Azure - Amazon Redshift

Azure

Puede usar Microsoft Azure AD como proveedor de identidades (IdP) para obtener acceso al clúster de Amazon Redshift. Este tutorial le muestra cómo puede utilizar Azure como proveedor de identidades (IdP) para acceder al clúster de Amazon Redshift.

Para obtener información acerca de cómo federar el acceso de Amazon Redshift con el inicio de sesión único de Microsoft Azure AD, vea el siguiente video.

Paso 1: Configuración de Azure y la cuenta de AWS para establecer una relación de confianza entre ellas

En el siguiente procedimiento se describe cómo configurar una relación de confianza.

Para configurar Azure AD y su cuenta de AWS para establecer una relación de confianza entre ellas
  1. Cree o utilice un clúster de Amazon Redshift existente para que los usuarios de Azure AD se conecten a él. Para configurar la conexión, se necesitan ciertas propiedades de este clúster, como el identificador del clúster. Para obtener más información, consulte Creating a Cluster (Creación de un clúster).

  2. Configure un Azure Active Directory, los grupos y los usuarios utilizados para AWS en el portal de Microsoft Azure.

  3. Agregue Amazon Redshift como una aplicación para empresas en el portal de Microsoft Azure para utilizar el inicio de sesión único en la consola de AWS y el inicio de sesión federado en Amazon Redshift. Elija Enterprise application (Aplicación de Enterprise).

  4. Elija +New application (+Nueva aplicación). Aparecerá la página Add an application (Agregar una aplicación).

  5. Buscar AWS en el campo de búsqueda.

  6. Elija Amazon Web Services (AWS) y elija Add (Agregar). Esto crea la aplicación de AWS.

  7. En Manage (Administrar), elija Single sign-on (Inicio de sesión único).

  8. Elija SAML. Se abrirá la página Amazon Web Services (AWS) | Inicio de sesión basado en SAML.

  9. Elija Yes (Sí) para continuar con la página Set up Single Sign-On with SAML (Configurar inicio de sesión único con SAML). Esta página muestra la lista de atributos preconfigurados relacionados con el inicio de sesión único.

  10. En Basic SAML Configuration (Configuración básica de SAML), elija el icono de edición y, a continuación, Save (Guardar).

  11. Cuando esté configurando para más de una aplicación, proporcione un valor de identificador. Por ejemplo, escriba https://signin.aws.amazon.com/saml#2. Tenga en cuenta que a partir de la segunda aplicación, utilice este formato con un signo # para especificar un valor SPN único.

  12. En la sección User Attributes and Claims (Atributos y reclamaciones de usuario), elija el icono de edición.

    De forma predeterminada, las reclamaciones Identificador único de usuario (UID), Role, RoleSessionName y SessionDuration están preconfiguradas.

  13. Elija + Add new claim (+Agregar nueva reclamación) para agregar una reclamación para los usuarios de base de datos.

    En Nombre, escriba DbUser.

    En Namespace (Espacio de nombres), escriba https://redshift.amazon.com/SAML/Attributes.

    En Source (Origen), elija Attribute (Atributo).

    En Source attribute (Atributo de origen), elija user.userprincipalname. A continuación, elija Guardar.

  14. Elija + Add new claim (+Agregar nueva reclamación) para agregar una reclamación para AutoCreate.

    En Nombre, escriba AutoCreate.

    En Namespace (Espacio de nombres), escriba https://redshift.amazon.com/SAML/Attributes.

    En Source (Origen), elija Attribute (Atributo).

    En Source attribute (Atributo de origen), elija "true". A continuación, elija Guardar.

    Aquí, 123456789012 es su cuenta de AWS, AzureSSO es un rol de IAM que ha creado y AzureADProvider es el proveedor de IAM.

    Nombre de la reclamación Valor

    Identificador de usuario único (ID de nombre)

    user.userprincipalname

    https://aws.amazon.com/SAML/Attributes/SessionDuration

    "900"

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam::123456789012:role/AzureSSO,arn:aws:iam::123456789012:saml-provider/AzureADProvider

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.userprincipalname

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    "true"

    https://redshift.amazon.com/SAML/Attributes/DbGroups

    user.assignedroles

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.userprincipalname

  15. En Registro de aplicaciones > your-application-name > Autenticación, agregue Aplicación móvil y de escritorio. Especifique la URL como http://localhost/redshift/.

  16. En la sección SAML Signing Certificate (Certificado de firma SAML), elija Download (Descargar) para descargar y guardar el archivo XML de metadatos de federación para usarlo cuando cree un proveedor de identidad SAML de IAM. Este archivo se utiliza para crear la identidad federada de inicio de sesión único.

  17. Cree un proveedor de identidad SAML de IAM en la consola de IAM. El documento de metadatos que proporciona es el archivo XML de metadatos de federación que guardó al configurar Azure Enterprise Application. Para obtener información detallada sobre los pasos, consulte Creación y administración de un proveedor de identidad de IAM (Consola) en la Guía del usuario de IAM.

  18. Cree un rol de IAM para la federación de SAML 2.0 en la consola de IAM. Para obtener información detallada sobre los pasos, consulte Creación de un rol para SAML en la Guía del usuario de IAM.

  19. Cree una directiva de IAM que pueda adjuntar al rol de IAM creado para la federación de SAML 2.0 en la consola de IAM. Para obtener información detallada sobre los pasos, consulte Creación de políticas de IAM (Consola) en la Guía del usuario de IAM.

    Modifique la siguiente política (en formato JSON) para su entorno:

    • Sustituya la región de AWS de su clúster por us-west-1.

    • Sustituya su cuenta de AWS por 123456789012.

    • Sustituya el identificador de clúster (o * para todos los clústeres) por cluster-identifier.

    • Sustituya la base de datos (o * para todas las bases de datos) por dev.

    • Sustituya el identificador único de su rol de IAM por AROAJ2UCCR6DPCEXAMPLE.

    • Sustituya el dominio de correo electrónico de su arrendatario o empresa por example.com.

    • Sustituya el grupo de base de datos al que planea asignar el usuario por my_dbgroup.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev", "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}", "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier" ], "Condition": { "StringEquals": { "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com" } } }, { "Effect": "Allow", "Action": "redshift:CreateClusterUser", "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}" }, { "Effect": "Allow", "Action": "redshift:JoinGroup", "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup" }, { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "iam:ListRoles" ], "Resource": "*" } ] }

    Esta política concede permisos de la siguiente manera:

    • La primera sección concede permiso a la operación GetClusterCredentials de la API para obtener credenciales temporales para el clúster especificado. En este ejemplo, el recurso es cluster-identifier con la base de datos dev, en la cuenta 123456789012 y en la región AWS us-west-1. La cláusula ${redshift:DbUser} permite que sólo los usuarios que coincidan con el valor DbUser especificado en Azure AD se conecten.

    • La cláusula de condición obliga a que solo ciertos usuarios obtengan credenciales temporales. Se trata de usuarios con el rol especificado por el ID único de rol AROAJ2UCCR6DPCEXAMPLE en la cuenta de IAM identificada por una dirección de email en el dominio de correo electrónico de su empresa. Para obtener más información acerca de los ID únicos, consulte ID únicos en la Guía del usuario de IAM.

      La configuración con el IdP (en este caso, Azure AD) determina cómo se escribe la cláusula de condición. Si el correo electrónico de su empleado es johndoe@example.com, primero establezca ${redshift:DbUser} en el supercampo que coincida con el nombre de usuario del empleado johndoe. A continuación, para que esta condición funcione, configure el campo RoleSessionName de SAML de AWS en el supercampo que concuerde con el email del empleado johndoe@example.com. Cuando tome este enfoque, tenga en cuenta lo siguiente:

      • Si establece ${redshift:DbUser} para que sea el correo electrónico del empleado, quite el @example.com en el archivo JSON de muestra para que coincida con el RoleSessionName.

      • Si establece RoleSessionId para que solo sea el nombre de usuario del empleado, quite el @example.com en el ejemplo para que coincida con el RoleSessionName.

      • En el JSON de ejemplo, ${redshift:DbUser} y RoleSessionName se establecen en el correo electrónico del empleado. En este ejemplo, JSON utiliza el nombre de usuario de la base de datos de Amazon Redshift con @example.com para que el usuario inicie sesión y acceda al clúster.

    • La segunda sección concede permiso para crear un nombre dbuser en el clúster especificado. En este JSON de muestra, restringe la creación a ${redshift:DbUser}.

    • La tercera sección concede permisos para especificar a qué dbgroup puede unirse un usuario. En este JSON de muestra, un usuario puede unirse al grupo my_dbgroup en el clúster especificado.

    • La cuarta sección otorga permiso a las acciones que el usuario puede realizar en todos los recursos. En este JSON de ejemplo, se permite a los usuarios llamar a redshift:DescribeClusters para obtener información del clúster, como el punto de conexión del clúster, la región de AWS y el puerto. También permite a los usuarios llamar a iam:ListRoles para comprobar qué roles puede asumir un usuario.

Paso 2: Configuración de JDBC u ODBC para la autenticación en Azure

JDBC
Para configurar JDBC para la autenticación en Microsoft Azure AD
  • Configure el cliente de la base de datos para conectarse al clúster a través de JDBC mediante el inicio de sesión único de Azure AD.

    Puede usar cualquier cliente que use un controlador JDBC para conectarse mediante el inicio de sesión único de Azure AD o usar un lenguaje como Java para conectarse mediante un script. Para obtener información sobre la instalación y configuración, consulte Configuración de una conexión del controlador JDBC versión 2.1 para Amazon Redshift.

    Por ejemplo, puede usar SQLWorkBench/J como cliente. Al configurar SQLWorkbench/J, la dirección URL de la base de datos utiliza el siguiente formato.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Si utiliza SQLWorkbench/J como cliente, siga los siguientes pasos:

    1. Inicie SQL Workbench/J. En la página Select Connection Profile (Seleccionar perfil de conexión) agregue un Profile group (Grupo de perfiles) denominado AzureAuth.

    2. En Connection Profile (Perfil de conexión), escriba Azure.

    3. Elija Manage Drivers (Administrar controladores), y elija Amazon Redshift. Elija el icono Open folder (Abrir carpeta) junto a Library (Biblioteca) y a continuación, elija el archivo JDBC .jar adecuado.

    4. En la página Select connection profile (Seleccionar perfil de conexión) agregue información al perfil de conexión de la siguiente manera:

      • En User (Usuario), escriba su nombre de usuario de Microsoft Azure. Este es el nombre de usuario de la cuenta de Microsoft Azure que está utilizando para el inicio de sesión único, que tiene permisos en el clúster en el que está intentando autenticarse.

      • En Password (Contraseña), escriba la contraseña de Microsoft Azure.

      • En Drivers (Controladores), elija Amazon Redshift (com.amazon.redshift.jdbc.Driver).

      • En URL, escriba jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Elija Extended properties (Propiedades extendidas) para agregar información adicional a las propiedades de conexión, como se describe a continuación.

      Para la configuración de inicio de sesión único de Azure AD, agregue información adicional como se indica a continuación:

      • En plugin_name, escriba com.amazon.redshift.plugin.AzureCredentialsProvider. Este valor especifica al controlador que debe utilizar el inicio de sesión único de Azure AD como método de autenticación.

      • En idp_tenant, escriba your-idp-tenant. Se utiliza solo para Microsoft Azure AD. Este es el nombre del arrendatario de su empresa configurado en Azure AD. Este valor puede ser el nombre del arrendatario o el ID único del inquilino con guiones.

      • En client_secret, escriba your-azure-redshift-application-client-secret. Se utiliza solo para Microsoft Azure AD. Este es el secreto de cliente de la aplicación de Amazon Redshift que creó cuando configuró el inicio de sesión único de Azure. Esto solo es aplicable al complemento com.amazon.redshift.plugin.AzureCredentialsProvider.

      • En client_id, escriba your-azure-redshift-application-client-id. Se utiliza solo para Microsoft Azure AD. Este es el ID de cliente (con guiones) de la aplicación de Amazon Redshift que creó cuando configuró el inicio de sesión único de Azure.

      Para la configuración de inicio de sesión único de Azure AD con MFA, agregue información adicional a las propiedades de conexión de la siguiente manera:

      • En plugin_name, escriba com.amazon.redshift.plugin.BrowserAzureCredentialsProvider. Este valor le indica al controlador que debe utilizar el inicio de sesión único de Azure AD con MFA como método de autenticación.

      • En idp_tenant, escriba your-idp-tenant. Se utiliza solo para Microsoft Azure AD. Este es el nombre del arrendatario de su empresa configurado en Azure AD. Este valor puede ser el nombre del arrendatario o el ID único del inquilino con guiones.

      • En client_id, escriba your-azure-redshift-application-client-id. Esta opción se utiliza solo para Microsoft Azure AD. Este es el ID de cliente (con guiones) de la aplicación de Amazon Redshift que creó al configurar el inicio de sesión único de Azure AD con MFA.

      • En listen_port, escriba your-listen-port. Este es el puerto en el que escucha el servidor local. El valor predeterminado es 7890.

      • En idp_response_timeout, escriba the-number-of-seconds. Este es el número de segundos que se deben esperar antes de que el servidor IdP devuelva una respuesta. El número mínimo de segundos debe ser 10. Si establecer la conexión toma más que este umbral de tiempo, se anula la conexión.

ODBC
Para configurar ODBC para la autenticación en Microsoft Azure AD
  • Configure el cliente de base de datos para que se conecte al clúster a través de ODBC mediante el inicio de sesión único de Azure AD.

    Amazon Redshift proporciona controladores ODBC para los sistemas operativos Linux, Windows y MacOS. Antes de instalar un controlador ODBC, determine si su herramienta del cliente SQL es de 32 bits o 64 bits. Instale el controlador ODBC que coincida con los requisitos de la herramienta cliente SQL.

    En Windows, en la página Amazon Redshift ODBC Driver DSN Setup (Configuración del DSN del controlador ODBC de Amazon Redshift) en Connection Settings (Configuración de conexión), escriba la siguiente información:

    • En Data Source Name (Nombre de origen de datos), escriba your-DSN. Especifica el nombre del origen de datos utilizado como nombre del perfil de ODBC.

    • En Auth type (Tipo de autenticación) para la configuración de inicio de sesión único de Azure AD, seleccione Identity Provider: Azure AD. Este es el método de autenticación que utiliza el controlador ODBC para autenticar mediante el inicio de sesión único de Azure.

    • En Auth type (Tipo de autenticación) para la configuración de inicio de sesión único de Azure AD con MFA, seleccione Identity Provider: Browser Azure AD. Este es el método de autenticación que utiliza el controlador ODBC para autenticarse mediante el inicio de sesión único de Azure con MFA.

    • En Cluster ID (ID de clúster), escriba your-cluster-identifier.

    • En Region (Región), escriba your-cluster-region.

    • En Database (Base de datos), escriba your-database-name.

    • En User (Usuario), escriba your-azure-username. Este es el nombre de usuario de la cuenta de Microsoft Azure que está utilizando para el inicio de sesión único que tiene permiso para el clúster con el que está intentando autenticarse. Utilice esto solo para Auth Type (Tipo de autorización) es Identity Provider: Azure AD (Proveedor de identidades: Azure AD).

    • En Password (Contraseña), escriba your-azure-password. Utilice esto solo para Auth Type (Tipo de autorización) es Identity Provider: Azure AD (Proveedor de identidades: Azure AD).

    • En IdP Tenant (Arrendatario de IdP), escriba your-idp-tenant. Este es el nombre del arrendatario de su empresa configurado en su IdP (Azure). Este valor puede ser el nombre del arrendatario o el ID único del inquilino con guiones.

    • En Azure Client Secret (Secreto de cliente de Azure), escriba your-azure-redshift-application-client-secret. Este es el secreto de cliente de la aplicación de Amazon Redshift que creó cuando configuró el inicio de sesión único de Azure.

    • En Azure Client ID (ID de cliente de Azure), escriba your-azure-redshift-application-client-id. Este es el ID de cliente (con guiones) de la aplicación de Amazon Redshift que creó cuando configuró el inicio de sesión único de Azure.

    • En Puerto de escucha, escriba your-listen-port. Este es el puerto de escucha predeterminado en el que escucha el servidor local. El valor predeterminado es 7890. Esto solo se aplica al complemento Browser Azure AD.

    • En Response Timeout (Tiempo de espera de respuesta), escriba the-number-of-seconds. Este es el número de segundos que se deben esperar antes de que el servidor IdP devuelva una respuesta. El número mínimo de segundos debe ser 10. Si establecer la conexión toma más que este umbral de tiempo, se anula la conexión. Esta opción solo se aplica al complemento Browser Azure AD.

    En Mac OS y Linux, edite el archivo odbc.ini de la siguiente manera:

    nota

    Ninguna de las entradas distingue entre mayúsculas y minúsculas.

    • En clusterid, escriba your-cluster-identifier. Este es el nombre del clúster de Amazon Redshift creado.

    • En region, escriba your-cluster-region. Esta es la región de AWS del clúster de Amazon Redshift creado.

    • En database, escriba your-database-name. Este es el nombre de la base de datos a la que intenta tener acceso en el clúster de Amazon Redshift.

    • En locale, escriba en-us. Este es el idioma en el que se muestran los mensajes de error.

    • En iam, entra 1. Este valor especifica que el controlador debe autenticarse mediante credenciales de IAM.

    • En nombre_complemento para la configuración de inicio de sesión único de Azure AD, introduzcaAzureAD. Esto especifica al controlador que debe utilizar el inicio de sesión único de Azure como método de autenticación.

    • En nombre_complemento para la configuración de inicio de sesión único de Azure AD con MFA, introduzca BrowserAzureAD. Esto especifica al controlador que debe utilizar el inicio de sesión único de Azure con MFA como método de autenticación.

    • En uid, escriba your-azure-username. Este es el nombre de usuario de la cuenta de Microsoft Azure que está utilizando para el inicio de sesión único, que tiene permisos en el clúster en el que está intentando autenticarse. Utilice esto solo para plugin_name es AzureAD.

    • En pwd, escriba your-azure-password. Utilice esto solo para plugin_name es AzureAD.

    • En idp_tenant, escriba your-idp-tenant. Este es el nombre del arrendatario de su empresa configurado en su IdP (Azure). Este valor puede ser el nombre del arrendatario o el ID único del inquilino con guiones.

    • En client_secret, escriba your-azure-redshift-application-client-secret. Este es el secreto de cliente de la aplicación de Amazon Redshift que creó cuando configuró el inicio de sesión único de Azure.

    • En client_id, escriba your-azure-redshift-application-client-id. Este es el ID de cliente (con guiones) de la aplicación de Amazon Redshift que creó cuando configuró el inicio de sesión único de Azure.

    • En listen_port, escriba your-listen-port. Este es el puerto en el que escucha el servidor local. El valor predeterminado es 7890. Esto se aplica al complemento Browser Azure AD.

    • En idp_response_timeout, escriba the-number-of-seconds. Este es el periodo de tiempo especificado en segundos que esperar la respuesta de Azure. Esta opción se aplica al complemento Browser Azure AD.

    En Mac OS y Linux, edite también la configuración del perfil para agregar las siguientes exportaciones:

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini

Solución de problemas

Para solucionar problemas con el complemento Browser Azure AD, tenga en cuenta lo siguiente.

  • Para utilizar el complemento Azure AD de navegador, debe establecer la URL de respuesta especificada en la solicitud para que coincida con la URL de respuesta configurada para la aplicación. Vaya a la página Configurar el inicio de sesión único con SAML en el portal de Microsoft Azure. A continuación, compruebe que la URL de respuesta está establecida en http://localhost/redshift/.

  • Si aparece un error de inquilino de IdP, compruebe que el nombre de Inquilino de IdP coincide con el nombre de dominio que utilizó inicialmente para configurar Active Directory en Microsoft Azure.

    En Windows, vaya a la sección Connection Settings (Configuración de conexión) de la página Amazon Redshift ODBC DSN Setup (Configuración de DSN de ODBC de Amazon Redshift). A continuación, compruebe que el nombre de inquilino de su empresa configurado en su IdP (Azure) coincide con el nombre de dominio que utilizó inicialmente para configurar Active Directory en Microsoft Azure.

    En macOS y Linux, busque el archivo odbc.ini. A continuación, compruebe que el nombre de inquilino de su empresa configurado en su IdP (Azure) coincide con el nombre de dominio que utilizó inicialmente para configurar Active Directory en Microsoft Azure.

  • Si aparece un error que indica que la URL de respuesta especificada en la solicitud no coincide con las URL de respuesta configuradas para la aplicación, verifique que los URI de redirección son los mismos que la URL de respuesta.

    Vaya a la página Registro de aplicaciones de su aplicación en el portal de Microsoft Azure. A continuación, compruebe que los URI de redirección coinciden con la URL de respuesta.

  • Si obtiene la respuesta inesperada de error no autorizado, verifique que haya completado la configuración de Aplicaciones móviles y de escritorio.

    Vaya a la página Registro de aplicaciones de su aplicación en el portal de Microsoft Azure. A continuación, vaya a Autenticación y compruebe que ha configurado Aplicaciones móviles y de escritorio para utilizar http://localhost/redshift/ como URI de redirección.