メニュー
Amazon Redshift
管理ガイド (API Version 2012年12月1日)

ステップ 2: IdP の SAML アサーションを設定する

IAM ロールを作成したら、組織のユーザーまたはグループを IAM ロールにマッピングするクレームルールを IdP アプリケーションで定義する必要があります。詳細については、「認証レスポンスの SAML アサーションを設定する」を参照してください。

オプションの GetClusterCredentials パラメータである DbUser、AutoCreate、および DbGroups を使用する場合は、JDBC または ODBC 接続でパラメータの値を設定するか、IdP に SAML 属性要素を追加して値を設定できます。DbUser、AutoCreate、および DbGroups パラメータの詳細については、「ステップ 5: IAM 認証情報を使用するように JDBC または ODBC 接続を設定する」を参照してください。

IdP を設定して DbUser、AutoCreate、および DbGroups パラメータを設定するには、次の Attribute 要素を含めます。

  • Name 属性を持つ Attribute 要素は「https://redshift.amazon.com/SAML/Attributes/DbUser」に設定します。

    AttributeValue は、Amazon Redshift データベースに接続するユーザー名に設定します。

    AttributeValue 要素の値は小文字のみで、先頭は文字にし、英数字、アンダースコア (_)、プラス記号 (+)、ドット (.)、アットマーク (@)、ハイフン (_) のみを含み、128 文字以内である必要があります。通常、ユーザー名はユーザー ID (例: bobsmith) またはメールアドレス (例: bobsmith@example.com) になります。値にスペースを含めることはできません (ユーザーの表示名を Bob Smith にするなど)。

    Copy
    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser"> <AttributeValue>user-name</AttributeValue> </Attribute>
  • Name 属性を持つ Attribute 要素は「https://redshift.amazon.com/SAML/Attributes/AutoCreate」に設定します。

    存在していない場合に、新しいデータベースユーザーを作成するには、AttributeValue 要素を true に設定します。データベースユーザーが Amazon Redshift データベースに存在している必要があることを指定するには、AttributeValue を false に設定します。

    Copy
    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate"> <AttributeValue>true</AttributeValue> </Attribute>
  • Name 属性を持つ Attribute 要素は「https://redshift.amazon.com/SAML/Attributes/DbGroups」に設定します。

    この要素には 1 つ以上の AttributeValue 要素が含まれます。Amazon Redshift データベースに接続するとき、セッションの期間中に DbUser が参加するデータベースグループ名に各 AttributeValue 要素を設定します。

    Copy
    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups"> <AttributeValue>group1</AttributeValue> <AttributeValue>group2</AttributeValue> <AttributeValue>group3</AttributeValue> </Attribute>