Wie richte ich IAM Identity Center als Identitätsanbieter für QuickSight ein?

Letzte Aktualisierung: 19.12.2022

Ich möchte AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) sowohl für das IAM Identity Center als auch für Amazon QuickSight verwenden. Wie füge ich IAM Identity Center als Identitätsanbieter hinzu?

Kurzbeschreibung

Gehen Sie wie folgt vor, um IAM Identity Center als Ihren Identitätsanbieter zu verwenden:

  1. Fügen Sie QuickSight als Anwendung im IAM Identity Center hinzu.
  2. Erstellen Sie einen SAML-Identitätsanbieter.
  3. Erstellen Sie in der Identitäts- und Zugriffsverwaltung (IAM) eine Rolle für den SAML 2.0-Verbund.
  4. Konfigurieren Sie Attribute in IAM Identity Center.
  5. Weisen Sie Benutzer dem IAM Identity Center zu.
  6. Konfigurieren Sie Ihr QuickSight-Konto.

Lösung

QuickSight als Anwendung im IAM Identity Center hinzufügen

  1. Öffnen Sie die IAM-Identity-Center-Konsole.
  2. Wählen Sie im linken Navigationsbereich Anwendungen und dann Anwendung hinzufügen aus.
  3. Wählen Sie im Abschnitt Vorintegrierte AnwendungenAmazon QuickSight aus. Wählen Sie dann Weiter.
  4. Geben Sie auf der Seite Anwendung konfigurieren einen Anzeigenamen für Ihre Anwendung ein. Zum Beispiel Amazon-QuickSight-Autoren.
  5. Wählen Sie im Abschnitt IAM-Identity-Center-Metadaten unter IAM-Identity-Center-SAML-Metadatendatei das Download-Symbol aus.
  6. Legen Sie unter Anwendungseigenschaften https://quicksight.aws.amazon.com als Wert für den Relay-Status fest.
    Hinweis: Stellen Sie sicher, dass Start-URL der Anwendung leer ist.
  7. Wähle Sie Absenden aus.

Hinweis: Sie können auch einen anderen Identitätsanbieter wie Okta, Azure Active Directory (Azure AD), Google Workspace, PingFederate oder PingOne verwenden.

Einen SAML-Identitätsanbieter erstellen

  1. Öffnen Sie die IAM-Konsole.
  2. Wählen Sie im linken Navigationsbereich Identitätsanbieter und dann Anbieter hinzufügen aus.
  3. Wählen Sie für Anbietertyp SAML aus.
  4. Geben Sie für Provider name einen Namen für den Identitätsanbieter ein.
  5. Wählen Sie für Metadatendokument die Option Datei auswählen und wählen Sie dann das SAML-Metadatendokument aus, das Sie heruntergeladen haben.
  6. Optional: Fügen Sie unter Tags hinzufügen Schlüssel-Wert-Paare hinzu, damit Sie Ihre Identitätsanbieter leichter identifizieren und organisieren können.
  7. Notieren Sie den ARN des Identitätsanbieters. Sie müssen ihn verwenden, um Attribute in der IAM-Identity-Center-Anwendung zu konfigurieren.
  8. Wählen Sie Anbieter hinzufügen.

Eine IAM-Rolle für den SAML-2.0-Verbund erstellen

  1. Öffnen Sie die IAM-Konsole.
  2. Wählen Sie im linken Navigationsbereich Rollen und dann Rolle erstellen.
  3. Wählen Sie für Vertrauenswürdiger Entitätstyp SAML-2.0-Verbund aus.
  4. Wählen Sie für einen auf SAML 2.0 basierenden Anbieter den SAML-Anbieter aus, den Sie erstellt haben. Wählen Sie dann die Option Programmgesteuerten Zugriff und Zugriff auf die AWS-Managementkonsole zulassen.
  5. Wählen Sie Weiter aus.
  6. Geben Sie auf der Seite Benennen, Überprüfen und Erstellen unter Rollendatails einen Namen für die Rolle ein.
  7. Optional: Fügen Sie für Tags hinzufügen Schlüssel-Wert-Paare hinzu, damit Sie Ihre Rollen leichter identifizieren und organisieren können.
  8. Notieren Sie den ARN der Rolle. Sie müssen ihn verwenden, um Attribute in Ihrer IAM-Identity-Center-Anwendung zu konfigurieren.
  9. Wählen Sie Rolle erstellen aus.
  10. Nachdem Sie die Rolle erstellt haben, rufen Sie die Seite Berechtigungen hinzufügen auf. Fügen Sie der Rolle eine Inline-Richtlinie hinzu, um die Aktionen einzuschränken, die IAM-Identity-Center-Benutzer in QuickSight ausführen können.
    Hinweis: QuickSight unterstützt die Just-In-Time-Benutzerbereitstellung (JIT). Wenn ein Benutzer zum ersten Mal eine Verbindung zu QuickSight herstellt, erstellt QuickSight automatisch einen neuen Benutzer. Die Benutzerrolle hängt von den Berechtigungen ab, die der IAM-Rolle für den SAML-2.0-Verbund zugeordnet sind. Weitere Informationen finden Sie unter Konfigurieren der Berechtigungen in AWS für Ihre Verbundbenutzer.

Wichtig: Sie können nur eine IAM-Rolle pro QuickSight-Konto und eine IAM-Rollenattributzuordnung pro IAM-Identity-Center-Instance zuordnen. Daher müssen Sie für jede Rolle eine IAM-Identity Center-Anwendung erstellen.

Attributen im IAM Identity Center konfigurieren

  1. Öffnen Sie die IAM-Identity-Center-Konsole.
  2. Wählen Sie im linken Navigationsbereich Anwendungen aus. Wählen Sie dann die Anwendung aus, die Sie im Abschnitt QuickSight als Anwendung in IAM Identity Center hinzufügen dieses Artikels erstellt haben.
  3. Wählen Sie Aktionen und dann in der Dropdown-Liste die Option Attributzuordnungen bearbeiten aus.
  4. Geben Sie für Benutzerattribut in der Anwendung https://aws.amazon.com/SAML/Attributes/Role ein.
  5. Geben Sie für Zuordnungen zu diesem Zeichenfolgenwert oder Benutzerattribut in IAM Identity Center die ARNs des Identitätsanbieters und der Rolle im folgenden Format ein:
    arn:aws:iam::ACCOUNTID:role/ROLENAME,arn:aws:iam::ACCOUNTID:saml-provider/SAMLPROVIDERNAME
  6. Wählen Sie Änderungen speichern aus.

Benutzer dem IAM Identity Center zuweisen

  1. Wählen Sie in der IAM-Identity-Center-Konsole die Registerkarte Zugewiesene Benutzer und dann Benutzer zuweisen aus.
  2. Wählen Sie die Registerkarte Benutzer aus und fügen Sie dann die erforderlichen Benutzer hinzu.
  3. Wählen Sie Benutzer zuweisen.
  4. Wählen Sie die Registerkarte Gruppen und fügen Sie dann die erforderlichen Gruppen hinzu.
  5. Wählen Sie Benutzer zuweisen.

QuickSight-Konto konfigurieren

Richten Sie QuickSight so ein, dass Authentifizierungsanforderungen an IAM Identity Center gesendet werden

  1. Wählen Sie im linken Navigationsbereich der IAM-Identity-Center-Konsole Dashboard aus.
  2. Melden Sie sich im AWS Access Portal mit dem IAM-Identity-Center-Benutzernamen und -Passwort an.
  3. Wählen Sie das Amazon-QuickSight-Symbol aus und öffnen Sie es in einem neuen Browser-Fenster. Kopieren Sie dann die URL.
  4. Melden Sie sich in einem anderen Browser-Fenster als Administrator bei QuickSight an.
  5. Wählen Sie QuickSight verwalten.
  6. Wählen Sie im linken Navigationsbereich Single sign-on (SSO).
  7. Fügen Sie für IdP-URL-Konfiguration die URL aus Schritt 3 hinzu.
  8. Geben Sie als IdP-Umleitungs-URL-Parameter RelayState ein.
  9. Wählen Sie Speichern aus.
  10. Deaktivieren Sie Vom Dienstanbieter initiiertes SSO. Stellen Sie sicher, dass es deaktiviert bleibt.

E-Mail-Attribut zum Synchronisieren von E-Mails für Verbundbenutzer konfigurieren

1.    Aktualisieren Sie in der IAM-Konsole die Vertrauensstellung für die IAM-Rolle mit AssumeRoleWithSAML oder AssumeRoleWithWebIdentity:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:TagSession",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/Email": "*"
        }
      }
    }
  ]
}

2.    Führen Sie zum Konfigurieren des E-Mail-Attributs die Schritte im vorherigen Abschnitt Attribute inIAM Identity Center konfigurieren aus.
       Geben Sie für Benutzerattribut in der Anwendung https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email ein.
       Geben Sie für Zuordnungen zu diesem Zeichenfolgenwert oder Benutzerattribut in IAM Identity Center die ${user:email} ein.

3.    Aktivieren Sie die E-Mail-Synchronisierung für Verbundbenutzer in QuickSight:
       Melden Sie sich als Administrator bei QuickSight an.
       Wählen Sie QuickSight verwalten und dann Single sign-on (SSO).
       Wählen Sie auf der Seite Vom Dienstanbieter initiiertes SSOService die Option On für E-Mail-Synchronisierung für Verbundbenutzer aus.

Sobald die Einrichtung abgeschlossen ist, können Sie sich über das IAM-Identity-Center-Portal bei Ihrem QuickSight-Konto anmelden.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?