione IAM con lo stato di inoltro aggiunto, aggiungi l'URL della dashboard di Amazon Quick Suite. L'URL risultante dovrebbe essere simile al seguente.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Se il link che crei non si apre, verifica di utilizzare l'URL di federazione IAM più recente fornito da metadata.xml. Verifica anche che il nome utente che usi per accedere non sia assegnato a più di un'app Okta della federazione IAM.