Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Fédération de fournisseurs d’identité natifs pour Amazon Redshift
La gestion des identités et des autorisations pour Amazon Redshift est simplifiée grâce à la fédération des fournisseurs d’identités natifs, car elle exploite votre fournisseur d’identité existant pour simplifier l’authentification et la gestion des autorisations. Pour ce faire, elle permet de partager des métadonnées d’identité avec Redshift à partir de votre fournisseur d’identité. Pour la première itération de cette fonction, le fournisseur d’identité pris en charge est Microsoft Azure Active Directory (Azure AD)
Pour configurer Amazon Redshift afin qu’il puisse authentifier les identités du fournisseur d’identité tiers, vous enregistrez le fournisseur d’identité auprès d’Amazon Redshift. Cela permet à Redshift d’authentifier les utilisateurs et les rôles définis par le fournisseur d’identité. Cela vous évite de devoir effectuer une gestion précise des identités tant dans votre fournisseur d’identité tiers que dans Amazon Redshift, car les informations d’identité sont partagées.
Pour obtenir des informations sur l’utilisation de rôles de session transférés depuis des groupes de fournisseurs d’identité (IdP), consultez PG_GET_SESSION_ROLES dans le Guide du développeur de base de données Amazon Redshift.
Fédération des fournisseurs d'identité natifs (IdP)
Pour terminer la configuration préliminaire entre le fournisseur d’identité et Amazon Redshift, vous effectuez quelques étapes : tout d’abord, vous enregistrez Amazon Redshift en tant qu’application tierce auprès de votre fournisseur d’identité, en demandant les autorisations d’API nécessaires. Vous créez ensuite des utilisateurs et des groupes dans le fournisseur d’identité. Enfin, vous enregistrez le fournisseur d’identité auprès d’Amazon Redshift, à l’aide d’instructions SQL, qui définissent des paramètres d’authentification uniques pour le fournisseur d’identité. Dans le cadre de l’enregistrement du fournisseur d’identité auprès de Redshift, vous attribuez un espace de noms pour vous assurer que les utilisateurs et les rôles sont correctement regroupés.
Une fois le fournisseur d’identité enregistré auprès d’Amazon Redshift, la communication est configurée entre Redshift et le fournisseur d’identité. Un client peut ensuite transmettre des jetons et s’authentifier auprès de Redshift en tant qu’entité de fournisseur d’identité. Amazon Redshift utilise les informations d’appartenance au groupe de fournisseurs d’identités pour mapper les rôles Redshift. Si l’utilisateur n’existe pas auparavant dans Redshift, il est créé. Les rôles sont créés et mappés à des groupes de fournisseurs d’identité, s’ils n’existent pas. L’administrateur Amazon Redshift accorde des autorisations sur les rôles, et les utilisateurs peuvent exécuter des requêtes et effectuer d’autres tâches de base de données.
Les étapes suivantes décrivent le fonctionnement de la fédération de fournisseurs d’identités natifs lorsqu’un utilisateur se connecte :
-
Lorsqu’un utilisateur se connecte à l’aide de l’option de fournisseurs d’identités natifs, à partir du client, le jeton du fournisseur d’identité est envoyé du client au pilote.
-
L’utilisateur est authentifié. Si l’utilisateur n’existe pas déjà dans Amazon Redshift, un nouvel utilisateur est créé. Redshift mappe les groupes de fournisseurs d’identité de l’utilisateur aux rôles Redshift.
-
Les autorisations sont attribuées, en fonction des rôles Redshift de l’utilisateur. Ils sont accordés aux utilisateurs et aux rôles par un administrateur.
-
L’utilisateur peut interroger Redshift.
Outils client de bureau
Pour obtenir des instructions sur l’utilisation de la fédération de fournisseurs d’identités natifs pour se connecter à Amazon Redshift avec Power BI, consultez le billet de blog Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI
Pour apprendre comment intégrer la fédération IdP native d’Amazon Redshift avec Azure AD, à l’aide de Power BI Desktop et de JDBC Client-SQL Workbench/J, regardez la vidéo suivante :
Pour savoir comment utiliser la fédération de fournisseurs d'identité native pour se connecter à Amazon Redshift avec un client SQL, en particulier DBeaver ou SQL Workbench/J, consultez le billet de blog Intégrer la fédération d'IdP native Amazon Redshift à Microsoft Azure AD à l'aide d'un
Limites
Les limitations suivantes s’appliquent :
-
Les pilotes Amazon Redshift sont pris en charge
BrowserIdcAuthPluginà partir des versions suivantes :-
Pilote JDBC Amazon Redshift v2.1.0.30
-
Pilote ODBC Amazon Redshift v2.1.3
-
Pilote Python Amazon Redshift v2.1.3
-
-
Les pilotes Amazon Redshift sont pris en charge
IdpTokenAuthPluginà partir des versions suivantes :-
Pilote JDBC Amazon Redshift v2.1.0.19
-
Pilote ODBC Amazon Redshift v2.0.0.9
-
Pilote Python Amazon Redshift v2.0.914
-
-
Aucune prise en charge du VPC amélioré : le VPC amélioré n'est pas pris en charge lorsque vous configurez la propagation d'identité sécurisée Redshift avec IAM Identity Center. AWS Pour plus d'informations sur le VPC amélioré, consultez la section Routage VPC amélioré dans Amazon Redshift.
-
AWS Mise en cache du centre d'identité IAM : le centre d'identité AWS IAM met en cache les informations de session. Cela peut entraîner des problèmes d'accès imprévisibles lorsque vous tentez de vous connecter à votre base de données Redshift via l'éditeur de requêtes Redshift v2. Cela est dû au fait que la session AWS IAM Identity Center associée dans l'éditeur de requêtes v2 reste valide, même dans le cas où l'utilisateur de la base de données est déconnecté de la AWS console. Le cache expire au bout d'une heure, ce qui résout généralement les problèmes.
