Los clientes de hoy quieren establecer una identidad única y una estrategia de acceso en todas sus propias aplicaciones, como aplicaciones locales, aplicaciones en la nube de terceros (SaaS) o aplicaciones en AWS. Si su organización usa Azure Active Directory (Azure AD) para aplicaciones en la nube, puede habilitar el inicio de sesión único (SSO) para aplicaciones como Amazon QuickSight sin necesidad de crear otra cuenta de usuario o recordar contraseñas.

También puede habilitar el control de acceso basado en roles para asegurarse de que los usuarios obtengan los permisos de roles adecuados en QuickSight en función de sus derechos almacenados en los atributos de Active Directory o otorgados a través de la membresía del grupo de Active Directory.

La configuración también permite que los administradores se concentren en administrar una fuente única de información para las identidades de los usuarios en Azure AD, al mismo tiempo que tienen la comodidad de configurar el acceso a otras cuentas y aplicaciones de AWS de forma centralizada.

En esta publicación, repasamos los pasos necesarios para configurar SSO federado entre QuickSight y Azure AD. También mostramos formas de asignar un rol de QuickSight en función de la pertenencia a un grupo de Azure AD. Los administradores pueden publicar la aplicación QuickSight en el portal de aplicaciones de Azure para permitir que los usuarios inicien sesión en QuickSight con sus credenciales de Azure AD o Active Directory de manera segura.

La solución de esta publicación utiliza un SSO iniciado por un proveedor de identidad (IdP), lo que significa que sus usuarios finales deben iniciar sesión en Azure AD y elegir la aplicación QuickSight publicada en el portal de Azure App Portal para iniciar sesión en QuickSight.

Registro de una aplicación QuickSight en Azure AD

Su primer paso es crear una aplicación QuickSight en Azure AD.

Inicie sesión en su portal de Azure con la cuenta de administrador en el arrendatario de Azure AD donde desea registrar la aplicación QuickSight.


En Servicios de Azure, abra Azure Active Directory y, en Administrar, elija Aplicación empresarial.

New Application >  Non-gallery application > Name : Amazon QuickSight


Creación de usuarios y grupos en Azure AD

Ahora puede crear nuevos usuarios y grupos o elegir usuarios y grupos existentes que puedan acceder a QuickSight.

En Administrar, elija Todas las aplicaciones y abra Amazon QuickSight.

En Primeros pasos, elija Asignar usuarios y grupos.

Para esta publicación, cree tres grupos, uno para cada rol de QuickSight.

  1. QuickSight-Admin
  2. QuickSight-Author
  3. QuickSight-Reader

Configuring SSO in Azure AD

Ahora puede comenzar a configurar los ajustes de SSO para la aplicación.

En Administrar, elija Inicio de sesión único.

Para Seleccionar un método de inicio de sesión único, elija SAML.

Luego, para configurar las secciones, elija Editar.

En la sección Configuración básica de SAML, para Identificador (Entity ID), ingrese


Entity ID: URN:AMAZON:WEBSERVICES

Reply URL: https://signin.aws.amazon.com/saml

Sign on URL: deje en blanco

Relay State: https://quicksight.aws.amazon.com

Logout URL: deje en blanco

En SAML Signing Certificate seleccionar Download y luego Federation Metadata XML

Este documento XML se usara posteriormente para la configuración del Identity Provider IdP en el servicio IAM.


Creación de Azure AD como su IdP de SAML en AWS

En la consola de IAM, elija Proveedores de identidad (IdP).

Elija Crear proveedor.

Para Nombre del proveedor, ingrese  AzureActiveDirectory.

Elija Choose File para cargar el documento de metadatos que descargó anteriormente.


Verifique la información del proveedor y elija Crear y en la página de resumen, registre el valor del ARN del IdP. (Necesita este ARN para configurar las reglas de notificaciones más adelante en esta publicación)

Configuración de políticas de IAM

En este paso, crea tres políticas de IAM para diferentes permisos de funciones en QuickSight:

Para, Usuario Administrador: QuickSight-Federated-Admin

Para, Usuario Author: QuickSight-Federated-Author

Para, Usuario Reader: QuickSight-Federated-Reader


Esta política otorga privilegios de administrador en QuickSight al usuario federado. Vaya en la consola de AWS al servicio de IAM y cree una política.


Ahora repita los pasos para crear la política QuickSight-Federated-Author y QuickSight-Federated-Reader utilizando los siguientes códigos JSON para cada política cambiando la Key “Action”.

Configurando roles IAM

A continuación, crea los roles que asumen sus usuarios de Azure AD cuando se federan en QuickSight.

Tipo de trusted entity: SAML 2.0 federation

SAML provider: AzureActiveDirectory          

Value: https://signin.aws.amazon.com/saml

Permisos: QuickSight-Federated-Admin-Policy    

Volvemos al portal de Azure AD para configurar los atributos de usuarios y los Claims.

En este paso, regresa a la aplicación en Azure Portal y configura las notificaciones de usuario que Azure AD envía a AWS.

De manera predeterminada, se completan varios atributos SAML para la nueva aplicación, pero no necesita estos atributos para la federación en QuickSight. En Additional Claims, para este ejercicio utilizaremos solo 3 Claims:

Role

RoleSessionName

SAML_SUBJECT

Creando el Claim: Role

En la configuración de Single Sign On con SAML editamo Attributes & Claims


Creamos un claim como vemos en la siguiente pantalla:


Teniendo en cuenta que el orden para colocar el valor del atributo en la condición es:

arn:aws:iam::<Account ID>:role/QuickSight-Admin-Role,arn:aws:iam::<Account ID>:saml-provider/AzureActiveDirectory


Creando el Claim: RoleSessionName

Creando el Claim: SAML_SUBJECT

Hacemos un test a la aplicación

Ahora estamos listos para probar la aplicación.

En Azure Portal, en la página de Azure Active Directory.

Como siguiente paso en la configuración de SAML-based Sign-on ubicamos la sección 5 para realizar el test:



Y como resultado tendremos la respuesta del test:



En conclusión esta publicación proporciona instrucciones paso a paso para configurar un SSO federado con Azure AD como IdP como también discutimos cómo asignar usuarios y grupos en Azure AD a roles de IAM para un acceso seguro a Amazon QuickSight.