AD FS - Amazon Redshift

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AD FS

Dieses Tutorial zeigt Ihnen, wie Sie AD FS als Identitätsanbieter (IdP) für den Zugriff auf Ihren Amazon Redshift Redshift-Cluster verwenden können.

Schritt 1: Richten Sie AD FS und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen

Im folgenden Verfahren wird beschrieben, wie Sie eine Vertrauensbeziehung einrichten.

  1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem sich Ihre AD-FS-Benutzer verbinden können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter Erstellen eines Clusters.

  2. Richten Sie AD FS ein, um den Amazon-Redshift-Zugriff auf die Microsoft Management Console zu steuern:

    1. Wählen Sie ADFS2.0 und anschließend Add Relying Party Trust aus. Wählen Sie auf der Seite Add Relying Party Trust Wizard (Assistent zum Hinzufügen vertrauender Parteien) die Option Start.

    2. Wählen Sie auf der Seite Select Data Source (Datenquelle auswählen) die Option Import data about the relying party published online or on a local network (Online oder im lokalen Netzwerk veröffentlichte Daten über die vertrauende Partei importieren).

    3. Geben Sie für Federation-Metadatenadresse (Hostname oderURL) Folgendes einhttps://signin.aws.amazon.com/saml-metadata.xml. Bei der XML Metadatendatei handelt es sich um ein standardmäßiges SAML Metadatendokument, in dem AWS beschrieben wird, dass es sich um eine vertrauende Partei handelt.

    4. Geben Sie auf der Seite Specify Display Name (Anzeigename angeben) einen Wert für Display name (Anzeigename) ein.

    5. Wählen Sie auf der Seite Choose Issuance Authorization Rules (Ausgabeautorisierungsregeln auswählen)eine Ausgabeautorisierungsregel aus, um allen Benutzern den Zugriff auf diese vertrauende Partei zu erlauben oder zu verweigern.

    6. Überprüfen Sie auf der Seite Ready to Add trust (Bereit zum Hinzufügen von Vertrauensstellungen) Ihre Einstellungen.

    7. Wählen Sie auf der Seite Finish (Fertig stellen) die Option Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Nach Abschluss des Assistenten das Dialogfeld „Antragsregeln bearbeiten“ für diese Vertrauensstellung der vertrauenden Seite öffnen).

    8. Wählen Sie im Kontextmenü (Rechtsklick) Relying Party Trusts (Vertrauensstellungen von vertrauenden Parteien).

    9. Öffnen Sie für Ihre vertrauende Partei das Kontextmenü (Rechtsklick), und wählen Sie Edit Claim Rules (Antragsregeln bearbeiten). Wählen Sie auf der Seite Edit Claim Rules (Antragsregeln bearbeiten) die Option Add Rule (Regel hinzufügen).

    10. Wählen Sie als Vorlage für eine Anspruchsregel die Option Eingehenden Anspruch transformieren aus, und gehen Sie dann auf der NameId Seite Regel bearbeiten — wie folgt vor:

      • Geben Sie als Namen der Anspruchsregel Folgendes ein NameId.

      • Wählen Sie unter Incoming claim name (Name des eingehenden Antrags) die Option Windows Account Name (Windows-Kontoname).

      • Wählen Sie unter Outgoing claim name (Name des ausgehenden Antrags) die Option Name ID.

      • Wählen Sie unter Outgoing name ID format (Format der ausgehenden Namens-ID) die Option Persistent identifier (Persistente ID).

      • Wählen Sie Pass through all claim values (Alle Antragswerte durchleiten).

    11. Wählen Sie auf der Seite Edit Claim Rules (Antragsregeln bearbeiten) die Option Add Rule (Regel hinzufügen). Wählen Sie auf der Seite „Regelvorlage auswählen“ für Vorlage für Anspruchsregeln die Option LDAPAttribute als Ansprüche senden aus.

    12. Führen Sie auf der Seite Configure Rule (Regel konfigurieren) die folgenden Schritte aus:

      • Geben Sie unter Claim rule name (Name der Antragsregel) RoleSessionName ein.

      • Wählen Sie unter Attribute store (Attributspeicher) Active Directory.

      • Wählen Sie für LDAPAttribut die Option E-Mail-Adressen aus.

      • Wählen Sie bei Outgoing Claim Type (Art des ausgehenden Anspruchs) https://aws.amazon.com/SAML/Attributes/RoleSessionName aus.

    13. Wählen Sie auf der Seite Edit Claim Rules (Antragsregeln bearbeiten) die Option Add Rule (Regel hinzufügen). Wählen Sie auf der Seite Select Rule Template (Regelvorlage auswählen) für Claim rule template (Antragsregelvorlage) die Option Send Claims Using a Custom Rule (Anträge mit benutzerdefinierter Regel senden).

    14. Geben Sie auf der Seite Edit Rule – Get AD Groups (Regel bearbeiten – AD-Gruppen abrufen) für Claim rule name (Name der Antragsregel) Get AD Groups (AD-Gruppen abrufen) ein.

    15. Geben Sie unter Custom rule (Benutzerdefinierte Regel) Folgendes ein.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
    16. Wählen Sie auf der Seite Edit Claim Rules (Antragsregeln bearbeiten) die Option Add Rule (Regel hinzufügen). Wählen Sie auf der Seite Select Rule Template (Regelvorlage auswählen) für Claim rule template (Antragsregelvorlage) die Option Send Claims Using a Custom Rule (Anträge mit benutzerdefinierter Regel senden).

    17. Geben Sie auf der Seite Edit Rule - Roles (Regel bearbeiten — Rollen) für Claim rule name Namen der Antragsregel Roles (Rollen) ein.

    18. Geben Sie unter Custom rule (Benutzerdefinierte Regel) Folgendes ein.

      c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

      Notieren Sie sich ARNs den SAML Anbieter und die Rolle, die Sie übernehmen möchten. In diesem Beispiel arn:aws:iam:123456789012:saml-provider/ADFS ist es der ARN des SAML Anbieters und arn:aws:iam:123456789012:role/ADFS- ist ARN der der Rolle.

  3. Stellen Sie sicher, dass Sie die federationmetadata.xml-Datei heruntergeladen haben. Überprüfen Sie, dass der Dokumentinhalt keine ungültigen Zeichen enthält. Dies ist die Metadatendatei, die Sie beim Konfigurieren der Vertrauensstellung mit verwenden AWS.

  4. Erstellen Sie einen IAM SAML Identitätsanbieter auf der IAM Konsole. Das von Ihnen bereitgestellte Metadatendokument ist die XML Verbund-Metadatendatei, die Sie bei der Einrichtung von Azure Enterprise Application gespeichert haben. Ausführliche Schritte finden Sie im IAMBenutzerhandbuch unter Erstellen und Verwalten eines IAM Identitätsanbieters (Konsole).

  5. Erstellen Sie eine IAM Rolle für den SAML 2.0-Verbund auf der IAM Konsole. Eine ausführliche Anleitung finden Sie unter Rolle erstellen für SAML im IAMBenutzerhandbuch.

  6. Erstellen Sie eine IAM Richtlinie, die Sie der IAM Rolle zuordnen können, die Sie für den SAML 2.0-Verbund auf der IAM Konsole erstellt haben. Eine ausführliche Anleitung finden Sie unter IAMRichtlinien erstellen (Konsole) im IAMBenutzerhandbuch. Ein Azure AD-Beispiel finden Sie unter Einrichtung JDBC der ODBC Single-Sign-On-Authentifizierung.

Schritt 2: Einrichtung JDBC oder ODBC für die Authentifizierung bei AD FS

JDBC

Im folgenden Verfahren wird beschrieben, wie Sie eine JDBC Beziehung zu AD FS einrichten.

  • Konfigurieren Sie Ihren Datenbankclient so, dass er JDBC mithilfe von AD FS-Single-Sign-On eine Verbindung zu Ihrem Cluster herstellt.

    Sie können jeden Client verwenden, der einen JDBC Treiber verwendet, um mithilfe von AD FS Single Sign-On eine Verbindung herzustellen, oder eine Sprache wie Java verwenden, um mithilfe eines Skripts eine Verbindung herzustellen. Informationen zur Installation und Konfiguration finden Sie unter Konfiguration einer Verbindung für JDBC Treiberversion 2.1 für Amazon Redshift.

    Sie können beispielsweise SQLWorkbench /J als Client verwenden. Wenn Sie SQLWorkbench /J konfigurieren, verwendet Ihre Datenbank das folgende Format. URL

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Wenn Sie SQLWorkbench /J als Client verwenden, gehen Sie wie folgt vor:

    1. Starten Sie SQL Workbench/J. Fügen Sie auf der Seite „Verbindungsprofil auswählen“ beispielsweise eine Profilgruppe hinzu. ADFS

    2. Geben Sie unter Connection Profile (Verbindungsprofil) Ihren Verbindungsprofilnamen ein, z. B. ADFS.

    3. Wählen Sie Manage Drivers (Treiber verwalten) und dann Amazon Redshift aus. Klicken Sie auf das Symbol „Ordner öffnen“ neben „Bibliothek“ und wählen Sie dann die entsprechende JDBC JAR-Datei aus.

    4. Fügen Sie auf der Seite Select Connection Profile (Verbindungsprofil auswählen) dem Verbindungsprofil Informationen wie folgt hinzu:

      • Geben Sie unter User (Benutzer) Ihren AD FS-Benutzernamen ein. Dies ist der Benutzername des -Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden, und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten.

      • Geben Sie unter Password (Passwort) Ihr AD FS-Passwort ein.

      • Wählen Sie für Driver (Treiber) die Option Amazon Redshift (com.amazon.redshift.jdbc.Driver) aus.

      • Geben Sie jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name für URLein.

    5. Wählen Sie Extended Properties (Erweiterte Eigenschaften) aus. Geben Sie für plugin_name com.amazon.redshift.plugin.AdfsCredentialsProvider ein. Dieser Wert gibt an, dass der Treiber AD FS Single Sign-On als Authentifizierungsmethode verwenden soll.

ODBC
Um die Authentifizierung ODBC bei AD FS einzurichten
  • Konfigurieren Sie Ihren Datenbankclient so, dass er ODBC mithilfe von AD FS-Single-Sign-On eine Verbindung zu Ihrem Cluster herstellt.

    Amazon Redshift bietet ODBC Treiber für Linux-, Windows- und MacOS-Betriebssysteme. Stellen Sie vor der Installation eines ODBC Treibers fest, ob es sich bei Ihrem SQL Client-Tool um eine 32-Bit- oder 64-Bit-Version handelt. Installieren Sie den ODBC Treiber, der den Anforderungen Ihres SQL Client-Tools entspricht.

    Geben Sie unter Windows auf der Amazon Redshift ODBC Driver DSN Setup-Seite unter Verbindungseinstellungen die folgenden Informationen ein:

    • Geben Sie für Data Source Name (Datenquellenname) your-DSN ein. Dies gibt den Namen der Datenquelle an, der als ODBC Profilname verwendet wird.

    • Wählen Sie als Authentifizierungstyp Identity Provider: SAML aus. Dies ist die Authentifizierungsmethode, die der ODBC Treiber verwendet, um sich mithilfe von AD FS Single Sign-On zu authentifizieren.

    • Geben Sie für Cluster ID (Cluster-ID) your-cluster-identifier ein.

    • Geben Sie für Region your-cluster-region ein.

    • Geben Sie für Database (Datenbank) your-database-name ein.

    • Geben Sie für User (Benutzer) your-adfs-username ein. Dies ist der Benutzername des AD-FS-Kontos, das Sie für Single Sign-On verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie diese Option nur für den Authentifizierungstyp Identity Provider:. SAML

    • Geben Sie unter Password (Passwort) your-adfs-password ein. Verwenden Sie dies nur für den Authentifizierungstyp Identity Provider:. SAML

    Bearbeiten Sie die odbc.ini-Datei unter Mac OS und Linux wie folgt:

    Anmerkung

    Bei allen Eingaben wird zwischen Groß- und Kleinschreibung unterschieden.

    • Geben Sie für clusterid your-cluster-identifier ein. Dies ist der Name des erstellten Amazon-Redshift-Clusters.

    • Geben Sie für Region your-cluster-region ein. Dies ist die AWS Region des erstellten Amazon Redshift Redshift-Clusters.

    • Geben Sie für die database your-database-name ein. Dies ist der Name der Datenbank, auf die Sie im Amazon-Redshift-Cluster zugreifen möchten.

    • Geben Sie für locale en-us ein. Dies ist die Sprache, in der Fehlermeldungen angezeigt werden.

    • Geben Sie für iam 1 ein. Dieser Wert gibt dem Treiber an, sich mithilfe IAM von Anmeldeinformationen zu authentifizieren.

    • Führen Sie für plugin_name einen der folgenden Schritte aus:

      • Geben Sie für AD FS-Single-Sign-On mit MFA Konfiguration Folgendes ein. BrowserSAML Dies ist die Authentifizierungsmethode, mit der sich der ODBC Treiber bei AD FS authentifiziert.

      • Geben Sie für die Single-Sign-On-Konfiguration von AD FS ADFS ein. Dies ist die Authentifizierungsmethode, die der ODBC Treiber verwendet, um sich mithilfe von Azure AD Single Sign-On zu authentifizieren.

    • Geben Sie für uid your-adfs-username ein. Dies ist der Benutzername des Microsoft-Azure-Kontos, das Sie für Single-Sign-On verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur für plugin_name is. ADFS

    • Geben Sie für pwd your-adfs-password ein. Verwenden Sie dies nur für plugin_name is. ADFS

    Bearbeiten Sie unter macOS und Linux auch die Profileinstellungen, um folgende Exporte hinzuzufügen:

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini