Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 2: configurazione di asserzioni SAML per l'IdP
Dopo la creazione del ruolo IAM, definisci una regola di registrazione nell'applicazione IdP che mappa gli utenti o i gruppi nella tua organizzazione al ruolo IAM. Per ulteriori informazioni, consultare Configurazione delle asserzioni SAML per la risposta di autenticazione nella Guida per l'utente di IAM.
Se scegli di utilizzare i parametri GetClusterCredentials
facoltativi DbUser
, AutoCreate
e DbGroups
, puoi impostare i valori per i parametri con la connessione JDBC o ODBC oppure aggiungendo elementi attributo SAML all'IdP. Per ulteriori informazioni sui parametri DbUser
, AutoCreate
e DbGroups
, consultare Fase 5: configurazione di una connessione JDBC o ODBC per utilizzare credenziali IAM.
Nota
Se si utilizza una variabile di policy IAM ${redshift:DbUser}
, come descritto in Politiche relative alle risorse per GetClusterCredentials, il valore per DbUser
è sostituito con il valore recuperato dal contesto della richiesta dell'operazione API. I driver Amazon Redshift utilizzano il valore per la variabile DbUser
fornito dalla connessione URL, piuttosto che il valore fornito come attributo SAML.
Per proteggere questa configurazione, ti consigliamo di utilizzare una condizione in una policy IAM per convalidare il valore DbUser
con il codice RoleSessionName
. È possibile trovare esempi di come impostare una condizione utilizzando una policy IAM in Esempio di politica per l'utilizzo GetClusterCredentials.
Per configurare l'IdP allo scopo di impostare i parametri DbUser
, AutoCreate
e DbGroups
, includi i seguenti elementi Attribute
:
-
Un
Attribute
elemento con l'Name
attributo impostato su "https://redshift.amazon.com/SAML/Attributes/» DbUserImposta l'elemento
AttributeValue
sul nome di un utente che si connetterà al database Amazon Redshift.Il valore nell'elemento
AttributeValue
deve essere in minuscolo, iniziare con una lettera, contenere solo caratteri alfanumerici, caratteri di sottolineatura ('_'), segni più ('+'), punti ('.'), chiocciole ('@') o trattini ('-') e non essere lungo più di 128 caratteri. In genere, il nome utente è un ID utente (ad esempio, bobsmith) o un indirizzo e-mail (ad esempio, bobsmith@example.com). Il valore non può includere uno spazio (ad esempio, un nome visualizzato di un utente come Bob Smith).<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser"> <AttributeValue>user-name</AttributeValue> </Attribute>
-
Un elemento Attribute con l'attributo Name impostato su "https://redshift.amazon.com/SAML/Attributes/AutoCreate»
Imposta l' AttributeValue elemento su true per creare un nuovo utente del database, se non ne esiste uno. Imposta su false AttributeValue per specificare che l'utente del database deve esistere nel database Amazon Redshift.
<Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate"> <AttributeValue>true</AttributeValue> </Attribute>
-
Un
Attribute
elemento con l'Name
attributo impostato su "https://redshift.amazon.com/SAML/Attributes/DbGroups»Questo elemento contiene uno o più elementi
AttributeValue
. Imposta ogni elementoAttributeValue
su un nome di gruppo di database a cui si unisceDbUser
per la durata della sessione quando si connette al database Amazon Redshift.<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups"> <AttributeValue>group1</AttributeValue> <AttributeValue>group2</AttributeValue> <AttributeValue>group3</AttributeValue> </Attribute>