As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurando a federação de IdP usando o IAM e o Amazon Quick
<a name="external-identity-providers-setting-up-saml"></a>


|  | 
| --- |
|    Aplica-se a: Enterprise Edition e Standard Edition  | 


|  | 
| --- |
|    Público-alvo: administradores de sistemas  | 

**nota**  
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.

Você pode usar uma função AWS Identity and Access Management (IAM) e uma URL de estado de retransmissão para configurar um provedor de identidade (IdP) compatível com o SAML 2.0. A função concede aos usuários permissões para acessar o Amazon Quick. O estado de retransmissão corresponde ao portal para o qual o usuário é redirecionado após a autenticação com êxito pela AWS.

**Topics**
+ [

## Pré-requisitos
](#external-identity-providers-setting-up-prerequisites)
+ [

## Etapa 1: criar um provedor SAML no AWS
](#external-identity-providers-create-saml-provider)
+ [

## Etapa 2: configurar permissões AWS para seus usuários federados
](#external-identity-providers-grantperms)
+ [

## Etapa 3: configurar o IdP SAML
](#external-identity-providers-config-idp)
+ [

## Etapa 4: criar declarações para a resposta de autenticação de SAML
](#external-identity-providers-create-assertions)
+ [

## Etapa 5: configurar o estado de retransmissão da federação
](#external-identity-providers-relay-state)

## Pré-requisitos
<a name="external-identity-providers-setting-up-prerequisites"></a>

Antes de configurar a conexão com o SAML 2.0, faça o seguinte:
+ Configure seu IdP para estabelecer uma relação de confiança com a AWS: 
  + Na rede de sua organização, configure o armazenamento de identidades, como o Windows Active Directory, para trabalhar com um IdP com base no SAML. IdPs Os baseados em SAML incluem os Serviços de Federação do Active Directory, Shibboleth e assim por diante.
  + Usando seu IdP, gerencie o documento de metadados que descreve sua empresa como um provedor de identidades.
  + Configure a autenticação SAML 2.0 usando as mesmas etapas do Console de gerenciamento da AWS. Quando esse processo estiver concluído, você poderá configurar seu estado de retransmissão para corresponder ao estado de retransmissão do Quick. Para obter mais informações, consulte [Configurar o estado de retransmissão da sua federação](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state).
+ Crie uma conta Amazon Quick e anote o nome a ser usado ao configurar sua política do IAM e o IdP. Para obter mais informações sobre a criação de uma conta Amazon Quick, consulte [Inscrever-se para uma assinatura do Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).

Depois de criar a configuração para federar de acordo com o Console de gerenciamento da AWS descrito no tutorial, você pode editar o estado de retransmissão fornecido no tutorial. Você faz isso com o estado de retransmissão do Amazon Quick, descrito na etapa 5 a seguir. 

Para saber mais, consulte os seguintes recursos:
+ [Integrating Third-Party SAML Solution Providers with AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/) no *Guia do usuário do IAM*.
+  [Solução de problemas da federação SAML 2.0 com AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html), também no *Guia do usuário do IAM*.
+ [Configurando a confiança entre o ADFS AWS e o uso das credenciais do Active Directory para se conectar ao Amazon Athena com o driver ODBC](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) — Este artigo passo a passo é útil, embora você não precise configurar o Athena para usar o Amazon Quick.

## Etapa 1: criar um provedor SAML no AWS
<a name="external-identity-providers-create-saml-provider"></a>

Seu provedor de identidade SAML define o AWS IdP da sua organização como. Ele faz isso usando o documento de metadados que você gerou anteriormente usando seu IdP. 

**Para criar um provedor SAML no AWS**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Crie um novo provedor SAML, que é uma entidade no IAM que mantém informações sobre o provedor de identidades da sua organização. Para obter mais informações, consulte [Criar provedores de identidade SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) no *Manual do usuário do IAM*. 

1. Como parte do processo, carregue o documento de metadados produzido pelo software de IdP em sua empresa mencionado na seção anterior. 

## Etapa 2: configurar permissões AWS para seus usuários federados
<a name="external-identity-providers-grantperms"></a>

Em seguida, crie um perfil do IAM que estabeleça uma relação de confiança entre o IAM e o IdP da sua organização. Essa função identifica o IdP como uma entidade de segurança (entidade confiável) para fins de federação. A função também define quais usuários autenticados pelo IdP da sua organização têm permissão para acessar o Amazon Quick. Para obter mais informações sobre como criar um perfil para um IdP SAML, consulte [Criar um perfil para uma federação do SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) no *Guia do usuário do IAM*.

Depois de criar a função, você pode limitar a função a ter permissões somente para o Amazon Quick anexando uma política embutida à função. O exemplo de documento de política a seguir fornece acesso ao Amazon Quick. Essa política permite que o usuário acesse o Amazon Quick e permite que ele crie contas de autor e contas de leitores.

**nota**  
No exemplo a seguir, *<YOUR\$1AWS\$1ACCOUNT\$1ID>* substitua por seu Conta da AWS ID de 12 dígitos (sem hífens '‐').

```
    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }
```

Se você quiser fornecer acesso ao Amazon Quick e também a capacidade de criar administradores, autores (usuários padrão) e leitores do Amazon Quick, você pode usar o exemplo de política a seguir. 

```
    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }
```

Você pode ver os detalhes da conta no Console de gerenciamento da AWS.

Depois de configurar o SAML e as políticas ou política do IAM, não é necessário convidar manualmente os usuários. Na primeira vez que os usuários abrem o Amazon Quick, eles são provisionados automaticamente, usando as permissões de mais alto nível na política. Por exemplo, se tiverem permissões para `quicksight:CreateUser` e `quicksight:CreateReader`, serão provisionados como autores. Se também tiverem permissões para `quicksight:CreateAdmin`, serão provisionados como administradores. Cada nível de permissão inclui a capacidade de criar o mesmo nível de usuário e abaixo. Por exemplo, um autor pode adicionar autores ou leitores. 

Os usuários convidados manualmente são criados na função atribuída pela pessoa que os convidou. Eles não precisam ter políticas que concedam permissões a eles.

## Etapa 3: configurar o IdP SAML
<a name="external-identity-providers-config-idp"></a>

Depois de criar a função do IAM, atualize seu SAML IdP AWS sobre como provedor de serviços. Para fazer isso, instale o `saml-metadata.xml` arquivo encontrado em [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml). 

Para atualizar os metadados do IdP, consulte as instruções fornecidas por seu IdP. Alguns provedores fornecem a opção de digitar a URL, depois do que o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local. 

Para obter mais informações, consulte a documentação de seu IdP. 

## Etapa 4: criar declarações para a resposta de autenticação de SAML
<a name="external-identity-providers-create-assertions"></a>

Em seguida, configure as informações para as quais o IdP passa como atributos SAML AWS como parte da resposta de autenticação. Para obter mais informações, consulte [Configurando declarações de SAML para a resposta de autenticação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) no *Manual do usuário do IAM*.

## Etapa 5: configurar o estado de retransmissão da federação
<a name="external-identity-providers-relay-state"></a>

Por fim, configure o estado de retransmissão da sua federação para apontar para a URL do estado de retransmissão do Amazon Quick. Após a autenticação bem-sucedida AWS, o usuário é direcionado para o Amazon Quick, definido como o estado de retransmissão na resposta de autenticação SAML.

A URL do estado de retransmissão do Amazon Quick é a seguinte.

```
https://quicksight.aws.amazon.com
```