Métodos de autenticación - Amazon Redshift
Uso de un servicio de credenciales externo

Métodos de autenticación

Con el fin de proteger los datos contra accesos no autorizados, los almacenes de datos de Amazon Redshift requieren la autenticación de todas las conexiones mediante credenciales de usuario.

En la siguiente tabla, se ilustran las opciones de conexión obligatorias y opcionales para cada método de autenticación que se puede utilizar para conectarse al controlador ODBC de Amazon Redshift versión 2.x:

Método de autenticación Obligatoria Opcional
Estándar

  • Host

  • Puerto

  • Base de datos

  • UID

  • Password
Perfil de IAM

  • Host

  • Puerto

  • Base de datos

  • IAM

  • Perfil

  • ID del clúster

  • Región

  • AutoCreate

  • EndpointURL

  • StsEndpointURL

  • InstanceProfile

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

Credenciales de IAM

  • Host

  • Puerto

  • Base de datos

  • IAM

  • AccessKeyID

  • SecretAccessKey

  • ID del clúster

  • Región

  • AutoCreate

  • EndpointURL

  • StsEndpointURL

  • SessionToken

  • UID

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

AD FS

  • Host

  • Puerto

  • Base de datos

  • IAM

  • plugin_name

  • UID

  • Password

  • IdP_Host

  • IdP_Port

  • ID del clúster

  • Región

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • loginToRp

  • SSL_Insecure

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

Azure AD

  • Host

  • Puerto

  • Base de datos

  • IAM

  • plugin_name

  • UID

  • Password

  • IdP_Tenant

  • Client_ID

  • Client_Secret

  • ID del clúster

  • Región

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

JWT

  • Host

  • Puerto

  • Base de datos

  • IAM

  • plugin_name

  • web_identity_token

  • provider_name
Okta

  • Host

  • Puerto

  • Base de datos

  • IAM

  • plugin_name

  • UID

  • Password

  • IdP_Host

  • App_Name

  • App_ID

  • ID del clúster

  • Región

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

Ping Federate

  • Host

  • Puerto

  • Base de datos

  • IAM

  • plugin_name

  • UID

  • Password

  • IdP_Host

  • IdP_Port

  • ID del clúster

  • Región

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • SSL_Insecure

  • partner_spid

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

Browser Azure AD

  • Host

  • Puerto

  • Base de datos

  • IAM

  • plugin_name

  • IdP_Tenant

  • Client_ID

  • UID

  • ID del clúster

  • Región

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

  • IdP_Response_Timeout

  • listen_port

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

Browser SAML

  • Host

  • Puerto

  • Base de datos

  • IAM

  • plugin_name

  • login_url

  • UID

  • ID del clúster

  • Región

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

  • IdP_Response_Timeout

  • listen_port

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

Perfil de autenticación

  • Host

  • Puerto

  • Base de datos

  • AccessKeyID

  • SecretAccessKey
Browser Azure AD OAUTH2

  • Host

  • Puerto

  • Base de datos

  • IAM

  • plugin_name

  • IdP_Tenant

  • Client_ID

  • UID

  • ID del clúster

  • Región

  • EndpointUrl

  • IdP_Response_Timeout

  • listen_port

  • scope

  • provider_name

nota

ClusterID y Region se deben configurar en el Host si no se configuran por separado.

AWS IAM Identity Center

  • Host

  • Base de datos

  • plugin_name

  • idc_region

  • issuer_url

  • idc_client_display_name

  • Idp_response_timeout

  • listen_port

Uso de un servicio de credenciales externo

Además de la compatibilidad integrada con AD FS, Azure AD y Okta, la versión para Windows del controlador ODBC de Amazon Redshift también admite otros servicios de credenciales. El controlador puede autenticar las conexiones mediante cualquier complemento de proveedor de credenciales basado en SAML de su elección.

Para configurar un servicio de credenciales externo en Windows:

  1. Cree un perfil de IAM que especifique el complemento del proveedor de credenciales y otros parámetros de autenticación según sea necesario. El perfil debe estar codificado en ASCII y debe contener el siguiente par clave-valor, en el que PluginPath es la ruta completa a la aplicación del complemento: 

    plugin_name = PluginPath

    Por ejemplo:

    plugin_name = C:\Users\kjson\myapp\CredServiceApp.exe

    Para obtener más información sobre cómo crear un perfil, consulte Uso de un perfil de configuración en la Guía de administración de clústeres de Amazon Redshift.

  2. Configure el controlador para que utilice este perfil. El controlador detecta y utiliza la configuración de autenticación especificada en el perfil.