使用 Amazon QuickSight 企业版设置服务提供商启动的联合身份验证
| 适用于:企业版 |
| 目标受众:系统管理员 |
注意
IAM 身份联合验证不支持将身份提供者组与 Amazon QuickSight 同步。
使用 AWS Identity and Access Management(IAM)配置身份提供者后,您可以通过 Amazon QuickSight 企业版设置由服务提供商启动的登录。要让 QuickSight 启动的 IAM 联合身份验证正常运行,您需要授权 QuickSight 向您的 IdP 发送身份验证请求。QuickSight 管理员可以通过添加 IdP 提供的以下信息来对其进行配置:
-
IdP URL – QuickSight 将用户重定向到此 URL 进行身份验证。
-
中继状态参数 – 此参数可中继浏览器会话被重定向以进行身份验证时所处的状态。身份验证后,IdP 会将用户重定向回原始状态。状态以 URL 的形式提供。
下表列出了标准身份验证 URL 和中继状态参数,该参数用于将用户重定向到您提供的 Amazon QuickSight URL。
| 身份提供者 | 参数 | 身份验证 URL |
|---|---|---|
|
Auth0 |
|
|
|
Google 账户 |
|
|
|
Microsoft Azure |
|
|
|
Okta |
|
|
|
PingFederate |
|
|
|
PingOne |
|
|
QuickSight 支持每个 AWS 账户 连接一个 IdP。QuickSight 中的配置页面根据您输入的内容为您提供测试 URL,因此您可以在开启该功能之前测试设置。为了使流程更加顺畅,QuickSight 提供了一个参数 (enable-sso=0),用于暂时关闭 QuickSight 启动的 IAM 联合身份验证,以防您需要暂时将其禁用。
将 QuickSight 设置为可以为现有 IdP 启动 IAM 联合身份验证的服务提供商
-
确保您已在您的 IdP、IAM 和 QuickSight 中设置了 IAM 联合身份验证。要测试此设置,请检查您是否可以与公司域中的其他人共享控制面板。
-
打开 QuickSight,然后从右上角的配置文件菜单中选择管理 QuickSight。
要执行此流程,您需要成为 QuickSight 管理员。如果不是,则无法在配置文件菜单下方看到管理 QuickSight。
-
从导航窗格中选择单点登录(IAM 联合身份验证)。
-
在配置、IdP URL 中,输入您的 IdP 提供的用于对用户进行身份验证的 URL。
-
例如,对于 IdP URL,输入您的 IdP 提供的用于中继状态的参数,例如
RelayState。参数的实际名称由您的 IdP 提供。 -
测试登录:
-
要使用您的身份提供者测试登录,请使用使用您的 IdP 开始测试中提供的自定义 URL。您应该来到 QuickSight 的起始页,例如 https://quicksight.aws.amazon.com/sn/start。
-
要先使用 QuickSight 测试登录,请使用测试端到端体验中提供的自定义 URL。该
enable-sso参数将附加到 URL 中。如果是enable-sso=1,IAM 联合身份验证会尝试进行身份验证。
-
-
选择保存,保存您的设置。
启用服务提供商发起的 IAM 联合身份验证 IdP
-
确保您的 IAM 联合身份验证设置已配置且经过测试。如果您不确定配置,请使用前面步骤中的 URL 测试连接。
-
打开 QuickSight,然后从配置文件菜单中选择管理 QuickSight。
-
从导航窗格中选择单点登录(IAM 联合身份验证)。
-
对于状态,请选择开启。
-
断开与 IdP 的连接并打开 QuickSight,验证它是否正常工作。
禁用服务提供商发起的 IAM 联合身份验证
-
打开 QuickSight,然后从配置文件菜单中选择管理 QuickSight。
-
从导航窗格中选择单点登录(IAM 联合身份验证)。
-
对于状态,请选择禁用。
