Paso 2: Configurar aserciones SAML para su IdP - Amazon Redshift

Paso 2: Configurar aserciones SAML para su IdP

Después de crear el rol de IAM, necesita definir una regla de reclamación en la aplicación de su IdP que asigne los usuarios o grupos de su organización al rol de IAM. Para obtener más información, consulte Configuración de aserciones SAML para la respuesta de autenticación en la Guía del usuario de IAM.

Si elige utilizar los parámetros GetClusterCredentials opcionales DbUser, AutoCreate, y DbGroups, tiene dos opciones. Puede establecer los valores de los parámetros con su conexión JDBC u ODBC, o bien puede establecer los valores agregando elementos de atributo SAML a su IdP. Para obtener más información acerca de los parámetros DbUser, AutoCreate y DbGroups, consulte Paso 5: Configurar una conexión JDBC u ODBC para usar credenciales de IAM.

nota

Si utiliza una variable de política de IAM ${redshift:DbUser}, como se describe en Políticas de recursos de GetClusterCredentials, el valor de DbUser se sustituye por el valor obtenido por el contexto de la solicitud de la operación de la API. Los controladores de Amazon Redshift utilizan el valor de la variable DbUser proporcionado por la URL de conexión en lugar del valor proporcionado como atributo SAML.

Para ayudar a proteger esta configuración, recomendamos que utilice una condición en una política de IAM para validar el valor de DbUser con el RoleSessionName. Puede encontrar ejemplos de cómo establecer una condición utilizando una política de IAM en Política de ejemplo para usar GetClusterCredentials.

Para configurar el IdP para que establezca los parámetros DbUser, AutoCreate y DbGroups, incluya los siguientes elementos de Attribute:

  • Un elemento Attribute con el atributo Name establecido en "https://redshift.amazon.com/SAML/Attributes/DbUser"

    Establezca el elemento AttributeValue en el nombre del usuario que se va a conectar a la base de datos de Amazon Redshift.

    El valor del elemento AttributeValue debe estar en mayúsculas, empezar por una letra, contener solo caracteres alfanuméricos, guion bajo ('_'), signo más ('+'), punto ('.'), arroba ('@') o guion ('-') y tener menos de 128 caracteres. Normalmente, el nombre de usuario es un ID de usuario (por ejemplo, bobsmith) o una dirección de correo electrónico (por ejemplo, bobsmith@example.com). El valor no puede incluir un espacio (por ejemplo, un nombre de visualización de un usuario como Bob Smith).

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser">
    <AttributeValue>user-name</AttributeValue>
</Attribute>

  • Un elemento Attribute con el atributo Name establecido en "https://redshift.amazon.com/SAML/Attributes/AutoCreate"

    Establezca el elemento AttributeValue en true para crear un nuevo usuario de base de datos si no existe ninguno. Establezca el elemento AttributeValue en false para especificar que el usuario de la base de datos debe existir en la base de datos de Amazon Redshift.

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate">
    <AttributeValue>true</AttributeValue>
</Attribute>

  • Un elemento Attribute con el atributo Name establecido en "https://redshift.amazon.com/SAML/Attributes/DbGroups"

    Este elemento contiene uno o más elementos AttributeValue. Establezca cada elemento AttributeValue en un nombre de grupo de bases de datos al que DbUser debe unirse durante la sesión cuando se conecta a la base de datos de Amazon Redshift.

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups">
    <AttributeValue>group1</AttributeValue>
    <AttributeValue>group2</AttributeValue>
    <AttributeValue>group3</AttributeValue>
</Attribute>