在 Amazon 中为联合用户配置电子邮件同步 QuickSight - Amazon QuickSight
步骤 1:更新 IAM 角色的信任关系步骤 2:添加 SAML 属性或 OIDC 令牌步骤 3:开启电子邮件同步功能
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 中为联合用户配置电子邮件同步 QuickSight

 适用于:企业版 
   目标受众:系统管理员和 Amazon QuickSight 管理员 
注意

IAM 联合身份验证不支持将身份提供商群组与 Amazon QuickSight 同步。

在 Amazon E QuickSight nterprise 版中,作为管理员,您可以限制新用户在通过身份提供商 (IdP) 直接向其进行配置时使用个人电子邮件地址。 QuickSight QuickSight 然后在为您的账户配置新用户时,使用通过 IdP 传递的预配置电子邮件地址。例如,您可以设定在通过您的 IdP 向您的 QuickSight 账户配置用户时,仅使用公司分配的电子邮件地址。

注意

确保您的用户直接 QuickSight 通过其 IdP 进行联合。 Amazon Web Services Management Console 通过他们的 IdP 联合,然后点击 QuickSight 进入会导致错误,他们将无法访问。 QuickSight

在中为联合用户配置电子邮件同步时 QuickSight,首次登录您 QuickSight 账户的用户会预先分配电子邮件地址。这些用于注册他们的账户。使用这种方法,用户可以通过输入电子邮件地址来手动绕过。此外,用户不能使用可能与您(管理员)规定的电子邮件地址不同的电子邮件地址。

QuickSight 支持通过支持 SAML 或 OpenID Connect (OIDC) 身份验证的 IdP 进行配置。要在通过 IdP 预置时为新用户配置电子邮件地址,请更新他们与 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 一起使用的 IAM 角色的信任关系。然后在其 IdP 中添加 SAML 属性或 OIDC 令牌。最后,您可以在中 QuickSight为联合用户开启电子邮件同步。

以下过程将详细介绍这些步骤。

步骤 1:使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任关系

您可以配置电子邮件地址供用户在通过 IdP 进行配置时使用。 QuickSight为此,将 sts:TagSession 操作添加到与 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 一起使用的 IAM 角色的信任关系中。这样,您可以在用户代入角色时传入 principal 标签。

以下示例说明了 IdP 为 Okta 时更新后的 IAM 角色。要使用此示例,将 Federated Amazon 资源名称(ARN)更新为您服务提供商的 ARN。您可以将红色项目替换为您 Amazon 和 IdP 服务的特定信息。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

步骤 2:在 IdP 中为 IAM 主体标签添加 SAML 属性或 OIDC 令牌

按照上一节所述更新 IAM 角色的信任关系后,在您的 IdP 中为 IAM Principal 标签添加 SAML 属性或 OIDC 令牌。

以下示例说明了 SAML 属性和 OIDC 令牌。要使用这些示例,将电子邮件地址替换为 IdP 中指向用户电子邮件地址的变量。您可以用您的信息替换以红色突出显示的项目。

  • SAML 属性:以下示例说明了 SAML 属性。

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    注意

    如果您使用 Okta 作为 IdP,请务必在您的 Okta 用户账户中开启功能标记,以使用 SAML。有关更多信息,请参阅 Okta 博客上的 Okta 和 Amazon 合作伙伴通过会话标签简化访问

  • OIDC 令牌:以下示例说明了 OIDC 令牌示例。

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

步骤 3:在中为联合用户开启电子邮件同步 QuickSight

如前所述,更新 IAM 角色的信任关系,并在您的 IdP 中为 IAM Principal 标签添加 SAML 属性或 OIDC 令牌。然后,按照以下过程所述,在中 QuickSight 为联合用户开启电子邮件同步。

为联合用户开启电子邮件同步功能

  1. 在任一页面中 QuickSight,在右上角选择您的用户名,然后选择管理 QuickSight

  2. 在左侧菜单中选择单点登录(IAM 联合身份验证)

  3. 服务提供商发起的 IAM 联合身份验证页面上,对于联合用户的电子邮件同步,选择打开

    当为联合用户开启电子邮件同步功能时, QuickSight 使用您在步骤 1 和步骤 2 中配置的电子邮件地址向您的账户配置新用户。用户无法输入自己的电子邮件地址。

    当联合用户的电子邮件同步功能关闭时, QuickSight 会要求用户在为您的账户配置新用户时手动输入其电子邮件地址。他们可以使用他们想要的任何电子邮件地址。