在 Quick Suite 中为联合用户配置电子邮件同步 - Amazon Quick Suite
步骤 1:更新 IAM 角色的信任关系步骤 2:添加 SAML 属性或 OIDC 令牌步骤 3:开启电子邮件同步功能

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Quick Suite 中为联合用户配置电子邮件同步

 适用于:企业版 
   目标受众:系统管理员和 Amazon Quick Suite 管理员 
注意

IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick Suite 同步。

在 Amazon Quick Suite 企业版中,作为管理员,您可以限制新用户在通过身份提供商 (IdP) 直接向 Quick Suite 配置个人电子邮件地址时使用个人电子邮件地址。然后,Quick Suite 在为您的账户配置新用户时使用通过 IdP 传递的预配置电子邮件地址。例如,当用户通过您的 IdP 配置到您的 Amazon Quick Suite 账户时,您可以仅使用公司分配的电子邮件地址。

注意

确保您的用户通过其 IdP 直接与 Amazon Quick Suite 进行联合。 AWS 管理控制台 通过他们的 IdP 进行联合然后点击进入 Amazon Quick Suite 会导致错误,他们将无法访问 Amazon Quick Suite。

当您在 Amazon Quick Suite 中为联合用户配置电子邮件同步时,首次登录您的 Amazon Quick Suite 账户的用户会预先分配电子邮件地址。这些用于注册他们的账户。使用这种方法,用户可以通过输入电子邮件地址来手动绕过。此外,用户不能使用可能与您(管理员)规定的电子邮件地址不同的电子邮件地址。

Amazon Quick Suite 支持通过支持 SAML 或 OpenID Connect (OIDC) 身份验证的 IdP 进行配置。要在通过 IdP 预置时为新用户配置电子邮件地址,请更新他们与 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 一起使用的 IAM 角色的信任关系。然后在其 IdP 中添加 SAML 属性或 OIDC 令牌。最后,您可以在 Amazon Quick Suite 中为联合用户开启电子邮件同步。

以下过程将详细介绍这些步骤。

步骤 1:使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任关系

您可以配置电子邮件地址供用户在通过 IdP 配置到 Amazon Quick Suite 时使用。为此,将 sts:TagSession 操作添加到与 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 一起使用的 IAM 角色的信任关系中。这样,您可以在用户代入角色时传入 principal 标签。

以下示例说明了 IdP 为 Okta 时更新后的 IAM 角色。要使用此示例,将 Federated Amazon 资源名称(ARN)更新为您服务提供商的 ARN。您可以将红色项目替换为您 AWS 和 IdP 服务的特定信息。

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

步骤 2:在 IdP 中为 IAM 主体标签添加 SAML 属性或 OIDC 令牌

按照上一节所述更新 IAM 角色的信任关系后,在您的 IdP 中为 IAM Principal 标签添加 SAML 属性或 OIDC 令牌。

以下示例说明了 SAML 属性和 OIDC 令牌。要使用这些示例,将电子邮件地址替换为 IdP 中指向用户电子邮件地址的变量。您可以用您的信息替换以红色突出显示的项目。

  • SAML 属性:以下示例说明了 SAML 属性。

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    注意

    如果您使用 Okta 作为 IdP,请务必在您的 Okta 用户账户中开启功能标记,以使用 SAML。有关更多信息,请参阅 Okta 博客上的 Okta 和 AWS 合作伙伴通过会话标签简化访问

  • OIDC 令牌:以下示例说明了 OIDC 令牌示例。

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

第 3 步:在 Amazon Quick Suite 中为联合用户开启电子邮件同步

如前所述,更新 IAM 角色的信任关系,并在您的 IdP 中为 IAM Principal 标签添加 SAML 属性或 OIDC 令牌。然后,按照以下过程所述,在 Amazon Quick Suite 中为联合用户开启电子邮件同步。

为联合用户开启电子邮件同步功能

  1. 在 Amazon Quick Suite 的任意页面上,在右上角选择您的用户名,然后选择 “管理 Amazon Quick Suite”。

  2. 在左侧菜单中选择单点登录(IAM 联合身份验证)

  3. 服务提供商发起的 IAM 联合身份验证页面上,对于联合用户的电子邮件同步,选择打开

    当为联合用户开启电子邮件同步功能时,Amazon Quick Suite 在为您的账户配置新用户时,会使用您在步骤 1 和步骤 2 中配置的电子邮件地址。用户无法输入自己的电子邮件地址。

    当联合用户关闭电子邮件同步功能时,Amazon Quick Suite 会要求用户在为您的账户配置新用户时手动输入其电子邮件地址。他们可以使用他们想要的任何电子邮件地址。