Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Einrichten des Identitätsanbieters in Amazon Redshift - Amazon Redshift

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten des Identitätsanbieters in Amazon Redshift

PDFRSS

In diesem Abschnitt werden die Schritte zur Konfiguration des Identitätsanbieters sowie von Amazon Redshift beschrieben, um die Kommunikation für den nativen Identitätsanbieter-Verbund herzustellen. Sie benötigen ein aktives Konto bei Ihrem Identitätsanbieter. Vor der Konfiguration von Amazon Redshift registrieren Sie Redshift als Anwendung bei Ihrem Identitätsanbieter und erteilen dabei Administratoreinwilligung.

Führen Sie die folgenden Schritte in Amazon Redshift aus:

  1. Führen Sie eine SQL-Anweisung zum Registrieren des Identitätsanbieters, einschließlich Beschreibungen der Metadaten der Azure-Anwendung, aus. Um den Identitätsanbieter in Amazon Redshift zu erstellen, führen Sie den folgenden Befehl aus, nachdem Sie die Werte für die Parameter issuer (Aussteller), client_id (Client-ID), client_secret (Client-Schlüssel) und audience (Zielgruppe) ersetzt haben. Diese Parameter sind für Microsoft Azure AD spezifisch. Ersetzen Sie den Namen des Identitätsanbieters durch einen Namen Ihrer Wahl und ersetzen Sie den Namespace durch einen eindeutigen Namen für einen Namespace, der Benutzer und Rollen aus Ihrem Identitätsanbieter-Verzeichnis enthalten soll.

    CREATE IDENTITY PROVIDER oauth_standard TYPE azure
NAMESPACE 'aad'
PARAMETERS '{
"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/",
"client_id":"<client_id>",
"client_secret":"BUAH~ewrqewrqwerUUY^%tHe1oNZShoiU7",
"audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"]
}'

    Der Typ azure zeigt an, dass der Anbieter speziell die Kommunikation mit Microsoft Azure AD ermöglicht. Azure ist derzeit der einzige unterstützte externe Identitätsanbieter.

    • issuer (Aussteller) – Die Aussteller-ID, der beim Empfang eines Tokens vertraut werden soll. Die eindeutige Kennung für die tenant_id (Mandanten-ID) wird an den Aussteller angehängt.

    • client_id (Client–ID) – Die eindeutige, öffentliche Kennung der bei dem Identitätsanbieter registrierten Anwendung. Diese kann als Anwendungs-ID bezeichnet werden.

    • client_secret (Client–Schlüssel) – Eine geheime Kennung oder ein Passwort, das nur dem Identitätsanbieter und der registrierten Anwendung bekannt ist.

    • audience (Zielgruppe) – Die Anwendungs-ID, die der Anwendung in Azure zugewiesen ist.

    Anstatt ein gemeinsames Clientgeheimnis zu verwenden, können Sie beim Erstellen des Identitätsanbieters Parameter festlegen, um ein Zertifikat, einen privaten Schlüssel und ein Passwort für den privaten Schlüssel anzugeben.

    CREATE IDENTITY PROVIDER example_idp TYPE azure 
NAMESPACE 'example_aad' 
PARAMETERS '{"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/", 
"client_id":"<client_id>", 
"audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"], 
"client_x5t":"<certificate thumbprint>", 
"client_pk_base64":"<private key in base64 encoding>", 
"client_pk_password":"test_password"}';

    Das Passwort des privaten Schlüssels client_pk_password ist optional.

  2. Optional: Führen Sie SQL-Befehle in Amazon Redshift aus, um Benutzer und Rollen vorab zu erstellen. Auf diese Weise ist es leichter möglich, Berechtigungen im Voraus zu erteilen. Der Rollenname in Amazon Redshift lautet wie folgt:: < GroupName auf Azure AD><Namespace>. Wenn Sie beispielsweise eine Gruppe in Microsoft Azure AD mit dem Namen rsgroup und einen Namespace namens aad erstellen, lautet der Rollenname aad:rsgroup. Der Benutzername und die Rollennamen in Amazon Redshift werden anhand dieser Benutzernamen und Gruppenmitgliedschaften im Namespace des Identitätsanbieters zugeordnet.

    Die Zuordnung für Rollen und Benutzer umfasst die Überprüfung ihres external_id-Werts, um sicherzustellen, dass er auf dem neuesten Stand ist. Die externe ID entspricht der Kennung der Gruppe oder des Benutzers im Identitätsanbieter. Beispielsweise wird die externe ID einer Rolle der entsprechenden Azure-AD-Gruppen-ID zugeordnet. In ähnlicher Weise wird die externe ID jedes Benutzers seiner ID im Identitätsanbieter zugeordnet.

    create role "aad:rsgroup";

  3. Gewähren Sie Ihren Anforderungen entsprechend relevante Berechtigungen für die Rollen. Zum Beispiel:

    GRANT SELECT on all tables in schema public to role "aad:rsgroup";

  4. Sie können auch einem bestimmten Benutzer Berechtigungen erteilen.

    GRANT SELECT on table foo to aad:alice@example.com

    Beachten Sie, dass die Rollenmitgliedschaft eines externen Verbundbenutzers nur in der Sitzung dieses Benutzers verfügbar ist. Dies hat Auswirkungen auf die Erstellung von Datenbankobjekten. Wenn ein externer Verbundbenutzer beispielsweise eine Ansicht oder gespeicherte Prozedur erstellt, kann derselbe Benutzer die Berechtigung für diese Objekte nicht an andere Benutzer und Rollen delegieren.

Erläuterung zu Namespaces

Ein Namespace ordnet einen Benutzer oder eine Rolle einem bestimmten Identitätsanbieter zu. Das Präfix für Benutzer, die in AWS IAM erstellt wurden, lautet beispielsweise. iam: Dieses Präfix verhindert Kollisionen von Benutzernamen und ermöglicht die Unterstützung mehrerer Identitätsspeicher. Wenn sich ein Benutzer alice@example.com von der mit dem Namespace aad registrierten Identitätsquelle aus anmeldet, wird der Benutzer aad:alice@example.com in Redshift erstellt, sofern dieser noch nicht vorhanden ist. Beachten Sie, dass ein Namespace für Benutzer und Rollen eine andere Funktion als ein Namespace für Cluster in Amazon Redshift hat. Bei letzterem handelt es sich um eine eindeutige Kennung, die einem Cluster zugeordnet ist.

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.