Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 2: SAML Assertionen für Ihren IdP konfigurieren
Nachdem Sie die IAM Rolle erstellt haben, definieren Sie in Ihrer IdP-Anwendung eine Anspruchsregel, um Benutzer oder Gruppen in Ihrer Organisation der IAM Rolle zuzuordnen. Weitere Informationen finden Sie unter Konfiguration von SAML Assertionen für die Authentifizierungsantwort im IAMBenutzerhandbuch.
Wenn Sie die optionalen GetClusterCredentials-Parameter DbUser, AutoCreate, und DbGroups verwenden, haben Sie zwei Optionen. Sie können die Werte für die Parameter mit Ihrer JDBC ODBC OR-Verbindung festlegen, oder Sie können die Werte festlegen, indem Sie Ihrem IdP SAML Attributelemente hinzufügen. Weitere Hinweise zu den Parametern DbUser, AutoCreate und DbGroups finden Sie unter Schritt 5: Konfigurieren Sie eine JDBC ODBC OR-Verbindung für die Verwendung von IAM Anmeldeinformationen.
Anmerkung
Wenn Sie eine IAM Richtlinienvariable verwenden, wird Ressourcenrichtlinien für GetClusterCredentials der Wert für${redshift:DbUser}, wie in beschrieben, durch den DbUser Wert ersetzt, der vom Anforderungskontext des API Vorgangs abgerufen wurde. Die Amazon Redshift Redshift-Treiber verwenden den Wert für die von der Verbindung URL bereitgestellte DbUser Variable und nicht den als SAML Attribut bereitgestellten Wert.
Um diese Konfiguration zu sichern, empfehlen wir Ihnen, eine Bedingung in einer IAM Richtlinie zu verwenden, um den DbUser Wert zu validieren, indem Sie RoleSessionName Beispiele dafür, wie Sie eine Bedingung mithilfe einer IAM Richtlinie festlegen, finden Sie unterBeispielrichtlinie für die Verwendung GetClusterCredentials.
Um Ihren IdP so zu konfigurieren, dass die Parameter DbUser, AutoCreate und DbGroups festgelegt werden, schließen Sie die folgenden Attribute-Elemente ein:
-
Ein
AttributeElement, bei dem dasNameAttribut https://redshift.amazon.com/SAML/ auf "DbUserAttributes/“ gesetzt istSetzen Sie das
AttributeValue-Element auf den Namen eines Benutzers, der sich mit der Amazon-Redshift-Datenbank verbinden wird.Der Wert des
AttributeValue-Elements muss aus Kleinbuchstaben bestehen, muss mit einem Buchstaben beginnen, darf nur alphanumerische Zeichen, Unterstriche („_“), Pluszeichen („+“), Punkte („.“), At-Zeichen („@“) oder Bindestriche („-“) enthalten und muss weniger als 128 Zeichen lang sein. Üblicherweise ist der Benutzername eine Benutzer-ID (z. B. bobsmith) oder eine E-Mail-Adresse (z. B. bobsmith@beispiel.com): Der Wert darf kein Leerzeichen enthalten (wie etwa der Anzeigename eines Benutzers, z. B. Bob Smith).<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser"> <AttributeValue>user-name</AttributeValue> </Attribute> -
Ein Attributelement, bei dem das Name-Attribut auf "https://redshift.amazon.com/SAML/Attributes/“ gesetzt ist AutoCreate
Setzen Sie das AttributeValue Element auf true, um einen neuen Datenbankbenutzer zu erstellen, falls noch keiner existiert. Setzen Sie den Wert AttributeValue auf False, um anzugeben, dass der Datenbankbenutzer in der Amazon Redshift Redshift-Datenbank vorhanden sein muss.
<Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate"> <AttributeValue>true</AttributeValue> </Attribute> -
Ein
AttributeElement, bei dem dasNameAttribut auf "https://redshift.amazon.com/SAML/DbGroupsAttributes/“ gesetzt istDieses Element enthält ein oder mehrere
AttributeValue-Elemente. Legen Sie jedesAttributeValue-Element auf den Namen einer Datenbankgruppe fest, der derDbUserfür die Dauer der Sitzung beitritt, wenn er sich mit der Amazon-Redshift-Datenbank verbindet.<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups"> <AttributeValue>group1</AttributeValue> <AttributeValue>group2</AttributeValue> <AttributeValue>group3</AttributeValue> </Attribute>
