アイデンティティプロバイダー (IdP) からのサインオンの開始

適用先: Enterprise Edition と Standard Edition

対象者: システム管理者

注記

IAM ID フェデレーションは、ID プロバイダーグループと Amazon QuickSight の同期をサポートしていません。

このシナリオでは、ユーザーは ID プロバイダーのポータルからサインオンプロセスを開始します。ユーザーが認証されると、ユーザーは QuickSight にサインインします。QuickSight がユーザー認証をチェックした後、ユーザーは QuickSight にアクセスできます。

ユーザーが IdP にサインインしてから、認証で次のステップを実行します。

ユーザーは https://applications.example.com をブラウジングし、IdP にサインオンします。この時点では、ユーザーはサービスプロバイダーにサインインしていません。
フェデレーションサービスと IdP がユーザーを認証します。
1. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。
2. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。
3. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。
ユーザーが QuickSight を開きます。
1. ユーザーのブラウザが AWS サインインの SAML エンドポイント (https://signin.aws.amazon.com/saml) に SAML アサーションを送信します。
2. AWS サインインが SAML リクエストを受け取り、そのリクエストを処理してユーザー認証を行います、さらに、認証トークンを Amazon QuickSight サービスに転送します。
Amazon QuickSight が AWS から認証トークンを受け取り、QuickSight をユーザーに提供します。

ユーザーの立場では、このプロセスを意識することはありません。組織の社内向けポータルから入ったユーザーは、AWS 認証情報を求められることなく、Amazon QuickSight アプリケーションポータルにアクセスできます。

以下の図は、Amazon QuickSight とサードパーティー ID プロバイダー (IdP) との間の認証フローを示しています。この例では、管理者が Amazon QuickSight へアクセスするためのサインインページ (applications.example.com) をセットアップしています。ユーザーがサインインすると、サインインページは、SAML 2.0 に準拠したフェデレーションサービスにリクエストを投稿します。エンドユーザーは IdP のサインオンページから認証を開始します。

Amazon QuickSight SAML の図表この図には、2 つの囲みがあります。1 つ目の囲みは、エンタープライズ内の認証プロセスを示しています。2 つ目の囲みは、AWS 内の認証を示しています。プロセスについては、このテーブルに続くテキストで説明しています。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

IAM フェデレーション

IdP のセットアップ