从身份提供者(IdP)启动登录 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从身份提供者(IdP)启动登录

   适用于:企业版和标准版 
   目标受众:系统管理员 
注意

IAM 联合身份验证不支持将身份提供商群组与 Amazon QuickSight 同步。

在这种情况下,您的用户从身份提供者的门户网站启动登录过程。用户通过身份验证后,他们将登录 QuickSight。在 QuickSight 确认他们已获得授权后,您的用户就可以访问 QuickSight了。

从用户登录 IdP 开始,身份验证将按以下步骤进行:

  1. 用户浏览 https://applications.example.com 并登录 IdP。此时,用户尚未登录服务提供商。

  2. 联合身份验证服务和 IdP 对用户进行身份验证:

    1. 联合身份验证服务请求从组织的身份存储进行身份验证。

    2. 该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。

    3. 在身份验证成功后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。

  3. 用户打开 QuickSight:

    1. 用户的浏览器将 SAML 断言发布到 Amazon 登录 SAML 端点 ()。https://signin.aws.amazon.com/saml

    2. Amazon Sign-In 接收 SAML 请求,处理请求,对用户进行身份验证,并将身份验证令牌转发给 Amazon 服务。 QuickSight

  4. Amazon QuickSight 接受来自用户的身份验证令牌 Amazon 并出示 QuickSight 给用户。

从用户的角度来看,整个过程以透明的方式进行。用户从贵组织的内部门户网站开始,登陆亚马逊 QuickSight 应用程序门户,无需提供任何 Amazon 凭证。

在下图中,您可以找到 Amazon QuickSight 与第三方身份提供商 (IdP) 之间的身份验证流程。在此示例中,管理员设置了一个名为 applications.example.com Amazon QuickSight 的登录页面。当用户登录时,登录页面会向符合 SAML 2.0 的联合身份验证服务发布请求。最终用户从 IdP 的登录页面启动身份验证。

亚马逊 QuickSight SAML 示意图。该图包含两个框。第一个介绍企业内的身份验证过程。第二个描述了内部的身份验证 Amazon。在该表后面的文本中介绍了该过程。