Langkah 2: Konfigurasikan pernyataan SAMP untuk IDP Anda - Amazon Redshift

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 2: Konfigurasikan pernyataan SAMP untuk IDP Anda

Setelah membuat peran IAM, Anda menentukan aturan klaim di aplikasi iDP untuk memetakan pengguna atau grup di organisasi Anda ke peran IAM. Untuk informasi selengkapnya, lihat Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi di Panduan Pengguna IAM.

Jika Anda memilih untuk menggunakan GetClusterCredentials parameter opsionalDbUser,AutoCreate, danDbGroups, Anda memiliki dua opsi. Anda dapat mengatur nilai untuk parameter dengan koneksi JDBC atau ODBC Anda, atau Anda dapat mengatur nilai dengan menambahkan elemen atribut SAMP ke IDP Anda. Untuk informasi tentang parameter DbUser, AutoCreate dan DbGroups, lihat Langkah 5: Konfigurasikan koneksi JDBC atau ODBC untuk menggunakan kredensil IAM.

catatan

Jika Anda menggunakan variabel kebijakan IAM${redshift:DbUser}, seperti yang dijelaskan dalam Kebijakan sumber daya untuk GetClusterCredentials nilai for DbUser diganti dengan nilai yang diambil oleh konteks permintaan operasi API. Driver Amazon Redshift menggunakan nilai untuk DbUser variabel yang disediakan oleh URL koneksi, bukan nilai yang diberikan sebagai atribut SAMP.

Untuk membantu mengamankan konfigurasi ini, sebaiknya gunakan kondisi dalam kebijakan IAM untuk memvalidasi DbUser nilai dengan menggunakan. RoleSessionName Anda dapat menemukan contoh cara menyetel kondisi menggunakan kebijakan IAM diContoh kebijakan untuk menggunakan GetClusterCredentials.

Untuk mengkonfigurasi IDP Anda untuk mengatur,, dan DbGroups parameter DbUserAutoCreate, sertakan elemen-elemen berikut: Attribute

  • AttributeElemen dengan Name atribut disetel ke "https://redshift.amazon.com/SAML/Attributes/DbUser”

    Atur AttributeValue elemen ke nama pengguna yang akan terhubung ke database Amazon Redshift.

    Nilai dalam AttributeValue elemen harus huruf kecil, dimulai dengan huruf, hanya berisi karakter alfanumerik, garis bawah ('_'), tanda plus ('+'), titik ('.'), at ('@'), atau tanda hubung ('-'), dan kurang dari 128 karakter. Biasanya, nama pengguna adalah ID pengguna (misalnya, bobsmith) atau alamat email (misalnya bobsmith@example.com). Nilai tidak dapat menyertakan spasi (misalnya, nama tampilan pengguna seperti Bob Smith).

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser">
    <AttributeValue>user-name</AttributeValue>
</Attribute>

  • Elemen Atribut dengan atribut Name disetel ke "https://redshift.amazon.com/SAML/Attributes/AutoCreate”

    Tetapkan AttributeValue elemen ke true untuk membuat pengguna database baru jika tidak ada. Setel AttributeValue ke false untuk menentukan bahwa pengguna database harus ada di database Amazon Redshift.

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate">
    <AttributeValue>true</AttributeValue>
</Attribute>

  • AttributeElemen dengan Name atribut diatur untuk disetel ke "https://redshift.amazon.com/SAML/Attributes/DbGroups”

    Elemen ini mengandung satu atau lebih AttributeValue elemen. Tetapkan setiap AttributeValue elemen ke nama grup database yang DbUser bergabung selama durasi sesi saat menghubungkan ke database Amazon Redshift.

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups">
    <AttributeValue>group1</AttributeValue>
    <AttributeValue>group2</AttributeValue>
    <AttributeValue>group3</AttributeValue>
</Attribute>