Tutorial: Amazon Quick Suite e federação de identidade do IAM - Amazon Quick Suite

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial: Amazon Quick Suite e federação de identidade do IAM

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: administradores do Amazon Quick Suite e desenvolvedores do Amazon Quick Suite 
nota

A federação de identidade do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick Suite.

No tutorial a seguir, você pode encontrar um passo a passo para configurar o IdP Okta como um serviço de federação para o Amazon Quick Suite. Embora este tutorial mostre a integração do AWS Identity and Access Management (IAM) e do Okta, você também pode replicar essa solução usando o SAML 2.0 de sua escolha. IdPs

No procedimento a seguir, você cria um aplicativo no Okta IdP usando o atalho “Federação de contas AWS ”. O Okta descreve esse aplicativo de integração da seguinte forma:

“Ao federar o Okta às contas do Amazon Web Services (AWS) Identity and Access Management (IAM), os usuários finais obtêm acesso de login único a todas as funções atribuídas com suas credenciais Okta. AWS Em cada uma delas Conta da AWS, os administradores configuram a federação e configuram AWS funções para confiar no Okta. Quando os usuários fazem login AWS, eles obtêm a experiência de login único do Okta para ver as funções atribuídas. AWS Em seguida, eles podem selecionar um perfil desejado, que definiu suas permissões durante a sessão autenticada. Clientes com um grande número de AWS contas, confira o aplicativo AWS Single Sign-On como alternativa.” (https://www.okta.com/aws/)

Para criar um aplicativo Okta usando o atalho do aplicativo “Federação de AWS contas” do Okta

  1. Faça login no painel do Okta. Se você não tiver uma, crie uma conta gratuita do Okta Developer Edition usando este URL da marca Amazon Quick Suite. Depois de ativar seu e-mail, faça login no Okta.

  2. No site do Okta, escolha <> Developer Console no canto superior esquerdo e selecione Classic UI.

  3. Escolha Add Applications e Add app.

  4. Insira aws em Search e escolha AWS Account Federation nos resultados da pesquisa.

  5. Escolha Add para criar uma instância dessa aplicação.

  6. Em Application label, insira AWS Account Federation - Amazon Quick Suite.

  7. Escolha Próximo.

  8. Em SAML 2.0, Default Relay State, insira https://quicksight.aws.amazon.com.

  9. Abra o menu de contexto (clique com o botão direito do mouse) em Identity Provider metadata e escolha salvar o arquivo. Nomeie o arquivo metadata.xml. Você precisará dele para o próximo procedimento.

    O conteúdo do arquivo é semelhante ao seguinte:

    <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

  10. Depois de salvar o arquivo XML, vá até o final da página do Okta e escolha Done.

  11. Mantenha essa janela do navegador aberta, se possível. Você precisará dela posteriormente no tutorial.

Em seguida, você criará um provedor de identidades na sua Conta da AWS.

Para criar um provedor SAML no AWS Identity and Access Management (IAM)

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Provedores de identidades, Criar provedor.

  3. Insira as seguintes configurações:

    • Tipo de provedor: escolha SAML na lista.

    • Nome do provedor: insira Okta.

    • Documento de metadados: carregue o arquivo XML manifest.xml do procedimento anterior.

  4. Escolha Próximo passo, Criar.

  5. Localize o IdP que você criou e selecione-o para visualizar as configurações. Anote o ARN do provedor. Você precisa disso para concluir o tutorial.

  6. Verifique se o provedor de identidades foi criado com suas configurações. No IAM, escolha Provedores de identidades, Okta (o IdP que você adicionou), Baixar metadados. O arquivo deve ser o que você carregou recentemente.

Em seguida, você cria uma função do IAM para permitir que a federação SAML 2.0 atue como uma entidade confiável em seu Conta da AWS. Para esta etapa, você precisa escolher como deseja provisionar usuários no Amazon Amazon Quick Suite. Você pode executar uma das seguintes ações:

  • Conceda permissão à função do IAM para que visitantes iniciantes se tornem usuários do Amazon Quick Suite automaticamente.

Para criar um perfil do IAM para uma federação SAML 2.0 como uma entidade confiável

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Funções e Criar função.

  3. Em Selecionar tipo de entidade confiável, escolha o cartão rotulado como Federação SAML 2.0.

  4. Em Provedor SAML, selecione o IdP criado no procedimento anterior, por exemplo, Okta.

  5. Habilite a opção Permitir acesso programático e ao Console de Gerenciamento da AWS .

  6. Escolha Próximo: Permissões.

  7. Cole a política a seguir no editor.

    No editor da política, atualize o JSON com o nome do recurso da Amazon (ARN) do seu provedor. 

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

  8. Selecione Revisar política.

  9. Em Nome, insira e QuicksightOktaFederatedPolicy e selecione Create policy (Criar política).

  10. Escolha Criar política, JSON pela segunda vez.

  11. Cole a política a seguir no editor.

    No editor de políticas, atualize o JSON com seu Conta da AWS ID. Deve ser o mesmo ID de conta que você usou na política anterior no ARN do provedor.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

    Você pode omitir o Região da AWS nome no ARN, conforme mostrado a seguir.

    arn:aws:quicksight::111111111111:user/$${aws:userid}

  12. Selecione Revisar política.

  13. Em Nome, insira e QuicksightCreateReader e selecione Create policy (Criar política).

  14. Atualize a lista de políticas escolhendo o ícone de atualização à direita.

  15. Em Pesquisar, insira QuicksightOktaFederatedPolicy. Escolha a política para habilitá-la ( ).

    Se você não quiser usar o provisionamento automático, ignore a etapa a seguir.

    Para adicionar um usuário do Amazon Quick Suite, use register-user. Para adicionar um grupo do Amazon Quick Suite, use create-group. Para adicionar usuários ao grupo Amazon Quick Suite, use create-group-membership.

  16. (Opcional) Em Pesquisar, insira QuicksightCreateReader. Escolha a política para habilitá-la ( ).

    Execute essa etapa se quiser provisionar usuários do Amazon Quick Suite automaticamente, em vez de usar a API do Amazon Quick Suite.

    A política QuicksightCreateReader ativa o provisionamento automático ao permitir o uso da ação quicksight:CreateReader. Isso concede aos assinantes do painel (nível de leitor) acesso aos usuários iniciantes. Posteriormente, um administrador do Amazon Quick Suite pode atualizá-los a partir do menu de perfil do Amazon Quick Suite, Gerenciar o Amazon Quick Suite, Gerenciar usuários.

  17. Para continuar anexando as políticas ou a política do IAM, escolha Próximo: tags.

  18. Escolha Próximo: revisar.

  19. Em Nome do perfil, insira QuicksightOktaFederatedRole e escolha Criar perfil.

  20. Verifique se você concluiu essa parte com êxito seguindo as seguintes etapas:

    1. Volte para a página principal do console do IAM em https://console.aws.amazon.com/iam/. Você pode usar o botão Voltar do seu navegador.

    2. Escolha Perfis.

    3. Em Pesquisar, insira Okta. QuicksightOktaFederatedRoleEscolha entre os resultados da pesquisa.

    4. Na página Resumo da política, examine a guia Permissões. Verifique se o perfil tem a política ou as políticas que você anexou a ele. Ele deve ter QuicksightOktaFederatedPolicy. Se você optou por adicionar a capacidade de criar usuários, também deve ter QuicksightCreateReader.

    5. Use o ícone para abrir cada política. Verifique se o texto corresponde ao que é mostrado neste procedimento. Verifique novamente se você adicionou seu próprio Conta da AWS número no lugar do número de conta de exemplo 111111111111.

    6. Na guia Relações de confiança, verifique se o campo Entidades confiáveis contém o ARN do provedor de identidades. Você pode verificar novamente o ARN no console do IAM abrindo Provedores de identidades, Okta.

Para criar uma chave de acesso para o Okta

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Adicione uma política que permita ao Okta exibir uma lista de perfis do IAM para o usuário. Para isso, escolha Política, Criar política.

  3. Escolha JSON e insira a política a seguir.

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

  4. Escolha Revisar política.

  5. Em Name (Nome), insira OktaListRolesPolicy. Selecione Criar política.

  6. Adicione um usuário para que você possa fornecer uma chave de acesso ao Okta.

    No painel de navegação, escolha Usuários, Adicionar usuário.

  7. Use as seguintes configurações:

    • Em Nome do usuário, digite OktaSSOUser.

    • Em Tipo de acesso, habilite Acesso programático.

  8. Escolha Próximo: Permissões.

  9. Escolha Anexar políticas existentes diretamente.

  10. Em PesquisarOktaListRolesPolicy, insira e escolha entre os resultados OktaListRolesPolicyda pesquisa.

  11. Escolha Próximo: tags e Próximo: revisar.

  12. Selecione Criar usuário. Agora você pode obter a chave de acesso.

  13. Baixe o arquivo de chaves selecionando Baixar .csv. O arquivo contém o mesmo ID da chave de acesso e a mesma chave de acesso secreta que são exibidas nessa tela. No entanto, como AWS não exibe essas informações pela segunda vez, certifique-se de baixar o arquivo.

  14. Verifique se você concluiu essa etapa corretamente seguindo os seguintes passos:

    1. Abra o console do IAM e escolha Usuários. Pesquise Okta SSOUser e abra-o escolhendo o nome de usuário nos resultados da pesquisa.

    2. Na guia Permissões, verifique se o OktaListRolesPolicyestá anexado.

    3. Use o ícone para abrir a política. Verifique se o texto corresponde ao que é mostrado neste procedimento.

    4. Na guia Credenciais de segurança, você pode verificar a chave de acesso, embora já a tenha baixado. Você pode voltar a essa guia para criar uma chave de acesso quando precisar de uma nova.

No procedimento a seguir, você retorna ao Okta para fornecer a chave de acesso. A chave de acesso funciona com suas novas configurações de segurança para permitir AWS e o Okta IdP para trabalhar em conjunto.

Para finalizar a configuração do aplicativo Okta com as configurações AWS

  1. Volte para o painel do Okta. Se solicitado, faça login. Se o console do desenvolvedor não estiver mais aberto, escolha Admin para reabri-lo.

  2. Se precisar reabrir o Okta, você pode retornar a esta seção seguindo as etapas a seguir:

    1. Faça login no Okta. Selecione Aplicações.

    2. Escolha Federação de AWS contas - Amazon Quick Suite — o aplicativo que você criou no início deste tutorial.

    3. Escolha a guia Sign On, entre General e Mobile.

  3. Role até Advanced Sign-On Settings.

  4. Em Identity Provider ARN (Required only for SAML IAM federation), insira o ARN do provedor do procedimento anterior, por exemplo: 

    arn:aws:iam::111122223333:saml-provider/Okta

  5. Escolha Done ou Save. O nome do botão varia se você estiver criando ou editando a aplicação.

  6. Escolha a guia Provisioning e, na parte inferior da guia, selecione Configure API Integration.

  7. Ative Enable API integration para exibir as configurações.

  8. Em Access Key e Secret Key, forneça a chave de acesso e a chave secreta que você baixou anteriormente em um arquivo chamado OktaSSOUser_credentials.csv.

  9. Escolha Test API Credentials. Veja acima da configuração Enable API integration para ver a mensagem de confirmação AWS Account Federation was verified successfully.

  10. Escolha Salvar.

  11. Certifique-se de que To App esteja destacado à esquerda e escolha Edit à direita.

  12. Em Create Users, ative a opção Enable.

  13. Escolha Salvar.

  14. Na guia Assignments, perto de Provisioning e Import, escolha Assign.

  15. Faça um ou mais dos seguintes procedimentos para habilitar o acesso federado:

    • Para trabalhar com usuários individuais, escolha Assign to People.

    • Para trabalhar com grupos do IAM, escolha Assign to Groups. Você pode escolher grupos específicos do IAM ou Everyone (All users in your organization).

  16. Para cada grupo ou usuário do IAM, faça o seguinte:

    1. Escolha Assign, Role.

    2. Selecione na QuicksightOktaFederatedRolelista de funções do IAM.

    3. Para funções de usuário do SAML, habilite QuicksightOktaFederatedRole.

  17. Escolha Save and Go Back e selecione Done.

  18. Certifique-se de que você concluiu essa etapa corretamente escolhendo o filtro People ou Groups à esquerda e verificando os usuários ou grupos inseridos. Se você não conseguir concluir esse processo porque o perfil criado não aparece na lista, retorne aos procedimentos anteriores para verificar as configurações.

Para fazer login no Amazon Quick Suite usando Okta (login de IdP para provedor de serviços)

  1. Se você estiver usando uma conta de administrador do Okta, mude para o modo de usuário.

  2. Entre no painel do Okta Applications com um usuário que tenha recebido acesso federado. Você deve ver um novo aplicativo com sua etiqueta, por exemplo, Federação de AWS contas - Amazon Quick Suite.

  3. Escolha o ícone do aplicativo para iniciar a Federação de AWS contas - Amazon Quick Suite.

Agora você pode gerenciar identidades usando o Okta e usar o acesso federado com o Quick Suite.

O procedimento a seguir é uma parte opcional deste tutorial. Se você seguir suas etapas, você autoriza o Amazon Quick Suite a encaminhar solicitações de autorização para o IdP em nome de seus usuários. Usando esse método, os usuários podem fazer login no Amazon Quick Suite sem precisar primeiro fazer login usando a página do IdP.

(Opcional) Para configurar o Amazon Quick Suite para enviar solicitações de autenticação para a Okta

  1. Abra o Amazon Quick Suite e escolha Gerenciar Amazon Quick Suite no menu do seu perfil.

  2. Selecione Logon único (federação do IAM) no painel de navegação.

  3. Em Configuração, URL do IdP, insira o URL que seu IdP fornece para autenticar usuários, por exemplo, https://dev - .okta. 1-----0 com/home/amazon_foi/0oabababababaGQei5d5/282. Você encontra isso na página do seu aplicativo do Okta, na guia General, em Embed Link.

  4. Para URL do IdP, insira RelayState.

  5. Execute um destes procedimentos:

    • Para testar primeiro o login com seu provedor de identidades, use o URL personalizado fornecido em Teste começando com seu IdP. Você deve acessar a página inicial do Amazon Quick Suite, por exemplo, https://quicksight.aws.amazon.com/sn/ começar.

    • Para testar primeiro o login com o Amazon Quick Suite, use o URL personalizado fornecido em Teste a end-to-end experiência. O parâmetro enable-sso é anexado ao URL. Se enable-sso=1, a federação do IAM tenta se autenticar. Seenable-sso=0, o Amazon Quick Suite não enviar a solicitação de autenticação e você fizer login no Amazon Quick Suite como antes.

  6. Em Status, escolha ATIVADO.

  7. Para salvar suas configurações, selecione Salvar.

Você pode criar um link direto para um painel do Amazon Quick Suite para permitir que os usuários usem a federação do IAM para se conectar diretamente a painéis específicos. Para isso, você anexa o sinalizador do estado de retransmissão e o URL do painel ao URL de logon único do Okta, conforme descrito a seguir.

Para criar um link direto para um painel do Amazon Quick Suite para login único

  1. Localize o URL de logon único (federação do IAM) da aplicação do Okta no arquivo metadata.xml que você baixou no início do tutorial. Você encontra o URL quase no fim do arquivo, no elemento chamado md:SingleSignOnService. O atributo chama-se Location e o valor termina com /sso/saml, como mostrado no exemplo a seguir.

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>

  2. Pegue o valor do URL da federação do IAM e acrescente ?RelayState= seguido pelo URL do seu painel do Amazon Quick Suite. O parâmetro RelayState retransmite o estado (o URL) em que o usuário estava quando foi redirecionado ao URL de autenticação.

  3. À nova federação do IAM com o estado de retransmissão adicionado, anexe a URL do painel do Amazon Quick Suite. O URL resultante deve ser semelhantes ao mostrado a seguir.

    https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

  4. Se o link criado não abrir, verifique se você está usando o URL da federação do IAM mais recente do metadata.xml. Verifique também se o nome de usuário que você usa para fazer login não está atribuído em mais de um aplicativo do Okta da federação do IAM.