Fase 2: configurazione di asserzioni SAML per l'IdP - Amazon Redshift

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 2: configurazione di asserzioni SAML per l'IdP

Dopo la creazione del ruolo IAM, definisci una regola di registrazione nell'applicazione IdP che mappa gli utenti o i gruppi nella tua organizzazione al ruolo IAM. Per ulteriori informazioni, consultare Configurazione delle asserzioni SAML per la risposta di autenticazione nella Guida per l'utente di IAM.

Se scegli di utilizzare i parametri GetClusterCredentials facoltativi DbUser, AutoCreate e DbGroups, puoi impostare i valori per i parametri con la connessione JDBC o ODBC oppure aggiungendo elementi attributo SAML all'IdP. Per ulteriori informazioni sui parametri DbUser, AutoCreate e DbGroups, consultare Fase 5: configurazione di una connessione JDBC o ODBC per utilizzare credenziali IAM.

Nota

Se si utilizza una variabile di policy IAM ${redshift:DbUser}, come descritto in Politiche relative alle risorse per GetClusterCredentials, il valore per DbUser è sostituito con il valore recuperato dal contesto della richiesta dell'operazione API. I driver Amazon Redshift utilizzano il valore per la variabile DbUser fornito dalla connessione URL, piuttosto che il valore fornito come attributo SAML.

Per proteggere questa configurazione, ti consigliamo di utilizzare una condizione in una policy IAM per convalidare il valore DbUser con il codice RoleSessionName. È possibile trovare esempi di come impostare una condizione utilizzando una policy IAM in Esempio di politica per l'utilizzo GetClusterCredentials.

Per configurare l'IdP allo scopo di impostare i parametri DbUser, AutoCreate e DbGroups, includi i seguenti elementi Attribute:

  • Un Attribute elemento con l'Nameattributo impostato su "https://redshift.amazon.com/SAML/Attributes/» DbUser

    Imposta l'elemento AttributeValue sul nome di un utente che si connetterà al database Amazon Redshift.

    Il valore nell'elemento AttributeValue deve essere in minuscolo, iniziare con una lettera, contenere solo caratteri alfanumerici, caratteri di sottolineatura ('_'), segni più ('+'), punti ('.'), chiocciole ('@') o trattini ('-') e non essere lungo più di 128 caratteri. In genere, il nome utente è un ID utente (ad esempio, bobsmith) o un indirizzo e-mail (ad esempio, bobsmith@example.com). Il valore non può includere uno spazio (ad esempio, un nome visualizzato di un utente come Bob Smith).

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser">
    <AttributeValue>user-name</AttributeValue>
</Attribute>

  • Un elemento Attribute con l'attributo Name impostato su "https://redshift.amazon.com/SAML/Attributes/AutoCreate»

    Imposta l' AttributeValue elemento su true per creare un nuovo utente del database, se non ne esiste uno. Imposta su false AttributeValue per specificare che l'utente del database deve esistere nel database Amazon Redshift.

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate">
    <AttributeValue>true</AttributeValue>
</Attribute>

  • Un Attribute elemento con l'Nameattributo impostato su "https://redshift.amazon.com/SAML/Attributes/DbGroups»

    Questo elemento contiene uno o più elementi AttributeValue. Imposta ogni elemento AttributeValue su un nome di gruppo di database a cui si unisce DbUser per la durata della sessione quando si connette al database Amazon Redshift.

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups">
    <AttributeValue>group1</AttributeValue>
    <AttributeValue>group2</AttributeValue>
    <AttributeValue>group3</AttributeValue>
</Attribute>