Opzioni per fornire credenziali IAM

Per fornire credenziali IAM per una connessione ODBC o JDBC, scegli una delle opzioni seguenti.

• AWS profile

  Anziché fornire i valori delle credenziali come impostazioni JDBC o ODBC, puoi includere i valori in un profilo con nome. Per ulteriori informazioni, consulta Utilizzo di un profilo di configurazione.

• Credenziali IAM

  Fornisci valori per AccessKey ID e SecretAccessKey, facoltativamente, SessionToken sotto forma di impostazioni JDBC o ODBC. SessionToken è richiesto solo per un ruolo IAM con credenziali temporanee. Per ulteriori informazioni, consulta Opzioni JDBC e ODBC per fornire credenziali IAM.

• Federazione del provider di identità

  Se utilizzi la federazione del provider di identità per consentire agli utenti di un provider di identità di eseguire l'autenticazione in Amazon Redshift, specifica il nome di un plug-in del provider di credenziali. Per ulteriori informazioni, consulta Utilizzo di un plug-in di provider di credenziali.

  I driver JDBC e ODBC di Amazon Redshift includono plug-in per i seguenti provider di credenziali di federazione delle identità basate su SAML:

  • Microsoft Active Identity Federation Services (AD FS)

  • PingOne

  • Okta

  • Microsoft Azure Active Directory (AD)

  Puoi fornire il nome di plug-in e i valori correlati come impostazioni JDBC o ODBC oppure utilizzando un profilo. Per ulteriori informazioni, consultare Opzioni per la configurazione del driver JDBC versione 2.1 e Configurazione delle opzioni del driver ODBC.

Per ulteriori informazioni, consulta Configurazione di una connessione JDBC o ODBC per utilizzare credenziali IAM.

Utilizzo di un profilo di configurazione

Puoi fornire le opzioni e GetClusterCredentials le opzioni delle credenziali IAM come impostazioni nei profili denominati nel tuo AWS file di configurazione. Per specificare il nome di profilo, utilizzare l'opzione Profile JDBC. La configurazione è archiviata in un file denominato config o credentials in una cartella .aws della tua home directory.

Per un plug-in di provider di credenziali basate su SAML incluso con un driver JDBC o ODBC di Amazon Redshift, puoi utilizzare le impostazioni descritte in precedenza in Utilizzo di un plug-in di provider di credenziali. Se plugin_name non viene utilizzato, le altre opzioni vengono ignorate.

L'esempio seguente mostra il file ~/.aws/credentials con due profili:

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user2]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
session_token=AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQWLWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
+scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==

Per utilizzare le credenziali per l'esempio user2, specifica Profile=user2 nell'URL JDBC.

Per ulteriori informazioni sull'utilizzo dei profili, consulta Configurazione e impostazioni dei file di credenziali nella Guida per l' AWS Command Line Interface utente.

Per ulteriori informazioni sull'utilizzo dei profili per il driver JDBC, consulta Specifica di profili.

Per ulteriori informazioni sull'utilizzo dei profili per il driver ODBC, consulta Configurazione dell'autenticazione.

Opzioni JDBC e ODBC per fornire credenziali IAM

La tabella seguente elenca le opzioni JDBC e ODBC per fornire credenziali IAM.

Opzione	Descrizione
Iam	Da utilizzare solo in una stringa di connessione ODBC. Imposta questa opzione su 1 per utilizzare l'autenticazione IAM.
AccessKeyID SecretAccessKey SessionToken	L'ID della chiave di accesso e la chiave di accesso segreta per il ruolo o l'utente IAM configurati per l'autenticazione del database IAM. SessionTokenè richiesto solo per un ruolo IAM con credenziali temporanee. SessionToken non viene utilizzato per un utente. Per ulteriori informazioni, consultare Credenziali di sicurezza temporanee.
plugin_name	Il nome completo di una classe che implementa un provider di credenziali. Il driver JDBC di Amazon Redshift include plug-in per provider di credenziali basati su SAML. Se fornisci plugin_name, puoi anche fornire altre opzioni correlate. Per ulteriori informazioni, consulta Utilizzo di un plug-in di provider di credenziali.
Profile	Il nome di un profilo in un file di AWS credenziali o di configurazione che contiene i valori per le opzioni di connessione JDBC. Per ulteriori informazioni, consulta Utilizzo di un profilo di configurazione.

Utilizzo di un plug-in di provider di credenziali

Amazon Redshift utilizza plug-in di provider di credenziali per l'autenticazione Single Sign-On.

Per supportare l'autenticazione Single Sign-On, Amazon Redshift fornisce il plug-in Azure AD per Microsoft Azure Active Directory. Per informazioni su come configurare questo plugin, consultare Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.

Impostazione dell'autenticazione a più fattori

Per supportare autenticazione a più fattori (MFA), Amazon Redshift fornisce plug-in basati su browser. Usa il plug-in SAML del browser per Okta e il plug-in Azure AD del browser per Microsoft Azure Active Directory. PingOne

Con il plugin SAML del browser, il flusso dell'autenticazione SAML è il seguente:

1. Un utente tenta di eseguire l'accesso.

2. Il plugin avvia un server locale per ascoltare le connessioni in entrata sul localhost.

3. Il plug-in avvia un browser Web per richiedere una risposta SAML su HTTPS dall'endpoint del provider di identità federate dell'URL di accesso Single Sign-On specificato.

4. Il browser Web segue il collegamento e invia all'utente una richiesta di immissione delle credenziali.

5. Dopo che l'utente esegue l'autenticazione e concede l'autorizzazione, l'endpoint del provider di identità federate restituisce una risposta SAML su HTTPS all'URI indicato da redirect_uri.

6. Il browser Web sposta il messaggio di risposta con la risposta SAML nel redirect_uri indicato.

7. Il server locale accetta la connessione in entrata, il plugin recupera la risposta SAML e la invia ad Amazon Redshift .

Con il plug-in Azure AD del browser, il flusso di autenticazione SAML è il seguente:

1. Un utente tenta di eseguire l'accesso.

2. Il plugin avvia un server locale per ascoltare le connessioni in entrata sul localhost.

3. Il plug-in avvia un browser Web per richiedere un codice di autorizzazione dall'endpoint oauth2/authorize di Azure AD.

4. Il browser Web segue il collegamento generato su HTTPS e richiede all'utente di immettere le credenziali. Il collegamento viene generato utilizzando le proprietà di configurazione, ad esempio tenant e client_id.

5. Dopo che l'utente esegue l'autenticazione e concede l'autorizzazione, l'endpoint oauth2/authorize di Azure AD restituisce e invia una risposta tramite HTTPS con il codice di autorizzazione a redirect_uri indicato.

6. Il browser Web sposta il messaggio di risposta con la risposta SAML nel redirect_uri indicato.

7. Il server locale accetta la connessione in ingresso e il plug-in richiede e recupera il codice di autorizzazione e invia una richiesta POST all'endpoint oauth2/token di Azure AD.

8. L'endpoint oauth2/token di Azure AD restituisce una risposta con un token di accesso al redirect_uri indicato.

9. Il plug-in recupera la risposta SAML e la invia ad Amazon Redshift.

Vedere le seguenti sezioni:

• Active Directory Federation Services (AD FS)

  Per ulteriori informazioni, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con AD FS.

• PingOne (Ping)

  Il ping è supportato solo con l'adattatore PingOne IdP predeterminato che utilizza l'autenticazione Forms.

  Per ulteriori informazioni, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Ping Identity.

• Okta

  Okta è supportato solo per l'applicazione fornita da Okta utilizzata con la AWS Management Console.

  Per ulteriori informazioni, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Okta.

• Microsoft Azure Active Directory

  Per ulteriori informazioni, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.

Configurazione delle opzioni dei plugin

Per usare un plugin per il provider di credenziali basato su SAML, specificare le seguenti opzioni usando le opzioni JDBC o ODBC o in un profilo con nome. Se plugin_name non è specificato, le altre opzioni vengono ignorate.

Opzione	Descrizione
plugin_name	Per JDBC, il nome di classe che implementa un provider di credenziali. Specifica una delle seguenti proprietà: Per Active Directory Federation Services com.amazon.redshift.plugin.AdfsCredentialsProvider Per Okta com.amazon.redshift.plugin.OktaCredentialsProvider Per PingFederate com.amazon.redshift.plugin.PingCredentialsProvider Per Microsoft Azure Active Directory com.amazon.redshift.plugin.AzureCredentialsProvider Per SAML MFA com.amazon.redshift.plugin.BrowserSamlCredentialsProvider Per l'accesso Single Sign-On in Microsoft Azure Active Directory con autenticazione a più fattori (MFA) com.amazon.redshift.plugin.BrowserAzureCredentialsProvider Per ODBC, specifica uno dei seguenti valori: Per Active Directory Federation Services: adfs Per Okta: okta Per PingFederate: ping Per Microsoft Azure Active Directory: azure Per SAML MFA: browser saml Per l'accesso Single Sign-On in Microsoft Azure Active Directory con autenticazione a più fattori (MFA): browser azure ad
idp_host	Il nome dell'host del provider di identità dell'azienda. Questo nome non deve includere barre rovesciate ( / ). Per un provider di identità Okta, il valore per idp_host deve terminare con .okta.com.
idp_port	La porta utilizzata dal provider di identità. Il valore predefinito è 443. Questa porta viene ignorata per Okta.
preferred_role	L'Amazon Resource Name (ARN) di un ruolo dagli elementi AttributeValue per l'attributo Role nell'asserzione SAML. Per trovare il valore appropriato per il ruolo preferito, collaborare con l'amministratore IdP. Per ulteriori informazioni, consulta Configurazione di asserzioni SAML per l'IdP.
user	Un nome utente aziendale, incluso il dominio quando applicabile. Ad esempio, per Active Directory, il nome di dominio è obbligatorio nel formato dominio\nome utente.
password	La password dell'utente aziendale. È consigliabile non utilizzare questa opzione. Utilizza piuttosto il client SQL per fornire la password.
app_id	Un ID per l'applicazione Okta. Utilizzata solo con Okta. Il valore di app_id segue amazon_aws nel collegamento di incorporamento dell'applicazione Okta. Per ottenere questo valore, collaborare con l'amministratore IdP. Di seguito è riportato un esempio di collegamento di incorporamento di un'applicazione: https://example.okta.com/home/amazon_aws/0oa2hylwrpM8UGehd1t7/272
idp_tenant	Un tenant usato per Azure AD. Utilizzato solo con Azure.
client_id	Un ID client per l'applicazione aziendale Amazon Redshift in Azure AD. Utilizzato solo con Azure.

Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD

È possibile utilizzare Microsoft Azure AD come provider di identità (IdP) per accedere al cluster Amazon Redshift. Di seguito, è possibile trovare una procedura che descrive come impostare una relazione di trust per questo scopo. Per ulteriori informazioni sulla configurazione AWS come fornitore di servizi per l'IdP, consulta Configuring Your SAML 2.0 IdP with Relying Party Trust e Adding Claims nella IAM User Guide.

Nota

Per usare Azure AD con JDBC, il driver JDBC di Amazon Redshift deve essere la versione 1.2.37.1061 o successiva. Per usare Azure AD con ODBC, il driver ODBC di Amazon Redshift deve essere la versione 1.4.10.1000 o successiva.

Per informazioni su come federare l'accesso di Amazon Redshift con il single sign-on di Microsoft Azure AD, guarda il video seguente.

Per configurare Azure AD e il tuo account in modo che si fidino l'uno dell'altro AWS

1. Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di Azure AD. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.

2. Configura un Azure Active Directory, i gruppi e gli utenti utilizzati AWS sul portale Microsoft Azure.

3. Aggiungi Amazon Redshift come applicazione aziendale sul portale Microsoft Azure da utilizzare per il single sign-on alla AWS console e l'accesso federato ad Amazon Redshift. Scegliere Enterprise application (Applicazione aziendale).

4. Scegliere +New application (+Nuova applicazione). Viene visualizzata la pagina di aggiunta di un'applicazione.

5. Cercare AWS nel campo di ricerca.

6. Seleziona Amazon Web Services (AWS) quindi scegli Aggiungi. Questo crea l'applicazione. AWS

7. In Manage (Gestisci), scegliere Single Sign-On.

8. Scegli SAML. Viene visualizzata la pagina Amazon Web Services (AWS) | Accesso basato su SAML.

9. Scegliere Yes (Sì) per passare alla pagina di configurazione Single Sign-On con SAML. In questa pagina è riportato l'elenco degli attributi preconfigurati correlati alla funzionalità Single Sign-On.

10. Per Basic SAML Configuration (Configurazione SAML di base), scegliere l'icona di modifica e selezionare Save (Salva).

11. Quando si configurano più applicazioni, fornire un valore di identificatore. Ad esempio, specifica https://signin.aws.amazon.com/saml#2. Dalla seconda applicazione in poi utilizzare questo formato con un segno # per specificare un valore SPN univoco.

12. Nella sezione User Attributes and Claims (Attributi utente e registrazioni), scegliere l'icona di modifica.

    Per impostazione predefinita, l'identificatore utente unico (UID), il ruolo e le SessionDuration attestazioni sono preconfigurati. RoleSessionName

13. Scegliere + Add new claim (+ Aggiungi nuova registrazione) per aggiungere una registrazione per gli utenti del database.

    Per Nome, immetti DbUser.

    Per Namespace (Spazio dei nomi), immettere https://redshift.amazon.com/SAML/Attributes.

    In Source (Origine), scegliere Attribute (Attributo).

    In Source attribute (Attributo di origine), scegliere user.userprincipalname. Quindi, scegliere Save (Salva).

14. Scegli + Aggiungi nuovo reclamo per cui aggiungere un reclamo. AutoCreate

    Per Nome, immetti AutoCreate.

    Per Namespace (Spazio dei nomi), immettere https://redshift.amazon.com/SAML/Attributes.

    In Source (Origine), scegliere Attribute (Attributo).

    Per Source attribute (Attributo di origine), scegliere "true". Quindi, scegliere Save (Salva).

    Qui, 123456789012 è l'account AWS , AzureSSO è un ruolo IAM creato e AzureADProvider è il provider IAM.

    Nome di registrazione	Valore
    Identificatore utente univoco (ID nome)	user.userprincipalname
    https://aws.amazon.com/SAML/Attributes/SessionDuration	900
    https://aws.amazon.com/SAML/Attributes/Role	arn:aws:iam::123456789012:role/AzureSSO,arn:aws:iam::123456789012:saml-provider/AzureADProvider
    https://aws.amazon.com/SAML/Attributes/RoleSessionName	user.userprincipalname
    https://redshift.amazon.com/SAML/Attributes/AutoCreate	"true"
    https://redshift.amazon.com/SAML/Attributes/DbGroups	user.assignedroles
    https://redshift.amazon.com/SAML/Attributes/DbUser	user.userprincipalname

15. In App Registration (Registrazione app) > your-application-name > Authentication (Autenticazione), aggiungere Mobile And Desktop Application (Applicazione mobile e desktop). Specificare l'URL come http://localhost/redshift/.

16. Nella sezione SAML Signing Certificate (Certificato di firma SAML), scegliere Download (Scarica) per scaricare e salvare il file XML dei metadati della federazione da utilizzare durante la creazione di un provider di identità SAML IAM. Questo file viene utilizzato per creare l'identità Single Sign-On federata.

17. Creare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati della federazione salvato quando si configura l'applicazione Azure Enterprise. Per la procedura dettagliata, consultare Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.

18. Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di un ruolo per SAML nella Guida per l'utente di IAM.

19. Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM.

    Modificare le policy seguenti (in formato JSON) per l'ambiente:

    • Sostituisci la AWS regione del tuo cluster con. us-west-1

    • Sostituisci il tuo AWS account con. 123456789012

    • Sostituire l'identificatore del cluster (o * per tutti i cluster) per cluster-identifier.

    • Sostituire il database (o * per tutti i database) per dev.

    • Sostituire l'identificatore univoco del ruolo IAM per AROAJ2UCCR6DPCEXAMPLE.

    • Sostituire il dominio dell'e-mail del tenant o della società per example.com.

    • Sostituire il gruppo di database a cui si intende assegnare l'utente per my_dbgroup.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "redshift:GetClusterCredentials",
                "Resource": [
                    "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev",
                    "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}",
                    "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier"
                ],
                "Condition": {
                    "StringEquals": {
                        "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com"
                    }
                }
            },
            {
                "Effect": "Allow",
                "Action": "redshift:CreateClusterUser",
                "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}"
            },
            {
                "Effect": "Allow",
                "Action": "redshift:JoinGroup",
                "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "redshift:DescribeClusters",
                    "iam:ListRoles"
                ],
                "Resource": "*"
            }
        ]
    }

    Questa policy concede le autorizzazioni come segue:

    • La prima sezione concede l'autorizzazione all'operazione API GetClusterCredentials per ottenere credenziali temporanee per il cluster specificato. In questo esempio, la risorsa è cluster-identifier con database dev, nell'account 123456789012 e nella regione AWS us-west-1. La clausola ${redshift:DbUser} consente di connettersi solo agli utenti che corrispondono al valore DbUser specificato in Azure AD.

    • La clausola di condizione definisce che solo alcuni utenti ottengono le credenziali temporanee. Sono utenti con il ruolo specificato dall'ID univoco del ruolo AROAJ2UCCR6DPCEXAMPLE nell'account IAM identificato da un indirizzo e-mail nel dominio e-mail della società. Per ulteriori informazioni sugli ID univoci, consultare ID univoci nella Guida per l'utente di IAM.

      L'installazione con l'IDP (in questo caso Azure AD) determina la modalità di scrittura della clausola di condizione. Se l'e-mail del dipendente è johndoe@example.com, ${redshift:DbUser} impostare innanzitutto il campo super che corrisponde al nome utente del dipendente johndoe. Per il funzionamento di questa condizione, imposta il campo RoleSessionName di AWS SAML sul campo super che corrisponde all'e-mail del dipendente johndoe@example.com. Quando si adotta questo approccio, considerare quanto segue:

      • Se si imposta ${redshift:DbUser} in modo che sia l'e-mail del dipendente, rimuovere il JSON @example.com di esempio per associare il RoleSessionName.

      • Se si imposta RoleSessionId in modo che sia solo il nome utente del dipendente, rimuovere @example.com nell'esempio per associare il RoleSessionName.

      • Nell'esempio JSON, ${redshift:DbUser} e RoleSessionName sono entrambi impostati sull'e-mail del dipendente. In questo esempio JSON utilizza il nome utente del database Amazon Redshift con @example.com per consentire all'utente di accedere al cluster.

    • La seconda sezione concede l'autorizzazione per creare un nome dbuser nel cluster specificato. In questo esempio, JSON limita la creazione a ${redshift:DbUser}.

    • La terza sezione concede l'autorizzazione per specificare il dbgroup al quale un utente può partecipare. In questo esempio JSON, un utente può unirsi al gruppo my_dbgroup nel cluster specificato.

    • La quarta sezione concede l'autorizzazione alle operazioni che l'utente può eseguire su tutte le risorse. In questo esempio JSON, consente agli utenti di effettuare chiamate per redshift:DescribeClusters ottenere informazioni sul cluster come l'endpoint, la AWS regione e la porta del cluster. Consente inoltre agli utenti di chiamare iam:ListRoles per verificare quali ruoli un utente può assumere.

Per configurare JDBC per l'autenticazione in Microsoft Azure AD

• Configurare il client di database per connettersi al cluster tramite JDBC usando Azure AD Single Sign-On.

  È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Azure AD Single Sign-On o usare un linguaggio come Java per connettersi utilizzando uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del driver JDBC per Amazon Redshift.

  Ad esempio, è possibile utilizzare SQLWorkBench/j come client. Quando si configura SQLWorkBench/j, l'URL del database utilizza il seguente formato.

  jdbc:redshift:iam://cluster-identifier:us-west-1/dev

  Se si utilizza SQLWorkBench/j come client, attenersi alla seguente procedura:

  1. Avvia SQL Workbench/J. Sulla pagina Seleziona profilo di connessione, aggiungi un Gruppo di profili denominato AzureAuth.

  2. Per Connection Profile (Profilo connessione), immettere Azure.

  3. Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.

  4. Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:

     • Per User (Utente), immettere il nome utente di Microsoft Azure. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo.

     • Per Password, immettere la password di Microsoft Azure.

     • Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).

     • Per URL, immettere jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

  5. Scegliere Extended Properties (Proprietà estese) per aggiungere ulteriori informazioni alle proprietà di connessione, come descritto di seguito:

     Per la configurazione Single Sign-On di Azure AD, aggiungere ulteriori informazioni come segue:

     • Per plugin_name, immettere com.amazon.redshift.plugin.AzureCredentialsProvider. Questo valore indica al driver di utilizzare Azure AD Single Sign-On come metodo di autenticazione.

     • Per idp_tenant, immettere your-idp-tenant. Utilizzato solo per Microsoft Azure AD. Si tratta del nome tenant dell'azienda configurata in Azure AD. Questo valore può essere il nome del tenant o l'ID univoco tenant con trattini.

     • Per client_secret, immettere your-azure-redshift-application-client-secret. Utilizzato solo per Microsoft Azure AD. Questo è il segreto client dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On. Questo è applicabile solo al com.amazon.redshift.plugin. AzureCredentialsProvider plugin.

     • Per client_id, immettere your-azure-redshift-application-client-id. Utilizzato solo per Microsoft Azure AD. Si tratta dell'ID client (con trattini) dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.

     Per la configurazione Single Sign-On di Azure AD con autenticazione a più fattori (MFA), aggiungere ulteriori informazioni alle proprietà di connessione come segue:

     • Per plugin_name, immettere com.amazon.redshift.plugin.BrowserAzureCredentialsProvider. Questo valore indica al driver di utilizzare Single Sign-On di Azure AD con autenticazione a più fattori (MFA) come metodo di autenticazione.

     • Per idp_tenant, immettere your-idp-tenant. Utilizzato solo per Microsoft Azure AD. Si tratta del nome tenant dell'azienda configurata in Azure AD. Questo valore può essere il nome del tenant o l'ID univoco tenant con trattini.

     • Per client_id, immettere your-azure-redshift-application-client-id. Questa opzione è utilizzata solo per Microsoft Azure AD. Si tratta dell'ID client (con trattini) dell'applicazione Amazon Redshift creata durante la configurazione di Single Sign-On di Azure AD con autenticazione a più fattori (MFA).

     • Per listen_port, immettere your-listen-port. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890.

     • In idp_response_timeout, immettere the-number-of-seconds. Questo è il numero di secondi di attesa prima del timeout quando il server IdP restituisce una risposta. Il numero minimo di secondi deve essere 10. Se stabilire la connessione richiede più tempo della soglia prevista, l'operazione viene interrotta.

Per configurare ODBC per l'autenticazione in Microsoft Azure AD

• Configurare il client di database per connettersi al cluster tramite ODBC utilizzando Azure AD Single Sign-On.

  Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.

  Installa e configura il driver OBDC di Amazon Redshift più recente per il sistema operativo in uso nel modo seguente:

  • In Windows esegui Installazione e configurazione del driver ODBC di Amazon Redshift su Microsoft Windows.

  • Per macOS, consulta Installazione del driver ODBC di Amazon Redshift su macOS X.

  • Per Linux, consulta Installazione del driver ODBC di Amazon Redshift su Linux.

  In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:

  • Per Data Source Name (Nome origine dati), immettere your-DSN. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.

  • Nel campo Tipo di autenticazione per la configurazione Single Sign-On di Azure AD, scegliere Identity Provider: Azure AD. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per autenticare mediante Azure Single Sign-On.

  • Nel campo Tipo di autenticazione per la configurazione Single Sign-On di Azure AD con autenticazione a più fattori (MFA), scegliere Identity Provider: Browser Azure AD. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per autenticare mediante Azure Single Sign-On con MFA.

  • Per Cluster ID (ID cluster), immettere your-cluster-identifier.

  • Per Region (Regione), immettere your-cluster-region.

  • Per Database, immettere your-database-name.

  • Per User (Utente), immettere your-azure-username. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo. Utilizzarlo solo se Auth Type (Tipo di autorizzazione) è Identity Provider: Azure AD (Provider di identità: Azure AD).

  • Per Password, immettere your-azure-password. Utilizzarlo solo se Auth Type (Tipo di autorizzazione) è Identity Provider: Azure AD (Provider di identità: Azure AD).

  • Per iDP Tenant (Tenant Idp), immettere your-idp-tenant. Si tratta del nome del tenant della società configurata in IDP (Azure). Questo valore può essere il nome del tenant o l'ID univoco tenant con trattini.

  • Per Azure Client Secret (Segreto client di Azure), immettere your-azure-redshift-application-client-secret. Questo è il segreto client dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.

  • Per Azure Client ID (ID client di Azure), immettere your-azure-redshift-application-client-id. Si tratta dell'ID client (con trattini) dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.

  • Per Listen Port (Porta di ascolto), immettere your-listen-port. Questa è la porta di ascolto predefinita ascoltata dal server locale. Il valore predefinito è 7890. Si applica solo al plug-in Browser Azure AD.

  • In Response Timeout (Timeout di risposta), immettere the-number-of-seconds. Questo è il numero di secondi di attesa prima del timeout quando il server IdP restituisce una risposta. Il numero minimo di secondi deve essere 10. Se stabilire la connessione richiede più tempo della soglia prevista, l'operazione viene interrotta. Questa opzione si applica solo al plug-in Browser Azure AD.

  Su macOS e Linux, modificare il file odbc.ini come segue:

  Nota

  Tutte le voci non fanno distinzione tra maiuscole e minuscole.

  • Per clusterid, immettere your-cluster-identifier. Questo è il nome del cluster Amazon Redshift creato.

  • Per region, immettere your-cluster-region. Questa è la AWS regione del cluster Amazon Redshift creato.

  • Per database, immettere your-database-name. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.

  • Per locale, immettere en-us. Questa è la lingua in cui vengono visualizzati i messaggi di errore.

  • Per iam, immettere 1. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.

  • In plugin_name per la configurazione Single Sign-On di Azure AD, immettere AzureAD. Specifica al driver di utilizzare Azure Single Sign-On come metodo di autenticazione.

  • In plugin_name per la configurazione Single Sign-On di Azure AD con autenticazione a più fattori (MFA), immettere BrowserAzureAD. Indica al driver di utilizzare Azure Single Sign-On con MFA come metodo di autenticazione.

  • Per uid, immettere your-azure-username. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo per plugin_name è AzureAD.

  • Per PWD, immettere your-azure-password. Utilizzare solo per plugin_name è AzureAD.

  • Per idp_tenant, immettere your-idp-tenant. Si tratta del nome del tenant della società configurata in IDP (Azure). Questo valore può essere il nome del tenant o l'ID univoco tenant con trattini.

  • Per client_secret, immettere your-azure-redshift-application-client-secret. Questo è il segreto client dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.

  • Per client_id, immettere your-azure-redshift-application-client-id. Si tratta dell'ID client (con trattini) dell'applicazione Amazon Redshift creata durante la configurazione di Azure Single Sign-On.

  • Per listen_port, immettere your-listen-port. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica al plug-in Browser Azure AD.

  • In idp_response_timeout, immettere the-number-of-seconds. Questo è il periodo di tempo specificato in secondi di attesa della risposta da Azure. Questa opzione si applica al plug-in Browser Azure AD.

  Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.

  export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini

  export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini

Per risolvere i problemi con il plugin Browser Azure AD

1. Per usare il plugin Browser Azure AD, è necessario impostare l'URL di risposta specificato nella richiesta in modo che corrisponda all'URL di risposta configurato per l'applicazione.

   Passare alla pagina Configura Single Sign-On con SAML nel portale di Microsoft Azure. Quindi controllare che l'URL di risposta sia impostato su http://localhost/redshift/.

2. Se viene visualizzato un errore tenant IdP, verificare che il nome tenant IdP corrisponda al nome di dominio utilizzato inizialmente per configurare Active Directory in Microsoft Azure.

   Su Windows, passa alla sezione Impostazioni connessione della pagina Configurazione DSN ODBC di Amazon Redshift. Verificare quindi che il nome del tenant della società configurata nell'IdP (Azure) corrisponda al nome di dominio utilizzato inizialmente per configurare Active Directory in Microsoft Azure.

   Su macOS e Linux, trova il file odbc.ini . Verificare quindi che il nome del tenant della società configurata nell'IdP (Azure) corrisponda al nome di dominio utilizzato inizialmente per configurare Active Directory in Microsoft Azure.

3. Se viene visualizzato un errore che indica che l'URL di risposta specificato nella richiesta non corrisponde agli URL di risposta configurati per l'applicazione, verificare che gli URI di reindirizzamento siano uguali all'URL di risposta.

   Passare alla pagina di registrazione app dell'applicazione nel portale di Microsoft Azure. Quindi controlla che gli URI di reindirizzamento corrispondano all'URL di risposta.

4. Se si ottiene la risposta imprevista: errore non autorizzato, verificare di aver completato la configurazione delle applicazioni mobili e desktop.

   Passare alla pagina di registrazione app dell'applicazione nel portale di Microsoft Azure. Quindi passare a Autenticazione e verificare di aver configurato le applicazioni mobili e desktop per utilizzare http://localhost/redshift/ come URI di reindirizzamento.

Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con AD FS

Puoi utilizzare AD FS come provider di identità (IdP) per accedere al cluster Amazon Redshift. Di seguito, è possibile trovare una procedura che descrive come impostare una relazione di trust per questo scopo. Per ulteriori informazioni sulla configurazione AWS come fornitore di servizi per AD FS, consulta Configuring Your SAML 2.0 IdP with Relying Party Trust e Adding Claims nella IAM User Guide.

Per configurare AD FS e il tuo AWS account in modo che si fidino l'uno dell'altro

1. Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di AD FS. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.

2. Configura AD FS per controllare l'accesso di Amazon Redshift nella Console di gestione Microsoft:

   1. Scegliere ADFS 2.0, quindi selezionare Add Relying Party Trust (Aggiungi relazione di trust). Nella pagina Add Relying Party Trust Wizard (Aggiunta guidata relazione di trust), scegliere Start (Avvia).

   2. Nella pagina Select Data Source (Seleziona origine dati), scegliere Import data about the relying party published online or on a local network (Importa dati sul relying party pubblicati online o in una rete locale).

   3. Per Federation metadata address (host name or URL) (Indirizzo dei metadati della federazione (nome host o URL)), immettere https://signin.aws.amazon.com/saml-metadata.xml. Il file XML di metadati è un documento di metadati SAML standard che viene descritto AWS come relying party.

   4. Nella pagina Specify Display Name (Specificare nome visualizzato), immettere un valore per Display name (Nome visualizzato).

   5. Nella pagina Choose Issuance Authorization Rules (Scegli regole di autorizzazione di emissione), scegliere una regola di autorizzazione di emissione per consentire o rifiutare a tutti gli utenti l'accesso a questo relying party.

   6. Nella pagina Ready to Add Trust (Pronto ad aggiungere trust), rivedere le impostazioni.

   7. Nella pagina Finish (Termina), scegliere Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Apri la finestra di dialogo Modifica regole di registrazione per questa relazione di trust quando si chiude la procedura guidata).

   8. Nel menu di scelta rapida, scegliere Relying Party Trusts (Relazione di trust).

   9. Per il relying party, aprire il menu contestuale e scegliere Edit Claim Rules (Modifica regole di registrazione). Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola).

   10. Per il modello di regola di reclamo, scegli Trasforma un reclamo in entrata, quindi nella NameId pagina Modifica regola, procedi come segue:

       • Per il nome della regola di reclamo, inserisci NameId.

       • In Incoming claim name (Nome registrazione in ingresso), scegliere Windows Account Name (Nome account Windows).

       • In Outgoing claim name (Nome registrazione in uscita), scegliere Name ID (ID nome).

       • In Outgoing name ID format (Formato ID nome in uscita), scegliere Persistent Identifier (Identificatore persistente).

       • Scegliere Pass through all claim values (Passaggio di tutti i valori di registrazione).

   11. Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola) per Claim rule template (Modello regola registrazione), scegliere Send LDAP Attributes as Claims (Invia attributi LDAP come registrazioni).

   12. Nella pagina Configure Rule (Configura regola), procedere come segue:

       • In Claim rule name (Nome regola di attestazione), inserisci RoleSessionName.

       • In Attribute store (Archivio attributi), scegliere Active Directory.

       • In LDAP Attribute (Attributo LDAP), scegliere Email Addresses (Indirizzi di posta elettronica).

       • Per Tipo di attestazione in uscita, scegli https://aws.amazon.com/SAML/Attributes/RoleSessionName.

   13. Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola), per Claim rule template (Modello regola di registrazione), scegliere Send Claims Using a Custom Rule (Invia registrazioni utilizzando una regola personalizzata).

   14. Nella pagina Edit Rule – Get AD Groups (Modifica regola — Ottieni AD), per Claim rule name (Nome regola registrazione), immettere Get AD Groups (Ottieni gruppi AD).

   15. Per Custom rule (Regola personalizzata), immettere quanto segue.

       c:[Type ==
                                           "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
                                           Issuer == "AD AUTHORITY"] => add(store = "Active Directory",
                                           types = ("http://temp/variable"), query = ";tokenGroups;{0}",
                                           param = c.Value);

   16. Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola), per Claim rule template (Modello regola di registrazione), scegliere Send Claims Using a Custom Rule (Invia registrazioni utilizzando una regola personalizzata).

   17. Nella pagina Edit Rule – Roles (Modifica regola - Ruoli), in Claim rule name (Nome regola di registrazione), digitare Roles (Ruoli).

   18. Per Custom rule (Regola personalizzata), immettere quanto segue.

       c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

       Prendere nota degli ARN del provider SAML e del ruolo da assumere. In questo esempio, arn:aws:iam:123456789012:saml-provider/ADFS è l'ARN del provider SAML ed arn:aws:iam:123456789012:role/ADFS- è l'ARN del ruolo.

3. Accertarsi di aver scaricato il file federationmetadata.xml. Verificare che il documento non contenga caratteri non validi. Questo è il file di metadati con cui configuri la relazione di trust. AWS

4. Creare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati di federazione salvato quando si configura l'applicazione Azure Enterprise. Per la procedura dettagliata, consulta Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.

5. Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consultare Creazione di un ruolo per SAML nella Guida per l'utente di IAM.

6. Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.

Per configurare JDBC per l'autenticazione in AD FS

• Configurare il client di database per connettersi al cluster tramite JDBC usando Single Sign-On di Azure AD.

  È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Single Sign-On di AD FS o usare un linguaggio come Java per connettersi mediante uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del driver JDBC per Amazon Redshift.

  Ad esempio, è possibile utilizzare SQLWorkBench/j come client. Quando si configura SQLWorkBench/j, l'URL del database utilizza il seguente formato.

  jdbc:redshift:iam://cluster-identifier:us-west-1/dev

  Se si utilizza SQLWorkBench/j come client, attenersi alla seguente procedura:

  1. Avvia SQL Workbench/J. Nella pagina Seleziona profilo connessione, aggiungi un Gruppo di profili, ad esempio ADFS.

  2. In Connection Profile (Profilo connessione), immettere il nome del profilo di connessione, ad esempio ADFS.

  3. Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.

  4. Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:

     • In User (Utente), immettere il nome utente AD FS. Si tratta del nome utente dell'account che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo.

     • In Password, immettere la password AD FS.

     • Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).

     • Per URL, immettere jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

  5. Scegli Proprietà estese. Per plugin_name, immettere com.amazon.redshift.plugin.AdfsCredentialsProvider. Questo valore indica al driver di utilizzare Single Sign-On di Azure AD come metodo di autenticazione.

Per configurare ODBC per l'autenticazione ad AD FS

• Configurare il client di database per connettersi al cluster tramite ODBC utilizzando Single Sign-On di Azure AD.

  Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.

  Installa e configura il driver OBDC di Amazon Redshift più recente per il sistema operativo in uso nel modo seguente:

  • In Windows esegui Installazione e configurazione del driver ODBC di Amazon Redshift su Microsoft Windows.

  • Per macOS, consulta Installazione del driver ODBC di Amazon Redshift su macOS X.

  • Per Linux, consulta Installazione del driver ODBC di Amazon Redshift su Linux.

  In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:

  • Per Data Source Name (Nome origine dati), immettere your-DSN. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.

  • Per Tipo di autenticazione, scegli Provider di identità: SAML. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per autenticare mediante Single Sign-On di AD FS.

  • Per Cluster ID (ID cluster), immettere your-cluster-identifier.

  • Per Region (Regione), immettere your-cluster-region.

  • Per Database, immettere your-database-name.

  • Per User (Utente), immettere your-adfs-username. Si tratta del nome utente dell'account AD FS che si sta utilizzando per l'accesso Single Sign-On con autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: SAML (Provider di identità: SAML).

  • Per Password, immettere your-adfs-password. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: SAML (Provider di identità: SAML).

  Su macOS e Linux, modificare il file odbc.ini come segue:

  Nota

  Tutte le voci non fanno distinzione tra maiuscole e minuscole.

  • Per clusterid, immettere your-cluster-identifier. Questo è il nome del cluster Amazon Redshift creato.

  • Per region, immettere your-cluster-region. Questa è la AWS regione del cluster Amazon Redshift creato.

  • Per database, immettere your-database-name. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.

  • Per locale, immettere en-us. Questa è la lingua in cui vengono visualizzati i messaggi di errore.

  • Per iam, immettere 1. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.

  • Per plugin_name, effettuare una delle seguenti operazioni:

    • Per la configurazione di Single Sign-On di AD FS con autenticazione a più fattori (MFA), immettere BrowserSAML. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per l'autenticazione ad AD FS.

    • Per la configurazione di Single Sign-On di AD FS, immettere ADFS. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Azure AD.

  • Per uid, immettere your-adfs-username. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo se plugin_name è ADFS.

  • Per PWD, immettere your-adfs-password. Utilizzare solo se plugin_name è ADFS.

  Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.

  export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini

  export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini

Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Ping Identity

Puoi utilizzare Ping Identity come provider di identità (IdP) per accedere al cluster Amazon Redshift. Di seguito, puoi trovare una procedura che descrive come impostare una relazione di fiducia a questo scopo utilizzando il PingOne portale. Per ulteriori informazioni sulla configurazione AWS come fornitore di servizi per Ping Identity, consulta Configuring Your SAML 2.0 IdP with Relying Party Trust e Adding Claims nella IAM User Guide.

Per configurare Ping Identity e il tuo AWS account in modo che si fidino l'uno dell'altro

1. Crea o utilizza un cluster Amazon Redshift esistente a cui possono accedere gli utenti di Ping Identity. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.

2. Aggiungi Amazon Redshift come nuova applicazione SAML sul portale. PingOne Per i passaggi dettagliati, vedere la documentazione relativa all'identità di ping.

   1. Passare a My Applications (Le mie applicazioni).

   2. In Add Application (Aggiungi applicazione), scegliere New SAML Application (Nuova applicazione SAML).

   3. Per Application name (Nome applicazione), immettere Amazon Redshift.

   4. Per Protocol Version (Versione protocollo), scegliere SAML v2.0.

   5. Per Category (Categoria), scegliere your-application-category.

   6. Per Assertion Consumer Service (ACS), digitare your-redshift-local-host-url. Questo è l'host locale e la porta verso cui l'asserzione SAML esegue il reindirizzamento.

   7. Per Entity ID (ID entità), inserisci urn:amazon:webservices.

   8. Per Signing (Firma), scegliere Sign Assertion (Asserzione firma).

   9. Nella sezione SSO Attribute Mapping (Mappatura degli attributi SSO), creare le registrazioni come illustrato nella tabella seguente.

      Attributo Application	Attributo Identity Bridge del valore letterale
      https://aws.amazon.com/SAML/Attributes/Role	arn:aws:iam:: 123456789012:role/ping, arn:aws:iam:: 123456789012:saml-provider/ PingProvider
      https://aws.amazon.com/SAML/Attributes/RoleSessionName	e-mail
      https://redshift.amazon.com/SAML/Attributes/AutoCreate	"true"
      https://redshift.amazon.com/SAML/Attributes/ DbUser	e-mail
      https://redshift.amazon.com/SAML/Attributes/ DbGroups	I gruppi negli attributi «DbGroups» contengono il prefisso @directory. Per rimuoverlo, in Identità Bridge, specifica memberOf. In Funzione, scegliete ExtractByRegularExpression. In Espressione, specifica (.*)[\@](?:.*).

3. Per Group Access (Accesso di gruppo), impostare il seguente accesso di gruppo, se necessario:

   • https://aws.amazon.com/SAML/Attributes/Role

   • https://aws.amazon.com/SAML/Attributes/RoleSessionName

   • https://redshift.amazon.com/SAML/Attributes/AutoCreate

   • https://redshift.amazon.com/SAML/Attributes/DbUser

4. Rivedere la configurazione e apportare modifiche, se necessario.

5. Utilizzare Initiate Single Sign-On (SSO) URL (URL Single Sign-On (SSO) di avvio) come URL di accesso per il plugin Browser SAML.

6. Creare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati di federazione salvato quando si configura l'applicazione Ping Identity. Per la procedura dettagliata, consulta Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.

7. Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di un ruolo per SAML nella Guida per l'utente di IAM.

8. Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.

Come configurare JDBC per l'autenticazione in Ping Identity

• Configura il client di database per connettersi al cluster tramite JDBC utilizzando Single Sign-On di Ping Identity.

  È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Single Sign-On di Ping Identity o usare un linguaggio come Java per connettersi mediante uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del driver JDBC per Amazon Redshift.

  Ad esempio, è possibile utilizzare SQLWorkBench/j come client. Quando si configura SQLWorkBench/j, l'URL del database utilizza il seguente formato.

  jdbc:redshift:iam://cluster-identifier:us-west-1/dev

  Se si utilizza SQLWorkBench/j come client, attenersi alla seguente procedura:

  1. Avvia SQL Workbench/J. Nella pagina Seleziona profilo connessione, aggiungi un Gruppo di profili, ad esempio Ping.

  2. Per Connection Profile (Profilo connessione), immettere your-connection-profile-name, ad esempio Ping.

  3. Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.

  4. Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:

     • Per Utente, inserisci il tuo nome PingOne utente. Questo è il nome utente dell' PingOne account che stai utilizzando per il Single Sign-On che dispone dell'autorizzazione per il cluster che stai cercando di utilizzare per l'autenticazione.

     • Per Password, inserisci la tua password. PingOne

     • Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).

     • Per URL, immettere jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

  5. Scegliere Extended Properties (Proprietà estese) ed effettuare una delle seguenti operazioni:

     • Per login_url, immettere your-ping-sso-login-url. Questo valore specifica l'URL per utilizzare Single Sign-On come autenticazione di accesso.

     • Per Ping Identity, in plugin_name, immetti com.amazon.redshift.plugin.PingCredentialsProvider. Questo valore indica al driver di utilizzare Single Sign-On di Ping Identity come metodo di autenticazione.

     • Per Ping Identity con Single Sign-On, in plugin_name immettere com.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Questo valore specifica al driver di utilizzare Ping Identity PingOne con Single Sign-on come metodo di autenticazione.

Come configurare ODBC per l'autenticazione in Ping Identity

• Configura il client del database per la connessione al cluster tramite ODBC utilizzando Ping Identity Single Sign-on. PingOne

  Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.

  Installa e configura il driver OBDC di Amazon Redshift più recente per il sistema operativo in uso nel modo seguente:

  • In Windows esegui Installazione e configurazione del driver ODBC di Amazon Redshift su Microsoft Windows.

  • Per macOS, consulta Installazione del driver ODBC di Amazon Redshift su macOS X.

  • Per Linux, consulta Installazione del driver ODBC di Amazon Redshift su Linux.

  In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:

  • Per Data Source Name (Nome origine dati), immettere your-DSN. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.

  • In Auth type (Tipo di autenticazione), procedere in uno dei seguenti modi:

    • Per la configurazione di Ping Identity, seleziona Provider di identità: federazione Ping. Questo è il metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Ping Identity.

    • Per la configurazione di Ping Identity con Single Sign-On, scegliere Identity Provider: Browser SAML (Provider identità: browser SAML). Questo è il metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Ping Identity con Single Sign-On.

  • Per Cluster ID (ID cluster), immettere your-cluster-identifier.

  • Per Region (Regione), immettere your-cluster-region.

  • Per Database, immettere your-database-name.

  • Per User (Utente), immettere your-ping-username. Questo è il nome utente dell' PingOne account che stai utilizzando per il Single Sign-On che dispone dell'autorizzazione per il cluster che stai cercando di utilizzare per l'autenticazione. Usalo solo per il tipo di autenticazione come Identity Provider:. PingFederate

  • Per Password, immettere your-ping-password. Usalo solo perché il tipo di autenticazione è Identity Provider:. PingFederate

  • Per Listen Port (Porta di ascolto), immettere your-listen-port. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica solo al plugin Browser SAML.

  • In Response Timeout (Timeout di risposta), immettere the-number-of-seconds. Questo è il numero di secondi di attesa prima del timeout quando il server IdP restituisce una risposta. Il numero minimo di secondi deve essere 10. Se stabilire la connessione richiede più tempo della soglia prevista, l'operazione viene interrotta. Questo si applica solo al plugin Browser SAML.

  • Per Login URL (URL di accesso), immettere your-login-url. Questo si applica solo al plugin Browser SAML.

  Su macOS e Linux, modificare il file odbc.ini come segue:

  Nota

  Tutte le voci non fanno distinzione tra maiuscole e minuscole.

  • Per clusterid, immettere your-cluster-identifier. Questo è il nome del cluster Amazon Redshift creato.

  • Per region, immettere your-cluster-region. Questa è la AWS regione del cluster Amazon Redshift creato.

  • Per database, immettere your-database-name. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.

  • Per locale, immettere en-us. Questa è la lingua in cui vengono visualizzati i messaggi di errore.

  • Per iam, immettere 1. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.

  • Per plugin_name, effettuare una delle seguenti operazioni:

    • Per la configurazione di Ping Identity, immetti BrowserSAML. Questo è il metodo di autenticazione utilizzato dal driver ODBC per l'autenticazione in Ping Identity.

    • Per la configurazione di Ping Identity con Single Sign-On, immetterePing. Questo è il metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Ping Identity con Single Sign-On.

  • Per uid, immettere your-ping-username. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo se plugin_name è Ping.

  • Per PWD, immettere your-ping-password. Utilizzare solo se plugin_name è Ping.

  • Per login_url, immettere your-login-url. Questo è l'URL Single Sign-On di avvio che restituisce la risposta SAML. Questo si applica solo al plugin Browser SAML.

  • In idp_response_timeout, immettere the-number-of-seconds. Questo è il periodo di tempo specificato, in secondi, per attendere la risposta da PingOne Identity. Questo si applica solo al plugin Browser SAML.

  • Per listen_port, immettere your-listen-port. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica solo al plugin Browser SAML.

  Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.

  export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini

  export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini

Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Okta

Puoi utilizzare Okta come un provider di identità (IdP) per accedere al cluster Amazon Redshift. Di seguito, è possibile trovare una procedura che descrive come impostare una relazione di trust per questo scopo. Per ulteriori informazioni sulla configurazione AWS come fornitore di servizi per Okta, consulta Configuring Your SAML 2.0 IdP with Relying Party Trust e Adding Claims nella IAM User Guide.

Per configurare Okta e il tuo account in modo che si fidino l'uno dell'altro AWS

1. Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di Okta. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.

2. Aggiungi Amazon Redshift come nuova applicazione sul portale Okta. Per le fasi dettagliate, consultare la documentazione di Okta.

   • Scegliere Add Application (Aggiungi applicazione).

   • In Add Application (Aggiungi applicazione), scegliere Create New App (Crea nuova app).

   • Nella pagina Create a New Add Application Integration (Crea una nuova integrazione di aggiunta applicazioni), per Platform (Piattaforma), scegliere Web.

   • Per Sign on method (Metodo di accesso), scegliere SAML v2.0.

   • Nella pagina General Settings (Impostazioni generali), per App name (Nome app), immettere your-redshift-saml-sso-name. È il nome dell'applicazione.

   • Nella pagina SAML Settings (Impostazioni SAML) per Single sign on URL (URL Single Sign On), immettere your-redshift-local-host-url. Questo è l'host locale e la porta verso cui l'asserzione SAML esegue il reindirizzamento, ad esempio http://localhost:7890/redshift/.

3. Utilizza URL Single Sign On come URL destinatario e URL di destinazione.

4. Per Signing (Firma), scegliere Sign Assertion (Asserzione firma).

5. Per URI del pubblico (ID entità SP), specifica urn:amazon:webservicesper le attestazioni, come mostrato nella tabella seguente.

6. Nella sezione Advanced Settings (Impostazioni avanzate), per SAML Issuer ID (ID emittente SAML), inserire your-Identity-Provider-Issuer-ID, che puoi trovare nella sezione Visualizza istruzioni di configurazione.

7. Nella sezione Attribute Statements (Istruzioni attributi), creare le registrazioni come illustrato nella tabella seguente.

   Nome di registrazione	Valore
   https://aws.amazon.com/SAML/Attributes/Role	arn:aws:iam::123456789012:role/Okta,arn:aws:iam::123456789012:saml-provider/Okta
   https://aws.amazon.com/SAML/Attributes/RoleSessionName	user.email
   https://redshift.amazon.com/SAML/Attributes/AutoCreate	"true"
   https://redshift.amazon.com/SAML/Attributes/DbUser	user.email

8. Nella sezione App Embed Link (Collegamento incorporamento app), trovare l'URL che è possibile utilizzare come URL di accesso per il plugin SAML Browser.

9. Creare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati di federazione salvato quando durante la configurazione di Okta. Per la procedura dettagliata, consulta Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.

10. Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di un ruolo per SAML nella Guida per l'utente di IAM.

11. Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC con Microsoft Azure AD.

Per configurare JDBC per l'autenticazione in Okta

• Configurare il client di database per connettersi al cluster tramite JDBC usando Single Sign-On di Okta.

  È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Single Sign-On di Okta o usare un linguaggio come Java per connettersi mediante uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del driver JDBC per Amazon Redshift.

  Ad esempio, è possibile utilizzare SQLWorkBench/j come client. Quando si configura SQLWorkBench/j, l'URL del database utilizza il seguente formato.

  jdbc:redshift:iam://cluster-identifier:us-west-1/dev

  Se si utilizza SQLWorkBench/j come client, attenersi alla seguente procedura:

  1. Avvia SQL Workbench/J. Nella pagina Seleziona profilo connessione, aggiungi un Gruppo di profili, ad esempio Okta.

  2. Per Connection Profile (Profilo connessione), immettere your-connection-profile-name, ad esempio Okta.

  3. Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.

  4. Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:

     • Per User (Utente), immettere il nome utente Okta. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo.

     • Per Password, immettere la password Okta.

     • Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).

     • Per URL, immettere jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

  5. Scegliere Extended Properties (Proprietà estese) ed effettuare una delle seguenti operazioni:

     • Per login_url, immettere your-okta-sso-login-url. Questo valore specifica l'URL per utilizzare Single Sign-On come autenticazione per accedere a Okta.

     • Per l'autenticazione Single Sign-On di Okta, in plugin_name immettere com.amazon.redshift.plugin.OktaCredentialsProvider. Questo valore consente al driver di utilizzare l'autenticazione Single Sign-On di Okta come metodo di autenticazione.

     • Per l'autenticazione Single Sign-On di Okta con autenticazione a più fattori (MFA), in plugin_name immettere com.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Questo valore indica al driver di utilizzare Single Sign-On di Okta con autenticazione a più fattori (MFA) come metodo di autenticazione.

Per configurare ODBC per l'autenticazione in Okta

• Configurare il client di database per connettersi al cluster tramite ODBC mediante Single Sign-On di Azure AD.

  Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.

  Installa e configura il driver OBDC di Amazon Redshift più recente per il sistema operativo in uso nel modo seguente:

  • In Windows esegui Installazione e configurazione del driver ODBC di Amazon Redshift su Microsoft Windows.

  • Per macOS, consulta Installazione del driver ODBC di Amazon Redshift su macOS X.

  • Per Linux, consulta Installazione del driver ODBC di Amazon Redshift su Linux.

  In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:

  • Per Data Source Name (Nome origine dati), immettere your-DSN. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.

  • In Auth type (Tipo di autenticazione), procedere in uno dei seguenti modi:

    • Per la configurazione Single Sign-On di Okta, scegliere Identity Provider: Okta. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta.

    • Per la configurazione Single Sign-On di Okta con autenticazione a più fattori (MFA), scegliere Identity Provider: Browser SAML. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta con autenticazione a più fattori (MFA).

  • Per Cluster ID (ID cluster), immettere your-cluster-identifier.

  • Per Region (Regione), immettere your-cluster-region.

  • Per Database, immettere your-database-name.

  • Per User (Utente), immettere your-okta-username. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: Okta (Provider identità: Okta).

  • Per Password, immettere your-okta-password. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: Okta (Provider identità: Okta).

  Su macOS e Linux, modificare il file odbc.ini come segue:

  Nota

  Tutte le voci non fanno distinzione tra maiuscole e minuscole.

  • Per clusterid, immettere your-cluster-identifier. Questo è il nome del cluster Amazon Redshift creato.

  • Per region, immettere your-cluster-region. Questa è la AWS regione del cluster Amazon Redshift creato.

  • Per database, immettere your-database-name. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.

  • Per locale, immettere en-us. Questa è la lingua in cui vengono visualizzati i messaggi di errore.

  • Per iam, immettere 1. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.

  • Per plugin_name, effettuare una delle seguenti operazioni:

    • Per la configurazione di Single Sign-On di Okta con autenticazione a più fattori (MFA), immettere BrowserSAML. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta con autenticazione a più fattori (MFA).

    • Per la configurazione di Single Sign-On di Okta, immettere Okta. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta.

  • Per uid, immettere your-okta-username. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo se plugin_name è Okta.

  • Per PWD, immettere your-okta-password. Utilizzare solo se plugin_name è Okta.

  • Per login_url, immettere your-login-url. Questo è l'URL Single Sign-On di avvio che restituisce la risposta SAML. Questo si applica solo al plugin Browser SAML.

  • In idp_response_timeout, immettere the-number-of-seconds. Questo è il periodo di tempo specificato, in secondi, da PingOne cui attendere la risposta. Questo si applica solo al plugin Browser SAML.

  • Per listen_port, immettere your-listen-port. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica solo al plugin Browser SAML.

  Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.

  export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini

  export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini