本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Quick 中为联合用户配置电子邮件同步
<a name="jit-email-syncing"></a>


|  | 
| --- |
|  适用于：企业版  | 


|  | 
| --- |
|    目标受众：系统管理员和 Amazon Quick 管理员  | 

**注意**  
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。

在 Amazon Quick Enterprise 版中，作为管理员，您可以限制新用户在通过身份提供商 (IdP) 直接向 Quick 进行配置时使用个人电子邮件地址。然后，Quick 在为您的账户配置新用户时使用通过 IdP 传递的预配置电子邮件地址。例如，当用户通过您的 IdP 配置到您的 Amazon Quick 账户时，您可以仅使用公司分配的电子邮件地址。

**注意**  
确保您的用户通过其 IdP 直接与 Amazon Quick 联合。 Amazon Web Services 管理控制台 通过他们的 IdP 联合，然后点击进入 Amazon Quick 会导致错误，他们将无法访问 Amazon Quick。

当您在 Amazon Quick 中为联合用户配置电子邮件同步时，首次登录您的 Amazon Quick 账户的用户会预先分配电子邮件地址。这些用于注册他们的账户。使用这种方法，用户可以通过输入电子邮件地址来手动绕过。此外，用户不能使用可能与您（管理员）规定的电子邮件地址不同的电子邮件地址。

Amazon Quick 支持通过支持 SAML 或 OpenID Connect (OIDC) 身份验证的 IdP 进行配置。要在通过 IdP 预置时为新用户配置电子邮件地址，请更新他们与 `AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity` 一起使用的 IAM 角色的信任关系。然后在其 IdP 中添加 SAML 属性或 OIDC 令牌。最后，您可以在 Amazon Quick 中为联合用户开启电子邮件同步。

以下过程将详细介绍这些步骤。

## 步骤 1：使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任关系
<a name="jit-email-syncing-step-1"></a>

您可以配置电子邮件地址供用户在通过您的 IdP 配置到 Amazon Quick 时使用。为此，将 `sts:TagSession` 操作添加到与 `AssumeRoleWithSAML` 或 `AssumeRoleWithWebIdentity` 一起使用的 IAM 角色的信任关系中。这样，您可以在用户代入角色时传入 `principal` 标签。

以下示例说明了 IdP 为 Okta 时更新后的 IAM 角色。要使用此示例，将 `Federated` Amazon 资源名称（ARN）更新为您服务提供商的 ARN。您可以将红色项目替换为您 Amazon 和 IdP 服务的特定信息。

```
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }
```

## 步骤 2：在 IdP 中为 IAM 主体标签添加 SAML 属性或 OIDC 令牌
<a name="jit-email-syncing-step-2"></a>

按照上一节所述更新 IAM 角色的信任关系后，在您的 IdP 中为 IAM `Principal` 标签添加 SAML 属性或 OIDC 令牌。

以下示例说明了 SAML 属性和 OIDC 令牌。要使用这些示例，将电子邮件地址替换为 IdP 中指向用户电子邮件地址的变量。您可以用您的信息替换以红色突出显示的项目。
+ **SAML 属性**：以下示例说明了 SAML 属性。

  ```
  <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
  ```
**注意**  
如果您使用 Okta 作为 IdP，请务必在您的 Okta 用户账户中开启功能标记，以使用 SAML。有关更多信息，请参阅 [Okta 博客上的 Okta 和 Amazon 合作伙伴通过会话标签简化访问](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/)。
+ **OIDC 令牌**：以下示例说明了 OIDC 令牌示例。

  ```
  "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
  ```

## 第 3 步：在 Amazon Quick 中为联合用户开启电子邮件同步功能
<a name="jit-email-syncing-step-3"></a>

如前所述，更新 IAM 角色的信任关系，并在您的 IdP 中为 IAM `Principal` 标签添加 SAML 属性或 OIDC 令牌。然后按照以下步骤在 Amazon Quick 中为联合用户开启电子邮件同步。

**为联合用户开启电子邮件同步功能**

1. 在 Amazon Quick 的任意页面中，在右上角选择您的用户名，然后选择 “**管理 Amazon Quick**”。

1. 在左侧菜单中选择**单点登录（IAM 联合身份验证）**。

1. 在**服务提供商发起的 IAM 联合身份验证**页面上，对于**联合用户的电子邮件同步**，选择**打开**。

   当为联合用户开启电子邮件同步功能时，Amazon Quick 在为您的账户配置新用户时使用您在步骤 1 和步骤 2 中配置的电子邮件地址。用户无法输入自己的电子邮件地址。

   当联合用户关闭电子邮件同步功能时，Amazon Quick 会要求用户在为您的账户配置新用户时手动输入其电子邮件地址。他们可以使用他们想要的任何电子邮件地址。