Okta - Amazon Redshift
Passaggio 1: configura Okta e il tuo AWS account in modo che si fidino l'uno dell'altroPassaggio 2: configura JDBC o ODBC per l'autenticazione su Okta

Amazon Redshift non supporterà più la creazione di nuovi Python a UDFs partire dal 1° novembre 2025. Se vuoi usare Python UDFs, crea la UDFs data precedente a quella data. Python esistente UDFs continuerà a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Okta

Puoi utilizzare Okta come un provider di identità (IdP) per accedere al cluster Amazon Redshift. Questo tutorial mostra come utilizzare Okta come provider di identità (IdP) per accedere al cluster Amazon Redshift.

Passaggio 1: configura Okta e il tuo AWS account in modo che si fidino l'uno dell'altro

La procedura seguente descrive come impostare una relazione di fiducia.

Per configurare Okta e il tuo AWS account in modo che si fidino l'uno dell'altro

  1. Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di Okta. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.

  2. Aggiungi Amazon Redshift come nuova applicazione sul portale Okta. Per le fasi dettagliate, consultare la documentazione di Okta.

    • Scegliere Add Application (Aggiungi applicazione).

    • In Add Application (Aggiungi applicazione), scegliere Create New App (Crea nuova app).

    • Nella pagina Create a New Add Application Integration (Crea una nuova integrazione di aggiunta applicazioni), per Platform (Piattaforma), scegliere Web.

    • Per Sign on method (Metodo di accesso), scegliere SAML v2.0.

    • Nella pagina General Settings (Impostazioni generali), per App name (Nome app), immettere your-redshift-saml-sso-name. È il nome dell'applicazione.

    • Nella pagina SAML Settings (Impostazioni SAML) per Single sign on URL (URL Single Sign On), immettere your-redshift-local-host-url. Questo è l'host locale e la porta verso cui l'asserzione SAML esegue il reindirizzamento, ad esempio http://localhost:7890/redshift/.

  3. Utilizza URL Single Sign On come URL destinatario e URL di destinazione.

  4. Per Signing (Firma), scegliere Sign Assertion (Asserzione firma).

  5. Per URI del pubblico (ID entità SP), specifica urn:amazon:webservicesper le attestazioni, come mostrato nella tabella seguente.

  6. Nella sezione Advanced Settings (Impostazioni avanzate), per SAML Issuer ID (ID emittente SAML), inserire your-Identity-Provider-Issuer-ID, che puoi trovare nella sezione Visualizza istruzioni di configurazione.

  7. Nella sezione Attribute Statements (Istruzioni attributi), creare le registrazioni come illustrato nella tabella seguente.

    Nome di registrazione Valore

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam: :role/, arn:aws:iam: :saml-provider/ 123456789012 Okta 123456789012 Okta

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.email

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    "true"

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.email

  8. Nella sezione App Embed Link (Collegamento incorporamento app), trovare l'URL che è possibile utilizzare come URL di accesso per il plugin SAML Browser.

  9. Creare un provider di identità SAML IAM nella console IAM. Il documento dei metadati fornito è il file XML dei metadati di federazione salvato quando durante la configurazione di Okta. Per la procedura dettagliata, consulta Creazione e gestione di un provider di identità IAM (console) nella Guida per l'utente di IAM.

  10. Creare un ruolo IAM per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di un ruolo per SAML nella Guida per l'utente di IAM.

  11. Creare una policy IAM che è possibile collegare al ruolo IAM creato per la federazione SAML 2.0 nella console IAM. Per la procedura dettagliata, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione Single Sign-On JDBC o ODBC.

Passaggio 2: configura JDBC o ODBC per l'autenticazione su Okta

JDBC
Per configurare JDBC per l'autenticazione in Okta

  • Configurare il client di database per connettersi al cluster tramite JDBC usando Single Sign-On di Okta.

    È possibile utilizzare qualsiasi client che utilizza un driver JDBC per connettersi tramite Single Sign-On di Okta o usare un linguaggio come Java per connettersi mediante uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.x del driver JDBC per Amazon Redshift.

    Ad esempio, puoi usare SQLWorkbench/J come client. Quando configuri SQLWorkbench /J, l'URL del database utilizza il seguente formato.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Se lo usi SQLWorkbench/J come client, procedi nel seguente modo:

    1. Avvia SQL Workbench/J. Nella pagina Seleziona profilo connessione, aggiungi un Gruppo di profili, ad esempio Okta.

    2. Per Connection Profile (Profilo connessione), immettere your-connection-profile-name, ad esempio Okta.

    3. Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegliere l'icona Open Folder (Apri cartella) accanto a Library (Libreria), quindi scegliere il file JDBC .jar appropriato.

    4. Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:

      • Per User (Utente), immettere il nome utente Okta. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo.

      • Per Password, immettere la password Okta.

      • Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.comredShift.jdbc.driver).

      • Per URL, immettere jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Scegliere Extended Properties (Proprietà estese) ed effettuare una delle seguenti operazioni:

      • Per login_url, immettere your-okta-sso-login-url. Questo valore specifica l'URL per utilizzare Single Sign-On come autenticazione per accedere a Okta.

      • Per l'autenticazione Single Sign-On di Okta, in plugin_name immettere com.amazon.redshift.plugin.OktaCredentialsProvider. Questo valore consente al driver di utilizzare l'autenticazione Single Sign-On di Okta come metodo di autenticazione.

      • Per l'autenticazione Single Sign-On di Okta con autenticazione a più fattori (MFA), in plugin_name immettere com.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Questo valore indica al driver di utilizzare Single Sign-On di Okta con autenticazione a più fattori (MFA) come metodo di autenticazione.

ODBC
Per configurare ODBC per l'autenticazione in Okta

  • Configurare il client di database per connettersi al cluster tramite ODBC mediante Single Sign-On di Azure AD.

    Amazon Redshift fornisce driver ODBC per i sistemi operativi Linux, Windows e macOS. Prima di installare un driver ODBC, è necessario determinare se lo strumento client SQL è a 32 o 64 bit. Installare il driver ODBC che soddisfa i requisiti dello strumento client SQL.

    In Windows, nella pagina Amazon Redshift ODBC Driver DSN Setup (Configurazione DSN Driver ODBC Amazon Redshift) in Connection Settings (Impostazioni connessione), immettere le seguenti informazioni:

    • Per Data Source Name (Nome origine dati), immettere your-DSN. Specificare il nome dell'origine dati utilizzato come nome del profilo ODBC.

    • In Auth type (Tipo di autenticazione), procedere in uno dei seguenti modi:

      • Per la configurazione Single Sign-On di Okta, scegliere Identity Provider: Okta. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta.

      • Per la configurazione Single Sign-On di Okta con autenticazione a più fattori (MFA), scegliere Identity Provider: Browser SAML. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta con autenticazione a più fattori (MFA).

    • Per Cluster ID (ID cluster), immettere your-cluster-identifier.

    • Per Region (Regione), immettere your-cluster-region.

    • Per Database, immettere your-database-name.

    • Per User (Utente), immettere your-okta-username. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: Okta (Provider identità: Okta).

    • Per Password, immettere your-okta-password. Utilizzarlo solo per Auth type (Tipo di autenticazione) è Identity Provider: Okta (Provider identità: Okta).

    Su macOS e Linux, modificare il file odbc.ini come segue:

    Nota

    Tutte le voci non fanno distinzione tra maiuscole e minuscole.

    • Per clusterid, immettere your-cluster-identifier. Questo è il nome del cluster Amazon Redshift creato.

    • Per region, immettere your-cluster-region. Questa è la AWS regione del cluster Amazon Redshift creato.

    • Per database, immettere your-database-name. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.

    • Per locale, immettere en-us. Questa è la lingua in cui vengono visualizzati i messaggi di errore.

    • Per iam, immettere 1. Questo valore consente al driver di eseguire l'autenticazione utilizzando le credenziali IAM.

    • Per plugin_name, effettuare una delle seguenti operazioni:

      • Per la configurazione di Single Sign-On di Okta con autenticazione a più fattori (MFA), immettere BrowserSAML. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta con autenticazione a più fattori (MFA).

      • Per la configurazione di Single Sign-On di Okta, immettere Okta. Si tratta del metodo di autenticazione utilizzato dal driver ODBC per eseguire l'autenticazione mediante Single Sign-On di Okta.

    • Per uid, immettere your-okta-username. Si tratta del nome utente dell'account Okta che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo se plugin_name è Okta.

    • Per PWD, immettere your-okta-password. Utilizzare solo se plugin_name è Okta.

    • Per login_url, immettere your-login-url. Questo è l'URL Single Sign-On di avvio che restituisce la risposta SAML. Questo si applica solo al plugin Browser SAML.

    • In idp_response_timeout, immettere the-number-of-seconds. Questo è il periodo di tempo specificato, in secondi, da PingOne cui attendere la risposta. Questo si applica solo al plugin Browser SAML.

    • Per listen_port, immettere your-listen-port. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo si applica solo al plugin Browser SAML.

    Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini