本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Quick 中為聯合身分使用者設定電子郵件同步
<a name="jit-email-syncing"></a>


|  | 
| --- |
|  適用於：企業版  | 


|  | 
| --- |
|    目標對象：系統管理員和 Amazon Quick 管理員  | 

**注意**  
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。

在 Amazon Quick Enterprise 版中，身為管理員，您可以在透過身分提供者 (IdP) 直接佈建至 Quick 時，限制新使用者使用個人電子郵件地址。然後，在將新使用者佈建至您的帳戶時，快速使用透過 IdP 傳遞的預先設定電子郵件地址。例如，您可以讓它在使用者透過 IdP 佈建到您的 Amazon Quick 帳戶時，只使用公司指派的電子郵件地址。

**注意**  
確保您的使用者透過其 IdP 直接聯合到 Amazon Quick。 AWS 管理主控台 透過其 IdP 聯合到 ，然後按一下 Amazon Quick 會導致錯誤，而且他們將無法存取 Amazon Quick。

當您在 Amazon Quick 中為聯合身分使用者設定電子郵件同步時，第一次登入 Amazon Quick 帳戶的使用者會有預先指派的電子郵件地址。這些可用於註冊他們的帳戶。使用這種方法，使用者可以透過輸入電子郵件地址手動繞過。此外，使用者無法使用可能與您 (系統管理員) 指定的電子郵件地址不同的電子郵件地址。

Amazon Quick 支援透過支援 SAML 或 OpenID Connect (OIDC) 身分驗證的 IdP 進行佈建。若要在透過 IdP 佈建時為新使用者設定電子郵件地址，您可以將其使用的 IAM 角色的信任關係更新為 `AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity`。然後，您可以在其 IdP 中新增 SAML 屬性或 OIDC 字符。最後，您可以在 Amazon Quick 中為聯合身分使用者開啟電子郵件同步。

下列程序詳細說明了這些步驟。

## 步驟 1：使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任關係
<a name="jit-email-syncing-step-1"></a>

您可以為使用者設定電子郵件地址，以便在透過 IdP 佈建至 Amazon Quick 時使用。若要這樣做，請將 `sts:TagSession` 動作新增至與 `AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity` 搭配使用之 IAM 角色的信任關係。透過這樣做，您可以在使用者擔任該角色時傳遞 `principal` 標籤。

下列範例說明了更新的 IAM 角色，其中 IdP 為 Okta。若要使用此範例，請使用服務提供者的 ARN 更新 `Federated` Amazon Resource Name (ARN)。您可以使用 AWS 和 IdP 服務特定資訊取代紅色的項目。

```
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }
```

## 步驟 2：在 IdP 中為 IAM 主體標籤新增 SAML 屬性或 OIDC 字符
<a name="jit-email-syncing-step-2"></a>

如前一節所述更新 IAM 角色的信任關係後，請在 IdP 中為 IAM `Principal` 標籤新增 SAML 屬性或 OIDC 字符。

下列範例說明了 SAML 屬性和 OIDC 字符。若要使用這些範例，請將電子郵件地址取代為 IdP 中指向使用者電子郵件地址的變數。您可以使用您的資訊取代以紅色反白顯示的項目。
+ **SAML 屬性**：下列範例說明了 SAML 屬性。

  ```
  <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
  ```
**注意**  
如果您使用 Okta 做為 IdP，請務必在您的 Okta 使用者帳戶中開啟功能標記，以使用 SAML。如需詳細資訊，請參閱 [Okta 部落格上的 Okta 和 AWS 合作夥伴透過工作階段標籤簡化存取](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/)。
+ **OIDC 字符**：下列範例說明了 OIDC 字符範例。

  ```
  "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
  ```

## 步驟 3：在 Amazon Quick 中開啟聯合身分使用者的電子郵件同步
<a name="jit-email-syncing-step-3"></a>

如前所述，更新 IAM 角色的信任關係，並為 IdP 中的 IAM `Principal` 標籤新增 SAML 屬性或 OIDC 字符。然後在 Amazon Quick 中為聯合身分使用者開啟電子郵件同步，如下列程序所述。

**為聯合身分使用者開啟電子郵件同步**

1. 從 Amazon Quick 中的任何頁面，選擇右上角的使用者名稱，然後選擇**管理 Amazon Quick**。

1. 在左側選單中，選擇**單一登入 (IAM 聯合)**。

1. 在**服務提供者啟動的 IAM 聯合**頁面上，針對**聯合身分使用者的電子郵件同步**，選擇**開啟**。

   當聯合身分使用者的電子郵件同步開啟時，Amazon Quick 會在將新使用者佈建至您的帳戶時，使用您在步驟 1 和 2 中設定的電子郵件地址。使用者無法輸入其自己的電子郵件地址。

   當聯合身分使用者的電子郵件同步關閉時，Amazon Quick 會在將新使用者佈建至您的帳戶時，要求使用者手動輸入其電子郵件地址。他們可以使用任何想要的電子郵件地址。