使用 IAM 和 QuickSight 設定 IdP 聯合 - Amazon QuickSight

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IAM 和 QuickSight 設定 IdP 聯合

   適用對象:企業版和標準版 
   目標對象:系統管理員 
注意

IAM 聯合身分不支援將身分提供者群組與 Amazon QuickSight 同步。

您可以使用 AWS Identity and Access Management (IAM) 角色和轉送狀態 URL 來設定符合 SAML 2.0 的身分提供者 (IdP)。該角色會授予使用者存取 Amazon QuickSight 的許可。轉送狀態是使用者在 成功驗證後轉送至的入口網站 AWS。

先決條件

設定 SAML 2.0 連線之前,請執行下列動作:

  • 設定您的 IdP 與 AWS 建立信任關係:

    • 在組織的網路內,設定身分存放區 (例如,Windows Active Directory) 用於以 SAML 為基礎的 IdP。以 SAML 為基礎的 IdP 包含 Active Directory Federation Services、Shibboleth 等等。

    • 使用 IdP 產生一個中繼資料文件,該文件將您的組織描述為身分提供商。

    • 使用 AWS Management Console的相同步驟,設定 SAML 2.0 的身分驗證。這項程序完成後,您可以設定轉送狀態,以符合 Amazon QuickSight 的轉送狀態。如需詳細資訊,請參閱步驟 5:設定聯合的轉送狀態

  • 建立 Amazon QuickSight 帳戶,並記下您設定 IAM 政策和 IdP 時使用的名稱。如需有關建立 Amazon QuickSight 帳戶的詳細資訊,請參閱 註冊 Amazon QuickSight 訂閱

建立 設定以與教學中 AWS Management Console 概述的 聯合後,您可以編輯教學中提供的轉送狀態。您可以對於 Amazon QuickSight 的轉送狀態執行此操作,如下列的步驟 5 所述。

如需詳細資訊,請參閱下列資源:

步驟 1:在 中建立 SAML 供應商 AWS

您的 SAML 身分提供者會定義組織的 IdP AWS。這會使用您先前使用 IdP 產生的中繼資料文件進行定義。

在 中建立 SAML 供應商 AWS
  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 建立新的 SAML 提供者,該提供者是 IAM 中包含您組織之身分提供者的相關資訊之實體。如需詳細資訊,請參閱《IAM 使用者指南》中的建立 SAML 身分提供者

  3. 在此過程中,上傳在前一章節中由組織中的 IdP 軟體所產生的中繼資料文件。

步驟 2:在 AWS 中為聯合身分使用者設定許可

接著,建立 IAM 角色,以便建立 IAM 和組織的 IdP 之間的信任關係。這個角色會基於聯合目的將您的 IdP 識別為委託人 (信任的實體)。該角色也會定義由組織的 IdP 進行身分驗證而可以存取 Amazon QuickSight 的使用者。如需有關建立用於 SAML IdP 的角色的詳細資訊,請參閱《IAM 使用者指南》中的為 SAML 2.0 聯合身分建立角色

您建立角色後,您可以透過對該角色附加內嵌政策,以限制該角色僅有 Amazon QuickSight 的許可。下列範例政策文件提供對 Amazon QuickSight 的存取權。此政策可讓使用者存取 Amazon QuickSight,並讓使用者建立作者帳戶和讀者帳戶。

注意

在下列範例中,將 <YOUR_AWS_ACCOUNT_ID> 取代為 12 位數的 AWS 帳戶 ID (不含連字號 '‐')。

{ "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }

如果您想要提供 Amazon QuickSight 的存取權,而且能夠建立 Amazon QuickSight 管理員、作者 (標準使用者) 和讀者,您可以使用下列政策範例。

{ "Statement": [ { "Action": [ "quicksight:CreateAdmin" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}" ] } ], "Version": "2012-10-17" }

您可以在 中檢視帳戶詳細資訊 AWS Management Console。

在您設定一項或多項 SAML 和 IAM 政策之後,您不需要手動邀請使用者。使用者第一次開啟 Amazon QuickSight 時,會使用政策中最高層級的許可自動進行佈建。例如,如果使用者有 quicksight:CreateUserquicksight:CreateReader 的許可,則系統會將這些使用者佈建為作者。如果使用者也有 quicksight:CreateAdmin 的許可,則會佈建成為管理員。每個許可層級均能夠建立相同層級和以下層級的使用者。例如,作者可以新增其他作者或讀者。

在邀請使用者的人員所指派的角色中,會建立獲得手動邀請的使用者。使用者不需要有授予許可的政策。

步驟 3:設定 SAML IdP

建立 IAM 角色後,請將您的 SAML IdP 更新 AWS 為服務提供者。為此,請安裝在 https://signin.aws.amazon.com/static/saml-metadata.xml 找到的 saml-metadata.xml 檔案。

若要更新 IdP 中繼資料,請參閱 IdP 提供的指示。部分提供者為您提供了輸入該 URL 的選項,此後,IdP 將為您取得並安裝該檔案。另一些提供者則要求您從該 URL 處下載檔案,然後將其做為本機檔案提供。

如需詳細資訊,請參閱 IdP 文件。

步驟 4:為 SAML 身分驗證回應建立聲明

接著,設定 IdP 做為 SAML 屬性傳遞至 的資訊 AWS ,做為身分驗證回應的一部分。如需詳細資訊,請參閱《IAM 使用者指南》中的的為身分驗證回應設定 SAML 聲明

步驟 5:設定聯合的轉送狀態

最後,設定聯合的轉送狀態,以指向 QuickSight 轉送狀態 URL。身分驗證成功後 AWS,會將使用者導向 Amazon QuickSight,定義為 SAML 身分驗證回應中的轉送狀態。

Amazon QuickSight 的轉送狀態 URL 如下所示。

https://quicksight.aws.amazon.com