本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 IAM 和 Amazon Quick 设置 IdP 联合
<a name="external-identity-providers-setting-up-saml"></a>


|  | 
| --- |
|    适用于：企业版和标准版  | 


|  | 
| --- |
|    目标受众：系统管理员  | 

**注意**  
IAM 联合身份验证不支持将身份提供商群组与 Amazon Quick 同步。

您可以使用 AWS Identity and Access Management (IAM) 角色和中继状态 URL 来配置符合 SAML 2.0 标准的身份提供商 (IdP)。该角色向用户授予访问 Amazon Quick 的权限。中继状态是在 AWS成功进行身份验证后将用户转发到的门户。

**Topics**
+ [先决条件](#external-identity-providers-setting-up-prerequisites)
+ [步骤 1：在中创建 SAML 提供商 AWS](#external-identity-providers-create-saml-provider)
+ [步骤 2：在中 AWS 为您的联合用户配置权限](#external-identity-providers-grantperms)
+ [步骤 3：配置 SAML IdP](#external-identity-providers-config-idp)
+ [步骤 4：为 SAML 身份验证响应创建断言](#external-identity-providers-create-assertions)
+ [步骤 5：配置您的联合身份验证的中继状态](#external-identity-providers-relay-state)

## 先决条件
<a name="external-identity-providers-setting-up-prerequisites"></a>

在配置 SAML 2.0 连接之前，请执行以下操作：
+ 配置 IdP 以建立与亚马逊云科技的信任关系：
  + 在贵组织的网络内，将您的身份存储，例如，Windows Active Directory，与基于 SAML 的 IdP 一起工作。基于 SAML 的 IdPs 包括 Active Directory 联合服务、Shibboleth 等。
  + 通过使用 IdP，可以生成一个元数据文档，此文档将您的组织描述为身份提供者。
  + 通过使用与 AWS 管理控制台相同的步骤，设置 SAML 2.0 身份验证。此过程完成后，您可以将中继状态配置为与 Quick 的中继状态相匹配。有关更多信息，请参阅[配置联盟的中继状态](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state)。
+ 创建一个 Amazon Quick 账户，记下在配置 IAM 策略和 IdP 时要使用的名称。有关创建 Amazon Quick 账户的更多信息，请参阅[注册 Amazon Quick 订阅](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)。

按照教程中的概述创建要联合 AWS 管理控制台 的设置后，您可以编辑本教程中提供的中继状态。您可以使用 Amazon Quick 的中继状态执行此操作，如以下步骤 5 所述。

有关更多信息，请参阅以下资源：
+ 《*IAM 用户指南*》中的[将第三方 SAML 解决方案提供者与 AWS集成](https://docs.aws.amazon.com/singlesignon/latest/userguide/)。
+  对 [SAML 2.0 联合身份验证进行故障排除 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)，同样在 *IAM 用户指南*中。
+ 在 [ADFS AWS 和 Active Directory 凭证之间建立信任并使用 ODBC 驱动程序连接到 Amazon Athena — 尽管你不需要设置](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) Athena 即可使用 Amazon Quick，但这篇演练文章很有帮助。

## 步骤 1：在中创建 SAML 提供商 AWS
<a name="external-identity-providers-create-saml-provider"></a>

您的 SAML 身份提供商将您组织的 Id AWS P 定义为。它通过使用之前通过 IdP 生成的元数据文档来进行此设置。

**要在中创建 SAML 提供商 AWS**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 创建一个新的 SAML 提供者，该提供者是 IAM 中包含贵组织的身份提供者的相关信息的实体。有关更多信息，请参阅《IAM 用户指南》**中的[创建 SAML 身份提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。

1. 在此过程中，您可以上传由上一部分中记录的您的组织中的 IdP 软件生成的元数据文档。

## 步骤 2：在中 AWS 为您的联合用户配置权限
<a name="external-identity-providers-grantperms"></a>

下一步是创建一个 IAM 角色，以在 IAM 与贵组织的 IdP 之间建立信任关系。该角色将您的 IdP 标识为委托人 (可信实体) 以实现联合身份验证目的。该角色还定义允许哪些经过贵组织的 IdP 身份验证的用户访问 Amazon Quick。有关为 SAML IdP 创建角色的更多信息，请参阅《IAM 用户指南》**中的[创建用于 SAML 2.0 联合身份验证的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)。

创建角色后，您可以通过为角色附加内联策略将该角色限制为仅拥有 Amazon Quick 的权限。以下示例政策文档提供了对 Amazon Quick 的访问权限。该政策允许用户访问 Amazon Quick，并允许他们同时创建作者账户和读者账户。

**注意**  
在以下示例中，替换*<YOUR\$1AWS\$1ACCOUNT\$1ID>*为您的 12 位数字 AWS 账户 ID（不带连字符 “−”）。

```
    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }
```

如果您想提供对 Amazon Quick 的访问权限以及创建 Amazon Quick 管理员、作者（标准用户）和读者的权限，则可以使用以下策略示例。

```
    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }
```

您可以在中查看账户详情 AWS 管理控制台。

设置 SAML 和 IAM 策略后，您将无需手动邀请用户。用户首次打开 Amazon Quick 时，系统会使用策略中最高级别的权限自动对其进行配置。例如，如果他们同时具有 `quicksight:CreateUser` 和 `quicksight:CreateReader` 权限，则将其预置为作者。如果他们具有 `quicksight:CreateAdmin` 权限，则将其预置为管理员。每个权限级别可以创建相同级别的用户和以下级别用户。例如，作者可以添加其他作者或读者。

手动邀请的用户是在邀请他们的人员分配的角色中创建的。他们不需要具有为其授予权限的策略。

## 步骤 3：配置 SAML IdP
<a name="external-identity-providers-config-idp"></a>

创建 IAM 角色后，将您的 SAML IdP 更新为 AWS 服务提供商。为此，请安装在 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) 中找到的`saml-metadata.xml`文件。

要更新 IdP 元数据，请参阅您的 IdP 提供的说明。一些提供商为您提供了键入该 URL 的选项，此时，IdP 将为您获取并安装该文件。另一些提供商则要求您从该 URL 处下载该文件，然后将其作为本地文件提供。

有关更多信息，请参阅您的 IdP 文档。

## 步骤 4：为 SAML 身份验证响应创建断言
<a name="external-identity-providers-create-assertions"></a>

接下来，配置 IdP 在身份验证响应中作为 SAML 属性传递的信息。 AWS 有关更多信息，请参阅 *IAM 用户指南*中的[为身份验证响应配置 SAML 断言](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。

## 步骤 5：配置您的联合身份验证的中继状态
<a name="external-identity-providers-relay-state"></a>

最后，将联盟的中继状态配置为指向 Amazon Quick 中继状态 URL。成功通过身份验证后 AWS，用户将被定向到 Amazon Quick，在 SAML 身份验证响应中定义为中继状态。

Amazon Quick 的中继状态网址如下。

```
https://quicksight.aws.amazon.com
```