Configurar o Single Sign-On usando ODBC, SAML 2.0 e o provedor de identidade Okta

Para se conectar a origens de dados, você pode usar o Amazon Athena com provedores de identidade (IdPs) como PingOne, Okta, OneLogin e outros. A partir do driver Athena ODBC versão 1.1.13 e do driver Athena JDBC versão 2.0.25, está incluído um plugin SAML de navegador que você pode configurar para trabalhar com qualquer provedor de SAML 2.0. Este tópico mostra como configurar o driver ODBC do Amazon Athena e o plug-in SAML baseado em navegador para adicionar o recurso de autenticação única (SSO) usando o provedor de identidade Okta.

Pré-requisitos

A conclusão das etapas neste tutorial requer o seguinte:

• Driver Athena ODBC versão 1.1.13 ou posterior. As versões 1.1.13 e posteriores incluem suporte a SAML no navegador. Para obter os links de download, consulte Conectar-se ao Amazon Athena com ODBC.

• Uma função do IAM que você deseje usar com o SAML. Para obter mais informações, consulte Criar uma função para a federação SAML 2.0 no Guia do usuário do IAM.

• Uma conta do Okta. Para obter informações, acesse okta.com.

Criar uma integração de aplicações no Okta

Primeiro, use o painel do Okta para criar e configurar uma aplicação SAML 2.0 para autenticação única no Athena.

Para usar o painel do Okta para configurar a autenticação única para o Athena

1. Faça login na página de administração do Okta em okta.com.

2. No painel de navegação, escolha Applications (Aplicações), Applications (Aplicações).

3. Na página Applications (Aplicações), escolha Create App Integration (Criar integração de aplicação).

   

4. Na caixa de diálogo Create a new app integration (Criar uma nova integração de aplicações) para Sign-in method (Método de login), selecioneSAML 2.0 e, depois, escolha Next (Próximo).

   

5. Na página Create SAML Integration (Criar integração SAML), na seção General Settings (Configurações gerais) insira um nome para a aplicação. Este tutorial usa o nome Athena SSO.

   

6. Escolha Próximo.

7. Na página Configure SAML (Configurar o SAML), na seção SAML Settings (Configurações do SAML), insira os seguintes valores:

   • Para Single sign on URL, (URL de autenticação única), insira http://localhost:7890/athena

   • Para Audience URI, (URI do público), insira urn:amazon:webservices

     

8. Para Attribute Statements (optional) (Instruções de atributo (opcional)), insira os dois pares nome/valor a seguir. Esses são atributos de mapeamento obrigatórios.

   • Para Name (Nome), insira o seguinte URL:

     https://aws.amazon.com/SAML/Attributes/Role

     Para Value (Valor) insira o nome da função do IAM. Para obter mais informações sobre o formato da função do IAM, consulte Configurar asserções SAML para a resposta de autenticação no Guia do usuário do IAM.

   • Para Name (Nome), insira o seguinte URL:

     https://aws.amazon.com/SAML/Attributes/RoleSessionName

     Em Valor, insira user.email.

     

9. Escolha Next (Próximo) e, em seguida, escolha Finish (Concluir).

   Quando o Okta cria a aplicação, ele também cria o URL de login que você recuperará em seguida.

Obter o URL de login no painel do Okta

Agora que a aplicação foi criada, você pode obter o URL de login e outros metadados no painel do Okta.

Obter o URL de login no painel do Okta

1. No painel de navegação do Okta, escolha Applications (Aplicações), Applications (Aplicações).

2. Escolha a aplicação para a qual deseja encontrar o URL de login (por exemplo, AthenaSSO).

3. Na página da aplicação, selecione Sign On (Logon).

   

4. Escolha View Setup Instructions (Exibir instruções de configuração).

   

5. Na página How to Configure SAML 2.0 for Athena SSO (Como configurar o SAML 2.0 para o Athena SSO), localize o URL para Identity Provider Issuer (Emissor do provedor de identidade). Em algumas lugares no painel do Okta, esse URL é referenciado como SAML issuer ID (ID do emissor do SAML).

   

6. Copie ou armazene o valor de Identity Provider Single Sign-On URL (URL de logon único do provedor de identidade).

   Na próxima seção, quando configurar a conexão ODBC, você fornecerá esse valor como o parâmetro de conexão Login URL (URL de login) para o plug-in SAML do navegador.

Configurar a conexão ODBC SAML do navegador com o Athena

Agora você está pronto para configurar a conexão SAML do navegador com o Athena usando o programa ODBC Data Sources no Windows.

Para configurar a conexão ODBC SAML do navegador com o Athena

1. No Windows, inicie o programa ODBC Data Sources .

2. No programa ODBC Data Source Administrator, escolhaAdd (Adicionar).

   

3. Escolha Simba Athena ODBC Driver (Driver ODBC do Simba Athena) e depois escolha Finish (Finalizar).

   

4. Na caixa de diálogo Simba Athena ODBC Driver DSN Setup (Configuração do driver DSN do Simba Athena), insira os valores descritos.

   

   • Para Data Source Name (Nome da origem de dados), insira um nome para a origem dos dados (por exemplo, Athena ODBC 64).

   • Em Description (Descrição), insira uma descrição para a origem dos dados.

   • Para Região da AWS, insira a Região da AWS que você está usando (por exemplo, us-west-1).

   • Para S3 Output Location, (Local de saída do S3), insira o caminho do Amazon S3 onde deseja que sua saída seja armazenada.

5. Escolha Authentication Options (Opções de autenticação).

6. Na caixa de diálogo Authentication Options (Opções de autenticação, escolha ou insira os valores a seguir.

   

   • Para Authentication Type (Tipo de autenticação), escolha BrowserSAML.

   • Para Login URL (URL de login), insira o Identity Provider Single Sign-On URL (URL de autenticação única do provedor de identidade) que você obteve no painel do Okta.

   • Em Listen Port (Porta de escuta), insira 7890.

   • Para Timeout (sec) (Tempo limite (s)), insira um valor de tempo limite de conexão em segundos.

7. Escolha OK para fechar as Authentication Options (Opções de autenticação).

8. Selecione Test (Testar) para testar a conexão ou OK para finalizar.