先決條件步驟 1：在中建立 SAML 供應商 AWS 步驟 2： AWS 為您的聯合身分使用者在中設定許可步驟 3：設定 SAML IdP 步驟 4：為 SAML 身分驗證回應建立聲明步驟 5：設定聯合的轉送狀態

使用 IAM 和 Amazon Quick Suite 設定 IdP 聯合

適用對象：企業版和標準版

目標對象：系統管理員

注意

IAM 聯合身分不支援使用 Amazon Quick Suite 同步身分提供者群組。

您可以使用 AWS Identity and Access Management (IAM) 角色和轉送狀態 URL 來設定符合 SAML 2.0 的身分提供者 (IdP)。角色會授予使用者存取 Amazon Quick Suite 的許可。轉送狀態是 AWS成功驗證身分後將使用者轉送到其中的入口網站。

先決條件

設定 SAML 2.0 連線之前，請執行下列動作：

設定您的 IdP 與 AWS 建立信任關係：
- 在組織的網路內，設定身分存放區 (例如，Windows Active Directory) 用於以 SAML 為基礎的 IdP。以 SAML 為基礎的 IdP 包含 Active Directory Federation Services、Shibboleth 等等。
- 使用 IdP 產生一個中繼資料文件，該文件將您的組織描述為身分提供商。
- 使用 AWS 管理主控台的相同步驟，設定 SAML 2.0 的身分驗證。當此程序完成時，您可以設定轉送狀態以符合 Quick Suite 的轉送狀態。如需詳細資訊，請參閱設定聯合的轉送狀態。
建立 Amazon Quick Suite 帳戶，並記下設定 IAM 政策和 IdP 時要使用的名稱。如需建立 Amazon Quick Suite 帳戶的詳細資訊，請參閱註冊 Amazon Quick Suite 訂閱。

AWS 管理主控台如教學課程所述，建立與聯合的設定後，您可以編輯教學課程中提供的轉送狀態。您可以使用 Amazon Quick Suite 的轉送狀態來執行此操作，如以下步驟 5 所述。

如需詳細資訊，請參閱下列資源：

IAM User Guide 中的 Integrating Third-Party SAML Solution Providers with AWS。
IAM 使用者指南中也針對使用的 SAML 2.0 聯合進行故障診斷 AWS。
設定 ADFS 與之間的信任 AWS ，以及使用 Active Directory 登入資料透過 ODBC 驅動程式連線至 Amazon Athena – 雖然您不需要設定 Athena 才能使用 Amazon Quick Suite，但此演練文章很有幫助。

步驟 1：在中建立 SAML 供應商 AWS

您的 SAML 身分提供者會定義組織的 IdP AWS。這會使用您先前使用 IdP 產生的中繼資料文件進行定義。

在中建立 SAML 供應商 AWS

登入 AWS 管理主控台並開啟位於 https：//https://console.aws.amazon.com/iam/ 的 IAM 主控台。
建立新的 SAML 提供者，該提供者是 IAM 中包含您組織之身分提供者的相關資訊之實體。如需詳細資訊，請參閱《IAM 使用者指南》中的建立 SAML 身分提供者。
在此過程中，上傳在前一章節中由組織中的 IdP 軟體所產生的中繼資料文件。

步驟 2： AWS 為您的聯合身分使用者在中設定許可

接著，建立 IAM 角色，以便建立 IAM 和組織的 IdP 之間的信任關係。這個角色會基於聯合目的將您的 IdP 識別為委託人 (信任的實體)。此角色也會定義哪些透過您組織的 IdP 驗證的使用者可以存取 Amazon Quick Suite。如需有關建立用於 SAML IdP 的角色的詳細資訊，請參閱《IAM 使用者指南》中的為 SAML 2.0 聯合身分建立角色。

建立角色之後，您可以透過將內嵌政策連接至角色，將角色限制為只有 Amazon Quick Suite 的許可。下列範例政策文件提供 Amazon Quick Suite 的存取權。此政策允許使用者存取 Amazon Quick Suite，並允許他們建立作者帳戶和讀者帳戶。

注意

在下列範例中，將 <YOUR_AWS_ACCOUNT_ID> 取代為 12 位數的 AWS 帳戶 ID (不含連字號 '‐')。



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }

如果您想要提供 Amazon Quick Suite 的存取權，以及建立 Amazon Quick Suite 管理員、作者（標準使用者）和讀者的功能，您可以使用下列政策範例。



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }

您可以在中檢視帳戶詳細資訊 AWS 管理主控台。

在您設定一項或多項 SAML 和 IAM 政策之後，您不需要手動邀請使用者。使用者第一次開啟 Amazon Quick Suite 時，會使用政策中的最高層級許可自動佈建。例如，如果使用者有 quicksight:CreateUser 和 quicksight:CreateReader 的許可，則系統會將這些使用者佈建為作者。如果使用者也有 quicksight:CreateAdmin 的許可，則會佈建成為管理員。每個許可層級均能夠建立相同層級和以下層級的使用者。例如，作者可以新增其他作者或讀者。

在邀請使用者的人員所指派的角色中，會建立獲得手動邀請的使用者。使用者不需要有授予許可的政策。

步驟 3：設定 SAML IdP

建立 IAM 角色後，請將您的 SAML IdP 更新 AWS 為服務提供者。為此，請安裝在 https://signin.aws.amazon.com/static/saml-metadata.xml 找到的 saml-metadata.xml 檔案。

若要更新 IdP 中繼資料，請參閱 IdP 提供的指示。部分提供者為您提供了輸入該 URL 的選項，此後，IdP 將為您取得並安裝該檔案。另一些提供者則要求您從該 URL 處下載檔案，然後將其做為本機檔案提供。

如需詳細資訊，請參閱 IdP 文件。

步驟 4：為 SAML 身分驗證回應建立聲明

接著，設定 IdP 做為 SAML 屬性傳遞至的資訊 AWS ，做為身分驗證回應的一部分。如需詳細資訊，請參閱《IAM 使用者指南》中的的為身分驗證回應設定 SAML 聲明。

步驟 5：設定聯合的轉送狀態

最後，設定聯合的轉送狀態，以指向 Amazon Quick Suite 轉送狀態 URL。身分驗證成功後 AWS，會將使用者導向 Amazon Quick Suite，定義為 SAML 身分驗證回應中的轉送狀態。

Amazon Quick Suite 的轉送狀態 URL 如下所示。


https://quicksight.aws.amazon.com

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

IdP 到 Amazon Quick Suite

Amazon Quick Suite 到 IdP