Okta - Amazon Redshift
Étape 1 : configurez Okta et votre AWS compte pour qu'ils se fassent mutuellement confianceÉtape 2 : configurer JDBC ou ODBC pour l'authentification auprès d'Okta

Amazon Redshift ne prendra plus en charge la création de nouveaux Python UDFs à compter du 1er novembre 2025. Si vous souhaitez utiliser Python UDFs, créez la version UDFs antérieure à cette date. Le Python existant UDFs continuera à fonctionner normalement. Pour plus d'informations, consultez le billet de blog.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Okta

Vous pouvez utiliser Okta comme fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift. Ce didacticiel explique comment utiliser Okta en tant que fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift.

Étape 1 : configurez Okta et votre AWS compte pour qu'ils se fassent mutuellement confiance

La procédure suivante décrit comment configurer une relation de confiance.

Pour configurer Okta et votre AWS compte de manière à ce qu'ils se fassent mutuellement confiance

  1. Créez ou utilisez un cluster Amazon Redshift existant pour que vos utilisateurs Okta puissent se connecter. Pour configurer la connexion, certaines propriétés de ce cluster sont nécessaires, telles que l'identifiant de cluster. Pour de plus amples informations, veuillez consulter Création d'un cluster.

  2. Ajoutez Amazon Redshift comme nouvelle application sur le portail Okta. Pour les étapes détaillées, consultez la documentation Okta.

    • Choisissez Ajouter une application.

    • Sous Ajouter une application, choisissez Créer une nouvelle application.

    • Dans la page Créer une nouvelle intégration d'applications, pour Plateforme, choisissez Web.

    • Pour Méthode de connexion, choisissez SAML v2.0.

    • Dans la page Paramètres généraux, pour Nom de l'application, entrez your-redshift-saml-sso-name. Il s'agit du nom de votre application.

    • Dans la page Paramètres SAML, pour URL d'authentification unique, entrez your-redshift-local-host-url. Il s'agit de l'hôte local et du port vers lequel l'assertion SAML redirige, par exemplehttp://localhost:7890/redshift/ .

  3. Utilisez la valeur de l'URL de connexion unique comme URL du destinataire et URL de destination.

  4. Pour Signature, choisissez Signer l'assertion.

  5. Pour URI d'audience (ID d'entité SP), entrez urn:amazon:webservices pour les réclamations, comme indiqué dans le tableau suivant.

  6. Dans la section Advanced Settings (Paramètres avancés), pour SAML Issuer ID (ID d'émetteur SAML), saisissez your-Identity-Provider-Issuer-ID, que vous pouvez trouver dans la section View Setup Instructions (Afficher les instructions de configuration).

  7. Dans la section Instructions d'attribut, créez les réclamations comme indiqué dans le tableau suivant.

    Nom de la demande Valeur

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam : :role/, arn:aws:iam : ::saml-provider/ 123456789012 Okta 123456789012 Okta

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.email

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    "true"

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.email

  8. Dans la section Lien intégré de l'application, recherchez l'URL que vous pouvez utiliser comme URL de connexion pour le plugin SAML du navigateur.

  9. Créez un fournisseur d'identité SAML IAM sur la console IAM. Le document de métadonnées que vous fournissez est le fichier XML de métadonnées de fédération que vous avez enregistré lorsque vous avez configuré Okta. Pour des étapes détaillées, veuillez consulter la rubrique Création et gestion d'un fournisseur d'identité IAM (Console) dans le Guide de l'utilisateur IAM.

  10. Créez un rôle IAM pour la fédération SAML 2.0 sur la console IAM. Pour des étapes détaillées, voir Création d'un rôle pour SAML dans le Guide de l'utilisateur IAM.

  11. Créez une politique IAM que vous pouvez attacher au rôle IAM que vous avez créé pour la fédération SAML 2.0 sur la console IAM. Pour connaître la marche à suivre en détail, consultez Création de politiques IAM (console) dans le Guide de l'utilisateur IAM. Pour obtenir un exemple Azure AD, consultez Configuration de l'authentification unique JDBC ou ODBC.

Étape 2 : configurer JDBC ou ODBC pour l'authentification auprès d'Okta

JDBC
Pour configurer JDBC pour l'authentification auprès d'Okta

  • Configurez votre client de base de données pour qu'il se connecte à votre cluster via JDBC à l'aide de l'authentification unique Okta.

    Vous pouvez utiliser n'importe quel client qui utilise un pilote JDBC pour vous connecter à l'aide de l'authentification unique Okta ou utiliser un langage comme Java pour vous connecter à l'aide d'un script. Pour plus d'informations sur l'installation et la configuration, consultez Configuration d'une connexion pour le pilote JDBC version 2.x pour Amazon Redshift.

    Par exemple, vous pouvez utiliser SQLWorkbench/J en tant que client. Lorsque vous configurez SQLWorkbench /J, l'URL de votre base de données utilise le format suivant.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Si vous l'utilisez SQLWorkbench/J en tant que client, procédez comme suit :

    1. Démarrez SQL Workbench/J. Dans la page Sélectionner un profil de connexion, ajoutez un Groupe de profils, par exemple Okta.

    2. Pour Profil de connexion, entrez your-connection-profile-name, par exemple Okta.

    3. Choisissez Manage Drivers (Gérer les pilotes), puis Amazon Redshift. Choisissez l'icône Open Folder (Ouvrir le dossier) en regard de Library (Bibliothèque), puis choisissez le fichier JDBC .jar approprié.

    4. Dans la page Select Connection Profile (Sélectionner un profil de connexion) ajoutez les informations suivantes au profil de connexion :

      • Pour Utilisateur, entrez votre nom d'utilisateur Okta. Il s'agit du nom d'utilisateur du compte Okta que vous utilisez pour l'authentification unique et qui a la permission du cluster que vous essayez d'utiliser pour vous authentifier.

      • Pour Mot de passe, entrez votre mot de passe Okta.

      • Pour Drivers (Pilotes), choisissez Amazon Redshift (com.amazon.redshift.jdbc.Driver).

      • Pour URL, entrez jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Choisissez Propriétés étendues et effectuez l'une des opérations suivantes :

      • Pour login_url, entrez your-okta-sso-login-url. Cette valeur indique à l'URL d'utiliser l'authentification unique comme authentification pour se connecter à Okta.

      • Pour l'authentification unique Okta, pour plugin_name, entrez com.amazon.redshift.plugin.OktaCredentialsProvider. Cette valeur spécifie au pilote d'utiliser l'authentification unique Okta comme méthode d'authentification.

      • Pour l'authentification unique Okta avec MFA, pour plugin_name, entrez com.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Cette valeur spécifie au pilote d'utiliser l'authentification unique Okta avec MFA comme méthode d'authentification.

ODBC
Pour configurer ODBC pour l'authentification auprès d'Okta

  • Configurez votre client de base de données pour qu'il se connecte à votre cluster via ODBC à l'aide de l'authentification unique Okta.

    Amazon Redshift fournit des pilotes ODBC pour les systèmes d'exploitation Linux, Windows et macOS. Avant d'installer un pilote ODBC, déterminez si votre outil client SQL est en 32 bits ou en 64 bits. Installez le pilote ODBC qui correspond aux exigences de votre outil client SQL.

    Sous Windows, dans la page Amazon Redshift ODBC Driver DSN Setup (Configuration DSN du pilote ODBC Amazon Redshift), sous Connection Settings (Paramètres de connexion), entrez les informations suivantes :

    • Pour Data Source Name (Nom de la source de données), entrez your-DSN. Cela indique le nom de la source de données utilisé comme nom de profil ODBC.

    • Pour Type d'authentification, effectuez l'une des actions suivantes :

      • Pour la configuration de l'authentification unique Okta, choisissez Identity Provider: Okta. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Okta.

      • Pour la configuration de l'authentification unique Okta avec MFA, choisissez Identity Provider: Browser SAML. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Okta avec MFA.

    • Pour Cluster ID (ID de cluster), entrez your-cluster-identifier.

    • Pour Region (Région), entrez your-cluster-region.

    • Pour Database (Base de données), entrez your-database-name.

    • Pour Utilisateur, entrez your-okta-username. Il s'agit du nom d'utilisateur du compte Okta que vous utilisez pour l'authentification unique et qui a la permission d'accéder au cluster que vous essayez d'utiliser pour vous authentifier. Utilisez cette option uniquement si le Type d'authentification est Fournisseur d'identité : Okta.

    • Pour Mot de passe, entrez your-okta-password. Utilisez cette option uniquement si le Type d'authentification est Fournisseur d'identité : Okta.

    Sous macOS et Linux, modifiez le fichier odbc.ini comme suit :

    Note

    Toutes les entrées sont insensibles à la casse.

    • Pour clusterid, entrez your-cluster-identifier. Il s'agit du nom du cluster Amazon Redshift qui a été créé.

    • Pour region (région), entrez your-cluster-region. Il s'agit de la AWS région du cluster Amazon Redshift créé.

    • Pour database (base de données), entrez your-database-name. Il s'agit du nom de la base de données à laquelle vous essayez d'accéder sur le cluster Amazon Redshift.

    • Pour locale (paramètres régionaux), entrez en-us. Il s'agit de la langue dans laquelle les messages d'erreur s'affichent.

    • Pour iam, entrez 1. Cette valeur spécifie au pilote de s'authentifier à l'aide des informations d'identification IAM.

    • Pour plugin_name, effectuez l'une des opérations suivantes :

      • Pour la configuration de l'authentification unique Okta avec MFA, entrez BrowserSAML. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier via l'authentification unique Okta avec MFA.

      • Pour la configuration de l'authentification unique Okta, entrez Okta. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Okta.

    • Pour uid, entrez your-okta-username. Il s'agit du nom d'utilisateur du compte Okta que vous utilisez pour l'authentification unique qui a l'autorisation d'accéder au cluster sur lequel vous essayez de vous authentifier. Utilisez ceci uniquement lorsque plugin_name est Okta.

    • Pour pwd, entrez your-okta-password. Utilisez ceci uniquement lorsque plugin_name est Okta.

    • Pour login_url, entrez your-login-url. Il s'agit de l'URL de lancement de l'authentification unique qui renvoie la réponse SAML. Ceci s'applique uniquement au plugin du navigateur SAML.

    • Pour idp_response_timeout, entrez the-number-of-seconds. Il s'agit de la durée spécifiée en secondes pour attendre une réponse PingOne. Ceci s'applique uniquement au plugin du navigateur SAML.

    • Pour listen_port, entrez your-listen-port. C'est le port que le serveur local écoute. La valeur par défaut est 7890. Ceci s'applique uniquement au plugin du navigateur SAML.

    Sous mac OS et Linux, modifiez également les paramètres de profil pour ajouter les exportations suivantes.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini