Pré-requisitos Etapa 1: criar um provedor SAML na AWS Etapa 2: configurar permissões na AWS para os usuários federados Etapa 3: configurar o IdP SAML Etapa 4: criar declarações para a resposta de autenticação de SAML Etapa 5: configurar o estado de retransmissão da federação

Configurar a federação de IdP usando o IAM e o QuickSight

Aplica-se a: Enterprise Edition e Standard Edition

Público-alvo: administradores de sistemas

nota

A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidades com o Amazon QuickSight.

Use uma função do AWS Identity and Access Management (IAM) e um URL do estado de retransmissão para configurar um provedor de identidades (IdP), que seja compatível com SAML 2.0. O perfil concede permissões aos usuários para acessar o Amazon QuickSight. O estado de retransmissão corresponde ao portal para o qual o usuário é redirecionado após a autenticação com êxito pela AWS.

Tópicos

Pré-requisitos
Etapa 1: criar um provedor SAML na AWS
Etapa 2: configurar permissões na AWS para os usuários federados
Etapa 3: configurar o IdP SAML
Etapa 4: criar declarações para a resposta de autenticação de SAML
Etapa 5: configurar o estado de retransmissão da federação

Pré-requisitos

Antes de configurar a conexão com o SAML 2.0, faça o seguinte:

Configure seu IdP para estabelecer uma relação de confiança com a AWS:
- Na rede de sua organização, configure o armazenamento de identidades, como o Windows Active Directory, para trabalhar com um IdP com base no SAML. Os IdPs baseados em SAML incluem os Serviços de Federação do Active Directory, o Shibboleth etc.
- Usando seu IdP, gerencie o documento de metadados que descreve sua empresa como um provedor de identidades.
- Configure a autenticação SAML 2.0 usando as mesmas etapas do AWS Management Console. Quando esse processo for concluído, você pode configurar seu estado de retransmissão para que corresponda ao estado de retransmissão do Amazon QuickSight (consulte ). Para obter mais informações, consulte Etapa 5: configurar o estado de retransmissão da federação.
Crie uma conta do Amazon QuickSight e anote o nome que será usado ao configurar sua política do IAM e o IdP. Para obter mais informações sobre como criar uma conta do Amazon QuickSight, consulte Inscrição para uma assinatura do Amazon QuickSight.

Após criar a configuração para federar ao AWS Management Console, conforme descrito no tutorial, será possível editar o estado de retransmissão fornecido no tutorial. Faça isso com o estado de retransmissão do Amazon QuickSight, descrito na etapa 5 a seguir.

Para obter mais informações, consulte os seguintes recursos:

Integrating Third-Party SAML Solution Providers with AWS no Guia do usuário do IAM.
Troubleshooting SAML 2.0 federation with AWS, também no Guia do usuário do IAM.
Setting up trust between ADFS and AWS and using Active Directory credentials to connect to Amazon Athena with ODBC driver: esse artigo passo a passo é útil, embora você não precise configurar o Athena para usar o QuickSight.

Etapa 1: criar um provedor SAML na AWS

O provedor de identidade do protocolo SAML define o IdP da sua organização para a AWS. Ele faz isso usando o documento de metadados que você gerou anteriormente usando seu IdP.

Para criar um provedor SAML na AWS

Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.
Crie um novo provedor SAML, que é uma entidade no IAM que mantém informações sobre o provedor de identidades da sua organização. Para obter mais informações, consulte Criar provedores de identidade SAML no Manual do usuário do IAM.
Como parte do processo, carregue o documento de metadados produzido pelo software de IdP em sua empresa mencionado na seção anterior.

Etapa 2: configurar permissões na AWS para os usuários federados

Em seguida, crie um perfil do IAM que estabeleça uma relação de confiança entre o IAM e o IdP da sua organização. Essa função identifica o IdP como uma entidade de segurança (entidade confiável) para fins de federação. O perfil também define quais usuários autenticados pelo IdP da sua organização têm permissão para acessar o Amazon QuickSight. Para obter mais informações sobre como criar um perfil para um IdP SAML, consulte Criar um perfil para uma federação do SAML 2.0 no Guia do usuário do IAM.

Depois de criar o perfil, você poderá limitá-lo para que tenha permissões somente para o Amazon QuickSight anexando uma política em linha ao perfil. O documento de política exemplificado a seguir fornece acesso ao Amazon QuickSight. Essa política permite que o usuário acesse o Amazon QuickSight e crie contas de autor e contas de leitor.

nota

No exemplo a seguir, substitua <YOUR_AWS_ACCOUNT_ID> por seu ID da Conta da AWS com 12 dígitos (sem hifens ‘‐’).

Se desejar fornecer acesso ao Amazon QuickSight e a capacidade de criar administradores, autores (usuários padrão) e leitores do Amazon QuickSight, use o exemplo de política a seguir.

Você pode visualizar os detalhes da conta no AWS Management Console.

Depois de configurar o SAML e as políticas ou política do IAM, não é necessário convidar manualmente os usuários. Na primeira vez em que os usuários abrirem o Amazon QuickSight, eles serão provisionados automaticamente, usando as permissões de nível mais alto na política. Por exemplo, se tiverem permissões para quicksight:CreateUser e quicksight:CreateReader, serão provisionados como autores. Se também tiverem permissões para quicksight:CreateAdmin, serão provisionados como administradores. Cada nível de permissão inclui a capacidade de criar o mesmo nível de usuário e abaixo. Por exemplo, um autor pode adicionar autores ou leitores.

Os usuários convidados manualmente são criados na função atribuída pela pessoa que os convidou. Eles não precisam ter políticas que concedam permissões a eles.

Etapa 3: configurar o IdP SAML

Depois de criar a função do IAM, atualize o IdP do SAML sobre a AWS como um provedor de serviços. Para isso, instale o arquivo saml-metadata.xml, encontrado em https://signin.aws.amazon.com/static/saml-metadata.xml.

Para atualizar os metadados do IdP, consulte as instruções fornecidas por seu IdP. Alguns provedores fornecem a opção de digitar a URL, depois do que o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local.

Para obter mais informações, consulte a documentação de seu IdP.

Etapa 4: criar declarações para a resposta de autenticação de SAML

Em seguida, configure as informações que o IdP fornece como atributos de SAML para a AWS como parte da resposta de autenticação. Para obter mais informações, consulte Configurando declarações de SAML para a resposta de autenticação no Manual do usuário do IAM.

Etapa 5: configurar o estado de retransmissão da federação

Enfim, configure o estado de retransmissão da sua federação de modo que aponte para o URL do estado de retransmissão do QuickSight. Após a autenticação com êxito por parte da AWS, o usuário é direcionado para o Amazon QuickSight, definido como o estado de retransmissão na resposta de autenticação do protocolo SAML.

O URL do estado de retransmissão do Amazon QuickSight é mencionado a seguir.


https://quicksight.aws.amazon.com

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

IdP para o QuickSight

QuickSight para IdP