Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Nativer Identitätsanbieter(IdP)-Verbund für Amazon Redshift
Die Verwaltung von Identitäten und Berechtigungen für Amazon Redshift wird durch den nativen Identitätsanbieter-Verbund erleichtert, da dieser Ihren bestehenden Identitätsanbieter nutzt und damit die Authentifizierung und Verwaltung von Berechtigungen vereinfacht. Zu diesem Zweck besteht die Möglichkeit, Identitätsmetadaten von Ihrem Identitätsanbieter an Redshift freizugeben. Für die erste Iteration dieser Funktion wird der Identitätsanbieter Microsoft Azure Active Directory (Azure AD)
Um Amazon Redshift so zu konfigurieren, dass es Identitäten von dem externen Identitätsanbieter authentifizieren kann, registrieren Sie den Identitätsanbieter bei Amazon Redshift. Auf diese Weise ist Redshift in der Lage, Benutzer und Rollen zu authentifizieren, die von dem Identitätsanbieter definiert wurden. Da Identitätsinformationen gemeinsam genutzt werden, ist es somit nicht notwendig, dass Sie sowohl bei Ihrem externen Identitätsanbieter als auch in Amazon Redshift ein differenziertes Identitätsmanagement durchführen.
Informationen zur Verwendung von Sitzungsrollen, die von Identitätsanbieter-Gruppen (IdP) übertragen werden, finden Sie unter PG_ _ GET SESSION _ ROLES im Amazon Redshift Database Developer Guide.
Verbund des systemeigenen Identitätsanbieters (IdP)
Um die vorläufige Einrichtung zwischen dem Identitätsanbieter und Amazon Redshift abzuschließen, führen Sie einige Schritte aus: Zunächst registrieren Sie Amazon Redshift als Drittanbieteranwendung bei Ihrem Identitätsanbieter und fordern die erforderlichen API Berechtigungen an. Dann erstellen Sie Benutzer und Gruppen im Identitätsanbieter. Zuletzt registrieren Sie den Identitätsanbieter bei Amazon Redshift mithilfe von SQL Anweisungen, die Authentifizierungsparameter festlegen, die nur für den Identitätsanbieter gelten. Im Rahmen der Registrierung des Identitätsanbieters bei Redshift weisen Sie einen Namespace zu, um sicherzustellen, dass Benutzer und Rollen korrekt gruppiert werden.
Wenn der Identitätsanbieter bei Amazon Redshift registriert ist, ist die Kommunikation zwischen Redshift und dem Identitätsanbieter eingerichtet. Ein Client kann nun Token übergeben und sich bei Redshift als Identitätsanbieter-Entität authentifizieren. Amazon Redshift verwendet die Informationen zur IdP-Gruppenmitgliedschaft, um Redshift-Rollen zuzuordnen. Wenn der Benutzer zuvor noch nicht in Redshift vorhanden ist, wird er erstellt. Es werden Rollen erstellt, die Identitätsanbietergruppen zugeordnet werden, wenn sie noch nicht vorhanden sind. Der Amazon-Redshift-Administrator erteilt die Berechtigung für die Rollen, und Benutzer können Abfragen und andere Datenbankaufgaben ausführen.
Die folgenden Schritte beschreiben die Funktionsweise des nativen Identitätsanbieter-Verbunds bei Anmeldung eines Benutzers:
-
Wenn sich ein Benutzer unter Verwendung der nativen IdP-Option vom Client aus anmeldet, wird das Identitätsanbieter-Token vom Client an den Treiber gesendet.
-
Der Benutzer wird authentifiziert. Falls der Benutzer noch nicht in Amazon Redshift vorhanden ist, wird ein neuer Benutzer erstellt. Redshift ordnet die Identitätsanbietergruppen des Benutzers Redshift-Rollen zu.
-
Berechtigungen werden basierend auf den Redshift-Rollen des Benutzers zugewiesen. Diese werden Benutzern und Rollen von einem Administrator gewährt.
-
Der Benutzer kann Redshift abfragen.
Desktop-Client-Tools
Anweisungen zur Verwendung des nativen Identitätsanbieter-Verbunds, um eine Verbindung zu Amazon Redshift mit Power BI herzustellen, finden Sie in dem Blogbeitrag Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI
Sehen Sie sich das folgende Video an, um zu erfahren, wie Sie den nativen Amazon Redshift Redshift-IdP-Verbund mit Azure AD mithilfe von Power BI Desktop und JDBC SQL Client-Workbench/J integrieren können:
Anweisungen zur Verwendung des nativen Identitätsanbieterverbunds, um mit einem SQL Client, speziell DBeaver oder SQL Workbench/J, eine Verbindung zu Amazon Redshift herzustellen, finden Sie im Blogbeitrag Integrieren Sie den nativen Amazon Redshift Redshift-IdP-Verbund mit Microsoft
Einschränkungen
Es gelten einige Einschränkungen:
-
Amazon Redshift Redshift-Treiber werden
BrowserIdcAuthPluginab den folgenden Versionen unterstützt:-
Amazon Redshift JDBC Redshift-Treiber v2.1.0.30
-
Amazon Redshift ODBC Redshift-Treiber v2.1.3
-
Amazon Redshift Python-Treiber v2.1.3
-
-
Amazon Redshift Redshift-Treiber werden
IdpTokenAuthPluginab den folgenden Versionen unterstützt:-
Amazon Redshift JDBC Redshift-Treiber v2.1.0.19
-
Amazon Redshift ODBC Redshift-Treiber v2.0.0.9
-
Amazon Redshift Python-Treiber v2.0.914
-
-
Keine Unterstützung für Enhanced VPC — Enhanced wird VPC nicht unterstützt, wenn Sie Redshift Trusted Identity Propagation mit AWS IAM Identity Center konfigurieren. Weitere Informationen zu Enhanced VPC finden Sie unter Verbessertes VPC Routing in Amazon Redshift.
-
AWS IAMIdentity Center-Caching — AWS IAM Identity Center speichert Sitzungsinformationen im Cache. Dies kann zu unvorhersehbaren Zugriffsproblemen führen, wenn Sie versuchen, über den Redshift Query Editor v2 eine Verbindung zu Ihrer Redshift-Datenbank herzustellen. Dies liegt daran, dass die zugehörige AWS IAM Identity Center-Sitzung im Abfrage-Editor v2 gültig bleibt, selbst wenn der Datenbankbenutzer von der AWS Konsole abgemeldet ist. Der Cache läuft nach einer Stunde ab, wodurch in der Regel alle Probleme behoben werden.
