浏览器 SSO OIDC - Amazon Athena
身份验证类型IAM Identity Center 启动 URLIAM Identity Center 区域范围账户 ID角色名称超时启用文件缓存

浏览器 SSO OIDC

浏览器 SSO OIDC 是一个可与 AWS IAM Identity Center 配合使用的身份验证插件。有关启用和使用 IAM Identity Center 的信息,请参阅《AWS IAM Identity Center 用户指南》中的步骤 1:启用 IAM Identity Center

身份验证类型

连接字符串名称 参数类型 默认值 连接字符串示例
AuthenticationType 必需 IAM Credentials AuthenticationType=BrowserSSOOIDC;

IAM Identity Center 启动 URL

AWS 访问门户的 URL。IAM Identity Center StartDeviceAuthorization API 操作将此值用于 startUrl 参数。

复制 AWS 访问门户 URL

  1. 登录 AWS Management Console,打开 AWS IAM Identity Center 控制台:https://console.aws.amazon.com/singlesignon/

  2. 在导航窗格中,选择 Settings(设置)

  3. 设置页面的身份源下,选择 AWS 访问门户 URL 的剪贴板图标。

连接字符串名称 参数类型 默认值 连接字符串示例
sso_oidc_start_url 必需 none sso_oidc_start_url=https://app_id.awsapps.com/start;

IAM Identity Center 区域

配置 SSO 的 AWS 区域。SSOOIDCClientSSOClient AWS SDK 客户端将此值用于 region 参数。

连接字符串名称 参数类型 默认值 连接字符串示例
sso_oidc_region 必需 none sso_oidc_region=us-east-1;

范围

客户端定义的范围列表。进行授权时,此列表会限制授予访问令牌时的权限。IAM Identity Center RegisterClient API 操作将此值用于 scopes 参数。

连接字符串名称 参数类型 默认值 连接字符串示例
sso_oidc_scopes 可选 none sso_oidc_scopes=scope1,scope2,scope3;

账户 ID

分配给用户的 AWS 账户 的标识符。IAM Identity Center GetRoleCredentials API 将此值用于 accountId 参数。

连接字符串名称 参数类型 默认值 连接字符串示例
sso_oidc_account_id 必需 none sso_oidc_account_id=123456789123;

角色名称

分配给用户的角色的友好名称。您为此权限集指定的名称将作为可用角色出现在 AWS 访问门户中。IAM Identity Center GetRoleCredentials API 操作将此值用于 roleName 参数。

连接字符串名称 参数类型 默认值 连接字符串示例
sso_oidc_role_name 必需 none sso_oidc_role_name=AthenaReadAccess;

超时

轮询 SSO API 需要检查是否存在访问令牌的秒数。

连接字符串名称 参数类型 默认值 连接字符串示例
sso_oidc_timeout 可选 120 sso_oidc_timeout=60;

启用文件缓存

启用临时凭证缓存。此连接参数允许在多个进程之间缓存和重复使用临时凭证。当您使用 Microsoft Power BI 等 BI 工具时,使用此选项可以减少打开的浏览器窗口数量。

连接字符串名称 参数类型 默认值 连接字符串示例
sso_oidc_cache 可选 1 sso_oidc_cache=0;