Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Fédération de fournisseurs d’identité natifs pour Amazon Redshift
La gestion des identités et des autorisations pour Amazon Redshift est simplifiée grâce à la fédération des fournisseurs d’identités natifs, car elle exploite votre fournisseur d’identité existant pour simplifier l’authentification et la gestion des autorisations. Pour ce faire, elle permet de partager des métadonnées d’identité avec Redshift à partir de votre fournisseur d’identité. Pour la première itération de cette fonction, le fournisseur d’identité pris en charge est Microsoft Azure Active Directory (Azure AD)
Pour configurer Amazon Redshift afin qu’il puisse authentifier les identités du fournisseur d’identité tiers, vous enregistrez le fournisseur d’identité auprès d’Amazon Redshift. Cela permet à Redshift d’authentifier les utilisateurs et les rôles définis par le fournisseur d’identité. Cela vous évite de devoir effectuer une gestion précise des identités tant dans votre fournisseur d’identité tiers que dans Amazon Redshift, car les informations d’identité sont partagées.
Pour plus d'informations sur l'utilisation des rôles de session transférés depuis des groupes de fournisseurs d'identité (IdP), consultez PG_ _ GET SESSION _ ROLES dans le manuel Amazon Redshift Database Developer Guide.
Fédération des fournisseurs d'identité natifs (IdP)
Pour terminer la configuration préliminaire entre le fournisseur d'identité et Amazon Redshift, vous devez d'abord enregistrer Amazon Redshift en tant qu'application tierce auprès de votre fournisseur d'identité, en demandant les autorisations nécessaires. API Vous créez ensuite des utilisateurs et des groupes dans le fournisseur d’identité. Enfin, vous enregistrez le fournisseur d'identité auprès d'Amazon Redshift à l'aide d'SQLinstructions qui définissent les paramètres d'authentification propres au fournisseur d'identité. Dans le cadre de l’enregistrement du fournisseur d’identité auprès de Redshift, vous attribuez un espace de noms pour vous assurer que les utilisateurs et les rôles sont correctement regroupés.
Une fois le fournisseur d’identité enregistré auprès d’Amazon Redshift, la communication est configurée entre Redshift et le fournisseur d’identité. Un client peut ensuite transmettre des jetons et s’authentifier auprès de Redshift en tant qu’entité de fournisseur d’identité. Amazon Redshift utilise les informations d’appartenance au groupe de fournisseurs d’identités pour mapper les rôles Redshift. Si l’utilisateur n’existe pas auparavant dans Redshift, il est créé. Les rôles sont créés et mappés à des groupes de fournisseurs d’identité, s’ils n’existent pas. L’administrateur Amazon Redshift accorde des autorisations sur les rôles, et les utilisateurs peuvent exécuter des requêtes et effectuer d’autres tâches de base de données.
Les étapes suivantes décrivent le fonctionnement de la fédération de fournisseurs d’identités natifs lorsqu’un utilisateur se connecte :
-
Lorsqu’un utilisateur se connecte à l’aide de l’option de fournisseurs d’identités natifs, à partir du client, le jeton du fournisseur d’identité est envoyé du client au pilote.
-
L’utilisateur est authentifié. Si l’utilisateur n’existe pas déjà dans Amazon Redshift, un nouvel utilisateur est créé. Redshift mappe les groupes de fournisseurs d’identité de l’utilisateur aux rôles Redshift.
-
Les autorisations sont attribuées, en fonction des rôles Redshift de l’utilisateur. Ils sont accordés aux utilisateurs et aux rôles par un administrateur.
-
L’utilisateur peut interroger Redshift.
Outils client de bureau
Pour obtenir des instructions sur l’utilisation de la fédération de fournisseurs d’identités natifs pour se connecter à Amazon Redshift avec Power BI, consultez le billet de blog Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI
Pour savoir comment intégrer la fédération IdP native d'Amazon Redshift à Azure AD, à l'aide de Power BI Desktop et de JDBC SQL Client-Workbench/J, regardez la vidéo suivante :
Pour savoir comment utiliser la fédération de fournisseurs d'identité native pour se connecter à Amazon Redshift avec un SQL client, en particulier DBeaver ou à SQL Workbench/J, consultez le billet de blog Intégrer la fédération d'IdP native Amazon Redshift
Limites
Les limitations suivantes s’appliquent :
-
Les pilotes Amazon Redshift sont pris en charge
BrowserIdcAuthPluginà partir des versions suivantes :-
Pilote Amazon Redshift v2.1.0.30 JDBC
-
Pilote Amazon Redshift v2.1.3 ODBC
-
Pilote Python Amazon Redshift v2.1.3
-
-
Les pilotes Amazon Redshift sont pris en charge
IdpTokenAuthPluginà partir des versions suivantes :-
Pilote Amazon Redshift v2.1.0.19 JDBC
-
Pilote Amazon Redshift v2.0.0.9 ODBC
-
Pilote Python Amazon Redshift v2.0.914
-
-
Aucune prise en charge pour Enhanced VPC — Enhanced VPC n'est pas prise en charge lorsque vous configurez la propagation d'identité sécurisée Redshift avec AWS IAM Identity Center. Pour plus d'informations sur le routage amélioréVPC, consultez la section VPCRoutage amélioré dans Amazon Redshift.
-
AWS IAMMise en cache d'Identity Center : AWS IAM Identity Center met en cache les informations de session. Cela peut entraîner des problèmes d'accès imprévisibles lorsque vous tentez de vous connecter à votre base de données Redshift via l'éditeur de requêtes Redshift v2. Cela est dû au fait que la session AWS IAM Identity Center associée dans l'éditeur de requêtes v2 reste valide, même si l'utilisateur de la base de données est déconnecté de la AWS console. Le cache expire au bout d'une heure, ce qui résout généralement les problèmes.
