Ping Identity

Vous pouvez utiliser Ping Identity comme fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift. Ce didacticiel explique comment utiliser Ping Identity en tant que fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift.

Étape 1 : Configurez Ping Identity et votre AWS compte pour qu'ils se fassent mutuellement confiance

La procédure suivante décrit comment configurer une relation de confiance à l'aide du PingOne portail.

Pour configurer Ping Identity et votre AWS compte de manière à ce qu'ils se fassent mutuellement confiance

1. Créez ou utilisez un cluster Amazon Redshift existant pour que vos utilisateurs Ping Identity puissent se connecter. Pour configurer la connexion, certaines propriétés de ce cluster sont nécessaires, telles que l'identifiant de cluster. Pour plus d'informations, consultez Création d'un cluster.

2. Ajoutez Amazon Redshift en tant que nouvelle SAML application sur le PingOne portail. Pour obtenir des étapes détaillées, consultez la documentation Ping Identity.

   1. Accédez à Mes applications.

   2. Sous Ajouter une application, sélectionnez Nouvelle SAML application.

   3. Dans Application Name (Nom de l'application), saisissez Amazon Redshift.

   4. Pour la version du protocole, choisissez SAMLv2.0.

   5. Pour Catégorie, choisissez your-application-category.

   6. Pour Assertion Consumer Service (ACS), tapezyour-redshift-local-host-url. Il s'agit de l'hôte et du port locaux vers lesquels l'SAMLassertion redirige.

   7. Pour Entity ID (ID d'entité), saisissez urn:amazon:webservices.

   8. Pour Signature, choisissez Signer l'assertion.

   9. Dans la section Mappage des SSO attributs, créez les revendications comme indiqué dans le tableau suivant.

      Attribut de l'application	Attribut de pont d'identité de la valeur littérale
      https://aws.amazon.com/SAML/Attributes/Role	arn:aws:iam : :123456789012:rôle/Ping, arn:aws:iam : :123456789012:saml-fournisseur/PingProvider
      https://aws.amazon.com/SAML/Attributes/RoleSessionName	e-mail
      https://redshift.amazon.com/SAML/Attributes/AutoCreate	"true"
      https://redshift.amazon.com/SAML/Attributs/ DbUser	e-mail
      https://redshift.amazon.com/SAML/Attributs/ DbGroups	Les groupes figurant dans les attributs « DbGroups » contiennent le préfixe @directory. Pour le supprimer, dans Identity Bridge, entrez memberOf. Dans Fonction, sélectionnez ExtractByRegularExpression. Dans Expression, saisissez (.*)[\@](?:.*).

3. Pour Accès au groupe, configurez l'accès au groupe suivant, si nécessaire :

   • https://aws.amazon.com/SAML/Attributes/Role

   • https://aws.amazon.com/SAML/Attributes/RoleSessionName

   • https://redshift.amazon.com/SAML/Attributes/AutoCreate

   • https://redshift.amazon.com/SAML/Attributes/DbUser

4. Passez en revue votre configuration et apportez des modifications, si nécessaire.

5. Utilisez l'Initiate Single Sign-On (SSO) URL comme identifiant URL pour le SAML plugin Browser.

6. Créez un fournisseur IAM SAML d'identité sur la IAM console. Le document de métadonnées que vous fournissez est le XML fichier de métadonnées de fédération que vous avez enregistré lors de la configuration de Ping Identity. Pour connaître les étapes détaillées, consultez la section Création et gestion d'un fournisseur IAM d'identité (console) dans le guide de IAM l'utilisateur.

7. Créez un IAM rôle pour la fédération SAML 2.0 sur la IAM console. Pour connaître les étapes détaillées, consultez la section Création d'un rôle pour SAML dans le guide de IAM l'utilisateur.

8. Créez une IAM politique que vous pouvez associer au IAM rôle que vous avez créé pour la fédération SAML 2.0 sur la IAM console. Pour connaître les étapes détaillées, reportez-vous à la section Création de IAM politiques (console) dans le guide de IAM l'utilisateur. Pour obtenir un exemple Azure AD, consultez Configuration de JDBC l'authentification ODBC unique.

Étape 2 : Configuration JDBC ou authentification auprès ODBC de Ping Identity

JDBC

Pour configurer l'authentification JDBC auprès de Ping Identity

• Configurez votre client de base de données pour qu'il se connecte à votre cluster à JDBC l'aide de l'authentification unique Ping Identity.

  Vous pouvez utiliser n'importe quel client utilisant un JDBC pilote pour vous connecter à l'aide de l'authentification unique Ping Identity ou utiliser un langage tel que Java pour vous connecter à l'aide d'un script. Pour plus d'informations sur l'installation et la configuration, consultez Configuration d’une connexion pour le pilote JDBC version 2.1 pour Amazon Redshift.

  Par exemple, vous pouvez utiliser SQLWorkbench /J comme client. Lorsque vous configurez SQLWorkbench /J, le URL de votre base de données utilise le format suivant.

  jdbc:redshift:iam://cluster-identifier:us-west-1/dev

  Si vous utilisez SQLWorkbench /J comme client, procédez comme suit :

  1. Démarrez SQL Workbench/J. Sur la page Sélectionner le profil de connexion, ajoutez un groupe de profils, par exemple. Ping

  2. Pour Profil de connexion, entrez your-connection-profile-name, par exemple Ping.

  3. Choisissez Manage Drivers (Gérer les pilotes), puis Amazon Redshift. Cliquez sur l'icône Ouvrir un dossier à côté de Bibliothèque, puis choisissez le fichier JDBC .jar approprié.

  4. Dans la page Select Connection Profile (Sélectionner un profil de connexion) ajoutez les informations suivantes au profil de connexion :

     • Dans Utilisateur, entrez votre nom PingOne d'utilisateur. Il s'agit du nom d'utilisateur du PingOne compte que vous utilisez pour l'authentification unique et qui est autorisé à accéder au cluster à l'aide duquel vous essayez de vous authentifier.

     • Dans Mot de passe, entrez votre PingOne mot de passe.

     • Pour Drivers (Pilotes), choisissez Amazon Redshift (com.amazon.redshift.jdbc.Driver).

     • Pour URL, entrezjdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

  5. Choisissez Propriétés étendues et effectuez l'une des opérations suivantes :

     • Pour login_url, entrez your-ping-sso-login-url. Cette valeur indique URL à utiliser l'authentification unique comme moyen d'authentification pour se connecter.

     • Pour Ping Identity, pour plugin_name, entrez com.amazon.redshift.plugin.PingCredentialsProvider. Cette valeur spécifie au pilote d'utiliser l'authentification unique Ping Identity comme méthode d'authentification.

     • Pour Ping Identity avec l'authentification unique, pour plugin_name, entrez com.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Cette valeur indique au pilote d'utiliser Ping Identity PingOne avec authentification unique comme méthode d'authentification.

ODBC

Pour configurer l'authentification ODBC auprès de Ping Identity

• Configurez votre client de base de données pour qu'il se connecte à votre cluster à ODBC l'aide de l'authentification PingOne unique Ping Identity.

  Amazon Redshift fournit des ODBC pilotes pour les systèmes d'exploitation Linux, Windows et macOS. Avant d'installer un ODBC pilote, déterminez si votre outil SQL client est 32 bits ou 64 bits. Installez le ODBC pilote correspondant aux exigences de votre outil SQL client.

  Sous Windows, sur la page de DSNconfiguration du ODBC pilote Amazon Redshift, sous Paramètres de connexion, entrez les informations suivantes :

  • Pour Data Source Name (Nom de la source de données), entrez your-DSN. Ceci indique le nom de la source de données utilisé comme nom ODBC de profil.

  • Pour Type d'authentification, effectuez l'une des actions suivantes :

    • Pour la configuration de Ping Identity, choisissez Fournisseur d'identité : Ping Federate. Il s'agit de la méthode d'authentification utilisée par le ODBC pilote pour s'authentifier à l'aide de l'authentification unique Ping Identity.

    • Pour Ping Identity avec configuration d'authentification unique, choisissez Identity Provider : Browser. SAML Il s'agit de la méthode d'authentification utilisée par le ODBC pilote pour s'authentifier à l'aide de Ping Identity avec authentification unique.

  • Pour Cluster ID (ID de cluster), entrez your-cluster-identifier.

  • Pour Region (Région), entrez your-cluster-region.

  • Pour Database (Base de données), entrez your-database-name.

  • Pour Utilisateur, entrez your-ping-username. Il s'agit du nom d'utilisateur du PingOne compte que vous utilisez pour l'authentification unique qui est autorisé à accéder au cluster à l'aide duquel vous essayez de vous authentifier. Utilisez-le uniquement pour le type d'authentification est le fournisseur d'identité : PingFederate.

  • Pour Mot de passe, entrez your-ping-password. Utilisez-le uniquement pour le type d'authentification est le fournisseur d'identité : PingFederate.

  • Pour Port d'écoute, entrez your-listen-port. C'est le port que le serveur local écoute. La valeur par défaut est 7890. Cela s'applique uniquement au SAML plugin Browser.

  • Pour Délai de réponse, entrez the-number-of-seconds. Il s'agit du nombre de secondes à attendre avant l'expiration lorsque le serveur IdP renvoie une réponse. Le nombre minimum de secondes doit être de 10. Si l’établissement de la connexion dépasse ce seuil, la connexion est abandonnée. Cela s'applique uniquement au SAML plugin Browser.

  • Pour Login URL, entrezyour-login-url. Cela s'applique uniquement au SAML plugin Browser.

  Sous macOS et Linux, modifiez le fichier odbc.ini comme suit :

  Note

  Toutes les entrées sont insensibles à la casse.

  • Pour clusterid, entrez your-cluster-identifier. Il s'agit du nom du cluster Amazon Redshift qui a été créé.

  • Pour region (région), entrez your-cluster-region. Il s'agit de la AWS région du cluster Amazon Redshift créé.

  • Pour database (base de données), entrez your-database-name. Il s'agit du nom de la base de données à laquelle vous essayez d'accéder sur le cluster Amazon Redshift.

  • Pour locale (paramètres régionaux), entrez en-us. Il s'agit de la langue dans laquelle les messages d'erreur s'affichent.

  • Pour iam, entrez 1. Cette valeur indique au pilote qu'il doit s'authentifier à l'aide d'IAMinformations d'identification.

  • Pour plugin_name, effectuez l'une des opérations suivantes :

    • Pour la configuration de Ping Identity, entrez BrowserSAML. Il s'agit de la méthode d'authentification utilisée par le ODBC pilote pour s'authentifier auprès de Ping Identity.

    • Pour la configuration de Ping Identity avec l'authentification unique, entrez Ping. Il s'agit de la méthode d'authentification utilisée par le ODBC pilote pour s'authentifier à l'aide de Ping Identity avec authentification unique.

  • Pour uid, entrez your-ping-username. Il s'agit du nom d'utilisateur du compte Microsoft Azure que vous utilisez pour l'authentification unique qui a l'autorisation sur le cluster sur lequel vous essayez de vous authentifier. Utilisez ceci uniquement lorsque plugin_name est Ping.

  • Pour pwd, entrez your-ping-password. Utilisez ceci uniquement lorsque plugin_name est Ping.

  • Pour login_url, entrez your-login-url. Il s'agit de l'authentification unique Initiate URL qui renvoie la SAML réponse. Cela s'applique uniquement au SAML plugin Browser.

  • Pour idp_response_timeout, entrez the-number-of-seconds. Il s'agit du délai spécifié en secondes pour attendre la réponse d' PingOne Identity. Cela s'applique uniquement au SAML plugin Browser.

  • Pour listen_port, entrez your-listen-port. C'est le port que le serveur local écoute. La valeur par défaut est 7890. Cela s'applique uniquement au SAML plugin Browser.

  Sous mac OS et Linux, modifiez également les paramètres de profil pour ajouter les exportations suivantes.

  export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini

  export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini