Amazon QuickSight là một dịch vụ thông minh kinh doanh (BI) được cấp phép bởi máy học (ML) có thể mở rộng, không máy chủ, có thể nhúng, được xây dựng cho đám mây hỗ trợ liên kết nhận dạng trong cả phiên bản Tiêu chuẩn và Doanh nghiệp. Các tổ chức đang nỗ lực hướng tới việc tập trung hóa danh tính và chiến lược truy cập trên tất cả các ứng dụng của họ, bao gồm tại chỗ, bên thứ ba và các ứng dụng trên AWS. Nhiều tổ chức sử dụng Không gian làm việc của Google để kiểm soát và quản lý xác thực và ủy quyền người dùng một cách tập trung. Bạn có thể bật liên kết với tài khoản QuickSight mà không cần tạo và quản lý người dùng. Điều này cho phép người dùng truy cập nội dung QuickSight — phân tích, trang tổng quan, thư mục và tập dữ liệu — thông qua Google Workspace Identities được quản lý tập trung.
Trong bài đăng này, chúng tôi đi qua các bước để định cấu hình đăng nhập một lần được liên kết (SSO) giữa phiên bản Google Workspace và tài khoản QuickSight. Chúng tôi chứng minh việc đăng ký ứng dụng SSO trong Google Workspace và ánh xạ các vai trò của QuickSight (quản trị viên, tác giả và người đọc) với Google Workspace Identities. Các vai trò QuickSight này đại diện cho ba tính cách khác nhau được hỗ trợ trong QuickSight. Quản trị viên có thể xuất bản ứng dụng QuickSight trong Trang tổng quan không gian làm việc của Google để cho phép người dùng SSO tới QuickSight bằng thông tin đăng nhập Google Workspace của họ.
Tổng quan về giải pháp
Trong tổ chức của bạn, cổng thông tin thường là một chức năng của nhà cung cấp danh tính (IdP), xử lý việc trao đổi sự tin cậy giữa tổ chức của bạn và QuickSight.
trên Trang tổng quan không gian làm việc của Google, bạn có thể xem lại danh sách các ứng dụng. Bài đăng này hướng dẫn bạn cách định cấu hình ứng dụng tùy chỉnh cho AWS.
Luồng người dùng bao gồm các bước sau:
- Người dùng đăng nhập vào cổng thông tin của tổ chức bạn và chọn tùy chọn để truy cập bảng điều khiển QuickSight.
- Cổng thông tin xác minh danh tính của người dùng trong tổ chức của bạn.
- Cổng thông tin tạo phản hồi xác thực SAML bao gồm các xác nhận xác định người dùng và bao gồm các thuộc tính về người dùng. Cổng thông tin gửi phản hồi này đến trình duyệt của khách hàng. Mặc dù không được thảo luận ở đây, bạn cũng có thể định cấu hình IdP của mình để bao gồm thuộc tính xác nhận SAML được gọi là Thời lượng phiên chỉ định thời gian phiên giao diện điều khiển hợp lệ.
- Trình duyệt máy khách được chuyển hướng đến điểm cuối đăng nhập một lần AWS và đăng xác nhận SAML.
- Điểm cuối thay mặt người dùng yêu cầu thông tin xác thực bảo mật tạm thời và tạo URL đăng nhập QuickSight sử dụng các thông tin xác thực đó.
- AWS gửi lại URL đăng nhập cho khách hàng dưới dạng chuyển hướng.
- Trình duyệt máy khách được chuyển hướng đến bảng điều khiển QuickSight. Nếu phản hồi xác thực SAML bao gồm các thuộc tính ánh xạ đến nhiều Quản lý truy cập và nhận dạng AWS (IAM) vai trò, người dùng trước tiên được nhắc chọn vai trò để truy cập bảng điều khiển.
Sơ đồ sau minh họa kiến trúc giải pháp.
Sau đây là các bước cấp cao để thiết lập quyền truy cập đăng nhập một lần được liên kết qua Google Workspace:
- Tải xuống thông tin Google IdP.
- Tạo IAM IdP với Google dưới dạng SAML IdP.
- Định cấu hình các chính sách IAM cho các vai trò QuickSight.
- Định cấu hình vai trò IAM QuickSight cho người dùng được liên kết.
- Tạo thuộc tính người dùng tùy chỉnh trong Google Workspace.
- Thêm các thuộc tính AWS SAML vào hồ sơ người dùng Google Workspace của bạn.
- Thiết lập ứng dụng AWS SAML trong Google Workspace.
- Cấp quyền truy cập cho người dùng trong Google Workspace.
- Xác minh quyền truy cập được liên kết vào phiên bản QuickSight của bạn.
Quy trình chi tiết cho từng bước này bao gồm phần còn lại của bài đăng này.
Điều kiện tiên quyết
Đối với hướng dẫn này, bạn nên có các điều kiện tiên quyết sau:
- A Không gian làm việc của Google đăng ký
- An Tài khoản AWS với đăng ký QuickSight
- Hiểu biết cơ bản về các vai trò của QuickSight — quản trị viên, tác giả và người đọc
- Hiểu biết cơ bản về IAM và các đặc quyền cần thiết để tạo nhà cung cấp danh tính IAM, vai trò, chính sách và người dùng
Tải xuống thông tin Google IdP
Trước tiên, hãy lấy siêu dữ liệu SAML chứa thông tin cần thiết để cho phép tài khoản AWS của bạn xác thực IdP và định vị các vị trí điểm cuối giao tiếp cần thiết. Hoàn thành các bước sau:
- Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google Workspace.
- Trên trang chủ Bảng điều khiển dành cho quản trị viên, trong Bảo mật trong ngăn điều hướng, chọn Xác thực và SSO với các ứng dụng SAML.
- Theo Siêu dữ liệu IdP, chọn Tải xuống siêu dữ liệu.
Tạo IAM IdP với Google dưới dạng SAML IdP
Bây giờ bạn định cấu hình Azure AD làm IdP SAML của mình thông qua bảng điều khiển IAM. Hoàn thành các bước sau:
- Trên bảng điều khiển IAM, chọn Nhà cung cấp danh tính trong khung điều hướng.
- Chọn Thêm nhà cung cấp.
- Trong Định cấu hình nhà cung cấp, lựa chọn SAML.
- Trong Tên nhà cung cấp, nhập tên cho IdP (chẳng hạn như
Google). - Trong Tài liệu siêu dữ liệu, chọn Chọn tập tin và chỉ định tài liệu siêu dữ liệu SAML mà bạn đã tải xuống.
- Chọn Thêm nhà cung cấp.
- Ghi lại Tên tài nguyên Amazon (ARN) bằng cách xem IdP bạn vừa tạo.
ARN sẽ trông tương tự như arn:aws:iam::<YOURACCOUNTNUMBER>:saml-provider/Google. Chúng tôi cần ARN này để định cấu hình các quy tắc xác nhận quyền sở hữu sau trong bài đăng này.
Định cấu hình chính sách IAM cho các vai trò QuickSight
Trong bước này, chúng tôi tạo ba chính sách IAM cho các quyền vai trò khác nhau trong QuickSight:
QuickSight-Federated-AdminQuickSight-Federated-AuthorQuickSight-Federated-Reader
Sử dụng các bước sau để thiết lập QuickSight-Federated-Admin điều luật. Chính sách này cấp đặc quyền quản trị viên trong QuickSight cho người dùng được liên kết:
- Trên bảng điều khiển IAM, chọn Điều Luật.
- Chọn Tạo chính sách.
- Chọn JSON và thay thế văn bản hiện có bằng mã sau:
- Chọn Chính sách đánh giá.
- Trong Họ tên, đi vào
QuickSight-Federated-Admin. - Chọn Tạo chính sách.
- Lặp lại các bước này để tạo
QuickSight-Federated-Authorvà sử dụng chính sách sau để cấp đặc quyền của tác giả trong QuickSight cho người dùng được liên kết: - Lặp lại các bước để tạo
QuickSight-Federated-Readervà sử dụng chính sách sau để cấp đặc quyền người đọc trong QuickSight cho người dùng được liên kết:
Định cấu hình vai trò IAM QuickSight cho người dùng được liên kết
Tiếp theo, tạo các vai trò mà người dùng Google IdP đảm nhận khi liên kết vào QuickSight. Các bước sau để thiết lập vai trò quản trị viên:
- Trên bảng điều khiển IAM, chọn Vai trò trong khung điều hướng.
- Chọn Tạo vai trò.
- Trong Loại thực thể đáng tin cậy, chọn Liên kết SAML 2.0.
- Trong Nhà cung cấp SAML, chọn nhà cung cấp bạn đã tạo trước đó (
Google). - Trong đặc tính, chọn SAML: kiểm tra.
- Trong Giá trị, đi vào
https://signin.aws.amazon.com/saml. - Chọn Sau.
- trên Thêm quyền trang, chọn
QuickSight-Federated-AdminChính sách IAM mà bạn đã tạo trước đó. - Chọn Sau.
- Trong Tên vai trò, đi vào
QuickSight-Admin-Role. - Trong Mô tả vai trò, nhập mô tả.
- Chọn Tạo vai trò.
- Trên bảng điều khiển IAM, trong ngăn dẫn hướng, hãy chọn Vai trò.
- Chọn
QuickSight-Admin-Rolevai trò bạn đã tạo để mở các thuộc tính của vai trò. - trên Mối quan hệ tin cậy tab, chọn Chỉnh sửa mối quan hệ tin cậy.
- Theo Các thực thể đáng tin cậy, xác minh rằng IdP bạn đã tạo được liệt kê.
- Theo
Condition, kiểm chứngSAML:audvới giá trị làhttps://signin.aws.amazon.com/samllà món quà. - Lặp lại các bước sau để tạo vai trò tác giả và người đọc và đính kèm các chính sách thích hợp:
- Trong
QuickSight-Author-Role, sử dụng chính sáchQuickSight-Federated-Author. - Trong
QuickSight-Reader-Role, sử dụng chính sáchQuickSight-Federated-Reader.
- Trong
- Điều hướng đến các vai trò mới được tạo và ghi chú ARN cho chúng.
Chúng tôi sử dụng các ARN này để định cấu hình các quy tắc xác nhận quyền sở hữu ở phần sau của bài đăng này. Chúng có định dạng sau:
arn:aws:iam:: <YOURACCOUNTNUMBER>:role/QuickSight-Admin-Rolearn:aws:iam:: <YOURACCOUNTNUMBER>:role/QuickSight-Author-Rolearn:aws:iam:: <YOURACCOUNTNUMBER>:role/QuickSight-Reader-Role
Tạo thuộc tính người dùng tùy chỉnh trong Google Workspace
Bây giờ, hãy tạo một thuộc tính người dùng tùy chỉnh trong Google Workspace của bạn. Điều này cho phép chúng tôi thêm các thuộc tính SAML mà Bảng điều khiển quản lý AWS mong đợi để cho phép xác thực dựa trên SAML.
- Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google với thông tin đăng nhập quản trị viên.
- Theo thư mục, chọn Người dùng.
- trên Lựa chọn khác menu, chọn Quản lý các thuộc tính tùy chỉnh.
- Chọn Thêm thuộc tính tùy chỉnh.
- Trong Chọn loại thực thể đáng tin cậy, chọn Liên kết SAML 2.0.
- Định cấu hình thuộc tính tùy chỉnh như sau:
- Phân loại: Amazon
- Mô tả: Thuộc tính tùy chỉnh của Amazon
- Trong Lĩnh vực tùy chỉnh, nhập theo chỉ dẫn:
- Họ tên:
Role - Loại thông tin: Bản văn
- Hình ảnh tốt: Hiển thị với người dùng và quản trị viên
- Số lượng giá trị: Đa giá trị
- Họ tên:
- Chọn Thêm.
Danh mục mới xuất hiện trên Quản lý thuộc tính người dùng .
Thêm các thuộc tính AWS SAML vào hồ sơ người dùng Google Workspace
Bây giờ chúng ta đã định cấu hình thuộc tính người dùng tùy chỉnh, hãy thêm các thuộc tính SAML mà chúng ta đã lưu ý trước đó vào hồ sơ người dùng Google Workspace.
- Trong khi đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google với thông tin đăng nhập quản trị, điều hướng đến Người dùng .
- Trong tạp chí Người dùng danh sách, tìm người dùng. Nếu bạn cần giúp đỡ, hãy xem Tìm một tài khoản người dùng.
- Chọn tên của người dùng để mở trang tài khoản của họ.
- Chọn Thông tin người dùng.
- Chọn thuộc tính tùy chỉnh mà bạn đã tạo gần đây, có tên là Amazon.
- Thêm giá trị vào thuộc tính tùy chỉnh này được ghi chú trước đó ở định dạng sau:
<AWS Role ARN>,<AWS provider/IdP ARN>. - Chọn Lưu.
Thiết lập ứng dụng AWS SAML trong Google Workspace
Bây giờ chúng tôi đã có mọi thứ, chúng tôi đã sẵn sàng tạo ứng dụng SAML trong tài khoản Google Workspace của mình và cung cấp URL bắt đầu phiên bản QuickSight. Điều này cung cấp điểm vào cho người dùng Google Workspace để SSO vào phiên bản QuickSight.
- Khi đã đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google bằng thông tin đăng nhập quản trị viên, dưới Apps, chọn Ứng dụng web và di động.
- Chọn Thêm ứng dụngvà Tìm kiếm ứng dụng.
- đăng ký hạng mục thi
Amazon Web Servicestrong trường tìm kiếm. - Trong kết quả tìm kiếm, di chuột qua ứng dụng Amazon Web Services SAML và chọn Chọn.
- trên Nhà cung cấp danh tính Google trang chi tiết, chọn Tiếp tục.
- trên Chi tiết nhà cung cấp dịch vụ trang, URL ACS và ID phap nhân các giá trị cho Dịch vụ Web của Amazon được định cấu hình theo mặc định.
- Trong URL bắt đầu, đi vào
https://quicksight.aws.amazon.com.
- trên Ánh xạ thuộc tính trang, chọn Chọn trường và ánh xạ các thuộc tính thư mục sau của Google với các thuộc tính Amazon Web Services tương ứng của chúng:
Thuộc tính thư mục của Google Thuộc tính dịch vụ web của Amazon Thông tin cơ bản> Email chính https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon> Vai trò https://aws.amazon.com/SAML/Attributes/Role 
- Chọn Kết thúc.
Cấp quyền truy cập cho người dùng trong Google Workspace
Khi ứng dụng SAML được tạo trong không gian làm việc của Google, ứng dụng này sẽ bị tắt theo mặc định. Điều này có nghĩa là đối với người dùng đã đăng nhập vào tài khoản Google Workspace của họ, ứng dụng SAML sẽ không hiển thị với họ. Giờ đây, chúng tôi bật ứng dụng AWS SAML cho người dùng Google Workspace của bạn.
- Trong khi đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google bằng thông tin đăng nhập quản trị viên, hãy điều hướng đến Ứng dụng web và di động .
- Chọn Dịch vụ web của Amazon.
- Chọn Người dùng truy cập.
- Để bật dịch vụ cho mọi người trong tổ chức của bạn, hãy chọn BẬT cho tất cả mọi người.
- Chọn Lưu.
Nếu bạn không muốn kích hoạt ứng dụng này cho tất cả người dùng, bạn có thể cấp quyền truy cập cho một nhóm nhỏ người dùng bằng cách sử dụng Các đơn vị tổ chức Google Workspace.
Xác minh quyền truy cập được liên kết vào phiên bản QuickSight
Để kiểm tra xác thực dựa trên SAML 2.0 của bạn với QuickSight cho người dùng trong IDP (Google Workspace) hiện có của bạn, hãy hoàn thành các bước sau:
- Mở một phiên trình duyệt mới, chẳng hạn như sử dụng Chrome, trong một cửa sổ ẩn danh mới.
- Đăng nhập vào tài khoản Google Workspace của bạn (với mục đích của bản demo này, chúng tôi sử dụng tài khoản quản trị Google Workspace).
- Chọn Amazon Web Services từ danh sách các ứng dụng của Google.
Kết luận
Bài đăng này cung cấp hướng dẫn từng bước để định cấu hình Google Workspace làm IdP của bạn và sử dụng vai trò IAM để bật SSO cho QuickSight. Giờ đây, người dùng của bạn có trải nghiệm đăng nhập liền mạch vào QuickSight và có cấp truy cập thích hợp liên quan đến vai trò của họ.
Mặc dù bài đăng này đã chứng minh sự tích hợp của IAM và Google Workspace, nhưng bạn có thể tái tạo giải pháp này bằng cách sử dụng SAML 2.0 IdPs mà bạn lựa chọn. Để biết các tùy chọn liên kết được hỗ trợ khác, hãy xem Sử dụng liên kết danh tính và đăng nhập một lần (SSO) với Amazon QuickSight.
Để nhận câu trả lời cho các câu hỏi của bạn liên quan đến QuickSight, hãy tham khảo Cộng đồng QuickSight.
Nếu bạn có bất kỳ câu hỏi hoặc phản hồi nào, vui lòng để lại bình luận.
Về các tác giả
Sriharsh Adari là Kiến trúc sư giải pháp cao cấp tại Amazon Web Services (AWS), nơi anh ấy giúp khách hàng làm việc ngược lại từ kết quả kinh doanh để phát triển các giải pháp sáng tạo trên AWS. Trong những năm qua, anh ấy đã giúp nhiều khách hàng trong việc chuyển đổi nền tảng dữ liệu trên các ngành dọc của ngành. Lĩnh vực chuyên môn cốt lõi của ông bao gồm Chiến lược công nghệ, Phân tích dữ liệu và Khoa học dữ liệu. Trong thời gian rảnh rỗi, anh ấy thích chơi thể thao, say sưa xem các chương trình TV và chơi Tabla.
Srikanth Baheti là một Kiến trúc sư Giải pháp World Wide Sr. Chuyên biệt cho Amazon QuickSight. Ông bắt đầu sự nghiệp của mình với tư cách là một nhà tư vấn và làm việc cho nhiều tổ chức tư nhân và chính phủ. Sau đó, anh làm việc cho PerkinElmer Health and Sciences & eResearch Technology Inc, nơi anh chịu trách nhiệm thiết kế và phát triển các ứng dụng web có lưu lượng truy cập cao, các đường ống dẫn dữ liệu có thể mở rộng và bảo trì cao cho các nền tảng báo cáo sử dụng dịch vụ AWS và máy tính Serverless.
