Okta - Amazon Redshift
Schritt 1: Richten Sie Okta und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauenSchritt 2: Richten Sie JDBC oder ODBC für die Authentifizierung bei Okta ein

Amazon Redshift wird UDFs ab dem 1. November 2025 die Erstellung von neuem Python nicht mehr unterstützen. Wenn Sie Python verwenden möchten UDFs, erstellen Sie das UDFs vor diesem Datum liegende. Bestehendes Python UDFs wird weiterhin wie gewohnt funktionieren. Weitere Informationen finden Sie im Blogbeitrag.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Okta

Sie können Okta als Identitätsanbieter (IdP) verwenden, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. Dieses Tutorial zeigt Ihnen, wie Sie Okta als Identitätsanbieter (IdP) für den Zugriff auf Ihren Amazon Redshift Redshift-Cluster verwenden können.

Schritt 1: Richten Sie Okta und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen

Das folgende Verfahren beschreibt, wie Sie eine Vertrauensbeziehung einrichten.

So richten Sie Okta und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen

  1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem sich Ihre Okta-Benutzer verbinden können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter Erstellen eines Clusters.

  2. Fügen Sie Amazon Redshift als neue Anwendung im Okta-Portal hinzu. Ausführliche Schritte finden Sie in der Okta-Dokumentation.

    • Wählen Sie Add Application (Anwendung hinzufügen).

    • Wählen Sie unter Add Application (Anwendung hinzufügen) die Option Create New App (Neue Anwendung erstellen).

    • Wählen Sie auf der Seite Create a New Add Application Integration (Neue „Anwendung hinzufügen“-Integration erstellen) unter Platform (Plattform) die Option Web.

    • Wählen Sie unter Sign on method (Anmeldemethode) SAML v2.0.

    • Geben Sie auf der Seite General Settings (Allgemeine Einstellungen) unter App name (Name der Anwendung) your-redshift-saml-sso-name ein. Der Name Ihrer Anwendung.

    • Geben Sie auf der Seite SAML Settings (SAML-Einstellungen) unter Single sign-on URL (SSO-URL) your-redshift-local-host-url ein. Dies ist der lokale Host und Port, auf die die SAML-Zusicherung umgeleitet wird, z. B. http://localhost:7890/redshift/.

  3. Verwenden Sie den Wert von Single Sign on URL (Single-Sign-On-URL) als Recipient URL (Empfänger-URL) und Destination URL (Ziel-URL).

  4. Wählen Sie für Signing (Signieren) die Option Sign Assertion (Zusicherung signieren).

  5. Geben Sie unter Audience URI (SP Entity ID) (Zielgruppen-URI (SP-Entitäts-ID)) urn:amazon:webservices für die Ansprüche ein, wie in der folgenden Tabelle dargestellt.

  6. Geben Sie im Abschnitt Advanced Settings (Erweiterte Einstellungen) unter SAML Issuer ID (SAML-Aussteller-ID) ein your-Identity-Provider-Issuer-ID, was Sie im Abschnitt View Setup Instructions (Einrichtungsanweisungen anzeigen) finden.

  7. Erstellen Sie im Abschnitt Attribute Statements (Attributanweisungen) die Anträge, wie in der folgenden Tabelle dargestellt.

    Name des Antrags Wert

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam: :role/, arn:aws:iam: :saml-provider/ 123456789012 Okta 123456789012 Okta

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.email

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    „true“

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.email

  8. Suchen Sie im Abschnitt App Embed Link (Link zum Einbetten der App) nach der URL, die Sie als Anmelde-URL für das Browser-SAML-Plug-in verwenden können.

  9. Erstellen Sie auf der IAM-Konsole einen IAM SAML-Identitätsanbieter. Das Metadatendokument, das Sie bereitstellen, ist die XML-Datei für Verbundmetadaten, die Sie beim Einrichten von Okta gespeichert haben. Ausführliche Schritte finden Sie unter Erstellen und Verwalten eines IAM-Identitätsanbieters (Konsole) im IAM-Benutzerhandbuch.

  10. Erstellen Sie auf der IAM-Konsole eine IAM-Rolle für SAML 2.0-Verbund. Detaillierte Schritte finden Sie unter Erstellen einer Rolle für SAML im IAM-Benutzerhandbuch.

  11. Erstellen Sie eine IAM-Richtlinie, die Sie an die IAM-Rolle anhängen können, die Sie für den SAML 2.0-Verbund auf der IAM-Konsole erstellt haben. Ausführliche Schritte finden Sie unter Erstellen von IAM-Richtlinien (Konsole) im IAM-Benutzerhandbuch. Ein Azure AD-Beispiel finden Sie unter Einrichtung der JDBC- oder ODBC-Single-Sign-On-Authentifizierung.

Schritt 2: Richten Sie JDBC oder ODBC für die Authentifizierung bei Okta ein

JDBC
So richten Sie JDBC für die Authentifizierung bei Okta ein:

  • Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über JDBC mithilfe von Okta Single Sign-On.

    Sie können jeden Client verwenden, der mithilfe eines JDBC-Treibers eine Verbindung mit Okta Single Sign-On herstellt oder eine Sprache wie Java verwendet, um über ein Skript eine Verbindung herzustellen. Informationen zur Installation und Konfiguration finden Sie unter Konfiguration einer Verbindung für den JDBC-Treiber Version 2.x für Amazon Redshift.

    Sie können es beispielsweise als Client verwenden SQLWorkbench/J . Wenn Sie SQLWorkbench /J konfigurieren, verwendet die URL Ihrer Datenbank das folgende Format.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Wenn Sie SQLWorkbench/J als Client verwenden, gehen Sie wie folgt vor:

    1. Starten Sie SQL Workbench/J. Fügen Sie auf der Seite Select Connection Profile (Verbindungsprofil auswählen) eine Profile Group (Profilgruppe) hinzu, z. B. Okta.

    2. Geben Sie unter Connection Profile (Verbindungsprofil) your-connection-profile-name ein, z. B. Okta.

    3. Wählen Sie Manage Drivers (Treiber verwalten) und dann Amazon Redshift aus. Wählen Sie das Symbol Open Folder (Ordner öffnen) neben Library (Bibliothek) und dann die entsprechende JDBC-JAR-Datei aus.

    4. Fügen Sie auf der Seite Select Connection Profile (Verbindungsprofil auswählen) dem Verbindungsprofil Informationen wie folgt hinzu:

      • Geben Sie unter User (Benutzer) Ihren Okta-Benutzernamen ein. Dies ist der Benutzername des Okta-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden, und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten.

      • Geben Sie unter Password (Passwort) Ihr Okta-Passwort ein.

      • Wählen Sie für Driver (Treiber) die Option Amazon Redshift (com.amazon.redshift.jdbc.Driver) aus.

      • Geben Sie für URL jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name ein.

    5. Wählen Sie Extended Properties (Erweiterte Eigenschaften), und führen Sie einen der folgenden Schritte aus:

      • Geben Sie für login_url your-okta-sso-login-url ein. Dieser Wert gibt die URL an, die Single Sign-On als Authentifizierungsmethode für die Anmeldung bei Okta verwenden soll.

      • Geben Sie für Okta Single Sign-On im Feld plugin_name den Wert com.amazon.redshift.plugin.OktaCredentialsProvider ein. Dieser Wert gibt an, dass der Treiber Okta Single Sign-On als Authentifizierungsmethode verwenden soll.

      • Geben Sie für Okta Single Sign-On mit MFA im Feld plugin_name den Wert com.amazon.redshift.plugin.BrowserSamlCredentialsProvider ein. Dies signalisiert dem Treiber, dass Single Sign-On für Okta mit MFA als Authentifizierungsmethode verwendet werden soll.

ODBC
So richten Sie ODBC für die Authentifizierung bei Okta ein:

  • Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über ODBC mithilfe von Okta Single Sign-On.

    Amazon Redshift stellt ODBC-Treiber für Linux-, Windows- und macOS-Betriebssysteme bereit. Stellen Sie vor der Installation eines ODBC-Treibers fest, ob Ihr SQL-Client-Tool 32-Bit oder 64-Bit ist. Installieren Sie den ODBC-Treiber, der den Anforderungen Ihres SQL-Clienttools entspricht.

    Geben Sie unter Windows auf der Seite Amazon Redshift ODBC Driver DSN Setup (DSN-Setup für Amazon Redshift ODBC-Treiber) unter Connection Settings (Verbindungseinstellungen) die folgenden Informationen ein:

    • Geben Sie für Data Source Name (Datenquellenname) your-DSN ein. Dies gibt den Datenquellennamen an, der als ODBC-Profilname verwendet wird.

    • Führen Sie für Auth type (Authentifizierungstyp) eine der folgenden Aktionen aus:

      • Wählen Sie für die Konfiguration von Okta Single Sign-On Identity Provider: Okta aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Okta Single Sign-On verwendet.

      • Wählen Sie für die Konfiguration von Okta Single Sign-On mit MFA-Konfiguration Identity Provider: Browser SAML aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Okta Single Sign-On mit MFA verwendet.

    • Geben Sie für Cluster ID (Cluster-ID) your-cluster-identifier ein.

    • Geben Sie für Region your-cluster-region ein.

    • Geben Sie für Database (Datenbank) your-database-name ein.

    • Geben Sie für User (Benutzer) your-okta-username ein. Dies ist der Benutzername des Okta-Kontos, das Sie für Single Sign-On verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn Auth type (Authentifizierungstyp) Identity Provider: Okta (Identitätsanbieter: Okta) ist.

    • Geben Sie unter Password (Passwort) your-okta-password ein. Verwenden Sie dies nur, wenn Auth type (Authentifizierungstyp) Identity Provider: Okta (Identitätsanbieter: Okta) ist.

    Bearbeiten Sie die odbc.ini-Datei unter Mac OS und Linux wie folgt:

    Anmerkung

    Bei allen Eingaben wird zwischen Groß- und Kleinschreibung unterschieden.

    • Geben Sie für clusterid your-cluster-identifier ein. Dies ist der Name des erstellten Amazon-Redshift-Clusters.

    • Geben Sie für Region your-cluster-region ein. Dies ist die AWS Region des erstellten Amazon Redshift Redshift-Clusters.

    • Geben Sie für die database your-database-name ein. Dies ist der Name der Datenbank, auf die Sie im Amazon-Redshift-Cluster zugreifen möchten.

    • Geben Sie für locale en-us ein. Dies ist die Sprache, in der Fehlermeldungen angezeigt werden.

    • Geben Sie für iam 1 ein. Dieser Wert signalisiert dem Treiber, dass mit IAM-Anmeldeinformationen authentifiziert werden soll.

    • Führen Sie für plugin_name einen der folgenden Schritte aus:

      • Geben Sie für Okta Single Sign-On mit MFA-Konfiguration BrowserSAML ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung bei Okta Single Sign-On mit MFA verwendet.

      • Geben Sie für die Konfiguration von Okta Single Sign-On Okta ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Okta Single Sign-On verwendet.

    • Geben Sie für uid your-okta-username ein. Dies ist der Benutzername des Okta-Kontos, das Sie für Single Sign-on verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn plugin_name (Plug-In-Name) Okta ist.

    • Geben Sie für pwd your-okta-password ein. Verwenden Sie dies nur, wenn plugin_name (Plug-In-Name) Okta ist.

    • Geben Sie für login_url your-login-url ein. Dies ist die URL zur Initiierung von Single Sign-On, die die SAML-Antwort zurückgibt. Dies gilt nur für das Browser SAML-Plug-in.

    • Geben Sie für idp_response_timeout the-number-of-seconds ein. Dies ist der angegebene Zeitraum in Sekunden, für den auf eine Antwort gewartet werden soll. PingOne Dies gilt nur für das Browser SAML-Plug-in.

    • Geben Sie bei listen_portyour-listen-port“ ein. Dies ist der Port, den der lokale Server überwacht. Der Standardwert ist 7890. Dies gilt nur für das Browser SAML-Plug-in.

    Bearbeiten Sie unter macOS und Linux auch die Profileinstellungen, um folgende Exporte hinzuzufügen:

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini