As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando a sincronização de e-mail para usuários federados no Quick Suite
| Aplica-se a: Enterprise Edition |
| Público-alvo: administradores de sistemas e administradores do Amazon Quick Suite |
nota
A federação de identidade do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick Suite.
Na edição Amazon Quick Suite Enterprise, como administrador, você pode impedir que novos usuários usem endereços de e-mail pessoais ao provisionar por meio de seu provedor de identidade (IdP) diretamente para o Quick Suite. Em seguida, o Quick Suite usa os endereços de e-mail pré-configurados passados pelo IdP ao provisionar novos usuários para sua conta. Por exemplo, você pode fazer com que somente endereços de e-mail atribuídos pela empresa sejam usados quando os usuários forem provisionados para sua conta do Amazon Quick Suite por meio do seu IdP.
nota
Certifique-se de que seus usuários estejam se federando diretamente para o Amazon Quick Suite por meio de seu IdP. Federar para o Console de gerenciamento da AWS por meio de seu IdP e depois clicar no Amazon Quick Suite resulta em um erro e eles não poderão acessar o Amazon Quick Suite.
Quando você configura a sincronização de e-mail para usuários federados no Amazon Quick Suite, os usuários que fazem login na sua conta do Amazon Quick Suite pela primeira vez têm endereços de e-mail pré-atribuídos. Eles são usados para registrar as contas desses usuários. Com essa abordagem, os usuários podem ignorar manualmente inserindo um endereço de e-mail. Além disso, os usuários não podem usar um endereço de e-mail que possa ser diferente do prescrito por você, o administrador.
O Amazon Quick Suite oferece suporte ao provisionamento por meio de um IdP compatível com a autenticação SAML ou OpenID Connect (OIDC). Para configurar endereços de e-mail para novos usuários ao provisionar por meio de um IdP, você atualiza a relação de confiança do perfil do IAM que eles usam com AssumeRoleWithSAML ou AssumeRoleWithWebIdentity. Em seguida, você adiciona um atributo SAML ou token OIDC em seu IdP. Por último, você ativa a sincronização de e-mail para usuários federados no Amazon Quick Suite.
Os procedimentos a seguir descrevem essas etapas em detalhes.
Etapa 1: atualizar a relação de confiança do perfil do IAM com AssumeRoleWithSAML ou AssumeRoleWithWebIdentity
Você pode configurar endereços de e-mail para seus usuários usarem ao provisionar por meio do seu IdP para o Amazon Quick Suite. Para isso, adicione a ação sts:TagSession à relação de confiança do perfil do IAM usado com AssumeRoleWithSAML ouAssumeRoleWithWebIdentity. Ao fazer isso, você pode transferir tags de principal quando os usuários assumirem o perfil.
O exemplo a seguir ilustra um perfil do IAM atualizado em que o IdP é o Okta. Para usar esse exemplo, atualize o Nome do recurso da Amazon (ARN) Federated com o ARN do seu provedor de serviços. Você pode substituir itens em vermelho por suas informações específicas do serviço AWS e do IdP.
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } }, { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::account-id:saml-provider/Okta" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/Email": "*" } } } ] }
Etapa 2: adicionar um atributo SAML ou token OIDC para a tag da entidade principal do IAM no seu IdP
Depois de atualizar a relação de confiança do perfil do IAM, conforme descrito na seção anterior, adicione um atributo SAML ou token OIDC para a tag Principal do IAM no seu IdP.
Os exemplos a seguir ilustram um atributo SAML e um token OIDC. Para usar esses exemplos, substitua o endereço de e-mail por uma variável no seu IdP que aponte para o endereço de e-mail de um usuário. Você pode substituir os itens destacados em vermelho pelas suas informações.
-
Atributo SAML: o exemplo a seguir ilustra um atributo SAML.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>nota
Se você estiver usando o Okta como seu IdP, certifique-se de ativar um sinalizador de recurso na sua conta de usuário do Okta para usar o SAML. Para obter mais informações, consulte Okta e AWS parceria para simplificar o acesso por meio de tags de sessão
no blog da Okta. -
Token OIDC: a seguir, ilustramos um exemplo de token OIDC.
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
Etapa 3: ativar a sincronização de e-mail para usuários federados no Amazon Quick Suite
Conforme descrito anteriormente, atualize a relação de confiança do perfil do IAM e adicione um atributo SAML ou token OIDC para a tag Principal do IAM no seu IdP. Em seguida, ative a sincronização de e-mail para usuários federados no Amazon Quick Suite, conforme descrito no procedimento a seguir.
Para ativar a sincronização de e-mail para usuários federados
-
Em qualquer página do Amazon Quick Suite, escolha seu nome de usuário no canto superior direito e escolha Gerenciar Amazon Quick Suite.
-
Escolha Logon único (federação do IAM) no menu à esquerda.
-
Na página Federação do IAM iniciada pelo provedor de serviços, em Sincronização de e-mail para usuários federados, escolha ATIVADO.
Quando a sincronização de e-mail para usuários federados está ativada, o Amazon Quick Suite usa os endereços de e-mail que você configurou nas etapas 1 e 2 ao provisionar novos usuários para sua conta. Os usuários não podem inserir seus próprios endereços de e-mail.
Quando a sincronização de e-mail para usuários federados está desativada, o Amazon Quick Suite solicita que os usuários insiram seu endereço de e-mail manualmente ao provisionar novos usuários para sua conta. Eles podem usar qualquer endereço de e-mail que quiserem.
