Amazon Redshift 的原生身分提供者 (IdP) 聯合 - Amazon Redshift
原生身分提供者 IdP) 聯合連線至 Amazon Redshift 的桌面用戶端工具限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Redshift 的原生身分提供者 (IdP) 聯合

使用原生身分提供者聯合可以更輕鬆地管理 Amazon Redshift 的身分和許可,因為它可以運用您現有的身分提供者來簡化身分驗證和管理許可。它會透過將身分中繼資料從您的身分提供者共用至 Redshift 來達成此目的。對於此功能的第一個迭代,支援的身分提供者是 Microsoft Azure Active Directory (Azure AD)

若要設定 Amazon Redshift 以便能夠從第三方身分提供者進行身分驗證,請向 Amazon Redshift 註冊身分提供者。這樣做可讓 Redshift 驗證身分提供者所定義的使用者和角色。因此,您就不必在第三方身分提供者和 Amazon Redshift 中執行精細的身分管理,因為身分資訊會共用。

如需使用從身分提供者 (IdP ) 群組傳輸的工作階段角色的相關資訊,請參閱 Amazon Redshift 資料庫開發人員指南 中的 PGGET__SESSION_ROLES

原生身分提供者 IdP) 聯合

若要完成身分提供者與 Amazon Redshift 之間的初步設定,請執行幾個步驟:首先,您會向身分提供者註冊 Amazon Redshift 為第三方應用程式,請求必要的API許可。然後,在身分提供者中建立使用者和群組。最後,您可以使用 SQL陳述式向 Amazon Redshift 註冊身分提供者,這些陳述式會設定身分提供者獨有的身分驗證參數。在向 Redshift 註冊身分提供者時,指派命名空間以確保使用者和角色會正確分組。

透過向 Amazon Redshift 註冊的身分提供者,可以在 Redshift 與身分提供者之間設定通訊。然後,用戶端可以傳遞字符並以身分提供者實體的身分向 Redshift 進行驗證。Amazon Redshift 會使用 IdP 群組成員資格資訊以映射至 Redshift 角色。如果使用者先前不存在於 Redshift 中,系統會建立該使用者。系統會建立映射至身分提供者群組的角色 (如果它們不存在)。Amazon Redshift 管理員在角色上授予許可,使用者可以執行查詢和執行其他資料庫任務。

下列步驟概述使用者登入時,原生身分提供者聯合的運作方式:

  1. 當使用者從用戶端使用原生 IdP 選項登入時,身分提供者字符會從用戶端傳送至驅動程式。

  2. 使用者會進行身分驗證。如果該使用者還未存在於 Amazon Redshift 中,系統便會建立新使用者。Redshift 會將使用者的身分提供者群組映射至 Redshift 角色。

  3. 系統會根據使用者的 Redshift 角色指派許可。這些許可會由管理員授予給使用者和角色。

  4. 使用者可以查詢 Redshift。

桌面用戶端工具

如需如何使用原生身分提供者聯合透過 Power BI 連線到 Amazon Redshift 的指示,請參閱部落格文章整合 Amazon Redshift 原生 IdP 聯合與 Microsoft Azure Active Directory (AD) 和 Power BI。它描述 step-by-step了使用 Azure AD 實作 Amazon Redshift 原生 IdP 設定。其內容會詳細說明用來為 Power BI 桌面版或 Power BI 服務設定用戶端連線的步驟。這些步驟包括註冊應用程式、設定許可和設定憑證。

若要了解如何使用 Power BI Desktop 和 JDBC Client-SQL Workbench/J 將 Amazon Redshift 原生 IdP 聯合與 Azure AD 整合,請觀看下列影片:

如需如何使用原生身分提供者聯合以SQL用戶端 DBeaver或 SQL Workbench/J 連線至 Amazon Redshift 的指示,請參閱部落格文章使用SQL用戶端 將 Amazon Redshift 原生 IdP 聯合與 Microsoft Azure AD 整合

限制

這些限制均適用:

  • Amazon Redshift 驅動程式支援從下列版本BrowserIdcAuthPlugin開始:

    • Amazon Redshift JDBC驅動程式 v2.1.0.30

    • Amazon Redshift ODBC驅動程式 2.1.3 版

    • Amazon Redshift Python 驅動程式 2.1.3 版

  • Amazon Redshift 驅動程式支援從下列版本IdpTokenAuthPlugin開始:

    • Amazon Redshift JDBC驅動程式 2.1.0.19 版

    • Amazon Redshift ODBC驅動程式 2.0.0.9 版

    • Amazon Redshift Python 驅動程式 2.0.914 版

  • 不支援增強VPC功能 – 當您使用 AWS Identity Center 設定 Redshift 受信任身分傳播時,VPC不支援增強IAM功能。如需增強型 的詳細資訊VPC,請參閱 Amazon Redshift 中的增強型VPC路由

  • AWS IAM Identity Center 快取 – AWS IAM Identity Center 快取工作階段資訊。當您嘗試透過 Redshift 查詢編輯器 v2 連線至 Redshift 資料庫時,這可能會導致無法預測的存取問題。這是因為查詢編輯器 v2 中的關聯 AWS IAM Identity Center 工作階段仍然有效,即使資料庫使用者從 AWS 主控台登出也是如此。快取會在一小時後過期,這通常會修復任何問題。