Come faccio a configurare AWS SSO come provider di identità per QuickSight?

Ultimo aggiornamento: 19/07/2022

Desidero utilizzare AWS Single Sign-On (AWS SSO) sia per il portale AWS SSO che per Amazon QuickSight. Come faccio ad aggiungere AWS SSO come provider di identità?

Breve descrizione

Per utilizzare AWS SSO come provider di identità per il portale AWS SSO e QuickSight, seguire questi passaggi:

  1. Aggiungere QuickSight come applicazione in AWS SSO.
  2. Creare un provider di identità SAML.
  3. Creare un ruolo Identity and Access Management (IAM) per la federazione SAML 2.0.
  4. Configurare gli attributi in AWS SSO.
  5. Assegnare gli utenti a AWS SSO.
  6. Configurare l'account QuickSight.

Risoluzione

Aggiungere QuickSight come applicazione in AWS SSO

  1. Aprire la console AWS SSO.
  2. Nel pannello di navigazione a sinistra, selezionare Applications (Applicazioni), quindi Add a new application (Aggiungi una nuova applicazione).
  3. Nella sezione AWS SSO Application Catalog (Catalogo delle applicazioni AWS SSO), seleziona Amazon QuickSight.
  4. Nella pagina Configure Amazon QuickSight (Configura Amazon QuickSight) nella sezione Details (Dettagli), inserisci un nome visualizzato per l'applicazione. Ad esempio, Amazon QuickSight Authors.
  5. Nella sezione AWS SSO metadata (Metadati AWS SSO), seleziona Download for AWS SSO SAML metadata file (Scarica il file di metadati SAML di AWS SSO).
  6. Nella sezione Application Properties (Proprietà applicazione), imposta https://quicksight.aws.amazon.com come valore per lo stato di Relay (Inoltro).
    Nota: assicurarsi che l'URL di avvio dell'applicazione sia vuoto.
  7. Seleziona Save changes (Salva le modifiche).

Nota: è anche possibile utilizzare un altro provider di identità come Okta, Azure Active Directory (Azure AD), Google Workspace, PingFederate o PingOne.

Creare un provider di identità SAML

  1. Aprire la console IAM.
  2. Nel pannello di navigazione a sinistra, selezionare Identity providers, (Provider di identità), quindi Add provider (Aggiungi provider).
  3. Per Provider type (Tipo di provider), seleziona SAML.
  4. Per Provider name (Nome provider), inserisci un nome per il provider di identità.
  5. Per Metadata document (Documento di metadati), seleziona Choose file (Scegli file) quindi scegli il documento di metadati SAML scaricato precedentemente.
  6. Facoltativo: per Add tags (Aggiungi tag), è possibile aggiungere coppie chiave-valore per ricevere supporto nell'identificazione ed organizzazione dei provider di identità.
  7. Annota l'ARN del provider di identità. È necessario per configurare gli attributi nell'applicazione AWS SSO.
  8. Seleziona Add provider (Aggiungi provider).

Creare un ruolo IAM per la federazione SAML 2.0

  1. Aprire la console IAM.
  2. Nel pannello di navigazione a sinistra, seleziona Roles (Ruoli), quindi Create role (Crea ruolo).
  3. Per Trusted entity type (Tipo di entità attendibile), seleziona SAML 2.0 federation (Federazione SAML 2.0).
  4. Per Choose a SAML 2.0 provider (Scegli un provider SAML 2.0), seleziona il provider SAML creato precedentemente, poi seleziona l’opzione Allow programmatic and AWS Management Console access (Permetti accesso programmatico e alla Console di gestione AWS).
  5. Seleziona Next (Avanti).
  6. Nella pagina Add permissions (Aggiungi autorizzazioni), collega una policy inline al ruolo, per limitare le azioni che gli utenti AWS SSO possono eseguire in QuickSight.
    Nota: QuickSight supporta il sistema di provisioning degli utenti JIT (Just In Time). Quando un utente si unisce a QuickSight per la prima volta, QuickSight crea automaticamente un nuovo utente. Il ruolo dell'utente dipende dalle autorizzazioni associate al ruolo IAM per la federazione SAML 2.0. Per maggiori dettagli, consulta Configurazione delle autorizzazioni in AWS per gli utenti federati.
  7. Seleziona Next (Avanti).
  8. Nella pagina Name, review and create (Nomina, verifica e crea), per Role details (Dettagli ruolo), inserisci un nome per il ruolo.
  9. Facoltativo: per Add tags (Aggiungi tag), è possibile aggiungere coppie di chiave-valore per ricevere supporto nell'identificazione ed organizzazione dei ruoli.
  10. Annota l'ARN del ruolo. È necessario per configurare gli attributi nell'applicazione AWS SSO.
  11. Seleziona Create role (Crea ruolo).

Importante: è possibile mappare solo un ruolo IAM per account QuickSight, ed eseguire la mappatura degli attributi di un solo ruolo IAM per istanza AWS SSO. Bisogna quindi creare un'applicazione AWS SSO per ogni ruolo.

Configurazione degli attributi in AWS SSO

  1. Apri la console AWS SSO.
  2. Nel pannello di navigazione a sinistra, seleziona Applications (Applicazioni), quindi Amazon QuickSight.
  3. Seleziona la scheda Attribute mappings (Mappatura degli attributi), quindi seleziona Add a new attribute mapping (Aggiungi una nuova mappatura degli attributi).
  4. Per User attribute in the application (Attributo utente nell’applicazione), inserisci https://aws.amazon.com/SAML/Attributes/Role.
  5. Per Maps to this string value or user attribute in AWS SSO (Mappe a questo valore di stringa o attributo utente in AWS SSO), inserisci gli ARN del provider di identità e del ruolo nel seguente formato:
    arn:aws:iam::ACCOUNTID:role/ROLENAME,arn:aws:iam::ACCOUNTID:saml-provider/SAMLPROVIDERNAME
  6. Seleziona Save changes (Salva le modifiche).

Assegnazione di utenti ad AWS SSO

  1. Nella console AWS SSO, scegli la scheda Assigned users (Utenti assegnati), quindi seleziona Assign users (Assegna utenti).
  2. Seleziona la scheda Users (Utenti), e aggiungi gli utenti necessari.
  3. Seleziona Assign users (Assegna utenti).
  4. Seleziona la scheda Groups (Gruppi), e aggiungi i gruppi necessari.
  5. Seleziona Assign users (Assegna utenti).

Configurare l'account QuickSight

Configurare QuickSight per inviare richieste di autenticazione a AWS SSO

  1. Nel pannello di navigazione a sinistra della console AWS SSO, seleziona Dashboard (Pannello di controllo).
  2. In User portal (Portale utente), effettua l’accesso utilizzando nome utente e password di AWS SSO.
  3. Seleziona l'icona Amazon QuickSight, e aprila in una nuova scheda del browser. Poi, copia l'URL.
  4. In un'altra scheda del browser, accedi a QuickSight come amministratore.
  5. Scegli Manage QuickSight (Gestisci QuickSight).
  6. Nel pannello di navigazione a sinistra, seleziona Single sign-on (SSO) (Accesso singolo [SSO]).
  7. Per IdP URL configuration (Configurazione URL IdP), aggiungi l’URL della fase 3.
  8. Per IdP redirect URL parameter (Parametro di reindirizzamento URL IdP), inserisci RelayState.
  9. Seleziona Save (Salva).
  10. Disattiva ilService Provider Initiated SSO (SSO avviato dal provider di servizi). Assicurati che rimanga disattivato.

Configura l'attributo e-mail per sincronizzare la posta elettronica per gli utenti federati

1.    Dalla console AWS SSO, aggiorna la relazione di fiducia per il ruolo IAM con AssumeRoleWithSAML o AssumeRoleWithWebIdentity:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/SAMLPROVIDERNAME"
      },
      "Action": "sts:TagSession",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/Email": "*"
        }
      }
    }
  ]
}

2.    Per configurare l'attributo e-mail, segui la procedura descritta nella precedente sezione Configure attributes in AWS SSO (Configurazione degli attributi in AWS SSO).
       Alla voce User attribute in the application (Attributo dell’utente nell'applicazione), inserisci https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email.
       Alla voce Maps to this string value or user attribute in AWS SSO (Mappe a questo valore di stringa o attributo dell’utente in AWS SSO), inserisci ${user:email}.

3.    Attivazione della sincronizzazione e-mail per gli utenti federati in QuickSight:
       Accedi a QuickSight come amministratore.
       Seleziona Manage QuickSight (Gestisci QuickSight), quindi Single Sign-On (SSO) (Accesso singolo [SSO]).
       Alla pagina Service Provider Initiated SSO (SSO avviato dal provider di servizi), imposta su On la voce Email Syncing for Federated users (Sincronizzazione e-mail per utenti federati).

Al termine della configurazione, è possibile iniziare ad accedere all'account QuickSight dal portale AWS SSO.


Questo articolo ti è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?