Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Native identity provider (IdP) federation for Amazon Redshift (Federazione di provider di identità nativi (IdP) per Amazon Redshift)
La gestione delle identità e delle autorizzazioni per Amazon Redshift è semplificata con la federazione dei provider di identità nativi perché sfrutta il provider di identità esistente per semplificare l'autenticazione e la gestione delle autorizzazioni. Ciò consente di condividere i metadati di identità con Redshift dal proprio provider di identità. Per la prima iterazione di questa caratteristica, il provider di identità supportato è Microsoft Azure Active Directory (Azure AD)
Per configurare Amazon Redshift in modo che possa autenticare le identità dal provider di identità di terze parti, è necessario registrare il provider di identità con Amazon Redshift. Ciò consente a Redshift di autenticare utenti e ruoli definiti dal provider di identità. In questo modo è possibile evitare di eseguire una gestione granulare delle identità sia nel proprio provider di identità di terze parti che in Amazon Redshift, poiché le informazioni sull'identità sono condivise.
Per informazioni sull'utilizzo dei ruoli di sessione trasferiti da gruppi di provider di identità (IdP), consulta PG_ _ GET SESSION _ nella ROLES Amazon Redshift Database Developer Guide.
Federazione di provider di identità nativi (IdP)
Per completare la configurazione preliminare tra il provider di identità e Amazon Redshift, esegui un paio di passaggi: innanzitutto, registri Amazon Redshift come applicazione di terze parti presso il tuo provider di identità, richiedendo le autorizzazioni necessarie. API Quindi creare utenti e gruppi nel provider di identità. Infine, registri il provider di identità con Amazon Redshift, utilizzando SQL istruzioni che impostano parametri di autenticazione unici per il provider di identità. Come parte della registrazione del provider di identità con Redshift, si assegna uno spazio dei nomi per assicurarsi che utenti e ruoli siano raggruppati correttamente.
Con il provider di identità registrato con Amazon Redshift, viene impostata la comunicazione tra Redshift e il provider di identità. Un client può quindi passare token e autenticarsi con Redshift come entità provider di identità. Amazon Redshift utilizza le informazioni sull'appartenenza al gruppo IdP per mappare i ruoli di Redshift. Se l'utente non esiste in precedenza in Redshift, viene creato. Vengono creati ruoli che mappano ai gruppi di provider di identità, se non esistono. L'amministratore di Amazon Redshift concede l'autorizzazione per i ruoli e gli utenti possono eseguire query e altre attività di database.
La procedura seguente illustra il funzionamento della federazione di provider di identità nativi quando un utente accede:
-
Quando un utente accede utilizzando l'opzione IdP nativi dal client, il token del provider di identità viene inviato dal client al driver.
-
L'utente è autenticato. Se l'utente non esiste già in Amazon Redshift, viene creato un nuovo utente. Redshift mappa i gruppi del provider di identità dell'utente ai ruoli Redshift.
-
Le autorizzazioni vengono assegnate in base ai ruoli Redshift dell'utente. Questi sono concessi agli utenti e ai ruoli da parte di un amministratore.
-
L'utente può eseguire query su Redshift.
Strumenti client per desktop
Per istruzioni su come utilizzare la federazione dei provider di identità nativi per connettersi ad Amazon Redshift con Power BI, consultare il post del blog Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI
Per scoprire come integrare la federazione IdP nativa di Amazon Redshift con Azure AD, usando Power BI Desktop and JDBC SQL Client-Workbench/J, guarda il seguente video:
Per istruzioni su come utilizzare la federazione nativa dei provider di identità per connettersi ad Amazon Redshift con un SQL client, in particolare DBeaver SQL Workbench/J, consulta il post sul blog Integrare la federazione IdP nativa di Amazon Redshift
Limitazioni
Si applicano le limitazioni indicate di seguito:
-
I driver Amazon Redshift sono supportati
BrowserIdcAuthPlugina partire dalle seguenti versioni:-
Driver Amazon Redshift versione 2.1.0.30 JDBC
-
Driver Amazon Redshift versione 2.1.3 ODBC
-
Driver Amazon Redshift Python versione 2.1.3
-
-
I driver Amazon Redshift sono supportati
IdpTokenAuthPlugina partire dalle seguenti versioni:-
Driver Amazon Redshift versione 2.1.0.19 JDBC
-
Driver Amazon Redshift versione 2.0.0.9 ODBC
-
Driver Python per Amazon Redshift versione 2.0.914
-
-
Nessun supporto per Enhanced VPC: Enhanced VPC non è supportato quando si configura la propagazione delle identità affidabili di Redshift con AWS IAM Identity Center. Per ulteriori informazioni su EnhancedVPC, consulta Enhanced VPC routing in Amazon Redshift.
-
AWS IAMMemorizzazione nella cache di Identity Center: AWS IAM Identity Center memorizza nella cache le informazioni sulla sessione. Ciò potrebbe causare problemi di accesso imprevedibili quando si tenta di connettersi al database Redshift tramite Redshift query editor v2. Questo perché la sessione AWS IAM Identity Center associata nell'editor di query v2 rimane valida, anche nel caso in cui l'utente del database sia disconnesso dalla console. AWS La cache scade dopo un'ora, il che in genere consente di risolvere eventuali problemi.
