从身份提供者(IdP)启动登录 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从身份提供者(IdP)启动登录

   适用于:企业版和标准版 
   目标受众:系统管理员 
注意

IAM 身份联合验证不支持将身份提供者组与 Amazon QuickSight 同步。

在这种情况下,您的用户从身份提供者的门户网站启动登录过程。用户通过身份验证后,他们将登录 QuickSight。在 QuickSight 检查他们是否获得授权后,您的用户就可以访问 QuickSight。

从用户登录 IdP 开始,身份验证将按以下步骤进行:

  1. 用户浏览 https://applications.example.com 并登录 IdP。此时,用户尚未登录服务提供商。

  2. 联合身份验证服务和 IdP 对用户进行身份验证:

    1. 联合身份验证服务请求从组织的身份存储进行身份验证。

    2. 该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。

    3. 在身份验证成功后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。

  3. 用户打开 QuickSight:

    1. 用户的浏览器会将 SAML 断言发布到 Amazon 登录 SAML 端点()。https://signin.aws.amazon.com/saml

    2. Amazon Sign-In 将接收 SAML 请求、处理请求、对用户进行身份验证并将身份验证令牌转发给 Amazon 服务。 QuickSight

  4. Amazon QuickSight 接受来自的身份验证令牌 Amazon 并 QuickSight 向用户提供。

从用户的角度来看,整个过程以透明的方式进行。用户在贵组织的内部门户网站中开始操作,在 Amazon QuickSight 应用程序门户网站中结束操作,无需提供任何 Amazon 凭证。

在下图中,您可以找到 Amazon QuickSight 与第三方身份提供者(IdP)之间的身份验证流程。在本示例中,管理员设置了用于访问 Amazon 的登录页面 QuickSight,称为applications.example.com。当用户登录时,登录页面会向符合 SAML 2.0 的联合身份验证服务发布请求。最终用户从 IdP 的登录页面启动身份验证。

Amazon QuickSight SAML 示意图。该图包含两个框。第一个介绍企业内的身份验证过程。第二个介绍 Amazon内的身份验证。在该表后面的文本中介绍了该过程。