はじめに
QuickSightはOktaと直接連携することもできますが、Identity Centerを介して連携することもできます。そうすることで、OktaでSCIMが利用できるプラン(Essentials以上)であれば、OktaのユーザーやグループをIdentity Centerに自動連係できます。
逆に言うと、OktaでSCIMが利用できないStarterプランの場合は、手動でIdCにユーザーやグループを作成するか、同期させる仕組みを自身で構築することが必要です。
その際に、いくつか注意事項があるため、それを記載します。
構築方法
構築は、以下の手順を参考に実施できました。
以下は、構築した後のログインイメージです。
まずは、Identity Centerのアクセスポータルに行くと、Oktaのログイン画面となります。
ログインすると、登録しているQuickSightのアプリケーションが表示されます。ちなみに、右上に表示されているのはIdentity Centerのユーザーの名が表示されます(姓ではない)。
QuickSightをクリックすると、入れます。
注意ポイント
QuickSightのユーザーロールはIdentity Centerグループと紐づく
これが一番のポイント。2025年7月12日現在、QuickSightのユーザーロール(ReaderやAuthorなど)はIdentity Centerの グループと紐づきます 。ユーザーとは紐づけられません。
以下が、QuickSightでの紐づけ画面です。ちなみに、QuickSightを最初に構築するとき、管理者グループのみは必須で指定する必要があります。
上記のロールグループの管理画面は、AWSコンソールからIAM権限を持ったユーザーがQuickSightにアクセスすることで実現できます。QuickSight上のユーザーでは実施できません。
QuickSightの共有フォルダへの権限はユーザーにも付与できる
一方、共有フォルダへの権限は、グループだけでなく、ユーザーにも付与できます。これにより、細かい制御が可能です。以下の画像の2行目(名前はメールアドレスのため隠しています)がユーザーを指定しています。
ただし、ユーザーを追加する場合は以下の注意点があります。
- 選択できるのは、Identity Centerグループに所属しているユーザーのみ
- ただし、そのグループにはQuickSightのユーザーロールが紐づいている必要がある
やはり、基本はQuickSightのユーザーロールの紐づけをする必要がありますね。その中で、さらに共有フォルダの権限を付与するグループやユーザーを選択するということで理解しました。
おわりに
Identity Centerを介してOktaのグループやユーザーが同期できるため、管理がより簡単に出来るようになりましたね。ただ、OktaのグループとQuickSightでのグループが完全一致しないこともある(QuickSight側でより小さいグループを作りたい)と思うので、それが出来るようになってほしいところです。
共有フォルダーはユーザーに権限を付与できるため、一定はそれができるのですが・・・ 人数が多くなってくると、QuickSight独自グループ管理がしたくなるかなと感じました。そこは、今後のアップデートに期待しましょう。