Comment configurer AWS SSO en tant que fournisseur d'identité pour QuickSight ?

Dernière mise à jour : 19/07/2022

Je souhaite utiliser AWS Single Sign-On (AWS SSO) aussi bien pour le portail AWS SSO que pour Amazon QuickSight. Comment puis-je ajouter AWS SSO comme fournisseur d'identité ?

Brève description

Pour utiliser AWS SSO comme fournisseur d'identité aussi bien pour le portail AWS SSO que pour QuickSight, procédez comme suit :

  1. Ajoutez QuickSight en tant qu'application dans AWS SSO.
  2. Créez un fournisseur d'identité SAML.
  3. Créez un rôle Identity and Access Management (IAM) pour la fédération de SAML 2.0.
  4. Configurez les attributs dans AWS SSO.
  5. Assignez des utilisateurs à AWS SSO.
  6. Configurez votre compte QuickSight.

Solution

Ajoutez QuickSight en tant qu'application dans AWS SSO

  1. Ouvrez la console AWS SSO.
  2. Dans le volet de navigation de gauche, sélectionnez Applications, et ensuite sélectionnez Ajouter une nouvelle application.
  3. Dans la section Catalogue d’applications AWS SSO, choisissez Amazon QuickSight.
  4. Sur la page Configurer Amazon QuickSight, sous la section Détails, saisissez un nom complet pour votre application. Par exemple, Auteurs Amazon QuickSight.
  5. Dans la section Métadonnées AWS SSO, choisissez Télécharger le fichier de métadonnées pour AWS SSO SAML.
  6. Sous Propriétés de l’Application, définissez https://quicksight.aws.amazon.com comme valeur de l'état Relay.
    Remarque : assurez-vous que l'URL de démarrage de l'application est vide.
  7. Choisissez Save changes (Enregistrer les modifications).

Remarque : vous pouvez également utiliser un autre fournisseur d'identité tel que Okta, Azure Active Directory (Azure AD), Google Workspace, PingFederate ou PingOne.

Création d'un fournisseur d'identité SAML

  1. Ouvrez la console IAM.
  2. Dans le volet de navigation de gauche, sélectionnez Fournisseurs d'identité, puis Ajouter un fournisseur.
  3. A Type de fournisseur, choisissez SAML.
  4. A Nom du fournisseur, saisissez le nom du fournisseur d'identité.
  5. A Document de métadonnées, sélectionnez Choisir un fichier, et ensuite, choisissez le document de métadonnées SAML que vous avez téléchargé.
  6. Facultatif : Pour Ajouter des balises, ajoutez des paires clé-valeur afin de vous aider à identifier et à organiser vos fournisseurs d'identité.
  7. Notez l'ARN du fournisseur d'identité. Vous l’utiliserez pour configurer les attributs dans l'application AWS SSO.
  8. Choisissez Ajouter un fournisseur.

Création d'un rôle IAM pour la fédération de SAML 2.0

  1. Ouvrez la console IAM.
  2. Sélectionnez Rôles dans le volet de navigation de gauche, puis Créer un rôle.
  3. A Type d’entité de confiance, sélectionnez fédération de SAML 2.0.
  4. A Choisir un fournisseur SAML 2.0, sélectionnez le fournisseur SAML que vous avez créé, puis choisissez l'option Autoriser la programmation et l’accès à la Console de gestion AWS.
  5. Sélectionnez Next (Suivant).
  6. Sur la page Ajouter des autorisations, attachez une politique intégrée au rôle afin de limiter les actions que les utilisateurs AWS SSO peuvent effectuer dans QuickSight.
    Remarque : QuickSight prend en charge la mise en service de utilisateur Just In Time (JIT). Lorsqu'un utilisateur se connecte à QuickSight pour la première fois, l’application crée automatiquement un nouvel utilisateur. Le rôle d'utilisateur dépend des autorisations attachées au rôle IAM pour la fédération de SAML 2.0. Pour plus d’informations, consultez Configurer les autorisations dans AWS pour vos utilisateurs fédérés.
  7. Sélectionnez Next (Suivant).
  8. Sur la page Nom, révision et création, à Détails du rôle, entrez un nom pour le rôle.
  9. Facultatif : Pour Ajouter des balises, ajoutez des paires clé-valeur afin de vous aider à identifier et à organiser vos rôles.
  10. Notez l'ARN du rôle. Vous l’utiliserez pour configurer les attributs dans votre application AWS SSO.
  11. Sélectionnez Create role (Créer un rôle).

Important : vous ne pouvez mapper qu'un seul rôle IAM par compte QuickSight et un seul attribut de rôle IAM par instance AWS SSO. Par conséquent, vous devez créer une application AWS SSO pour chaque rôle.

Configurez les attributs dans AWS SSO

  1. Ouvrez la console AWS SSO.
  2. Dans le volet de navigation de gauche, choisissez Applications, puis choisissez ensuite Amazon QuickSight.
  3. Choisissez l'onglet Mappage d'attributs, puis sélectionnez Ajouter un nouveau mappage d'attributs.
  4. Pour Attribut d’utilisateur dans l'application, saisissez https://aws.amazon.com/SAML/Attributes/Role.
  5. Pour Mappage vers cette valeur de chaîne ou cet attribut d'utilisateur dans AWS SSO, entrez les ARN du fournisseur d'identité et du rôle au format suivant :
    arn:aws:iam : :accountId:Role/RoleName, arn:aws:iam : :accountID:SAML-Provider/SAMLProviderName
  6. Choisissez Save changes (Enregistrer les modifications).

Assigner des utilisateurs à AWS SSO

  1. Dans la console AWS SSO, choisissez l'onglet Utilisateurs assignés, puis Assigner des utilisateurs.
  2. Cliquez sur l'onglet Utilisateurs, puis ajoutez les utilisateurs souhaités.
  3. Sélectionnez Assigner des utilisateurs.
  4. Cliquez sur l'onglet Groupes, puis ajoutez les groupes souhaités.
  5. Sélectionnez Assigner des utilisateurs.

Configurez votre compte QuickSight

Configurez QuickSight pour envoyer des demandes d'authentification à AWS SSO

  1. Dans le volet de navigation de gauche de la console AWS SSO, sélectionnez Tableau de bord.
  2. Dans le portail d’utilisateur, connectez-vous avec le nom d'utilisateur et le mot de passe AWS SSO.
  3. Choisissez l'icône Amazon QuickSight, puis ouvrez-la dans un nouvel onglet du navigateur. Ensuite, copiez l'URL.
  4. Dans un autre onglet du navigateur, connectez-vous à QuickSight en tant qu'administrateur.
  5. Choisissez Gérer QuickSight.
  6. Dans le volet de navigation de gauche, choisissez Single Sign-on (SSO).
  7. Pour la configuration de l'URL IdP, ajoutez l'URL de l'étape 3.
  8. Pour le paramètre d'URL de redirection IdP, saisissez RelayState.
  9. Choisissez Save (Enregistrer).
  10. Désactivez l'authentification unique initiée par SSO Assurez-vous qu'elle reste désactivée.

Configuration de l'attribut e-mail pour la synchronisation de l’e-mail pour les utilisateurs fédérés

1.    À partir de la console AWS SSO, mettez à jour la relation d'approbation pour le rôle IAM avec AssumeRoleWithSAML ou AssumeRoleWithWebIdentity :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:TagSession",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/Email": "*"
        }
      }
    }
  ]
}

2.    Pour configurer l'attribut de l’e-mail, suivez les étapes de la section précédente Configurer les attributs dans AWS SSO.
       Pour Attribut d’utilisateur dans l'application, saisissez https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email.
       Pour Mappage vers cette valeur de chaîne ou cet attribut d'utilisateur dans AWS SSO, saisissez $ {e-mail de l’utilisateur}.

3.    Activation la synchronisation des e-mails pour les utilisateurs fédérés dans QuickSight :
       Connectez-vous à QuickSight en tant qu'administrateur.
       Choisissez Gérer QuickSight, puis choisissez Single Sign-on (SSO).
       Sur la page SSO initiée par le fournisseur de services, choisissez Activé pour la synchronisation des e-mails pour les utilisateurs fédérés.

Une fois la configuration terminée, vous pouvez commencer à vous connecter à votre compte QuickSight à partir du portail AWS SSO.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?