在 Amazon QuickSight 中为联合用户配置电子邮件同步 - Amazon QuickSight
步骤 1:更新 IAM 角色的信任关系步骤 2:添加 SAML 属性或 OIDC 令牌步骤 3:开启电子邮件同步功能

在 Amazon QuickSight 中为联合用户配置电子邮件同步

 适用于:企业版 
   目标受众:系统管理员和 Amazon QuickSight 管理员 
注意

IAM 身份联合验证不支持将身份提供者组与 Amazon QuickSight 同步。

在 Amazon QuickSight 企业版中,作为管理员,您可以限制新用户在通过身份提供者(IdP)直接向 QuickSight 预置时使用个人电子邮件地址。然后,QuickSight 使用通过 IdP 传递的预置电子邮件地址,为您的账户预置新用户。例如,当用户通过您的 IdP 预置到您的 QuickSight 账户时,您可以仅使用公司分配的电子邮件地址。

注意

确保您的用户通过其 IdP 直接与 QuickSight 联合。通过其 IdP 与 AWS Management Console 联合,然后点击进入 QuickSight 会导致错误,他们将无法访问 QuickSight。

在 QuickSight 中为联合用户配置电子邮件同步时,会预先向首次登录您 QuickSight 账户的用户分配电子邮件地址。这些用于注册他们的账户。使用这种方法,用户可以通过输入电子邮件地址来手动绕过。此外,用户不能使用可能与您(管理员)规定的电子邮件地址不同的电子邮件地址。

QuickSight 支持通过支持 SAML 或 OpenID Connect(OIDC)身份验证的 IdP 进行预置。要在通过 IdP 预置时为新用户配置电子邮件地址,请更新他们与 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 一起使用的 IAM 角色的信任关系。然后在其 IdP 中添加 SAML 属性或 OIDC 令牌。最后,在 QuickSight 中为联合用户开启电子邮件同步功能。

以下过程将详细介绍这些步骤。

步骤 1:使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任关系

您可以配置电子邮件地址供用户在通过 IdP 预置到 QuickSight 时使用。为此,将 sts:TagSession 操作添加到与 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 一起使用的 IAM 角色的信任关系中。这样,您可以在用户代入角色时传入 principal 标签。

以下示例说明了 IdP 为 Okta 时更新后的 IAM 角色。要使用此示例,将 Federated Amazon 资源名称(ARN)更新为您服务提供商的 ARN。您可以将红色项目替换为您的 AWS 和 IdP 服务特定信息。

步骤 2:在 IdP 中为 IAM 主体标签添加 SAML 属性或 OIDC 令牌

按照上一节所述更新 IAM 角色的信任关系后,在您的 IdP 中为 IAM Principal 标签添加 SAML 属性或 OIDC 令牌。

以下示例说明了 SAML 属性和 OIDC 令牌。要使用这些示例,将电子邮件地址替换为 IdP 中指向用户电子邮件地址的变量。您可以用您的信息替换以红色突出显示的项目。

  • SAML 属性:以下示例说明了 SAML 属性。

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    注意

    如果您使用 Okta 作为 IdP,请务必在您的 Okta 用户账户中开启功能标记,以使用 SAML。有关更多信息,请参阅 Okta 博客上的 Okta and AWS Partner to Simplify Access Via Session Tags

  • OIDC 令牌:以下示例说明了 OIDC 令牌示例。

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

步骤 3:在 QuickSight 中为联合用户开启电子邮件同步功能。

如前所述,更新 IAM 角色的信任关系,并在您的 IdP 中为 IAM Principal 标签添加 SAML 属性或 OIDC 令牌。然后在 QuickSight 中为联合用户开启电子邮件同步功能,如以下过程所述。

为联合用户开启电子邮件同步功能

  1. 从 QuickSight 的任何页面,在右上角选择您的用户名,然后选择管理 QuickSight

  2. 在左侧菜单中选择单点登录(IAM 联合身份验证)

  3. 服务提供商发起的 IAM 联合身份验证页面上,对于联合用户的电子邮件同步,选择打开

    当联合用户的电子邮件同步功能开启时,QuickSight 将使用您在步骤 1 和步骤 2 中配置的电子邮件地址向您的账户预置新用户。用户无法输入自己的电子邮件地址。

    当联合用户的电子邮件同步功能关闭时,QuickSight 将让用户手动输入他们的电子邮件地址,向您的账户预置新用户。他们可以使用他们想要的任何电子邮件地址。