Création d'une connexion à une source de QuickSight données Amazon à Starburst avec les informations d'identification OAuth du client

Vous pouvez utiliser les informations d'identification OAuth du client pour connecter votre QuickSight compte à Starburst via le QuickSight APIs. OAuthest un protocole d'autorisation standard souvent utilisé pour les applications soumises à des exigences de sécurité avancées. Lorsque vous vous connectez à Starburst avec les informations d'identification OAuth du client, vous pouvez créer des ensembles de données contenant des données Starburst avec QuickSight APIs et dans l'interface utilisateur. QuickSight Pour plus d'informations sur la configuration OAuth dans Starburst, voir Authentification OAuth 2.0.

QuickSight prend en charge le type de client credentials OAuth subvention. OAuthles informations d'identification du client sont utilisées pour obtenir un jeton d'accès pour machine-to-machine la communication. Cette méthode convient aux scénarios dans lesquels un client doit accéder à des ressources hébergées sur un serveur sans l'intervention d'un utilisateur.

Dans le flux d'informations d'identification client OAuth 2.0, plusieurs mécanismes d'authentification client peuvent être utilisés pour authentifier l'application cliente auprès du serveur d'autorisation. QuickSight prend en charge les informations d'identification client basées sur OAuth Starburst pour les deux mécanismes suivants :

Jeton (basé sur les secrets du clientOAuth) : le mécanisme d'authentification client basé sur le secret est utilisé avec les informations d'identification du client pour accorder le flux afin de s'authentifier auprès du serveur d'autorisation. Ce schéma d'authentification nécessite que le client_id et client_secret de l'application OAuth cliente soit stocké dans Secrets Manager.
X509 (clé privée du client basée sur JWTOAuth) : La solution basée sur une clé de certificat X509 fournit une couche de sécurité supplémentaire au OAuth mécanisme avec des certificats clients qui sont utilisés pour authentifier plutôt que des secrets clients. Cette méthode est principalement utilisée par les clients privés qui utilisent cette méthode pour s'authentifier auprès du serveur d'autorisation avec une forte confiance entre les deux services.

QuickSight a validé OAuth les connexions avec les fournisseurs d'identité suivants :

OKTA
PingFederate

Stockage des OAuth informations d'identification dans Secrets Manager

OAuthles informations d'identification du client sont destinées à des cas d' machine-to-machineutilisation et ne sont pas conçues pour être interactives. Pour créer une connexion à une source de données entre Starburst QuickSight et Starburst, créez un nouveau secret dans Secrets Manager contenant vos informations d'identification pour l'application OAuth cliente. L'ARN secret créé avec le nouveau secret peut être utilisé pour créer des ensembles de données contenant des données Starburst. QuickSight Pour plus d'informations sur l'utilisation des clés Secrets Manager dans QuickSight, consultezUtiliser des AWS Secrets Manager secrets au lieu des informations d'identification de base de données sur Amazon QuickSight.

Les informations d'identification que vous devez stocker dans Secrets Manager sont déterminées par le OAuth mécanisme que vous utilisez. Les key/value paires suivantes sont requises pour les secrets basés sur X509 OAuth :

username: nom d'utilisateur du compte Starburst à utiliser lors de la connexion à Starburst
client_id: L'identifiant OAuth du client
client_private_key: clé privée OAuth du client
client_public_key: la clé publique du certificat OAuth client et son algorithme chiffré (par exemple,{"alg": "RS256", "kid", "cert_kid"})

Les key/value paires suivantes sont requises pour les secrets basés sur des jetons OAuth :

username: nom d'utilisateur du compte Starburst à utiliser lors de la connexion à Starburst
client_id: L'identifiant OAuth du client
client_secret: le secret OAuth du client

Création d'une OAuth connexion Starburst avec QuickSight APIs

Après avoir créé un secret contenant vos OAuth identifiants Starburst dans Secrets Manager et avoir connecté votre QuickSight compte à Secrets Manager, vous pouvez établir une connexion à une source de données entre Starburst QuickSight et le QuickSight APIs SDK. L'exemple suivant crée une connexion à une source de données Starburst à l'aide des informations d'identification OAuth du client jeton.


{
    "AwsAccountId": "AWSACCOUNTID",
    "DataSourceId": "DATASOURCEID",
    "Name": "NAME",
    "Type": "STARBURST",
    "DataSourceParameters": {
        "StarburstParameters": {
            "Host": "STARBURST_HOST_NAME",
            "Port": "STARBURST_PORT",
            "Catalog": "STARBURST_CATALOG",
            "ProductType": "STARBURST_PRODUCT_TYPE",     
            "AuthenticationType": "TOKEN",
            "DatabaseAccessControlRole": "starburst-db-access-role-name",
            "OAuthParameters": {
              "TokenProviderUrl": "oauth-access-token-endpoint", 
              "OAuthScope": "oauth-scope",
              "IdentityProviderResourceUri" : "resource-uri",
              "IdentityProviderVpcConnectionProperties" : {
                "VpcConnectionArn": "IdP-VPC-connection-ARN"
            }
        }
    },
    "VpcConnectionProperties": {
        "VpcConnectionArn": "VPC-connection-ARN-for-Starburst"
    },
    "Credentials": {
        "SecretArn": "oauth-client-secret-ARN"
    }
}

Pour plus d'informations sur le fonctionnement de l' CreateDatasource API, consultez CreateDataSource.

Une fois que la connexion entre Starburst QuickSight et Starburst est établie et qu'une source de données est créée avec le SDK QuickSight APIs ou, la nouvelle source de données est affichée dans. QuickSight QuickSight les auteurs peuvent utiliser cette source de données pour créer des ensembles de données contenant des données Starburst. Les tableaux sont affichés en fonction du rôle utilisé dans le DatabaseAccessControlRole paramètre transmis lors d'un appel d'CreateDataSourceAPI. Si ce paramètre n'est pas défini lors de la création de la connexion à la source de données, le rôle Starburst par défaut est utilisé.

Après avoir créé avec succès une connexion à une source de données entre votre compte QuickSight et votre compte Starburst, vous pouvez commencer à créer des QuickSight ensembles de données contenant des données Starburst.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Connexion à l'aide des identifiants de connexion

Sources SaaS