Iniciar logon pelo provedor de identidades (IdP) - Amazon QuickSight

Iniciar logon pelo provedor de identidades (IdP)

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: administradores de sistemas 
nota

A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidades com o Amazon QuickSight.

Nesse cenário, seus usuários iniciam o processo de logon no portal do provedor de identidades. Depois que os usuários são autenticados, eles entram no QuickSight. Após o QuickSight verificar se estão autorizados, seus usuários podem acessar o QuickSight.

Começando com o acesso de um usuário no IdP, a autenticação passa pelas seguintes etapas:

  1. O usuário navega por https://applications.example.com e se conecta ao IdP. Nesse momento, o usuário não está conectado ao provedor de serviços.

  2. O serviço de federação e o IdP autenticam o usuário:

    1. O serviço de federação solicita autenticação do armazenamento de identidades da organização.

    2. O armazenamento de identidades autentica o usuário e retorna a resposta de autenticação ao serviço de federação.

    3. Quando a autenticação é bem-sucedida, o serviço de federação publica a declaração SAML para o navegador do usuário.

  3. O usuário abre o QuickSight:

    1. O navegador do usuário publica a declaração SAML no endpoint de login da AWS para SAML (https://signin.aws.amazon.com/saml).

    2. A página de login da AWS recebe a declaração SAML, processa a solicitação, autentica o usuário e encaminha o token de autenticação para o serviço do Amazon QuickSight.

  4. O Amazon QuickSight aceita o token de autenticação da AWS e apresenta o QuickSight ao usuário.

Da perspectiva do usuário, o processo acontece de forma transparente. O usuário inicia no portal interno da sua organização e aterrissa em um portal de aplicações do Amazon QuickSight, sem precisar fornecer nenhuma credencial da AWS.

No diagrama a seguir, você encontra um fluxo de autenticação entre o Amazon QuickSight e um provedor de identidades (IdP) de terceiros. Nesse exemplo, o administrador configurou uma página de login para acessar o Amazon QuickSight, chamada applications.example.com. Quando um usuário faz login, a página de login publica uma solicitação em um serviço de federação que está em conformidade com SAML 2.0. O usuário final inicia a autenticação na página de login do IdP.

Diagrama SAML do Amazon QuickSight. O diagrama contém duas caixas. A primeira descreve um processo de autenticação dentro da empresa. A segunda descreve como funciona a autenticação na AWS. O processo é descrito no texto seguinte à tabela.