Etapa 1: atualizar a relação de confiança do perfil do IAM Etapa 2: adicionar um atributo SAML ou token OIDC Etapa 3: ativar a sincronização de e-mail

Configurar a sincronização de e-mail para usuários federados no Amazon QuickSight

Aplica-se a: Enterprise Edition

Público-alvo: administradores de sistemas e administradores do Amazon QuickSight

nota

A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidades com o Amazon QuickSight.

No Amazon QuickSight Enterprise Edition, como administrador, você pode impedir que novos usuários usem endereços de e-mail pessoais ao provisionar por meio do provedor de identidades (IdP) diretamente para o QuickSight. Assim, o QuickSight usa os endereços de e-mail pré-configurados transferidos por meio do IdP ao provisionar novos usuários para a sua conta. Por exemplo, você pode fazer com que somente endereços de e-mail atribuídos pela empresa sejam usados quando os usuários forem provisionados para a sua conta do QuickSight por meio do seu IdP.

nota

Certifique-se de que seus usuários estejam se federando diretamente ao QuickSight por meio do IdP. Fazer a federação ao AWS Management Console por meio do IdP e clicar no QuickSight resulta em um erro e eles não conseguirão acessar o QuickSight.

Quando você configura a sincronização de e-mail para usuários federados no QuickSight, os usuários que fazem login na sua conta do QuickSight pela primeira vez têm endereços de e-mail previamente atribuídos. Eles são usados para registrar as contas desses usuários. Com essa abordagem, os usuários podem ignorar manualmente inserindo um endereço de e-mail. Além disso, os usuários não podem usar um endereço de e-mail que possa ser diferente do prescrito por você, o administrador.

O QuickSight oferece suporte ao provisionamento por meio de um IdP compatível com a autenticação SAML ou OpenID Connect (OIDC). Para configurar endereços de e-mail para novos usuários ao provisionar por meio de um IdP, você atualiza a relação de confiança do perfil do IAM que eles usam com AssumeRoleWithSAML ou AssumeRoleWithWebIdentity. Em seguida, você adiciona um atributo SAML ou token OIDC em seu IdP. Por último, você ativa a sincronização de e-mail para usuários federados no QuickSight.

Os procedimentos a seguir descrevem essas etapas em detalhes.

Etapa 1: atualizar a relação de confiança do perfil do IAM com AssumeRoleWithSAML ou AssumeRoleWithWebIdentity

Você pode configurar endereços de e-mail para seus usuários utilizarem ao provisionar por meio do seu IdP para o QuickSight. Para isso, adicione a ação sts:TagSession à relação de confiança do perfil do IAM usado com AssumeRoleWithSAML ouAssumeRoleWithWebIdentity. Ao fazer isso, você pode transferir tags de principal quando os usuários assumirem o perfil.

O exemplo a seguir ilustra um perfil do IAM atualizado em que o IdP é o Okta. Para usar esse exemplo, atualize o Nome do recurso da Amazon (ARN) Federated com o ARN do seu provedor de serviços. Você pode substituir itens em vermelho por suas informações específicas do serviço da AWS e do IdP.

Etapa 2: adicionar um atributo SAML ou token OIDC para a tag da entidade principal do IAM no seu IdP

Depois de atualizar a relação de confiança do perfil do IAM, conforme descrito na seção anterior, adicione um atributo SAML ou token OIDC para a tag Principal do IAM no seu IdP.

Os exemplos a seguir ilustram um atributo SAML e um token OIDC. Para usar esses exemplos, substitua o endereço de e-mail por uma variável no seu IdP que aponte para o endereço de e-mail de um usuário. Você pode substituir os itens destacados em vermelho pelas suas informações.

Atributo SAML: o exemplo a seguir ilustra um atributo SAML.
```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
```
nota
Se você estiver usando o Okta como seu IdP, certifique-se de ativar um sinalizador de recurso na sua conta de usuário do Okta para usar o SAML. Para obter mais informações, consulte Okta and AWS Partner to Simplify Access Via Session Tags no blog do Okta.

Token OIDC: a seguir, ilustramos um exemplo de token OIDC.


"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

Etapa 3: ativar a sincronização de e-mail para usuários federados no QuickSight

Conforme descrito anteriormente, atualize a relação de confiança do perfil do IAM e adicione um atributo SAML ou token OIDC para a tag Principal do IAM no seu IdP. Em seguida, ative a sincronização de e-mail para usuários federados no QuickSight, conforme descrito no procedimento a seguir.

Para ativar a sincronização de e-mail para usuários federados

Em qualquer página do QuickSight, escolha seu nome de usuário no canto superior direito e selecione Gerenciar QuickSight.
Escolha Logon único (federação do IAM) no menu à esquerda.
Na página Federação do IAM iniciada pelo provedor de serviços, em Sincronização de e-mail para usuários federados, escolha ATIVADO.

Quando a sincronização de e-mail para usuários federados está ativada, o QuickSight usa os endereços de e-mail configurados nas etapas 1 e 2 ao provisionar novos usuários para a sua conta. Os usuários não podem inserir seus próprios endereços de e-mail.

Quando a sincronização de e-mail para usuários federados está desativada, o QuickSight solicita que os usuários insiram seus endereços de e-mail manualmente ao provisionar novos usuários para sua conta. Eles podem usar qualquer endereço de e-mail que quiserem.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Tutorial: federação de identidades do QuickSight e do IAM

Microsoft Active Directory (EE)