Mengkonfigurasi akses federasi ke Amazon Athena untuk pengguna Microsoft AD FS menggunakan klien ODBC

Untuk mengatur akses federasi ke Amazon Athena untuk pengguna Microsoft Active Directory Federation Services (AD FS) menggunakan klien ODBC, pertama-tama Anda membangun kepercayaan antara AD FS danAWSakun. Dengan kepercayaan ini di tempat, pengguna AD Anda dapatfederasikeAWSmenggunakan kredensi AD mereka dan menganggap izin dariAWS Identity and Access Management(IAM) peran untuk mengaksesAWSsumber daya seperti Athena API.

Untuk membuat kepercayaan ini, Anda menambahkan AD FS sebagai penyedia SALL keAkun AWSdan membuat peran IAM yang dapat diasumsikan oleh pengguna federasi. Di sisi AD FS, Anda menambahkanAWSsebagai pihak yang mengandalkan dan menulis aturan klaim SALL untuk mengirim atribut pengguna yang tepatAWSuntuk otorisasi (khususnya, Athena dan Amazon S3).

Mengkonfigurasi akses AD FS ke Athena melibatkan langkah-langkah utama berikut:

1. Menyiapkan penyedia dan peran IAM SALL

2. Mengkonfigurasi AD FS

3. Membuat pengguna dan grup Active Directory

4. Mengkonfigurasi koneksi AD FS ODBC ke Athena

1. Menyiapkan penyedia dan peran IAM SALL

Di bagian ini, Anda menambahkan AD FS sebagai penyedia SALL keAWSakun dan buat peran IAM yang dapat diasumsikan oleh pengguna federasi Anda.

Untuk menyiapkan penyedia SALL

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Penyedia identitas.

3. PilihTambah penyedia.

4. UntukJenis penyedia, pilihSAML.

   

5. UntukNama penyedia, masuklahadfs-saml-provider.

6. Di browser, masukkan alamat berikut untuk mengunduh file XMLfederasi untuk server AD FS Anda. Untuk melakukan langkah ini, browser Anda harus memiliki akses ke server AD FS.

   https://adfs-server-name/federationmetadata/2007-06/federationmetadata.xml       

7. Di konsol IAM, untukDokumen metadata, pilihPilih file, dan kemudian unggah file metadata federasi keAWS.

8. Untuk menyelesaikan, pilihTambah penyedia.

Selanjutnya, Anda membuat peran IAM yang dapat diasumsikan oleh pengguna federasi Anda.

Untuk membuat peran IAM bagi pengguna federasi

1. Di panel navigasi konsol IAM, pilihPeran.

2. Pilih Create role (Buat peran).

3. UntukJenis entitas tepercaya, pilihSALL 2.0 federasi.

4. UntukPenyedia berbasis SALL 2.0, pilihadfs-saml-providerpenyedia yang Anda buat.

5. PilihIzinkan program danAWSAkses Konsol Manajemen, lalu pilihBerikutnya.

   

6. PadaTambahkan izinhalaman, filter kebijakan izin IAM yang Anda perlukan untuk peran ini, lalu pilih kotak centang yang sesuai. Tutorial ini melampirkanAmazonAthenaFullAccessdanAmazonS3FullAccesskebijakan.

   
   

7. Pilih Selanjutnya.

8. PadaNama, ulasan, dan buathalaman, untukNama peran, masukkan nama untuk peran tersebut. Tutorial ini menggunakan namaadfs-data-access.

   DalamLangkah 1: Pilih entitas tepercaya, yangKepala Sekolahbidang harus secara otomatis diisi dengan"Federated:" "arn:aws:iam::account_id:saml-provider/adfs-saml-provider". YangConditionbidang harus berisi"SAML:aud"dan"https://signin.aws.amazon.com/saml".

   

   Langkah 2: Tambahkan izinmenunjukkan kebijakan yang telah Anda lampirkan pada peran tersebut.

   

9. Pilih Create role (Buat peran). Pesan spanduk mengonfirmasi pembuatan peran.

10. PadaPeranhalaman, pilih nama peran yang baru saja Anda buat. Halaman ringkasan untuk peran menunjukkan kebijakan yang telah dilampirkan.

    

2. Mengkonfigurasi AD FS

Sekarang Anda siap untuk menambahkanAWSsebagai pihak yang mengandalkan dan menulis aturan klaim SALL sehingga Anda dapat mengirim atribut pengguna yang tepatAWSuntuk otorisasi.

Federasi berbasis SALL memiliki dua pihak peserta: IDP (Active Directory) dan pihak yang mengandalkan (AWS), yang merupakan layanan atau aplikasi yang menggunakan otentikasi dari IdP.

Untuk mengonfigurasi AD FS, pertama-tama Anda menambahkan kepercayaan pihak yang mengandalkan, lalu mengonfigurasi aturan klaim SALL untuk pihak yang mengandalkan. AD FS menggunakan aturan klaim untuk membentuk pernyataan SALL yang dikirim ke pihak yang mengandalkan. Pernyataan SALL menyatakan bahwa informasi tentang pengguna AD benar, dan bahwa itu telah diautentikasi pengguna.

Menambahkan kepercayaan partai yang mengandalkan

Untuk menambahkan kepercayaan pihak yang mengandalkan pada AD FS, Anda menggunakan manajer server AD FS.

Untuk menambahkan kepercayaan pihak yang mengandalkan pada AD FS

1. Masuk ke server AD FS.

2. PadaMulaimenu, bukaManajer Server.

3. PilihAlat, lalu pilihManajemen AD FS.

   

4. Di panel navigasi, di bawahHubungan Kepercayaan, pilihMengandalkan Perwalian Partai.

5. Di bawahTindakan, pilihTambahkan Mengandalkan Kepercayaan Partai.

   

6. PadaTambahkan Wisaya Kepercayaan Partai yang Mengandalkanhalaman, pilihMulai.

   

7. PadaPilih Sumber Datalayar, pilih opsiMengimpor data tentang pihak yang mengandalkan yang dipublikasikan secara online atau di jaringan lokal.

8. UntukAlamat metadata Federasi (nama host atau URL), masukkan URL https://signin.aws.amazon.com/static/saml-metadata.xml

9. Pilih Selanjutnya.

   

10. PadaTentukan Nama Tampilanhalaman, untukNama tampilan, masukkan nama tampilan untuk pihak yang Anda andalkan, lalu pilihBerikutnya.

    

11. PadaKonfigurasikan Otentikasi Multi-faktor Sekaranghalaman, tutorial ini memilihSaya tidak ingin mengkonfigurasi otentikasi multi-faktor untuk kepercayaan pihak yang mengandalkan ini saat ini.

    Untuk meningkatkan keamanan, sebaiknya konfigurasikan autentikasi multi-faktor untuk membantu melindungiAWSsumber daya. Karena menggunakan kumpulan data sampel, tutorial ini tidak mengaktifkan otentikasi multi-faktor.

    

12. Pilih Selanjutnya.

13. PadaPilih Aturan Otorisasi Penerbitanhalaman, pilihIzinkan semua pengguna untuk mengakses pihak yang mengandalkan ini.

    Opsi ini memungkinkan semua pengguna di Active Directory untuk menggunakan AD FS denganAWSsebagai pihak yang mengandalkan. Anda harus mempertimbangkan persyaratan keamanan Anda dan menyesuaikan konfigurasi ini sesuai.

    

14. Pilih Selanjutnya.

15. PadaSiap Tambah Kepercayaanhalaman, pilihBerikutnyauntuk menambahkan kepercayaan pihak yang mengandalkan ke database konfigurasi AD FS.

    

16. PadaSelesaihalaman, pilihTutup.

    

Mengonfigurasi aturan klaim SALL untuk pihak yang mengandalkan

Dalam tugas ini, Anda membuat dua set aturan klaim.

Set pertama, aturan 1—4, berisi aturan klaim AD FS yang diperlukan untuk mengambil peran IAM berdasarkan keanggotaan grup AD. Ini adalah aturan yang sama yang Anda buat jika Anda ingin membuat akses federasi keAWS Management Console.

Set kedua, aturan 5—6, adalah aturan klaim yang diperlukan untuk kontrol akses Athena.

Untuk membuat aturan klaim AD FS

1. Di panel navigasi konsol AD FS Management, pilihHubungan Kepercayaan,Mengandalkan Perwalian Partai.

2. Temukan pihak yang mengandalkan yang Anda buat di bagian sebelumnya.

3. Klik kanan pihak yang mengandalkan dan pilihEdit Aturan Klaim, atau pilihEdit Aturan KlaimdariTindakanmenu.

   

4. Pilih Tambahkan aturan.

5. PadaKonfigurasi Aturanhalaman Wizard Add Transform Claim Rule, masukkan informasi berikut untuk membuat aturan klaim 1, lalu pilihSelesai.

   • UntukNama Aturan Klaim, masuklahNameID.

   • UntukTemplat aturan, gunakanMengubah Klaim Masuk.

   • UntukJenis klaim masuk, pilihNama akun Windows.

   • UntukJenis klaim keluar, pilihID Nama.

   • UntukFormat ID nama keluar, pilihPengenal Persisten.

   • PilihMelewati semua nilai klaim.

   

6. PilihTambahkan Aturan, lalu masukkan informasi berikut untuk membuat aturan klaim 2, lalu pilihSelesai.

   • UntukNama aturan klaim, masuklahRoleSessionName.

   • UntukTemplat aturan, gunakanKirim Atribut LDAP sebagai Klaim.

   • UntukToko atribut, pilihDirektori Aktif.

   • UntukPemetaan atribut LDAP ke jenis klaim keluar, tambahkan atributE-Mail-Addresses. UntukJenis Klaim Keluar, masuklah https://aws.amazon.com/SAML/Attributes/RoleSessionName.

   

7. PilihTambahkan Aturan, lalu masukkan informasi berikut untuk membuat aturan klaim 3, lalu pilihSelesai.

   • UntukNama aturan klaim, masuklahGet AD Groups.

   • UntukTemplat aturan, gunakanMengirim Klaim Menggunakan Aturan Khusus.

   • UntukAturan khusus, masukkan kode berikut:

     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
      Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types = ("http://temp/variable"),  
      query = ";tokenGroups;{0}", param = c.Value);
     

     

8. Pilih Tambahkan aturan. Masukkan informasi berikut untuk membuat aturan klaim 4, lalu pilihSelesai.

   • UntukNama aturan klaim, masuklahRole.

   • UntukTemplat aturan, gunakanMengirim Klaim Menggunakan Aturan Khusus.

   • UntukAturan khusus, masukkan kode berikut dengan nomor akun Anda dan nama penyedia SAKL yang Anda buat sebelumnya:

     c:[Type == "http://temp/variable", Value =~ "(?i)^aws-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role",  
     Value = RegExReplace(c.Value, "aws-", "arn:aws:iam::AWS_ACCOUNT_NUMBER:saml-provider/adfs-saml-provider,arn:aws:iam:: AWS_ACCOUNT_NUMBER:role/"));

   

3. Membuat pengguna dan grup Active Directory

Sekarang Anda siap untuk membuat pengguna AD yang akan mengakses Athena, dan grup AD untuk menempatkan mereka di sehingga Anda dapat mengontrol tingkat akses oleh kelompok. Setelah membuat grup AD yang mengkategorikan pola akses data, Anda menambahkan pengguna ke grup tersebut.

Untuk membuat pengguna AD untuk akses ke Athena

1. Di dasbor Server Manager, pilihAlat, lalu pilihPengguna Active Directory dan Komputer.

   

2. Di panel navigasi, pilih Users (Pengguna).

3. PadaPengguna Active Directory dan Komputertool bar, pilihBuat penggunapilihan.

   

4. Di dalamNew Object - Penggunakotak dialog, untukNama pertama,Nama belakang, danNama lengkap, masukkan nama. Tutorial ini menggunakanJane Doe.

   

5. Pilih Selanjutnya.

6. UntukKata Sandi, masukkan kata sandi, lalu ketik ulang untuk mengonfirmasi.

   Untuk mempermudah, tutorial ini membatalkan pilihanPengguna harus mengubah kata sandi pada saat sign on berikutnya. Dalam skenario dunia nyata, Anda harus meminta pengguna yang baru dibuat untuk mengubah kata sandi mereka.

   

7. Pilih Selanjutnya.

8. Pilih Selesai.

   

9. DalamPengguna Active Directory dan Komputer, pilih nama pengguna.

10. Di dalamPropertikotak dialog untuk pengguna, untukE-mail, masukkan alamat email. Tutorial ini menggunakanjane@example.com.

    

11. Pilih OKE.

Buat grup AD untuk mewakili pola akses data

Anda dapat membuat grup AD yang anggotanya menganggapadfs-data-accessPeran IAM saat mereka masukAWS. Contoh berikut membuat grup AD yang disebutaws-adfs-data-access.

Membuat grup AD

1. Di Dasbor Server Manager, dariAlatmenu, pilihPengguna Active Directory dan Komputer.

2. Pada bilah alat, pilihBuat grup barupilihan.

   

3. DalamObyek Baru - Grupkotak dialog, masukkan informasi berikut:

   • UntukNama grup, masuklahaws-adfs-data-access.

   • UntukLingkup kelompok, pilihGlobal.

   • UntukTipe grup, pilihKeamanan.

   

4. Pilih OKE.

Menambahkan pengguna AD ke grup yang sesuai

Sekarang Anda telah membuat pengguna AD dan grup AD, Anda dapat menambahkan pengguna ke grup.

Menambahkan pengguna AD ke grup AD

1. Di Dasbor Server Manager, diAlatmenu, pilihPengguna Active Directory dan Komputer.

2. UntukNama pertamadanNama belakang, pilih pengguna (misalnya,Jane Doe).

3. DalamPropertikotak dialog untuk pengguna, padaAnggota Daritab, pilihMenambahkan.

   

4. Tambahkan satu atau beberapa grup AD FS sesuai dengan kebutuhan Anda. Tutorial ini menambahkanaws-adfs-data-accesskelompok.

5. DalamPilih Grupkotak dialog, untukMasukkan nama objek yang akan dipilih, masukkan nama grup AD FS yang Anda buat (misalnya,aws-adfs-data-access), dan kemudian pilihPeriksa Nama.

   

6. Pilih OKE.

   DalamPropertikotak dialog untuk pengguna, nama grup AD muncul diAnggota daridaftar.

   

7. PilihTerapkan, lalu pilihOKE.

4. Mengkonfigurasi koneksi AD FS ODBC ke Athena

Setelah Anda membuat pengguna dan grup AD Anda, Anda siap untuk menggunakan program Sumber Data ODBC di Windows untuk mengkonfigurasi koneksi Athena ODBC Anda untuk AD FS.

Untuk mengkonfigurasi koneksi AD FS ODBC ke Athena

1. Instal driver ODBC untuk Athena. Untuk tautan unduhan, lihatMenghubungkan ke Amazon Athena dengan ODBC.

2. Di Windows, pilihMulai,Sumber Data ODBC.

3. DalamAdministrator Sumber Data ODBCprogram, pilihMenambahkan.

   

4. DalamBuat Sumber Data Barukotak dialog, pilihSimba Athena ODBC Driver, lalu pilihSelesai.

   

5. DalamSimba Athena ODBC Driver DSN Pengaturankotak dialog, masukkan nilai-nilai berikut:

   • UntukNama Sumber Data,masukkan nama untuk sumber data Anda (misalnya, Athena-odbc-test).

   • UntukDeskripsi, masukkan deskripsi untuk sumber data Anda.

   • UntukWilayah AWS, masukkanWilayah AWSyang Anda gunakan (misalnya, us-west-1).

   • UntukLokasi Output S3, masukkan jalur Amazon S3 tempat Anda ingin output Anda disimpan.

   

6. PilihPilihan Otentikasi.

7. DalamPilihan Otentikasikotak dialog, tentukan nilai berikut:

   • UntukJenis Otentikasi, pilihADF.

   • UntukPengguna,masukkan alamat email pengguna (misalnya,jane@example.com).

   • UntukKata Sandi, masukkan kata sandi ADFS pengguna.

   • UntukTuan Rumah IdP, masukkan nama server AD FS (misalnya,adfs.example.com).

   • UntukIdP Pelabuhan, gunakan nilai default443.

   • PilihSSL Tidak Amanpilihan.

   

8. PilihOKEmenutupPilihan Otentikasi.

9. PilihTesuntuk menguji koneksi, atauOKEuntuk menyelesaikan.