先决条件步骤 1：在中创建 SAML 提供商 Amazon 步骤 2：在 Amazon 中为您的联合用户配置权限步骤 3：配置 SAML IdP 步骤 4：为 SAML 身份验证响应创建断言步骤 5：配置您的联合身份验证的中继状态

使用 IAM 设置 IdP 联合身份验证和 QuickSight

适用于：企业版和标准版

目标受众：系统管理员

注意

IAM 联合身份验证不支持将身份提供商群组与 Amazon QuickSight 同步。

您可以使用 Amazon Identity and Access Management (IAM) 角色和中继状态 URL 来配置符合 SAML 2.0 标准的身份提供商 (IdP)。该角色向用户授予访问Amazon的权限 QuickSight。中继状态是用户在成功进行身份验证后被转发到的门户 Amazon。

先决条件

在配置 SAML 2.0 连接之前，请执行以下操作：

配置 IdP 以建立与亚马逊云科技的信任关系：
- 在贵组织的网络内，将您的身份存储，例如，Windows Active Directory，与基于 SAML 的 IdP 一起工作。基于 SAML 的 IdPs 包括 Active Directory 联合服务、Shibboleth 等。
- 通过使用 IdP，可以生成一个元数据文档，此文档将您的组织描述为身份提供商。
- 通过使用与 Amazon Web Services Management Console相同的步骤，设置 SAML 2.0 身份验证。此过程完成后，您可以将中继状态配置为与 Amazon 的中继状态相匹配 QuickSight。有关更多信息，请参阅步骤 5：配置您的联合身份验证的中继状态。
创建一个 Amazon QuickSight 账户，并记下在配置 IAM 策略和 IdP 时要使用的名称。有关创建 Amazon QuickSight 账户的更多信息，请参阅注册 QuickSight 订阅 Amazon。

按照教程中的概述创建要联合 Amazon Web Services Management Console 的设置后，您可以编辑本教程中提供的中继状态。您可以使用 Amazon 的中继状态执行此操作 QuickSight，如以下步骤 5 所述。

有关更多信息，请参阅以下资源：

在 IAM 用户指南 Amazon中将第三方 SAM L 解决方案提供商与集成。
对 SAML 2.0 联合身份验证进行故障排除 Amazon，同样在 IAM 用户指南中。
在 ADFS 和之间建立信任 Amazon 并使用 Active Directory 凭证通过 ODBC 驱动程序连接到 Amazon Athena — 尽管您无需设置 Athena 即可使用，但这篇演练文章很有帮助。 QuickSight

步骤 1：在中创建 SAML 提供商 Amazon

您的 SAML 身份提供商将您组织的 Id Amazon P 定义为。它通过使用之前通过 IdP 生成的元数据文档来进行此设置。

要在中创建 SAML 提供商 Amazon

登录 Amazon Web Services Management Console 并打开 IAM 控制台，网址为 https://console.aws.amazon.com/iam/。
创建一个新的 SAML 提供者，该提供者是 IAM 中包含贵组织的身份提供者的相关信息的实体。有关更多信息，请参阅《IAM 用户指南》中的创建 SAML 身份提供商。
在此过程中，您可以上传由上一部分中记录的您的组织中的 IdP 软件生成的元数据文档。

步骤 2：在 Amazon 中为您的联合用户配置权限

下一步是创建一个 IAM 角色，以在 IAM 与贵组织的 IdP 之间建立信任关系。该角色将您的 IdP 标识为委托人 (可信实体) 以实现联合身份验证目的。该角色还定义允许哪些经过贵组织的 IdP 身份验证的用户访问 Amazon。 QuickSight有关为 SAML IdP 创建角色的更多信息，请参阅《IAM 用户指南》中的创建用于 SAML 2.0 联合身份验证的角色。

创建角色后，您可以 QuickSight通过为角色附加内联策略，将该角色限制为仅对 Amazon 拥有权限。以下示例政策文档提供了对 Amazon 的访问权限 QuickSight。该政策允许用户访问亚马逊， QuickSight 并允许他们创建作者账户和读者账户。

注意

在以下示例中，将 <YOUR_AWS_ACCOUNT_ID> 替换为您的 12 位 Amazon Web Services 账户 ID（不含连字符“-”）。



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }

如果您想提供对亚马逊的访问权限 QuickSight 以及创建亚马逊 QuickSight 管理员、作者（标准用户）和读者的权限，则可以使用以下策略示例。



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"
    }

您可以在中查看账户详情 Amazon Web Services Management Console。

设置 SAML 和 IAM policy 后，您将无需手动邀请用户。用户首次打开 Amazon 时 QuickSight，系统会使用策略中最高级别的权限自动配置他们。例如，如果他们同时具有 quicksight:CreateUser 和 quicksight:CreateReader 权限，则将其预置为作者。如果他们具有 quicksight:CreateAdmin 权限，则将其预置为管理员。每个权限级别可以创建相同级别的用户和以下级别用户。例如，作者可以添加其他作者或读者。

手动邀请的用户是在邀请他们的人员分配的角色中创建的。他们不需要具有为其授予权限的策略。

步骤 3：配置 SAML IdP

创建 IAM 角色后，将您的 SAML IdP 更新为 Amazon 服务提供商。为此，请安装在 https://signin.aws.amazon.com/static/saml-metadata.xml 上找到的 saml-metadata.xml 文件。

要更新 IdP 元数据，请参阅您的 IdP 提供的说明。一些提供商为您提供了键入该 URL 的选项，此时，IdP 将为您获取并安装该文件。另一些提供商则要求您从该 URL 处下载该文件，然后将其作为本地文件提供。

有关更多信息，请参阅您的 IdP 文档。

步骤 4：为 SAML 身份验证响应创建断言

接下来，配置 IdP 在身份验证响应中作为 SAML 属性传递的信息。 Amazon 有关更多信息，请参阅 IAM 用户指南中的为身份验证响应配置 SAML 断言。

步骤 5：配置您的联合身份验证的中继状态

最后，将联盟的中继状态配置为指向中 QuickSight继状态 URL。成功通过身份验证后 Amazon，用户将被定向到 Amazon QuickSight，Amazon 在 SAML 身份验证响应中定义为中继状态。

Amazon 的中继状态 URL QuickSight 如下所示。


https://quicksight.aws.amazon.com

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

IdP 到 QuickSight

QuickSight 到 IdP