Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 2 : Configurer des assertions SAML pour votre IdP
Une fois que vous avez créé le rôle IAM, vous définissez une règle de demande dans votre application d'IdP qui mappe des utilisateurs ou des groupes de votre organisation au rôle IAM. Pour plus d'informations, veuillez consulter la rubrique Configuration des assertions SAML pour la réponse d'authentification dans le Guide de l'utilisateur IAM.
Si vous choisissez d'utiliser les paramètres GetClusterCredentials facultatifs DbUser, AutoCreate et DbGroups, vous avez deux options. Vous pouvez définir les valeurs des paramètres avec votre connexion JDBC ou ODBC, ou vous pouvez définir les valeurs en ajoutant des éléments d'attribut SAML à votre IdP. Pour plus d'informations sur les paramètres DbUser, AutoCreate et DbGroups, consultez Étape 5 : Configurer une connexion JDBC ou ODBC pour utiliser des informations d'identification IAM.
Note
Si vous utilisez la variable de politique IAM ${redshift:DbUser}, comme décrit dans Politiques en matière de ressources pour GetClusterCredentials, la valeur pour DbUser est remplacée par la valeur récupérée par le contexte de demande de l'opération d'API. Les pilotes Amazon Redshift utilisent la valeur de la variable DbUser fournie par l'URL de connexion, plutôt que la valeur fournie comme attribut SAML.
Pour sécuriser cette configuration, nous vous recommandons d'utiliser une condition dans une politique IAM pour valider la valeur DbUser en utilisant RoleSessionName. Vous pouvez trouver des exemples montrant comment définir une condition dans une politique IAM dans Exemple de politique d'utilisation GetClusterCredentials.
Pour configurer votre IdP pour définir les paramètres DbUser, AutoCreate et DbGroups, incluez les éléments Attribute suivants :
-
Un
Attributeélément dont l'Nameattribut est défini sur « https://redshift.amazon.com/SAML/Attributes/ DbUser »Définissez l'élément
AttributeValuesur le nom d'un utilisateur qui se connectera à la base de données Amazon Redshift.La valeur de l'élément
AttributeValuedoit être en minuscules, commencer par une lettre, contenir seulement des caractères alphanumériques, des traits de soulignement ('_'), des signes plus ('+'), des points ('.'), des arobases ('@') ou des tirets ('-') et comporter moins de 128 caractères. Généralement, le nom d'utilisateur et un ID utilisateur (par exemple, bobsmith) ou une adresse e-mail (par exemple bobsmith@example.com). La valeur ne peut pas contenir d'espace (par exemple, un nom complet d'utilisateur comme Bob Smith).<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser"> <AttributeValue>user-name</AttributeValue> </Attribute> -
Un élément Attribute dont l'attribut Name est défini sur « https://redshift.amazon.com/SAML/Attributes/ AutoCreate »
Définissez l' AttributeValue élément sur true pour créer un nouvel utilisateur de base de données s'il n'en existe aucun. Définissez la valeur AttributeValue sur false pour spécifier que l'utilisateur de base de données doit exister dans la base de données Amazon Redshift.
<Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate"> <AttributeValue>true</AttributeValue> </Attribute> -
Un
Attributeélément dont l'Nameattribut est défini sur « https://redshift.amazon.com/SAML/Attributes/ DbGroups »Cet élément contient un ou plusieurs éléments
AttributeValue. Définissez chaque élémentAttributeValuesur un nom de groupe de bases de données queDbUserrejoint pendant la durée de la séance lorsqu'il se connecte à la base de données Amazon Redshift.<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups"> <AttributeValue>group1</AttributeValue> <AttributeValue>group2</AttributeValue> <AttributeValue>group3</AttributeValue> </Attribute>
