¿Cómo configuro IAM Identity Center como proveedor de identidades para QuickSight?

Última actualización: 19/12/2022

Quiero usar AWS IAM Identity Center (sucesor de AWS Single Sign-On) tanto para IAM Identity Center como para Amazon QuickSight. ¿Cómo agrego IAM Identity Center como proveedor de identidades?

Descripción breve

Para usar IAM Identity Center como su proveedor de identidades, siga estos pasos:

  1. Agregue QuickSight como una aplicación en IAM Identity Center.
  2. Cree un proveedor de identidades SAML.
  3. Cree un rol de AWS Identity and Access Management (IAM) para la federación SAML 2.0.
  4. Configure los atributos en IAM Identity Center.
  5. Asigne usuarios a IAM Identity Center.
  6. Configure su cuenta de QuickSight.

Resolución

Adición de QuickSight como una aplicación en IAM Identity Center

  1. Abra la consola de IAM Identity Center.
  2. En el panel de navegación de la izquierda, elija Applications (Aplicaciones) y luego seleccione Add application (Agregar aplicación).
  3. En la sección Preintegrated applications (Aplicaciones preintegradas), elija Amazon QuickSight. Luego, seleccione Next (Siguiente).
  4. En la página Configure application (Configurar aplicación), ingrese un nombre para la aplicación en Display name (Nombre para mostrar). Por ejemplo, Autores de Amazon QuickSight.
  5. En la sección IAM Identity Center metadata (Metadatos de IAM Identity Center), en IAM Identity Center SAML metadata file (Archivo de metadatos SAML de IAM Identity Center), seleccione el ícono Download (Descargar).
  6. En Application properties (Propiedades de la aplicación), establezca https://quicksight.aws.amazon.com como valor para el estado Relay (Retransmisión).
    Nota: Asegúrese de que el campo Application start URL (URL de inicio de la aplicación) esté vacío.
  7. Elija Submit (Enviar).

Nota: También puede utilizar otro proveedor de identidades, como Okta, Azure Active Directory (Azure AD), Google Workspace, PingFederate o PingOne.

Cree un proveedor de identidades SAML

  1. Abra la consola de IAM.
  2. En el panel de navegación de la izquierda, elija Proveedores de identidades, y luego seleccione Agregar proveedor.
  3. En Tipo de proveedor, elija SAML.
  4. En Nombre del proveedor, ingrese un nombre para el proveedor de identidades.
  5. En Documento de metadatos, elija Elegir archivo y, a continuación, elija el documento de metadatos de SAML que descargó.
  6. Opcional: en Agregar etiquetas, agregue pares clave-valor para facilitar la identificación y organización de los proveedores de identidades.
  7. Anote el ARN del proveedor de identidades. Debe usarlo para configurar los atributos en la aplicación de IAM Identity Center.
  8. Elija Add provider (Agregar proveedor).

Crear un rol de IAM de federación SAML 2.0

  1. Abra la consola de IAM.
  2. En el panel de navegación de la izquierda, elija Roles, y luego seleccione Crear rol.
  3. En Trusted entity type (Tipo de entidad de confianza), seleccione SAML 2.0 federation (Federación SAML 2.0).
  4. Para SAML 2.0–based provider (Proveedor basado en SAML 2.0), seleccione el proveedor de SAML que creó. A continuación, elija la opción Allow programmatic and AWS Management Console access (Permitir el acceso mediante programación y a través de la consola de administración de AWS).
  5. Elija Next (Siguiente).
  6. En la página Nombrar, revisar y crear, en Detalles del rol, ingrese un nombre para el rol.
  7. Opcional: en Agregar etiquetas, agregue pares clave-valor para facilitar la identificación y organización de los roles.
  8. Anote el ARN del rol. Debe usarlo para configurar los atributos en su aplicación de IAM Identity Center.
  9. Elija Create role (Crear rol).
  10. Después de crear el rol, acceda a la página Add Permissions (Agregar permisos). Asocie una política en línea al rol para limitar las acciones que los usuarios de IAM Identity Center pueden realizar en QuickSight.
    Nota: QuickSight admite el aprovisionamiento de usuarios justo a tiempo (JIT). Cuando un usuario realiza una federación en QuickSight por primera vez, QuickSight crea automáticamente un nuevo usuario. El rol de usuario depende de los permisos que se asocian al rol de IAM para la federación SAML 2.0. Consulte Configuración de permisos en AWS para los usuarios federados y obtenga más información.

Importante: Solo puede asignar un rol de IAM por cuenta de QuickSight y una asignación de atributos de rol de IAM por instancia de IAM Identity Center. Por lo tanto, debe crear una aplicación de IAM Identity Center para cada rol.

Configuración de atributos en IAM Identity Center

  1. Abra la consola de IAM Identity Center.
  2. En el panel de navegación izquierdo, elija Applications (Aplicaciones). A continuación, seleccione la aplicación que creó en la sección Adición de QuickSight como una aplicación en IAM Identity Center de este artículo.
  3. Elija Actions (Acciones) y, a continuación, Edit attribute mappings (Editar asignaciones de atributos) en el menú desplegable.
  4. En User attribute in the application (Atributo de usuario en la aplicación), ingrese https://aws.amazon.com/SAML/Attributes/Role.
  5. En Maps to this string value or user attribute in IAM Identity Center (Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center), ingrese los ARN del proveedor de identidades y del rol en el siguiente formato:
    arn:aws:iam::ACCOUNTID:role/ROLENAME,arn:aws:iam::ACCOUNTID:saml-provider/SAMLPROVIDERNAME
  6. Seleccione Save changes (Guardar cambios).

Asignación de usuarios a IAM Identity Center

  1. En la consola de IAM Identity Center, elija la pestaña Assigned users (Usuarios asignados) y, a continuación, seleccione Assign users (Asignar usuarios).
  2. Elija la pestaña Users (Usuarios) y, a continuación, agregue los usuarios que necesite.
  3. Elija Asignar usuarios.
  4. Elija la pestaña Grupos y luego agregue los grupos que desee.
  5. Elija Asignar usuarios.

Configuración de la cuenta de QuickSight

Configuración de QuickSight para enviar solicitudes de autenticación a IAM Identity Center

  1. En el panel de navegación izquierdo de la consola de IAM Identity Center, seleccione Dashboard (Panel).
  2. En el Portal de acceso de AWS, inicie sesión con el nombre de usuario y la contraseña de IAM Identity Center.
  3. Elija el ícono de Amazon QuickSight y ábralo en una nueva pestaña del navegador. A continuación, copie la URL.
  4. En otra pestaña del navegador, inicie sesión en QuickSight como administrador.
  5. Elija Administrar QuickSight.
  6. En el panel de navegación de la izquierda, elija Inicio de sesión único (SSO).
  7. En Configuración de la URL del IdP, agregue la URL del paso 3.
  8. En Parámetro de URL de redireccionamiento del IdP, ingreseRelayState.
  9. Elija Save (Guardar).
  10. Desactive Service Provider Initiated SSO (SSO iniciado por el proveedor de servicios). Asegúrese de que se mantenga desactivado.

Configure el atributo de correo electrónico para sincronizar el correo electrónico de los usuarios federados

1.    Desde la consola de IAM, actualice la relación de confianza correspondiente al rol de IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:TagSession",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/Email": "*"
        }
      }
    }
  ]
}

2.    Para configurar el atributo de correo electrónico, siga los pasos que aparecen en la sección anterior Configuración de atributos en IAM Identity Center.
       En User attribute in the application (Atributo de usuario en la aplicación), ingrese https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email.
       En Maps to this string value or user attribute in IAM Identity Center (Se asigna a este valor de cadena o atributo de usuario en IAM Identity Center), ingrese ${user:email}.

3.    Active la sincronización del correo electrónico para los usuarios federados en QuickSight:
       Inicie sesión en QuickSight como administrador.
       Elija Administrar QuickSight, y luego seleccione Inicio de sesión único (SSO).
       En la página Service Provider Initiated SSO (SSO iniciado por el proveedor de servicios), elija On (Activado) para Email Syncing for Federated users (Sincronización de correo electrónico para usuarios federados).

Una vez completada la configuración, puede empezar a iniciar la sesión en la cuenta de QuickSight desde el portal de IAM Identity Center.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?