Amazon Quicksight をActiveDirectory連携で使用するとどんな感じになるか
QuicksightをActiveDirectory(AWS Managed MSAD)の認証で構成する機会がありました。
ActiveDirectoryの認証で使用する場合のQuicksisghtの動きにが、あまり情報がなかったので、自分で気になったところをメモとして残しておきます。
BIツールとして、というより、ツールを管理する時に気になる点が多いです。
IAMユーザでログインしているブラウザでQuicksightのログインページ(quicksight.aws.amazon.com)に入ろうとすると、勝手にIAMユーザ側でログインしてしまう
別ブラウザかプライベートブラウジングで入る
一部管理メニューをクリックするとマネジメントコンソールのログイン画面に遷移してしまう
Manage assets
Manage usersのmanage role groupボタン
Security & PermissionsのManageボタン
Manage VPC Connections
IAMに飛んでしまうこの辺りの管理作業はADのユーザからはできない模様
どの作業でIAMユーザでのコンソールログインが必要になるかはきにしたほうがよさそう
サインイン画面
ADユーザはQuicksightからどう見える?
ログインすると、Quicksightの「Manage Users」に出てくる
ログインして初めてQuicksightのユーザとしてカウントされる模様
表示されたのはAdmin権限とAuthor権限のユーザだけだった
またInactiveUsersにはいつ移動するのかはまだ不明(月毎課金だから、一月ログインしないと月跨ぎでInactiveに移動される?<-未確認)
QuicksightからAD上のパスワードを変えたい
パスワード変更するインターフェースはない
唯一できるとしたらログイン画面の「パスワードを忘れた時」からパスワードのリセットでやる
パスワードのリセットはリセットするためのメールが飛ぶタイプなので、ADのユーザにメールアドレスを登録する必要がある。
QuicksightからAD上のパスワードをパスワードリセットで変更する時
新しいパスワードを入力する画面がでるが、Quicksight組み込みユーザの場合のパスワードポリシーを要求されてしまう(ActiveDirectory側で設定したポリシーではない)
Quicksightのパスワードポリシー
https://docs.aws.amazon.com/ja_jp/quicksight/latest/user/signing-in.html
わかったこと
・Quicksightを運用する際には、Quicksight上のAdmin権限での運用管理と、IAM権限での運用管理を併用する必要があることを考えて運用を設計することが必要。
・Quicksightでは認証に使っているADのパスワード変更はできない。パスワードリセットの仕様はAD側ポリシーとうまく整合しないのでいまいち。