本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 IAM 和 Amazon Quick 設定 IdP 聯合
<a name="external-identity-providers-setting-up-saml"></a>


|  | 
| --- |
|    適用對象：企業版和標準版  | 


|  | 
| --- |
|    目標對象：系統管理員  | 

**注意**  
IAM 聯合身分不支援同步身分提供者群組與 Amazon Quick。

您可以使用 AWS Identity and Access Management (IAM) 角色和轉送狀態 URL 來設定符合 SAML 2.0 的身分提供者 (IdP)。角色會授予使用者存取 Amazon Quick 的許可。轉送狀態是 AWS成功驗證身分後將使用者轉送到其中的入口網站。

**Topics**
+ [先決條件](#external-identity-providers-setting-up-prerequisites)
+ [步驟 1：在 中建立 SAML 供應商 AWS](#external-identity-providers-create-saml-provider)
+ [步驟 2： AWS 為您的聯合身分使用者在 中設定許可](#external-identity-providers-grantperms)
+ [步驟 3：設定 SAML IdP](#external-identity-providers-config-idp)
+ [步驟 4：為 SAML 身分驗證回應建立聲明](#external-identity-providers-create-assertions)
+ [步驟 5：設定聯合的轉送狀態](#external-identity-providers-relay-state)

## 先決條件
<a name="external-identity-providers-setting-up-prerequisites"></a>

設定 SAML 2.0 連線之前，請執行下列動作：
+ 設定您的 IdP 與 AWS 建立信任關係：
  + 在組織的網路內，設定身分存放區 (例如，Windows Active Directory) 用於以 SAML 為基礎的 IdP。以 SAML 為基礎的 IdP 包含 Active Directory Federation Services、Shibboleth 等等。
  + 使用 IdP 產生一個中繼資料文件，該文件將您的組織描述為身分提供商。
  + 使用 AWS 管理主控台的相同步驟，設定 SAML 2.0 的身分驗證。當此程序完成時，您可以設定轉送狀態以符合 Quick 的轉送狀態。如需詳細資訊，請參閱[設定聯合的轉送狀態](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state)。
+ 建立 Amazon Quick 帳戶，並記下設定 IAM 政策和 IdP 時要使用的名稱。如需建立 Amazon Quick 帳戶的詳細資訊，請參閱[註冊 Amazon Quick 訂閱](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)。

如教學課程 AWS 管理主控台 所述建立與 聯合的設定後，您可以編輯教學課程中提供的轉送狀態。您可以使用 Amazon Quick 的轉送狀態來執行此操作，如以下步驟 5 所述。

如需詳細資訊，請參閱下列資源：
+ *IAM User Guide* 中的 [Integrating Third-Party SAML Solution Providers with AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/)。
+  [使用 進行 SAML 2.0 聯合的故障診斷 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)，也請參閱《*IAM 使用者指南*》中的 。
+ [設定 ADFS 與 之間的信任 AWS ，以及使用 Active Directory 登入資料透過 ODBC 驅動程式連線至 Amazon Athena ](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) – 雖然您不需要設定 Athena 才能使用 Amazon Quick，但此演練文章很有幫助。

## 步驟 1：在 中建立 SAML 供應商 AWS
<a name="external-identity-providers-create-saml-provider"></a>

您的 SAML 身分提供者會定義組織的 IdP AWS。這會使用您先前使用 IdP 產生的中繼資料文件進行定義。

**在 中建立 SAML 供應商 AWS**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 建立新的 SAML 提供者，該提供者是 IAM 中包含您組織之身分提供者的相關資訊之實體。如需詳細資訊，請參閱《IAM 使用者指南》**中的[建立 SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。

1. 在此過程中，上傳在前一章節中由組織中的 IdP 軟體所產生的中繼資料文件。

## 步驟 2： AWS 為您的聯合身分使用者在 中設定許可
<a name="external-identity-providers-grantperms"></a>

接著，建立 IAM 角色，以便建立 IAM 和組織的 IdP 之間的信任關係。這個角色會基於聯合目的將您的 IdP 識別為委託人 (信任的實體)。此角色也會定義允許哪些由組織 IdP 驗證的使用者存取 Amazon Quick。如需有關建立用於 SAML IdP 的角色的詳細資訊，請參閱《IAM 使用者指南》中的[為 SAML 2.0 聯合身分建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)。**

建立角色之後，您可以透過將內嵌政策連接至角色，將角色限制為只有 Amazon Quick 的許可。下列範例政策文件提供 Amazon Quick 的存取權。此政策允許使用者存取 Amazon Quick，並允許他們建立作者帳戶和讀者帳戶。

**注意**  
在下列範例中，將 *<YOUR\$1AWS\$1ACCOUNT\$1ID>* 取代為 12 位數的 AWS 帳戶 ID (不含連字號 '‐')。

```
    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }
```

如果您想要提供 Amazon Quick 的存取權，以及建立 Amazon Quick 管理員、作者 （標準使用者） 和讀者的功能，您可以使用下列政策範例。

```
    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }
```

您可以在 中檢視帳戶詳細資訊 AWS 管理主控台。

在您設定一項或多項 SAML 和 IAM 政策之後，您不需要手動邀請使用者。使用者第一次開啟 Amazon Quick 時，會使用政策中的最高層級許可自動佈建。例如，如果使用者有 `quicksight:CreateUser` 和 `quicksight:CreateReader` 的許可，則系統會將這些使用者佈建為作者。如果使用者也有 `quicksight:CreateAdmin` 的許可，則會佈建成為管理員。每個許可層級均能夠建立相同層級和以下層級的使用者。例如，作者可以新增其他作者或讀者。

在邀請使用者的人員所指派的角色中，會建立獲得手動邀請的使用者。使用者不需要有授予許可的政策。

## 步驟 3：設定 SAML IdP
<a name="external-identity-providers-config-idp"></a>

建立 IAM 角色之後，請將您的 SAML IdP 更新 AWS 為服務提供者。為此，請安裝在 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) 找到的 `saml-metadata.xml` 檔案。

若要更新 IdP 中繼資料，請參閱 IdP 提供的指示。部分提供者為您提供了輸入該 URL 的選項，此後，IdP 將為您取得並安裝該檔案。另一些提供者則要求您從該 URL 處下載檔案，然後將其做為本機檔案提供。

如需詳細資訊，請參閱 IdP 文件。

## 步驟 4：為 SAML 身分驗證回應建立聲明
<a name="external-identity-providers-create-assertions"></a>

接著，設定 IdP 做為 SAML 屬性傳遞至 的資訊 AWS ，做為身分驗證回應的一部分。如需詳細資訊，請參閱《IAM 使用者指南》中的的[為身分驗證回應設定 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。**

## 步驟 5：設定聯合的轉送狀態
<a name="external-identity-providers-relay-state"></a>

最後，設定聯合的轉送狀態，以指向 Amazon Quick 轉送狀態 URL。身分驗證成功後 AWS，會將使用者導向 Amazon Quick，定義為 SAML 身分驗證回應中的轉送狀態。

Amazon Quick 的轉送狀態 URL 如下所示。

```
https://quicksight.aws.amazon.com
```