在 Amazon 中为联合用户配置电子邮件同步 QuickSight - Amazon QuickSight
步骤 1:更新 IAM 角色的信任关系步骤 2:添加 SAML 属性或 OIDC 令牌步骤 3:开启电子邮件同步功能
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 中为联合用户配置电子邮件同步 QuickSight

 适用于:企业版 
   目标受众:系统管理员和 Amazon QuickSight 管理员 
注意

IAM 身份联合验证不支持将身份提供者组与 Amazon QuickSight 同步。

在 Amazon QuickSight 企业版中,作为管理员,您可以限制新用户在通过身份提供者(IdP)直接预置时使用个人电子邮件地址。 QuickSight QuickSight 然后使用通过 IdP 传递的预置电子邮件地址,为您的账户预置新用户。例如,当用户通过您的 IdP 预置到您的 QuickSight 账户时,您可以仅使用公司分配的电子邮件地址。

注意

确保您的用户 QuickSight 通过其 IdP 直接与 IdP 联合。 Amazon Web Services Management Console 通过其 IdP 与联合,然后点击 QuickSight 进入,会导致错误,他们将无法访问。 QuickSight

在中为联合用户配置电子邮件同步时 QuickSight,会预先向首次登录您 QuickSight 账户的用户分配电子邮件地址。这些用于注册他们的账户。使用这种方法,用户可以通过输入电子邮件地址来手动绕过。此外,用户不能使用可能与您(管理员)规定的电子邮件地址不同的电子邮件地址。

QuickSight 支持通过支持 SAML 或 OpenID Connect(OIDC)身份验证的 IdP 进行预置。要在通过 IdP 预置时为新用户配置电子邮件地址,请更新他们与 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 一起使用的 IAM 角色的信任关系。然后在其 IdP 中添加 SAML 属性或 OIDC 令牌。最后,在中 QuickSight为联合用户开启电子邮件同步功能。

以下过程将详细介绍这些步骤。

步骤 1:使用 AssumeRoleWithSAML 或 AssumeRoleWithWebIdentity 更新 IAM 角色的信任关系

您可以配置电子邮件地址供用户在通过 IdP 预置到 IdP 时使用。 QuickSight为此,将 sts:TagSession 操作添加到与 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 一起使用的 IAM 角色的信任关系中。这样,您可以在用户代入角色时传入 principal 标签。

以下示例说明了 IdP 为 Okta 时更新后的 IAM 角色。要使用此示例,将 Federated Amazon 资源名称(ARN)更新为您服务提供商的 ARN。您可以将红色项目替换为您的 Amazon 和 IdP 服务特定信息。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

步骤 2:在 IdP 中为 IAM 主体标签添加 SAML 属性或 OIDC 令牌

按照上一节所述更新 IAM 角色的信任关系后,在您的 IdP 中为 IAM Principal 标签添加 SAML 属性或 OIDC 令牌。

以下示例说明了 SAML 属性和 OIDC 令牌。要使用这些示例,将电子邮件地址替换为 IdP 中指向用户电子邮件地址的变量。您可以用您的信息替换以红色突出显示的项目。

  • SAML 属性:以下示例说明了 SAML 属性。

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    注意

    如果您使用 Okta 作为 IdP,请务必在您的 Okta 用户账户中开启功能标记,以使用 SAML。有关更多信息,请参阅 Okta 博客上的 Okta 与 Amazon 合作,通过会话标签简化访问

  • OIDC 令牌:以下示例说明了 OIDC 令牌示例。

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

步骤 3:在中为联合用户开启电子邮件同步功能 QuickSight

如前所述,更新 IAM 角色的信任关系,并在您的 IdP 中为 IAM Principal 标签添加 SAML 属性或 OIDC 令牌。然后在中为联合用户开启电子邮件同步功能, QuickSight 如以下过程所述。

为联合用户开启电子邮件同步功能

  1. 从中的任何页面 QuickSight,在右上角选择您的用户名,然后选择管理 QuickSight

  2. 在左侧菜单中选择单点登录(IAM 联合身份验证)

  3. 服务提供商发起的 IAM 联合身份验证页面上,对于联合用户的电子邮件同步,选择打开

    当联合用户的电子邮件同步功能开启时,将 QuickSight 使用您在步骤 1 和步骤 2 中配置的电子邮件地址向您的账户预置新用户。用户无法输入自己的电子邮件地址。

    当联合用户的电子邮件同步功能关闭时,将 QuickSight 让用户手动输入他们的电子邮件地址,向您的账户预置新用户。他们可以使用他们想要的任何电子邮件地址。