O blog da AWS

Habilite a federação para o Amazon QuickSight com o provisionamento automático de usuários entre o AWS IAM Identity Center e o Microsoft Azure AD

Por Aditya Ravikumar, Raji Sivasubramaniam, e Srikanth Baheti
As organizações estão trabalhando para centralizar sua estratégia de identidade e acesso em todos os seus aplicativos, incluindo aplicativos locais, de terceiros e na AWS. Muitas organizações usam provedores de identidade (IdPs) com base em protocolos baseados em OIDC ou SAML, como o Microsoft Azure Active Directory (Azure AD), e gerenciam a autenticação do usuário junto com a autorização de forma centralizada. Isso autoriza os usuários a acessar análises de ativos, painéis, pastas e conjuntos de dados do Amazon QuickSight por meio do Azure AD e do AWS IAM Identity Center gerenciados centralmente (sucessor do AWS Single Sign-On).O IAM Identity Center é um processo de autenticação que permite que os usuários façam login em vários aplicativos com um único conjunto de nomes de usuário e senhas. O IAM Identity Center facilita o gerenciamento centralizado do acesso a várias contas e aplicativos de negócios da AWS. Ele fornece à sua força de trabalho acesso de login único (SSO) a todas as contas e aplicativos atribuídos em um só lugar.

Nesta postagem, apresentamos as etapas necessárias para configurar o SSO federado junto com a sincronização automática de e-mail entre o QuickSight e o Azure AD por meio do IAM Identity Center. Também demonstramos como o como o System for Cross-domain Identity Management (SCIM) mantém suas identidades do IAM Identity Center sincronizadas com as identidades do seu IdP.

Visão geral da solução

A seguir, arquitetura de referência para configurar o IAM Identity Center com o Azure AD para federação automatizada com o QuickSight e o AWS Management Console

A seguir estão as etapas envolvidas na configuração do SSO federado do Azure para o QuickSight:

  1. Configure o Azure como um IdP no IAM Identity Center.
  2. Registre um aplicativo do IAM Identity Center no Azure AD.
  3. Configure o aplicativo no Azure AD.
  4. Habilite o provisionamento automático de usuários e grupos.
  5. Habilite a sincronização de e-mail para usuários federados no console QuickSight.
  6. Crie um aplicativo QuickSight no IAM Identity Center.
  7. Adicione o aplicativo IAM Identity Center como um SAML IdP.
  8. Configure políticas e funções do AWS Identity and Access Management (IAM).
  9. Configure mapeamentos de atributos no IAM Identity Center.
  10. Valide a federação para o QuickSight a partir do IAM Identity Center.

Pré-requisitos

Para concluir esse passo a passo, você deve ter os seguintes pré-requisitos:

  • Uma assinatura do Azure AD com permissão de administrador.
  • Assinatura de conta QuickSight com permissão de administrador.
  • Conta de administrador do IAM.
  • Conta de administrador do IAM Identity Center.

Configurar o Azure como IdP no IAM Identity Center

Para configurar o Azure como um IdP, conclua as seguintes etapas:

1. No console do IAM Identity Center, escolha Habilitar.

choose Enable

2. Escolha sua identidade de origem.
Choose your identity source.

3. Selecione Provedor de identidade externo para gerenciar todos os usuários e grupos.

4. Escolha Avançar.

Choose Next.

5. Na seção Configurar provedor de identidade externo, baixe o arquivo de metadados do provedor de serviços.

6. Salve o URL de login do portal de acesso da AWS, o URL do IAM Identity Center Assertion Consumer Service (ACS) e o URL do emissor do IAM Identity Center.
Eles serão usados posteriormente nesta postagem.

7. Deixe essa guia aberta em seu navegador enquanto prossegue com as próximas etapas.

Registrar um aplicativo do IAM Identity Center no Azure AD

Para registrar um aplicativo do IAM Identity Center no Azure AD, conclua as seguintes etapas:

  1. Entre no seu portal do Azure usando uma conta de administrador.
  2. Em Serviços do Azure, escolha Azure AD e, em Gerenciar, escolha Aplicativos empresariais.

Under Azure Services, choose Azure AD and under Manage, choose Enterprise applications.

3. Escolha Novo aplicativo.

4. Escolha Criar seu próprio aplicativo.

5. Insira um nome para o aplicativo.

6. Selecione a opção Integrar qualquer outro aplicativo que você não encontre na galeria (que não seja da Galeria).

7. Escolha Criar.

 

Choose Create.

Configurar o aplicativo no Azure AD

Para configurar seu aplicativo, conclua as seguintes etapas:

  1. Em Aplicativos corporativos, escolha Todos os aplicativos e selecione o aplicativo criado na etapa anterior.
  2. Em Gerenciar, escolha Single Sign-on.
  3. Escolha SAML.

Choose SAML.

4. Escolha Single Sign-on para configurar o SSO com SAML.

5. Escolha Carregar arquivo de metadados e faça o upload do arquivo que você baixou do IAM Identity Center.

6. Escolha Editar para editar a seção Configuração básica do SAML.

6. Choose Edit to edit the Basic SAML Configuration section.

  • Em Identificador (ID da entidade), insira a URL do emissor do IAM Identity Center.
  • Em URL de resposta (URL Assertion Consumer Service), insira o URL ACS do IAM Identity Center.

7. Em Certificado de assinatura SAML, escolha Baixar ao lado de XML de metadados de federação.

7. Under SAML Signing Certificate, choose Download next to Federation Metadata XML.

Usamos esse documento XML em etapas posteriores ao configurar o provedor SAML no IAM e no IAM Identity Center.

8. Deixe essa guia aberta em seu navegador enquanto avança para as próximas etapas.

9. Mude para a guia IAM Identity Center para concluir a configuração.

10. Em metadados do provedor de identidade, escolha metadados SAML do IdP e faça o upload do arquivo XML de metadados da federação que você baixou.

10. Under Identity provider metadata, choose IdP SAML metadata and upload the federation metadata XML file you downloaded.

11. Revise e confirme as alterações.
11. Review and confirm the changes.

Habilitar o provisionamento automático de usuários e grupos

O IAM Identity Center é compatível com o padrão System for Cross-domain Identity Management (SCIM) v2.0. O SCIM mantém suas identidades do IAM Identity Center sincronizadas com IdPs externos. Isso inclui qualquer provisionamento, atualização e desprovisionamento de usuários entre o IdP e o IAM Identity Center. Para habilitar o SCIM, conclua as seguintes etapas:

  1. No console do IAM Identity Center, escolha Configurações no painel de navegação.
  2. A seguir para o Provisionamento automático, escolha Habilitar.

2. Next to Automatic provisioning, choose Enable.

3. Copie o endpoint SCIM e o Token de Acesso.

Copy the SCIM endpoint and Access token.

4. Mude para a guia Azure AD.

5. Na página Visão geral do diretório padrão, em Gerenciar, escolha Usuários.

5. On the Default Directory Overview page, under Manage, choose Users.

6. Escolha Novo usuário e Criar novo usuário (s).
Certifique-se de que o perfil do usuário tenha informações válidas em Primeiro Nome, Sobrenome e atributo de e-mail.

Make sure the user profile has valid information under First name, Last name, and Email attribute.

7. Em Aplicativos empresariais, escolha Todos os aplicativos e selecione o aplicativo que você criou anteriormente.

8. Em Gerenciar, escolha Usuários e grupos.


8. Under Manage, choose Users and groups.

9. Escolha Adicionar usuário/grupo e selecione os usuários que você criou anteriormente.

10. Escolha Atribuir.

Choose Assign.

11. Escolha Adicionar usuário/grupo e selecione os usuários que você criou anteriormente.

11. Under Manage, choose Provisioning and Get started.

12. Escolha o Modo de provisionamento como Automático.

13. Para URL do locatário, insira o endpoint do SCIM.

14. Em Secret Token, insira o Token de Acesso.

15. Escolha Testar conexão e Salvar.

15. Choose Test Connection and Save.

16. Em Provisionamento, escolha Iniciar provisionamento.
16. Under Provisioning, choose Start provisioning.

Certifique-se de que o perfil do usuário tenha informações válidas do  Primeiro Nome, Sobrenome e atributo de e-mail. Esse é o valor chave para a sincronização de e-mail com o QuickSight.

Make sure the user profile has valid information under First name, Last name, and Email attribute. This is the key value for email sync with QuickSight.

No console do IAM Identity Center, em Usuários, agora você pode ver todos os usuários provisionados pelo Azure AD.

On the IAM Identity Center console, under Users, you can now see all the users provisioned from Azure AD.

Habilite a sincronização de e-mail para usuários federados no console QuickSight

Conclua as etapas a seguir para ativar a sincronização de e-mail para usuários federados:

1. Faça login como usuário administrador no console do QuickSight e escolha Gerenciar QuickSight no menu do nome do usuário.
1. Sign in as an admin user to the QuickSight console and choose Manage QuickSight from the user name menu.

2. Escolha Login único (SSO) no painel de navegação.

2. Choose Single sign-on (SSO) in the navigation pane.

3. Em Sincronização de e-mail para usuários federados, selecione ATIVADO.

3. Under Email Syncing for Federated Users, select ON.

Crie um aplicativo QuickSight no IAM Identity Center

Conclua as etapas a seguir para criar um aplicativo SAML 2.0 personalizado no IAM Identity Center.

  1. No console do IAM Identity Center, escolha Aplicativos no painel de navegação.
  2. Escolha Adicionar aplicativo.

2Choose Add application.

3. Em Aplicativos pré-integrados, pesquise e escolha o Amazon QuickSight.

4. Escolha Avançar.

Choose Next. 

5. Em Nome de exibição, insira um nome, como Amazon QuickSight.

6. Em Descrição, insira uma descrição.

7. Faça o download do arquivo de metadados SAML do IAM Identity Center para usar posteriormente nesta postagem.

8. Para URL de início do aplicativo, deixe como está.

9. Em Estado de retransmissão, insira https://quicksight.aws.amazon.com.

10. Em Duração da sessão, escolha a duração da sessão. O valor recomendado é de 8 horas.

11. Para o URL do aplicativo ACS, insira https://signin.aws.amazon.com/saml.

12. Para público do aplicativo SAML, insira urn:amazon:webservices.

13. Escolha Enviar
Depois que suas configurações forem salvas, a configuração do aplicativo deverá ser semelhante à captura de tela a seguir.

After your settings are saved, your application configuration should look similar to the following screenshot.

Agora você pode atribuir seus usuários a esse aplicativo, para que o aplicativo apareça no portal do IAM Identity Center após o login.

14. Na página do aplicativo, em Usuários atribuídos, escolha Atribuir usuários.

14. On the application page, under Assigned users, choose Assign Users.

15. Selecione seus usuários.

16. Opcionalmente, se você quiser permitir que vários usuários em sua organização usem o QuickSight, a maneira mais rápida e fácil é usar grupos do IAM Identity Center.

17. Escolha Atribuir usuários.

17. Choose Assign Users.

Adicione o aplicativo IAM Identity Center como um SAML IdP

Conclua as etapas a seguir para configurar o IAM Identity Center como seu SAML IdP:

  1. Abra uma nova guia no seu navegador.
  2. Faça login no console do IAM em sua conta da AWS com permissões de administrador.
  3. Escolha Provedores de identidade no painel de navegação.
  4. Escolha Adicionar provedor.
  5. Selecione SAML para o tipo de provedor.
  6. Em Nome do provedor, insira IAM_identity_center.
  7. Escolha Escolher arquivo para carregar o documento de metadados que você baixou anteriormente do aplicativo Amazon QuickSight.

Escolha Adicionar provedor.
8. Choose Add Provider

9. Na página de resumo, registre o valor do ARN do provedor (arn:aws:iam: ::SAML-provider/IAM_IDENTITY_CENTER)<AccountID>.

Você usará esse ARN ao configurar as regras de reivindicações posteriormente nesta postagem.

Configurar políticas do IAM

Nesta etapa, você cria três políticas do IAM para diferentes permissões de função no QuickSight:

QuickSight-Federated-Admin

QuickSight-Federated-Author

QuickSight-Federated-Reader

Use as etapas a seguir para configurar a política de administração federada do QuickSight. Essa política concede privilégios de administrador no QuickSight ao usuário federado:

  1. No console do IAM, escolha Políticas no painel de navegação
  2. Escolha Criar política
  3. Escolha JSON e substitua o texto existente pelo seguinte código:
{
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<yourAWSAccountID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
}

Ignore o erro “Região ARN ausente: adicionar uma região ao ARN do recurso quicksight” e continue. Opcionalmente, você também pode adicionar uma região específica da AWS no ARN.

4. Escolha a política de revisão

5. Em Nome, digite Quicksight-Federated-Admin.

6. Escolha Criar política.

7. Repita essas etapas para criar a política de autor federado do QuickSight usando o seguinte código JSON

{
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<yourAWSAccountID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
}

Ignore o erro “Região ARN ausente: adicionar uma região ao ARN do recurso quicksight” e continue. Opcionalmente, você também pode adicionar uma região específica da AWS no ARN.

8. Repita essas etapas para criar a política de leitores federados do QuickSight usando o seguinte código JSON para conceder privilégios de leitor no QuickSight ao usuário federado:

{
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<yourAWSAccountID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
}

Ignore o erro “Região ARN ausente: adicionar uma região ao ARN do recurso quicksight” e continue. Opcionalmente, você também pode adicionar uma região específica da AWS no ARN.

Configurar funções do IAM

Em seguida, crie funções que seus usuários do Azure AD e do IAM Identity Center assumam ao se federarem no QuickSight. As etapas a seguir configuram a função de administrador:

  1. No console do IAM, escolha Funções no painel de navegação.
  2. Escolha Criar função.
  3. Em Selecionar tipo de entidade confiável, escolha Federação SAML 2.0.
  4. Para o provedor SAML, escolha o provedor que você criou anteriormente (IAM_Identity_Center).
  5. Selecione Permitir acesso programático e ao AWS Management Console.
  6. Em Atributo, certifique-se de que SAML:AUD esteja selecionado.
  7. Em Valor, certifique-se de que https://signin.aws.amazon.com/saml esteja selecionado.
  8. Escolha Avançar.

Choose Next.

9. Escolha a política IAM do Quicksight-Federated-Admin que você criou anteriormente.

10. Escolha Avançar: Tags.
11. Escolha Avançar: Revisão.
12. Em Nome da função, insira Quicksight-admin-role.
13. Em Descrição da função, insira uma descrição.
13. For Role description, enter a description.14. Escolha Criar função.

15. No console do IAM, no painel de navegação, escolha Funções.

16. Escolha a função Quicksight-Admin-Role que você criou para abrir as propriedades da função.

17. Registre o ARN da função para usar posteriormente.

18. On the Trust relationships tab, choose Edit trust policy.

19. Para obter os detalhes da política, insira o seguinte JSON:

{
    "Version": "2012-10-17",
     "Statement": [
 {
    "Effect": "Allow",
    "Principal": {
"Federated": "arn:aws:iam::<yourAWSAccountID>:saml-provider/IAM_Identity_Center"
                        },
            "Action": "sts:AssumeRoleWithSAML",
            "Condition": {
                "StringEquals": {
                    "SAML:aud": "https://signin.aws.amazon.com/saml"	
           }
            }
        },
        {	
            		"Effect": "Allow",
            		"Principal": {
                	 "Federated":"arn:aws:iam::<yourAWSAccountID>:saml-provider/IAM_Identity_Center"
            				},
            		  "Action": "sts:TagSession",
               "Condition": {
                	  "StringLike": {
                   "aws:RequestTag/Email": "*"
           }
            }
        }
    ]
}

20. Escolha Atualizar política.

21. Repita essas etapas para criar as funções Quicksight-Author-Role e Quicksight-Reader-Role. Anexe as políticas Quicksight-Federated-Author e Quicksight-Federated-Reader às suas respectivas funções.

Configurar mapeamentos de atributos no IAM Identity Center

A etapa final é configurar os mapeamentos de atributos no IAM Identity Center. Os atributos que você mapeia aqui se tornam parte da declaração SAML que é enviada ao aplicativo QuickSight. Você pode escolher quais atributos de usuário em seu aplicativo mapeiam os atributos de usuário correspondentes em seu diretório conectado. Para obter mais informações, consulte Mapeamentos de atributos.

  1. No console do IAM Identity Center, escolha Aplicativos no painel de navegação.

1. On IAM Identity Center console, choose Applications in the navigation pane.

2. Selecione o aplicativo Amazon QuickSight que você criou anteriormente.

2. Select the Amazon QuickSight application you created earlier.

3. No menu Ações, escolha Editar mapeamentos de atributos.

4. Configure os seguintes mapeamentos:
Atributo do usuário no aplicativo
Mapeia esse valor de string ou atributo do usuário no IAM Identity Center
Formato
Assunto
$ {usuário:email}
Endereço de e-mail
https://aws.amazon.com/SAML/Attributes/Role arn:aws:iam:: <YourAWSAccount ID>:saml-provider/IAM_Identity_Center, arn:aws:iam:: <YourAWSAccount ID>:role/QuickSight-Admin-Role
não especificado
https://aws.amazon.com/SAML/Attributes/RoleSessionName
$ {usuário:email}
não especificado
https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email
$ {usuário:email}
url

 

5. Escolha Salvar alterações.

Choose Save changes

Valide a federação para o QuickSight a partir do IAM Identity Center

No console do IAM Identity Center, anote a URL do portal do usuário disponível na página Configurações. Sugerimos que você saia primeiro da sua conta da AWS ou abra uma janela anônima do navegador. Navegue até o URL do portal do usuário, entre com as credenciais de um usuário do AD e escolha seu aplicativo QuickSight.

On the IAM Identity Center console, note down the user portal URL available on the Settings page.

Navigate to the user portal URL, sign in with the credentials of an AD user, and choose your QuickSight application.

Você é redirecionado automaticamente para o console do QuickSight.

You’re automatically redirected to the QuickSight console.

You’re automatically redirected to the QuickSight console.

Resumo

Esta publicação forneceu instruções passo a passo para configurar o SSO federado com o Azure AD como IdP por meio do IAM Identity Center. Também discutimos como o SCIM mantém suas identidades do IAM Identity Center sincronizadas com as identidades do seu IdP. Isso inclui qualquer provisionamento, atualização e desprovisionamento de usuários entre seu IdP e o IAM Identity Center.

Se você tiver alguma dúvida ou feedback, deixe um comentário.

Para discussões adicionais e ajuda para obter respostas às suas perguntas, confira a comunidade do QuickSight.

 

Este artigo foi traduzido do Blog da AWS em Inglês.

 

Sobre os autores

Aditya Ravikumar é arquiteto de soluções na Amazon Web Services. Ele mora em Seattle, EUA. Os principais interesses da Aditya incluem desenvolvimento de software, bancos de dados, análise de dados e aprendizado de máquina. Ele trabalha com clientes/parceiros da AWS para fornecer orientação e assistência técnica para transformar seus negócios por meio do uso inovador de tecnologias de nuvem.

 

 

 

 

Srikanth Baheti é arquiteto sênior de soluções especializado do time Global para o Amazon QuickSight. Ele começou sua carreira como consultor e trabalhou para várias organizações privadas e governamentais. Posteriormente, ele trabalhou para a PerkinElmer Health and Sciences & eResearch Technology Inc, onde foi responsável por projetar e desenvolver aplicações web de alto tráfego, pipelines de dados altamente escaláveis e de fácil manutenção para plataformas de relatórios usando serviços da AWS e computação serverless.

 

 

 

 

Raji Sivasubramaniam é arquiteta sênior de soluções na AWS, com foco em análises. Raji é especializada em arquitetar soluções completas de gerenciamento de dados corporativos, inteligência de negócios e análise para empresas da Fortune 500 e Fortune 100 em todo o mundo. Ela tem profunda experiência em dados e análises integradas de saúde com uma ampla variedade de conjuntos de dados de saúde, incluindo mercado gerenciado, segmentação médica e análise de pacientes.

 

 

 

 

Revisores

Bruno Lopes é Senior Solutions Architect no time da AWS LATAM. Trabalha com soluções de TI há mais de 14 anos, tendo em seu portfólio inúmeras experiências em workloads Microsoft, ambientes híbridos e capacitação técnica de clientes como Technical Trainer e Evangelista. Agora atua como um Arquiteto de Soluções, unindo todas as capacidades para desburocratizar a adoção das melhores tecnologias afim de ajudar os clientes em seus desafios diários.

 

 

 

 

Carlos Felicio é Senior Partner Technical Account Manager da AWS LATAM. Atua no mercado de tecnologia nos últimos 23 anos. No seu portfólio trabalhou em diversas consolidações e migrações em ambientes híbridos com workloads Microsoft. No momento trabalha como TAM auxiliando os parceiros em dúvidas e utilização da AWS para prover melhor benefício nos workload dos seus clientes.