使用 Amazon Enterprise 版设置服务提供商启动的联合身份验证 QuickSight - Amazon QuickSight
设置为可以 QuickSight 为现有 IdP 启动 IAM 联合身份验证的服务提供商启用服务提供商发起的 IAM 联合身份验证 IdP禁用服务提供商发起的 IAM 联合身份验证
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Enterprise 版设置服务提供商启动的联合身份验证 QuickSight

 适用于:企业版 
   目标受众:系统管理员 
注意

IAM 身份联合验证不支持将身份提供者组与 Amazon QuickSight 同步。

使用 Amazon Identity and Access Management (IAM)配置身份提供者后,您可以通过 Ama QuickSight zon 企业版设置由服务提供商启动的登录。要使 QuickSight启动的 IAM 联合身份验证正常运行,您需要授权 QuickSight 才能向您的 IdP 发送身份验证请求。 QuickSight 管理员可以通过添加 IdP 提供的以下信息来对其进行配置:

  • IdP URL — QuickSight 将用户重定向到此 URL 进行身份验证。

  • 中继状态参数 – 此参数可中继浏览器会话被重定向以进行身份验证时所处的状态。身份验证后,IdP 会将用户重定向回原始状态。状态以 URL 的形式提供。

下表列出了标准身份验证 URL 和中继状态参数,该参数用于将用户重定向到您提供 QuickSight 的 Amazon URL。

身份提供商 参数 身份验证 URL

Auth0

RelayState

https://<sub_domain>.auth0.com/samlp/<app_id>

Google 账户

RelayState

https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false

Microsoft Azure

RelayState

https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>

Okta

RelayState

https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml

PingFederate

TargetResource

https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>

PingOne

TargetResource

https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

QuickSight 支持每个连接一个 IdP。 Amazon Web Services 账户中的 QuickSight 配置页面 URLs 根据您输入的内容为您提供测试,因此您可以在开启该功能之前测试设置。要使流程更加顺畅,应 QuickSight 提供一个参数(enable-sso=0),用于暂时关闭 QuickSight 已启动的 IAM 联合身份验证,以防您需要暂时将其禁用。

设置为可以 QuickSight 为现有 IdP 启动 IAM 联合身份验证的服务提供商

  1. 确保您已在您的 IdP、IAM 和中设置了 IAM 联合身份验证。 QuickSight要测试此设置,请检查您是否可以与公司域中的其他人共享控制面板。

  2. 打开 QuickSight,然后 QuickSight从右上角的配置文件菜单中选择管理

    要执行此流程,您需要成为 QuickSight 管理员。如果不是,则无法在配置文件菜单 QuickSight下方看到管理

  3. 从导航窗格中选择单点登录(IAM 联合身份验证)

  4. 配置IdP URL 中,输入您的 IdP 提供的用于对用户进行身份验证的 URL。

  5. 例如,对于 IdP URL,输入您的 IdP 提供的用于中继状态的参数,例如 RelayState。参数的实际名称由您的 IdP 提供。

  6. 测试登录:

    • 要使用您的身份提供者测试登录,请使用使用您的 IdP 开始测试中提供的自定义 URL。您应该来到起始页 QuickSight,例如 st https://quicksight.aws.amazon.com/sn/ art。

    • 要 QuickSight 先使用测试登录,请使用测试 end-to-end体验中提供的自定义 URL。该 enable-sso 参数将附加到 URL 中。如果是 enable-sso=1,IAM 联合身份验证会尝试进行身份验证。

  7. 选择保存,保存您的设置。

启用服务提供商发起的 IAM 联合身份验证 IdP

  1. 确保您的 IAM 联合身份验证设置已配置且经过测试。如果您不确定配置,请使用前面步骤 URLs 中的测试连接。

  2. 打开 QuickSight并 QuickSight从配置文件菜单中选择管理

  3. 从导航窗格中选择单点登录(IAM 联合身份验证)

  4. 对于状态,请选择开启

  5. 断开与 IdP 的连接并打开,验证它是否正常工作。 QuickSight

禁用服务提供商发起的 IAM 联合身份验证

  1. 打开 QuickSight并 QuickSight从配置文件菜单中选择管理

  2. 从导航窗格中选择单点登录(IAM 联合身份验证)

  3. 对于状态,请选择禁用