Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Opzioni per fornire credenziali IAM
Per fornire credenziali IAM per una connessione ODBC o JDBC, scegli una delle opzioni seguenti.
-
AWS profile
Anziché fornire i valori delle credenziali come impostazioni JDBC o ODBC, puoi includere i valori in un profilo con nome. Per ulteriori informazioni, consulta Utilizzo di un profilo di configurazione.
-
Credenziali IAM
Fornisci valori per AccessKey ID e SecretAccessKey, facoltativamente, SessionToken sotto forma di impostazioni JDBC o ODBC. SessionToken è richiesto solo per un ruolo IAM con credenziali temporanee. Per ulteriori informazioni, consulta Opzioni JDBC e ODBC per fornire credenziali IAM.
-
Federazione del provider di identità
Se utilizzi la federazione del provider di identità per consentire agli utenti di un provider di identità di eseguire l'autenticazione in Amazon Redshift, specifica il nome di un plug-in del provider di credenziali. Per ulteriori informazioni, consulta Utilizzo di un plug-in di provider di credenziali.
I driver JDBC e ODBC di Amazon Redshift includono plug-in per i seguenti provider di credenziali di federazione delle identità basate su SAML:
-
Microsoft Active Identity Federation Services (AD FS)
-
PingOne
-
Okta
-
Microsoft Azure Active Directory (AD)
Puoi fornire il nome di plug-in e i valori correlati come impostazioni JDBC o ODBC oppure utilizzando un profilo. Per ulteriori informazioni, consultare Opzioni per la configurazione del driver JDBC versione 2.1 e Configurazione delle opzioni del driver ODBC.
-
Per ulteriori informazioni, consulta Configurazione di una connessione JDBC o ODBC per utilizzare credenziali IAM.
Utilizzo di un profilo di configurazione
Puoi fornire le opzioni e GetClusterCredentials
le opzioni delle credenziali IAM come impostazioni nei profili denominati nel tuo AWS file di configurazione. Per specificare il nome di profilo, utilizzare l'opzione Profile JDBC. La configurazione è archiviata in un file denominato config
o credentials
in una cartella .aws
della tua home directory.
Per un plug-in di provider di credenziali basate su SAML incluso con un driver JDBC o ODBC di Amazon Redshift, puoi utilizzare le impostazioni descritte in precedenza in Utilizzo di un plug-in di provider di credenziali. Se plugin_name
non viene utilizzato, le altre opzioni vengono ignorate.
L'esempio seguente mostra il file ~/.aws/credentials con due profili:
[default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY [user2] aws_access_key_id=AKIAI44QH8DHBEXAMPLE aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY session_token=AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQWLWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==
Per utilizzare le credenziali per l'esempio user2
, specifica Profile=user2
nell'URL JDBC.
Per ulteriori informazioni sull'utilizzo dei profili, consulta Configurazione e impostazioni dei file di credenziali nella Guida per l' AWS Command Line Interface utente.
Per ulteriori informazioni sull'utilizzo dei profili per il driver JDBC, consulta Specifica di profili.
Per ulteriori informazioni sull'utilizzo dei profili per il driver ODBC, consulta Configurazione dell'autenticazione.
Opzioni JDBC e ODBC per fornire credenziali IAM
La tabella seguente elenca le opzioni JDBC e ODBC per fornire credenziali IAM.
Opzione |
Descrizione |
---|---|
|
Da utilizzare solo in una stringa di connessione ODBC. Imposta questa opzione su 1 per utilizzare l'autenticazione IAM. |
|
L'ID della chiave di accesso e la chiave di accesso segreta per il ruolo o l'utente IAM configurati per l'autenticazione del database IAM. SessionToken è richiesto solo per un ruolo IAM con credenziali temporanee. SessionToken non viene utilizzato per un utente. Per ulteriori informazioni, consultare Credenziali di sicurezza temporanee. |
plugin_name |
Il nome completo di una classe che implementa un provider di credenziali. Il driver JDBC di Amazon Redshift include plug-in per provider di credenziali basati su SAML. Se fornisci plugin_name , puoi anche fornire altre opzioni correlate. Per ulteriori informazioni, consulta Utilizzo di un plug-in di provider di credenziali. |
|
Il nome di un profilo in un file di AWS credenziali o di configurazione che contiene i valori per le opzioni di connessione JDBC. Per ulteriori informazioni, consulta Utilizzo di un profilo di configurazione. |
Utilizzo di un plug-in di provider di credenziali
Amazon Redshift utilizza plug-in di provider di credenziali per l'autenticazione Single Sign-On.
Per supportare l'autenticazione Single Sign-On, Amazon Redshift fornisce il plug-in Azure AD per Microsoft Azure Active Directory. Per informazioni su come configurare questo plugin, consultare Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.
Impostazione dell'autenticazione a più fattori
Per supportare autenticazione a più fattori (MFA), Amazon Redshift fornisce plug-in basati su browser. Usa il plug-in SAML del browser per Okta e il plug-in Azure AD del browser per Microsoft Azure Active Directory. PingOne
Con il plugin SAML del browser, il flusso dell'autenticazione SAML è il seguente:
![](images/BrowserSAML_plugin.png)
-
Un utente tenta di eseguire l'accesso.
-
Il plugin avvia un server locale per ascoltare le connessioni in entrata sul localhost.
-
Il plug-in avvia un browser Web per richiedere una risposta SAML su HTTPS dall'endpoint del provider di identità federate dell'URL di accesso Single Sign-On specificato.
-
Il browser Web segue il collegamento e invia all'utente una richiesta di immissione delle credenziali.
-
Dopo che l'utente esegue l'autenticazione e concede l'autorizzazione, l'endpoint del provider di identità federate restituisce una risposta SAML su HTTPS all'URI indicato da
redirect_uri
. -
Il browser Web sposta il messaggio di risposta con la risposta SAML nel
redirect_uri
indicato. -
Il server locale accetta la connessione in entrata, il plugin recupera la risposta SAML e la invia ad Amazon Redshift .
Con il plug-in Azure AD del browser, il flusso di autenticazione SAML è il seguente:
![](images/BrowserAzure_plugin.png)
Un utente tenta di eseguire l'accesso.
Il plugin avvia un server locale per ascoltare le connessioni in entrata sul localhost.
Il plug-in avvia un browser Web per richiedere un codice di autorizzazione dall'endpoint
oauth2/authorize
di Azure AD.Il browser Web segue il collegamento generato su HTTPS e richiede all'utente di immettere le credenziali. Il collegamento viene generato utilizzando le proprietà di configurazione, ad esempio tenant e client_id.
Dopo che l'utente esegue l'autenticazione e concede l'autorizzazione, l'endpoint
oauth2/authorize
di Azure AD restituisce e invia una risposta tramite HTTPS con il codice di autorizzazione aredirect_uri
indicato.Il browser Web sposta il messaggio di risposta con la risposta SAML nel
redirect_uri
indicato.Il server locale accetta la connessione in ingresso e il plug-in richiede e recupera il codice di autorizzazione e invia una richiesta POST all'endpoint
oauth2/token
di Azure AD.L'endpoint
oauth2/token
di Azure AD restituisce una risposta con un token di accesso alredirect_uri
indicato.Il plug-in recupera la risposta SAML e la invia ad Amazon Redshift.
Vedere le seguenti sezioni:
-
Active Directory Federation Services (AD FS)
Per ulteriori informazioni, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con AD FS.
-
PingOne (Ping)
Il ping è supportato solo con l'adattatore PingOne IdP predeterminato che utilizza l'autenticazione Forms.
Per ulteriori informazioni, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Ping Identity.
-
Okta
Okta è supportato solo per l'applicazione fornita da Okta utilizzata con la AWS Management Console.
Per ulteriori informazioni, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Okta.
-
Microsoft Azure Active Directory
Per ulteriori informazioni, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.
Configurazione delle opzioni dei plugin
Per usare un plugin per il provider di credenziali basato su SAML, specificare le seguenti opzioni usando le opzioni JDBC o ODBC o in un profilo con nome. Se plugin_name
non è specificato, le altre opzioni vengono ignorate.
Opzione |
Descrizione |
---|---|
plugin_name |
Per JDBC, il nome di classe che implementa un provider di credenziali. Specifica una delle seguenti proprietà:
Per ODBC, specifica uno dei seguenti valori:
|
idp_host
|
Il nome dell'host del provider di identità dell'azienda. Questo nome non deve includere barre rovesciate ( / ). Per un provider di identità Okta, il valore per idp_host deve terminare con .okta.com . |
|
La porta utilizzata dal provider di identità. Il valore predefinito è 443. Questa porta viene ignorata per Okta. |
|
L'Amazon Resource Name (ARN) di un ruolo dagli elementi AttributeValue per l'attributo Role nell'asserzione SAML. Per trovare il valore appropriato per il ruolo preferito, collaborare con l'amministratore IdP. Per ulteriori informazioni, consulta Configurazione di asserzioni SAML per l'IdP. |
|
Un nome utente aziendale, incluso il dominio quando applicabile. Ad esempio, per Active Directory, il nome di dominio è obbligatorio nel formato dominio\nome utente. |
password
|
La password dell'utente aziendale. È consigliabile non utilizzare questa opzione. Utilizza piuttosto il client SQL per fornire la password. |
|
Un ID per l'applicazione Okta. Utilizzata solo con Okta. Il valore di app_id segue amazon_aws nel collegamento di incorporamento dell'applicazione Okta. Per ottenere questo valore, collaborare con l'amministratore IdP. Di seguito è riportato un esempio di collegamento di incorporamento di un'applicazione: https://example.okta.com/home/amazon_aws/0oa2hylwrpM8UGehd1t7/272 |
|
Un tenant usato per Azure AD. Utilizzato solo con Azure. |
|
Un ID client per l'applicazione aziendale Amazon Redshift in Azure AD. Utilizzato solo con Azure. |
Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD
È possibile utilizzare Microsoft Azure AD come provider di identità (IdP) per accedere al cluster Amazon Redshift. Di seguito, è possibile trovare una procedura che descrive come impostare una relazione di trust per questo scopo. Per ulteriori informazioni sulla configurazione AWS come fornitore di servizi per l'IdP, consulta Configuring Your SAML 2.0 IdP with Relying Party Trust e Adding Claims nella IAM User Guide.
Nota
Per usare Azure AD con JDBC, il driver JDBC di Amazon Redshift deve essere la versione 1.2.37.1061 o successiva. Per usare Azure AD con ODBC, il driver ODBC di Amazon Redshift deve essere la versione 1.4.10.1000 o successiva.
Per informazioni su come federare l'accesso di Amazon Redshift con il single sign-on di Microsoft Azure AD, guarda il video seguente.
Per configurare Azure AD e il tuo account in modo che si fidino l'uno dell'altro AWS
Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di Azure AD. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.
Configura un Azure Active Directory, i gruppi e gli utenti utilizzati AWS sul portale Microsoft Azure.
Aggiungi Amazon Redshift come applicazione aziendale sul portale Microsoft Azure da utilizzare per il single sign-on alla AWS console e l'accesso federato ad Amazon Redshift. Scegliere Enterprise application (Applicazione aziendale).
Scegliere +New application (+Nuova applicazione). Viene visualizzata la pagina di aggiunta di un'applicazione.
Cercare
AWS
nel campo di ricerca.Seleziona Amazon Web Services (AWS) quindi scegli Aggiungi. Questo crea l'applicazione. AWS
In Manage (Gestisci), scegliere Single Sign-On.
Scegli SAML. Viene visualizzata la pagina Amazon Web Services (AWS) | Accesso basato su SAML.
Scegliere Yes (Sì) per passare alla pagina di configurazione Single Sign-On con SAML. In questa pagina è riportato l'elenco degli attributi preconfigurati correlati alla funzionalità Single Sign-On.
Per Basic SAML Configuration (Configurazione SAML di base), scegliere l'icona di modifica e selezionare Save (Salva).
Quando si configurano più applicazioni, fornire un valore di identificatore. Ad esempio, specifica
. Dalla seconda applicazione in poi utilizzare questo formato con un segno # per specificare un valore SPN univoco.https://signin.aws.amazon.com/saml#2
Nella sezione User Attributes and Claims (Attributi utente e registrazioni), scegliere l'icona di modifica.
Per impostazione predefinita, l'identificatore utente unico (UID), il ruolo e le SessionDuration attestazioni sono preconfigurati. RoleSessionName
Scegliere + Add new claim (+ Aggiungi nuova registrazione) per aggiungere una registrazione per gli utenti del database.
Per Nome, immetti
DbUser
.Per Namespace (Spazio dei nomi), immettere
https://redshift.amazon.com/SAML/Attributes
.In Source (Origine), scegliere Attribute (Attributo).
In Source attribute (Attributo di origine), scegliere user.userprincipalname. Quindi, scegliere Save (Salva).
Scegli + Aggiungi nuovo reclamo per cui aggiungere un reclamo. AutoCreate
Per Nome, immetti
AutoCreate
.Per Namespace (Spazio dei nomi), immettere
https://redshift.amazon.com/SAML/Attributes
.In Source (Origine), scegliere Attribute (Attributo).
Per Source attribute (Attributo di origine), scegliere "true". Quindi, scegliere Save (Salva).
Qui,
è l'account AWS ,123456789012
è un ruolo IAM creato eAzureSSO
è il provider IAM.AzureADProvider
Nome di registrazione Valore Identificatore utente univoco (ID nome)
user.userprincipalname
https://aws.amazon.com/SAML/Attributes/SessionDuration
900
https://aws.amazon.com/SAML/Attributes/Role
arn:aws:iam::
123456789012
:role/AzureSSO
,arn:aws:iam::123456789012
:saml-provider/AzureADProvider
https://aws.amazon.com/SAML/Attributes/RoleSessionName
user.userprincipalname
https://redshift.amazon.com/SAML/Attributes/AutoCreate
"true"
https://redshift.amazon.com/SAML/Attributes/DbGroups
user.assignedroles
https://redshift.amazon.com/SAML/Attributes/DbUser
user.userprincipalname
-
In App Registration (Registrazione app) >
> Authentication (Autenticazione), aggiungere Mobile And Desktop Application (Applicazione mobile e desktop). Specificare l'URL come http://localhost/redshift/.your-application-name
Nella sezione SAML Signing Certificate (Certificato di firma SAML), scegliere Download (Scarica) per scaricare e salvare il file XML dei metadati della federazione da utilizzare durante la creazione di un provider di identità SAML IAM. Questo file viene utilizzato per creare l'identità Single Sign-On federata.
Creare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati della federazione salvato quando si configura l'applicazione Azure Enterprise. Per la procedura dettagliata, consultare Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.
Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di un ruolo per SAML nella Guida per l'utente di IAM.
Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM.
Modificare le policy seguenti (in formato JSON) per l'ambiente:
Sostituisci la AWS regione del tuo cluster con.
us-west-1
Sostituisci il tuo AWS account con.
123456789012
Sostituire l'identificatore del cluster (o
*
per tutti i cluster) per
.cluster-identifier
Sostituire il database (o
*
per tutti i database) per
.dev
Sostituire l'identificatore univoco del ruolo IAM per
.AROAJ2UCCR6DPCEXAMPLE
Sostituire il dominio dell'e-mail del tenant o della società per
.example.com
Sostituire il gruppo di database a cui si intende assegnare l'utente per
.my_dbgroup
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:
us-west-1
:123456789012
:dbname:cluster-identifier
/dev
", "arn:aws:redshift:us-west-1
:123456789012
:dbuser:cluster-identifier
/${redshift:DbUser}", "arn:aws:redshift:us-west-1
:123456789012
:cluster:cluster-identifier
" ], "Condition": { "StringEquals": { "aws:userid": "AROAJ2UCCR6DPCEXAMPLE
:${redshift:DbUser}@example.com
" } } }, { "Effect": "Allow", "Action": "redshift:CreateClusterUser", "Resource": "arn:aws:redshift:us-west-1
:123456789012
:dbuser:cluster-identifier
/${redshift:DbUser}" }, { "Effect": "Allow", "Action": "redshift:JoinGroup", "Resource": "arn:aws:redshift:us-west-1
:123456789012
:dbgroup:cluster-identifier
/my_dbgroup
" }, { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "iam:ListRoles" ], "Resource": "*" } ] }Questa policy concede le autorizzazioni come segue:
La prima sezione concede l'autorizzazione all'operazione API
GetClusterCredentials
per ottenere credenziali temporanee per il cluster specificato. In questo esempio, la risorsa è
con databasecluster-identifier
, nell'accountdev
e nella regione AWS123456789012
. La clausolaus-west-1
${redshift:DbUser}
consente di connettersi solo agli utenti che corrispondono al valoreDbUser
specificato in Azure AD.La clausola di condizione definisce che solo alcuni utenti ottengono le credenziali temporanee. Sono utenti con il ruolo specificato dall'ID univoco del ruolo
nell'account IAM identificato da un indirizzo e-mail nel dominio e-mail della società. Per ulteriori informazioni sugli ID univoci, consultare ID univoci nella Guida per l'utente di IAM.AROAJ2UCCR6DPCEXAMPLE
L'installazione con l'IDP (in questo caso Azure AD) determina la modalità di scrittura della clausola di condizione. Se l'e-mail del dipendente è
johndoe@example.com
,${redshift:DbUser}
impostare innanzitutto il campo super che corrisponde al nome utente del dipendentejohndoe
. Per il funzionamento di questa condizione, imposta il campoRoleSessionName
di AWS SAML sul campo super che corrisponde all'e-mail del dipendentejohndoe@example.com
. Quando si adotta questo approccio, considerare quanto segue:Se si imposta
${redshift:DbUser}
in modo che sia l'e-mail del dipendente, rimuovere il JSON@example.com
di esempio per associare ilRoleSessionName
.Se si imposta
RoleSessionId
in modo che sia solo il nome utente del dipendente, rimuovere@example.com
nell'esempio per associare ilRoleSessionName
.Nell'esempio JSON,
${redshift:DbUser}
eRoleSessionName
sono entrambi impostati sull'e-mail del dipendente. In questo esempio JSON utilizza il nome utente del database Amazon Redshift con@example.com
per consentire all'utente di accedere al cluster.
La seconda sezione concede l'autorizzazione per creare un nome
dbuser
nel cluster specificato. In questo esempio, JSON limita la creazione a${redshift:DbUser}
.La terza sezione concede l'autorizzazione per specificare il
dbgroup
al quale un utente può partecipare. In questo esempio JSON, un utente può unirsi al gruppomy_dbgroup
nel cluster specificato.La quarta sezione concede l'autorizzazione alle operazioni che l'utente può eseguire su tutte le risorse. In questo esempio JSON, consente agli utenti di effettuare chiamate per
redshift:DescribeClusters
ottenere informazioni sul cluster come l'endpoint, la AWS regione e la porta del cluster. Consente inoltre agli utenti di chiamareiam:ListRoles
per verificare quali ruoli un utente può assumere.
Per configurare JDBC per l'autenticazione in Microsoft Azure AD
Configurare il client di database per connettersi al cluster tramite JDBC usando Azure AD Single Sign-On.
È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Azure AD Single Sign-On o usare un linguaggio come Java per connettersi utilizzando uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del driver JDBC per Amazon Redshift.
Ad esempio, è possibile utilizzare SQLWorkBench/j come client. Quando si configura SQLWorkBench/j, l'URL del database utilizza il seguente formato.
jdbc:redshift:iam://
cluster-identifier
:us-west-1
/dev
Se si utilizza SQLWorkBench/j come client, attenersi alla seguente procedura:
-
Avvia SQL Workbench/J. Sulla pagina Seleziona profilo di connessione, aggiungi un Gruppo di profili denominato
AzureAuth
. -
Per Connection Profile (Profilo connessione), immettere
Azure
. -
Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.
-
Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:
Per User (Utente), immettere il nome utente di Microsoft Azure. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo.
Per Password, immettere la password di Microsoft Azure.
Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).
Per URL, immettere
jdbc:redshift:iam://
.your-cluster-identifier
:your-cluster-region
/your-database-name
-
Scegliere Extended Properties (Proprietà estese) per aggiungere ulteriori informazioni alle proprietà di connessione, come descritto di seguito:
Per la configurazione Single Sign-On di Azure AD, aggiungere ulteriori informazioni come segue:
Per plugin_name, immettere
com.amazon.redshift.plugin.AzureCredentialsProvider
. Questo valore indica al driver di utilizzare Azure AD Single Sign-On come metodo di autenticazione.Per idp_tenant, immettere
. Utilizzato solo per Microsoft Azure AD. Si tratta del nome tenant dell'azienda configurata in Azure AD. Questo valore può essere il nome del tenant o l'ID univoco tenant con trattini.your-idp-tenant
Per client_secret, immettere
. Utilizzato solo per Microsoft Azure AD. Questo è il segreto client dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On. Questo è applicabile solo al com.amazon.redshift.plugin. AzureCredentialsProvider plugin.your-azure-redshift-application-client-secret
Per client_id, immettere
. Utilizzato solo per Microsoft Azure AD. Si tratta dell'ID client (con trattini) dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.your-azure-redshift-application-client-id
Per la configurazione Single Sign-On di Azure AD con autenticazione a più fattori (MFA), aggiungere ulteriori informazioni alle proprietà di connessione come segue:
Per plugin_name, immettere
com.amazon.redshift.plugin.BrowserAzureCredentialsProvider
. Questo valore indica al driver di utilizzare Single Sign-On di Azure AD con autenticazione a più fattori (MFA) come metodo di autenticazione.Per idp_tenant, immettere
. Utilizzato solo per Microsoft Azure AD. Si tratta del nome tenant dell'azienda configurata in Azure AD. Questo valore può essere il nome del tenant o l'ID univoco tenant con trattini.your-idp-tenant
Per client_id, immettere
. Questa opzione è utilizzata solo per Microsoft Azure AD. Si tratta dell'ID client (con trattini) dell'applicazione Amazon Redshift creata durante la configurazione di Single Sign-On di Azure AD con autenticazione a più fattori (MFA).your-azure-redshift-application-client-id
Per listen_port, immettere
. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890.your-listen-port
In idp_response_timeout, immettere
. Questo è il numero di secondi di attesa prima del timeout quando il server IdP restituisce una risposta. Il numero minimo di secondi deve essere 10. Se stabilire la connessione richiede più tempo della soglia prevista, l'operazione viene interrotta.the-number-of-seconds
-
Per configurare ODBC per l'autenticazione in Microsoft Azure AD
Configurare il client di database per connettersi al cluster tramite ODBC utilizzando Azure AD Single Sign-On.
Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.
Installa e configura il driver OBDC di Amazon Redshift più recente per il sistema operativo in uso nel modo seguente:
In Windows esegui Installazione e configurazione del driver ODBC di Amazon Redshift su Microsoft Windows.
Per macOS, consulta Installazione del driver ODBC di Amazon Redshift su macOS X.
Per Linux, consulta Installazione del driver ODBC di Amazon Redshift su Linux.
In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:
Per Data Source Name (Nome origine dati), immettere
. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.your-DSN
Nel campo Tipo di autenticazione per la configurazione Single Sign-On di Azure AD, scegliere
Identity Provider: Azure AD
. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per autenticare mediante Azure Single Sign-On.Nel campo Tipo di autenticazione per la configurazione Single Sign-On di Azure AD con autenticazione a più fattori (MFA), scegliere
Identity Provider: Browser Azure AD
. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per autenticare mediante Azure Single Sign-On con MFA.Per Cluster ID (ID cluster), immettere
.your-cluster-identifier
Per Region (Regione), immettere
.your-cluster-region
Per Database, immettere
.your-database-name
Per User (Utente), immettere
. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo. Utilizzarlo solo se Auth Type (Tipo di autorizzazione) è Identity Provider: Azure AD (Provider di identità: Azure AD).your-azure-username
Per Password, immettere
. Utilizzarlo solo se Auth Type (Tipo di autorizzazione) è Identity Provider: Azure AD (Provider di identità: Azure AD).your-azure-password
Per iDP Tenant (Tenant Idp), immettere
. Si tratta del nome del tenant della società configurata in IDP (Azure). Questo valore può essere il nome del tenant o l'ID univoco tenant con trattini.your-idp-tenant
Per Azure Client Secret (Segreto client di Azure), immettere
. Questo è il segreto client dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.your-azure-redshift-application-client-secret
Per Azure Client ID (ID client di Azure), immettere
. Si tratta dell'ID client (con trattini) dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.your-azure-redshift-application-client-id
Per Listen Port (Porta di ascolto), immettere
. Questa è la porta di ascolto predefinita ascoltata dal server locale. Il valore predefinito è 7890. Si applica solo al plug-in Browser Azure AD.your-listen-port
In Response Timeout (Timeout di risposta), immettere
. Questo è il numero di secondi di attesa prima del timeout quando il server IdP restituisce una risposta. Il numero minimo di secondi deve essere 10. Se stabilire la connessione richiede più tempo della soglia prevista, l'operazione viene interrotta. Questa opzione si applica solo al plug-in Browser Azure AD.the-number-of-seconds
Su macOS e Linux, modificare il file
odbc.ini
come segue:Nota
Tutte le voci non fanno distinzione tra maiuscole e minuscole.
Per clusterid, immettere
. Questo è il nome del cluster Amazon Redshift creato.your-cluster-identifier
Per region, immettere
. Questa è la AWS regione del cluster Amazon Redshift creato.your-cluster-region
Per database, immettere
. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.your-database-name
Per locale, immettere
en-us
. Questa è la lingua in cui vengono visualizzati i messaggi di errore.Per iam, immettere
1
. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.In plugin_name per la configurazione Single Sign-On di Azure AD, immettere
AzureAD
. Specifica al driver di utilizzare Azure Single Sign-On come metodo di autenticazione.In plugin_name per la configurazione Single Sign-On di Azure AD con autenticazione a più fattori (MFA), immettere
BrowserAzureAD
. Indica al driver di utilizzare Azure Single Sign-On con MFA come metodo di autenticazione.Per uid, immettere
. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo per plugin_name è AzureAD.your-azure-username
Per PWD, immettere
. Utilizzare solo per plugin_name è AzureAD.your-azure-password
Per idp_tenant, immettere
. Si tratta del nome del tenant della società configurata in IDP (Azure). Questo valore può essere il nome del tenant o l'ID univoco tenant con trattini.your-idp-tenant
Per client_secret, immettere
. Questo è il segreto client dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.your-azure-redshift-application-client-secret
Per client_id, immettere
. Si tratta dell'ID client (con trattini) dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.your-azure-redshift-application-client-id
Per listen_port, immettere
. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica al plug-in Browser Azure AD.your-listen-port
In idp_response_timeout, immettere
. Questo è il periodo di tempo specificato in secondi di attesa della risposta da Azure. Questa opzione si applica al plug-in Browser Azure AD.the-number-of-seconds
Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Per risolvere i problemi con il plugin Browser Azure AD
Per usare il plugin Browser Azure AD, è necessario impostare l'URL di risposta specificato nella richiesta in modo che corrisponda all'URL di risposta configurato per l'applicazione.
Passare alla pagina Configura Single Sign-On con SAML nel portale di Microsoft Azure. Quindi controllare che l'URL di risposta sia impostato su http://localhost/redshift/.
Se viene visualizzato un errore tenant IdP, verificare che il nome tenant IdP corrisponda al nome di dominio utilizzato inizialmente per configurare Active Directory in Microsoft Azure.
Su Windows, passa alla sezione Impostazioni connessione della pagina Configurazione DSN ODBC di Amazon Redshift. Verificare quindi che il nome del tenant della società configurata nell'IdP (Azure) corrisponda al nome di dominio utilizzato inizialmente per configurare Active Directory in Microsoft Azure.
Su macOS e Linux, trova il file odbc.ini . Verificare quindi che il nome del tenant della società configurata nell'IdP (Azure) corrisponda al nome di dominio utilizzato inizialmente per configurare Active Directory in Microsoft Azure.
Se viene visualizzato un errore che indica che l'URL di risposta specificato nella richiesta non corrisponde agli URL di risposta configurati per l'applicazione, verificare che gli URI di reindirizzamento siano uguali all'URL di risposta.
Passare alla pagina di registrazione app dell'applicazione nel portale di Microsoft Azure. Quindi controlla che gli URI di reindirizzamento corrispondano all'URL di risposta.
Se si ottiene la risposta imprevista: errore non autorizzato, verificare di aver completato la configurazione delle applicazioni mobili e desktop.
Passare alla pagina di registrazione app dell'applicazione nel portale di Microsoft Azure. Quindi passare a Autenticazione e verificare di aver configurato le applicazioni mobili e desktop per utilizzare http://localhost/redshift/ come URI di reindirizzamento.
Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con AD FS
Puoi utilizzare AD FS come provider di identità (IdP) per accedere al cluster Amazon Redshift. Di seguito, è possibile trovare una procedura che descrive come impostare una relazione di trust per questo scopo. Per ulteriori informazioni sulla configurazione AWS come fornitore di servizi per AD FS, consulta Configuring Your SAML 2.0 IdP with Relying Party Trust e Adding Claims nella IAM User Guide.
Per configurare AD FS e il tuo AWS account in modo che si fidino l'uno dell'altro
Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di AD FS. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.
-
Configura AD FS per controllare l'accesso di Amazon Redshift nella Console di gestione Microsoft:
-
Scegliere ADFS 2.0, quindi selezionare Add Relying Party Trust (Aggiungi relazione di trust). Nella pagina Add Relying Party Trust Wizard (Aggiunta guidata relazione di trust), scegliere Start (Avvia).
-
Nella pagina Select Data Source (Seleziona origine dati), scegliere Import data about the relying party published online or on a local network (Importa dati sul relying party pubblicati online o in una rete locale).
-
Per Federation metadata address (host name or URL) (Indirizzo dei metadati della federazione (nome host o URL)), immettere
https://signin.aws.amazon.com/saml-metadata.xml
. Il file XML di metadati è un documento di metadati SAML standard che viene descritto AWS come relying party. -
Nella pagina Specify Display Name (Specificare nome visualizzato), immettere un valore per Display name (Nome visualizzato).
-
Nella pagina Choose Issuance Authorization Rules (Scegli regole di autorizzazione di emissione), scegliere una regola di autorizzazione di emissione per consentire o rifiutare a tutti gli utenti l'accesso a questo relying party.
-
Nella pagina Ready to Add Trust (Pronto ad aggiungere trust), rivedere le impostazioni.
-
Nella pagina Finish (Termina), scegliere Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Apri la finestra di dialogo Modifica regole di registrazione per questa relazione di trust quando si chiude la procedura guidata).
-
Nel menu di scelta rapida, scegliere Relying Party Trusts (Relazione di trust).
-
Per il relying party, aprire il menu contestuale e scegliere Edit Claim Rules (Modifica regole di registrazione). Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola).
-
Per il modello di regola di reclamo, scegli Trasforma un reclamo in entrata, quindi nella NameId pagina Modifica regola, procedi come segue:
Per il nome della regola di reclamo, inserisci NameId.
In Incoming claim name (Nome registrazione in ingresso), scegliere Windows Account Name (Nome account Windows).
In Outgoing claim name (Nome registrazione in uscita), scegliere Name ID (ID nome).
In Outgoing name ID format (Formato ID nome in uscita), scegliere Persistent Identifier (Identificatore persistente).
Scegliere Pass through all claim values (Passaggio di tutti i valori di registrazione).
-
Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola) per Claim rule template (Modello regola registrazione), scegliere Send LDAP Attributes as Claims (Invia attributi LDAP come registrazioni).
-
Nella pagina Configure Rule (Configura regola), procedere come segue:
In Claim rule name (Nome regola di attestazione), inserisci RoleSessionName.
In Attribute store (Archivio attributi), scegliere Active Directory.
In LDAP Attribute (Attributo LDAP), scegliere Email Addresses (Indirizzi di posta elettronica).
Per Tipo di attestazione in uscita, scegli https://aws.amazon.com/SAML/Attributes/RoleSessionName.
-
Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola), per Claim rule template (Modello regola di registrazione), scegliere Send Claims Using a Custom Rule (Invia registrazioni utilizzando una regola personalizzata).
-
Nella pagina Edit Rule – Get AD Groups (Modifica regola — Ottieni AD), per Claim rule name (Nome regola registrazione), immettere Get AD Groups (Ottieni gruppi AD).
-
Per Custom rule (Regola personalizzata), immettere quanto segue.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
-
Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola), per Claim rule template (Modello regola di registrazione), scegliere Send Claims Using a Custom Rule (Invia registrazioni utilizzando una regola personalizzata).
-
Nella pagina Edit Rule – Roles (Modifica regola - Ruoli), in Claim rule name (Nome regola di registrazione), digitare Roles (Ruoli).
-
Per Custom rule (Regola personalizzata), immettere quanto segue.
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
Prendere nota degli ARN del provider SAML e del ruolo da assumere. In questo esempio,
arn:aws:iam:123456789012:saml-provider/ADFS
è l'ARN del provider SAML edarn:aws:iam:123456789012:role/ADFS-
è l'ARN del ruolo.
-
Accertarsi di aver scaricato il file
federationmetadata.xml
. Verificare che il documento non contenga caratteri non validi. Questo è il file di metadati con cui configuri la relazione di trust. AWSCreare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati di federazione salvato quando si configura l'applicazione Azure Enterprise. Per la procedura dettagliata, consulta Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.
Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consultare Creazione di un ruolo per SAML nella Guida per l'utente di IAM.
Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.
Per configurare JDBC per l'autenticazione in AD FS
Configurare il client di database per connettersi al cluster tramite JDBC usando Single Sign-On di Azure AD.
È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Single Sign-On di AD FS o usare un linguaggio come Java per connettersi mediante uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del driver JDBC per Amazon Redshift.
Ad esempio, è possibile utilizzare SQLWorkBench/j come client. Quando si configura SQLWorkBench/j, l'URL del database utilizza il seguente formato.
jdbc:redshift:iam://
cluster-identifier
:us-west-1
/dev
Se si utilizza SQLWorkBench/j come client, attenersi alla seguente procedura:
-
Avvia SQL Workbench/J. Nella pagina Seleziona profilo connessione, aggiungi un Gruppo di profili, ad esempio
ADFS
. -
In Connection Profile (Profilo connessione), immettere il nome del profilo di connessione, ad esempio
ADFS
. -
Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.
-
Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:
In User (Utente), immettere il nome utente AD FS. Si tratta del nome utente dell'account che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo.
In Password, immettere la password AD FS.
Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).
Per URL, immettere
jdbc:redshift:iam://
.your-cluster-identifier
:your-cluster-region
/your-database-name
-
Scegli Proprietà estese. Per plugin_name, immettere
com.amazon.redshift.plugin.AdfsCredentialsProvider
. Questo valore indica al driver di utilizzare Single Sign-On di Azure AD come metodo di autenticazione.
-
Per configurare ODBC per l'autenticazione ad AD FS
Configurare il client di database per connettersi al cluster tramite ODBC utilizzando Single Sign-On di Azure AD.
Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.
Installa e configura il driver OBDC di Amazon Redshift più recente per il sistema operativo in uso nel modo seguente:
In Windows esegui Installazione e configurazione del driver ODBC di Amazon Redshift su Microsoft Windows.
Per macOS, consulta Installazione del driver ODBC di Amazon Redshift su macOS X.
Per Linux, consulta Installazione del driver ODBC di Amazon Redshift su Linux.
In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:
Per Data Source Name (Nome origine dati), immettere
. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.your-DSN
Per Tipo di autenticazione, scegli Provider di identità: SAML. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per autenticare mediante Single Sign-On di AD FS.
Per Cluster ID (ID cluster), immettere
.your-cluster-identifier
Per Region (Regione), immettere
.your-cluster-region
Per Database, immettere
.your-database-name
Per User (Utente), immettere
. Si tratta del nome utente dell'account AD FS che si sta utilizzando per l'accesso Single Sign-On con autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: SAML (Provider di identità: SAML).your-adfs-username
Per Password, immettere
. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: SAML (Provider di identità: SAML).your-adfs-password
Su macOS e Linux, modificare il file
odbc.ini
come segue:Nota
Tutte le voci non fanno distinzione tra maiuscole e minuscole.
Per clusterid, immettere
. Questo è il nome del cluster Amazon Redshift creato.your-cluster-identifier
Per region, immettere
. Questa è la AWS regione del cluster Amazon Redshift creato.your-cluster-region
Per database, immettere
. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.your-database-name
Per locale, immettere
en-us
. Questa è la lingua in cui vengono visualizzati i messaggi di errore.Per iam, immettere
1
. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.Per plugin_name, effettuare una delle seguenti operazioni:
-
Per la configurazione di Single Sign-On di AD FS con autenticazione a più fattori (MFA), immettere
BrowserSAML
. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per l'autenticazione ad AD FS. Per la configurazione di Single Sign-On di AD FS, immettere
ADFS
. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Azure AD.
-
Per uid, immettere
. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo se plugin_name è ADFS.your-adfs-username
Per PWD, immettere
. Utilizzare solo se plugin_name è ADFS.your-adfs-password
Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Ping Identity
Puoi utilizzare Ping Identity come provider di identità (IdP) per accedere al cluster Amazon Redshift. Di seguito, puoi trovare una procedura che descrive come impostare una relazione di fiducia a questo scopo utilizzando il PingOne portale. Per ulteriori informazioni sulla configurazione AWS come fornitore di servizi per Ping Identity, consulta Configuring Your SAML 2.0 IdP with Relying Party Trust e Adding Claims nella IAM User Guide.
Per configurare Ping Identity e il tuo AWS account in modo che si fidino l'uno dell'altro
Crea o utilizza un cluster Amazon Redshift esistente a cui possono accedere gli utenti di Ping Identity. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.
Aggiungi Amazon Redshift come nuova applicazione SAML sul portale. PingOne Per i passaggi dettagliati, vedere la documentazione relativa all'identità di ping
. Passare a My Applications (Le mie applicazioni).
In Add Application (Aggiungi applicazione), scegliere New SAML Application (Nuova applicazione SAML).
Per Application name (Nome applicazione), immettere
Amazon Redshift
.Per Protocol Version (Versione protocollo), scegliere SAML v2.0.
Per Category (Categoria), scegliere
.your-application-category
Per Assertion Consumer Service (ACS), digitare
. Questo è l'host locale e la porta verso cui l'asserzione SAML esegue il reindirizzamento.your-redshift-local-host-url
Per Entity ID (ID entità), inserisci
urn:amazon:webservices
.Per Signing (Firma), scegliere Sign Assertion (Asserzione firma).
Nella sezione SSO Attribute Mapping (Mappatura degli attributi SSO), creare le registrazioni come illustrato nella tabella seguente.
Attributo Application Attributo Identity Bridge del valore letterale https://aws.amazon.com/SAML/Attributes/Role
arn:aws:iam:: 123456789012:role/ping, arn:aws:iam::
123456789012:saml-provider/
PingProvider
https://aws.amazon.com/SAML/Attributes/RoleSessionName
e-mail
https://redshift.amazon.com/SAML/Attributes/AutoCreate
"true"
https://redshift.amazon.com/SAML/Attributes/ DbUser
e-mail
https://redshift.amazon.com/SAML/Attributes/ DbGroups
I gruppi negli attributi «DbGroups» contengono il prefisso @directory. Per rimuoverlo, in Identità Bridge, specifica memberOf. In Funzione, scegliete ExtractByRegularExpression. In Espressione, specifica (.*)[\@](?:.*).
Per Group Access (Accesso di gruppo), impostare il seguente accesso di gruppo, se necessario:
https://aws.amazon.com/SAML/Attributes/Role
https://aws.amazon.com/SAML/Attributes/RoleSessionName
https://redshift.amazon.com/SAML/Attributes/AutoCreate
https://redshift.amazon.com/SAML/Attributes/DbUser
Rivedere la configurazione e apportare modifiche, se necessario.
Utilizzare Initiate Single Sign-On (SSO) URL (URL Single Sign-On (SSO) di avvio) come URL di accesso per il plugin Browser SAML.
Creare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati di federazione salvato quando si configura l'applicazione Ping Identity. Per la procedura dettagliata, consulta Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.
Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di un ruolo per SAML nella Guida per l'utente di IAM.
Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.
Come configurare JDBC per l'autenticazione in Ping Identity
Configura il client di database per connettersi al cluster tramite JDBC utilizzando Single Sign-On di Ping Identity.
È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Single Sign-On di Ping Identity o usare un linguaggio come Java per connettersi mediante uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del driver JDBC per Amazon Redshift.
Ad esempio, è possibile utilizzare SQLWorkBench/j come client. Quando si configura SQLWorkBench/j, l'URL del database utilizza il seguente formato.
jdbc:redshift:iam://
cluster-identifier
:us-west-1
/dev
Se si utilizza SQLWorkBench/j come client, attenersi alla seguente procedura:
-
Avvia SQL Workbench/J. Nella pagina Seleziona profilo connessione, aggiungi un Gruppo di profili, ad esempio
Ping
. -
Per Connection Profile (Profilo connessione), immettere
, ad esempioyour-connection-profile-name
Ping
. -
Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.
-
Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:
Per Utente, inserisci il tuo nome PingOne utente. Questo è il nome utente dell' PingOne account che stai utilizzando per il Single Sign-On che dispone dell'autorizzazione per il cluster che stai cercando di utilizzare per l'autenticazione.
Per Password, inserisci la tua password. PingOne
Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).
Per URL, immettere
jdbc:redshift:iam://
.your-cluster-identifier
:your-cluster-region
/your-database-name
-
Scegliere Extended Properties (Proprietà estese) ed effettuare una delle seguenti operazioni:
Per login_url, immettere
. Questo valore specifica l'URL per utilizzare Single Sign-On come autenticazione di accesso.your-ping-sso-login-url
Per Ping Identity, in plugin_name, immetti
com.amazon.redshift.plugin.PingCredentialsProvider
. Questo valore indica al driver di utilizzare Single Sign-On di Ping Identity come metodo di autenticazione.Per Ping Identity con Single Sign-On, in plugin_name immettere
com.amazon.redshift.plugin.BrowserSamlCredentialsProvider
. Questo valore specifica al driver di utilizzare Ping Identity PingOne con Single Sign-on come metodo di autenticazione.
-
Come configurare ODBC per l'autenticazione in Ping Identity
Configura il client del database per la connessione al cluster tramite ODBC utilizzando Ping Identity Single Sign-on. PingOne
Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.
Installa e configura il driver OBDC di Amazon Redshift più recente per il sistema operativo in uso nel modo seguente:
In Windows esegui Installazione e configurazione del driver ODBC di Amazon Redshift su Microsoft Windows.
Per macOS, consulta Installazione del driver ODBC di Amazon Redshift su macOS X.
Per Linux, consulta Installazione del driver ODBC di Amazon Redshift su Linux.
In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:
Per Data Source Name (Nome origine dati), immettere
. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.your-DSN
In Auth type (Tipo di autenticazione), procedere in uno dei seguenti modi:
Per la configurazione di Ping Identity, seleziona Provider di identità: federazione Ping. Questo è il metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Ping Identity.
Per la configurazione di Ping Identity con Single Sign-On, scegliere Identity Provider: Browser SAML (Provider identità: browser SAML). Questo è il metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Ping Identity con Single Sign-On.
Per Cluster ID (ID cluster), immettere
.your-cluster-identifier
Per Region (Regione), immettere
.your-cluster-region
Per Database, immettere
.your-database-name
Per User (Utente), immettere
. Questo è il nome utente dell' PingOne account che stai utilizzando per il Single Sign-On che dispone dell'autorizzazione per il cluster che stai cercando di utilizzare per l'autenticazione. Usalo solo per il tipo di autenticazione come Identity Provider:. PingFederateyour-ping-username
Per Password, immettere
. Usalo solo perché il tipo di autenticazione è Identity Provider:. PingFederateyour-ping-password
Per Listen Port (Porta di ascolto), immettere
. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica solo al plugin Browser SAML.your-listen-port
In Response Timeout (Timeout di risposta), immettere
. Questo è il numero di secondi di attesa prima del timeout quando il server IdP restituisce una risposta. Il numero minimo di secondi deve essere 10. Se stabilire la connessione richiede più tempo della soglia prevista, l'operazione viene interrotta. Questo si applica solo al plugin Browser SAML.the-number-of-seconds
Per Login URL (URL di accesso), immettere
. Questo si applica solo al plugin Browser SAML.your-login-url
Su macOS e Linux, modificare il file
odbc.ini
come segue:Nota
Tutte le voci non fanno distinzione tra maiuscole e minuscole.
Per clusterid, immettere
. Questo è il nome del cluster Amazon Redshift creato.your-cluster-identifier
Per region, immettere
. Questa è la AWS regione del cluster Amazon Redshift creato.your-cluster-region
Per database, immettere
. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.your-database-name
Per locale, immettere
en-us
. Questa è la lingua in cui vengono visualizzati i messaggi di errore.Per iam, immettere
1
. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.Per plugin_name, effettuare una delle seguenti operazioni:
-
Per la configurazione di Ping Identity, immetti
BrowserSAML
. Questo è il metodo di autenticazione utilizzato dal driver ODBC per l'autenticazione in Ping Identity. Per la configurazione di Ping Identity con Single Sign-On, immettere
Ping
. Questo è il metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Ping Identity con Single Sign-On.
-
Per uid, immettere
. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo se plugin_name è Ping.your-ping-username
Per PWD, immettere
. Utilizzare solo se plugin_name è Ping.your-ping-password
Per login_url, immettere
. Questo è l'URL Single Sign-On di avvio che restituisce la risposta SAML. Questo si applica solo al plugin Browser SAML.your-login-url
In idp_response_timeout, immettere
. Questo è il periodo di tempo specificato, in secondi, per attendere la risposta da PingOne Identity. Questo si applica solo al plugin Browser SAML.the-number-of-seconds
Per listen_port, immettere
. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica solo al plugin Browser SAML.your-listen-port
Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Okta
Puoi utilizzare Okta come un provider di identità (IdP) per accedere al cluster Amazon Redshift. Di seguito, è possibile trovare una procedura che descrive come impostare una relazione di trust per questo scopo. Per ulteriori informazioni sulla configurazione AWS come fornitore di servizi per Okta, consulta Configuring Your SAML 2.0 IdP with Relying Party Trust e Adding Claims nella IAM User Guide.
Per configurare Okta e il tuo account in modo che si fidino l'uno dell'altro AWS
Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di Okta. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.
Aggiungi Amazon Redshift come nuova applicazione sul portale Okta. Per le fasi dettagliate, consultare la documentazione di Okta
. Scegliere Add Application (Aggiungi applicazione).
In Add Application (Aggiungi applicazione), scegliere Create New App (Crea nuova app).
Nella pagina Create a New Add Application Integration (Crea una nuova integrazione di aggiunta applicazioni), per Platform (Piattaforma), scegliere Web.
Per Sign on method (Metodo di accesso), scegliere SAML v2.0.
Nella pagina General Settings (Impostazioni generali), per App name (Nome app), immettere
. È il nome dell'applicazione.your-redshift-saml-sso-name
Nella pagina SAML Settings (Impostazioni SAML) per Single sign on URL (URL Single Sign On), immettere
. Questo è l'host locale e la porta verso cui l'asserzione SAML esegue il reindirizzamento, ad esempioyour-redshift-local-host-url
http://localhost:7890/redshift/
.
Utilizza URL Single Sign On come URL destinatario e URL di destinazione.
Per Signing (Firma), scegliere Sign Assertion (Asserzione firma).
Per URI del pubblico (ID entità SP), specifica
urn:amazon:webservices
per le attestazioni, come mostrato nella tabella seguente.Nella sezione Advanced Settings (Impostazioni avanzate), per SAML Issuer ID (ID emittente SAML), inserire
, che puoi trovare nella sezione Visualizza istruzioni di configurazione.your-Identity-Provider-Issuer-ID
Nella sezione Attribute Statements (Istruzioni attributi), creare le registrazioni come illustrato nella tabella seguente.
Nome di registrazione Valore https://aws.amazon.com/SAML/Attributes/Role
arn:aws:iam::
123456789012
:role/Okta
,arn:aws:iam::123456789012
:saml-provider/Okta
https://aws.amazon.com/SAML/Attributes/RoleSessionName
user.email
https://redshift.amazon.com/SAML/Attributes/AutoCreate
"true"
https://redshift.amazon.com/SAML/Attributes/DbUser
user.email
Nella sezione App Embed Link (Collegamento incorporamento app), trovare l'URL che è possibile utilizzare come URL di accesso per il plugin SAML Browser.
Creare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati di federazione salvato quando durante la configurazione di Okta. Per la procedura dettagliata, consulta Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.
Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di un ruolo per SAML nella Guida per l'utente di IAM.
Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.
Per configurare JDBC per l'autenticazione in Okta
Configurare il client di database per connettersi al cluster tramite JDBC usando Single Sign-On di Okta.
È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Single Sign-On di Okta o usare un linguaggio come Java per connettersi mediante uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del driver JDBC per Amazon Redshift.
Ad esempio, è possibile utilizzare SQLWorkBench/j come client. Quando si configura SQLWorkBench/j, l'URL del database utilizza il seguente formato.
jdbc:redshift:iam://
cluster-identifier
:us-west-1
/dev
Se si utilizza SQLWorkBench/j come client, attenersi alla seguente procedura:
-
Avvia SQL Workbench/J. Nella pagina Seleziona profilo connessione, aggiungi un Gruppo di profili, ad esempio
Okta
. -
Per Connection Profile (Profilo connessione), immettere
, ad esempioyour-connection-profile-name
Okta
. -
Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.
-
Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:
Per User (Utente), immettere il nome utente Okta. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo.
Per Password, immettere la password Okta.
Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).
Per URL, immettere
jdbc:redshift:iam://
.your-cluster-identifier
:your-cluster-region
/your-database-name
-
Scegliere Extended Properties (Proprietà estese) ed effettuare una delle seguenti operazioni:
Per login_url, immettere
. Questo valore specifica l'URL per utilizzare Single Sign-On come autenticazione per accedere a Okta.your-okta-sso-login-url
Per l'autenticazione Single Sign-On di Okta, in plugin_name immettere
com.amazon.redshift.plugin.OktaCredentialsProvider
. Questo valore consente al driver di utilizzare l'autenticazione Single Sign-On di Okta come metodo di autenticazione.Per l'autenticazione Single Sign-On di Okta con autenticazione a più fattori (MFA), in plugin_name immettere
com.amazon.redshift.plugin.BrowserSamlCredentialsProvider
. Questo valore indica al driver di utilizzare Single Sign-On di Okta con autenticazione a più fattori (MFA) come metodo di autenticazione.
-
Per configurare ODBC per l'autenticazione in Okta
Configurare il client di database per connettersi al cluster tramite ODBC mediante Single Sign-On di Azure AD.
Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.
Installa e configura il driver OBDC di Amazon Redshift più recente per il sistema operativo in uso nel modo seguente:
In Windows esegui Installazione e configurazione del driver ODBC di Amazon Redshift su Microsoft Windows.
Per macOS, consulta Installazione del driver ODBC di Amazon Redshift su macOS X.
Per Linux, consulta Installazione del driver ODBC di Amazon Redshift su Linux.
In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:
Per Data Source Name (Nome origine dati), immettere
. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.your-DSN
In Auth type (Tipo di autenticazione), procedere in uno dei seguenti modi:
Per la configurazione Single Sign-On di Okta, scegliere
Identity Provider: Okta
. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta.Per la configurazione Single Sign-On di Okta con autenticazione a più fattori (MFA), scegliere
Identity Provider: Browser SAML
. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta con autenticazione a più fattori (MFA).
Per Cluster ID (ID cluster), immettere
.your-cluster-identifier
Per Region (Regione), immettere
.your-cluster-region
Per Database, immettere
.your-database-name
Per User (Utente), immettere
. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: Okta (Provider identità: Okta).your-okta-username
Per Password, immettere
. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: Okta (Provider identità: Okta).your-okta-password
Su macOS e Linux, modificare il file
odbc.ini
come segue:Nota
Tutte le voci non fanno distinzione tra maiuscole e minuscole.
Per clusterid, immettere
. Questo è il nome del cluster Amazon Redshift creato.your-cluster-identifier
Per region, immettere
. Questa è la AWS regione del cluster Amazon Redshift creato.your-cluster-region
Per database, immettere
. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.your-database-name
Per locale, immettere
en-us
. Questa è la lingua in cui vengono visualizzati i messaggi di errore.Per iam, immettere
1
. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.Per plugin_name, effettuare una delle seguenti operazioni:
-
Per la configurazione di Single Sign-On di Okta con autenticazione a più fattori (MFA), immettere
BrowserSAML
. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta con autenticazione a più fattori (MFA). Per la configurazione di Single Sign-On di Okta, immettere
Okta
. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta.
-
Per uid, immettere
. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo se plugin_name è Okta.your-okta-username
Per PWD, immettere
. Utilizzare solo se plugin_name è Okta.your-okta-password
Per login_url, immettere
. Questo è l'URL Single Sign-On di avvio che restituisce la risposta SAML. Questo si applica solo al plugin Browser SAML.your-login-url
In idp_response_timeout, immettere
. Questo è il periodo di tempo specificato, in secondi, da PingOne cui attendere la risposta. Questo si applica solo al plugin Browser SAML.the-number-of-seconds
Per listen_port, immettere
. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica solo al plugin Browser SAML.your-listen-port
Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini