本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置服务提供商启动的与 Amazon Enterprise 版的联合 QuickSight
| 适用于:企业版 |
| 目标受众:系统管理员 |
注意
IAM 联合身份验证不支持将身份提供商群组与 Amazon QuickSight 同步。
使用 Amazon Identity and Access Management (IAM) 配置身份提供商后,您可以通过亚马逊 QuickSight 企业版设置服务提供商启动的登录。要使 QuickSight启动的 IAM 联合发挥作用,您需要授权才能将身份验证请求发送 QuickSight 给您的 IdP。 QuickSight 管理员可以通过添加 IdP 提供的以下信息来对此进行配置:
-
IdP 网址 — QuickSight 将用户重定向到此 URL 进行身份验证。
-
中继状态参数 – 此参数可中继浏览器会话被重定向以进行身份验证时所处的状态。身份验证后,IdP 会将用户重定向回原始状态。状态以 URL 的形式提供。
下表显示了用于将用户重定向到您提供的 Amazon URL 的标准身份验证 QuickSight URL 和中继状态参数。
| 身份提供商 | 参数 | 身份验证 URL |
|---|---|---|
|
Auth0 |
|
|
|
Google 账户 |
|
|
|
Microsoft Azure |
|
|
|
Okta |
|
|
|
PingFederate |
|
|
|
PingOne |
|
|
QuickSight 每人支持连接一个 IdP。 Amazon Web Services 账户中的配置页面根据您输入的内容 QuickSight 为您提供测试 URL,因此您可以在开启该功能之前测试设置。为了使该过程更加顺畅,请 QuickSight 提供一个参数 (enable-sso=0) 来暂时关闭 QuickSight 已启动的 IAM 联合,以防您需要暂时将其禁用。
设置为可以 QuickSight 为现有 IdP 启动 Iam 联合身份验证的服务提供商
-
请确保您已经在您的 IdP、IAM 和中设置了 IAM 联合。 QuickSight要测试此设置,请检查您是否可以与公司域中的其他人共享控制面板。
-
打开 QuickSight,然后 QuickSight从右上角的个人资料菜单中选择 “管理”。
要执行此过程,您需要成为 QuickSight 管理员。如果不是,则无法 QuickSight在个人资料菜单下看到 “管理”。
-
从导航窗格中选择单点登录(IAM 联合身份验证)。
-
在配置、IdP URL 中,输入您的 IdP 提供的用于对用户进行身份验证的 URL。
-
例如,对于 IdP URL,输入您的 IdP 提供的用于中继状态的参数,例如
RelayState。参数的实际名称由您的 IdP 提供。 -
测试登录:
-
要使用您的身份提供者测试登录,请使用使用您的 IdP 开始测试中提供的自定义 URL。你应该到达起始页 QuickSight,例如 https://quicksight.aws.amazon.com/sn/start。
-
要 QuickSight 先测试登录,请使用测试 end-to-end体验中提供的自定义 URL。该
enable-sso参数将附加到 URL 中。如果是enable-sso=1,IAM 联合身份验证会尝试进行身份验证。
-
-
选择保存,保存您的设置。
启用服务提供商发起的 IAM 联合身份验证 IdP
-
确保您的 IAM 联合身份验证设置已配置且经过测试。如果您不确定配置,请使用前面步骤中的 URL 测试连接。
-
打开 QuickSight,然后 QuickSight从个人资料菜单中选择 “管理”。
-
从导航窗格中选择单点登录(IAM 联合身份验证)。
-
对于状态,请选择开启。
-
断开与 IdP 的连接并打开,以验证它是否正常工作。 QuickSight
禁用服务提供商发起的 IAM 联合身份验证
-
打开 QuickSight,然后 QuickSight从个人资料菜单中选择 “管理”。
-
从导航窗格中选择单点登录(IAM 联合身份验证)。
-
对于状态,请选择禁用。