Federación de proveedores de identidades (IdP) nativos para Amazon Redshift
La administración de identidades y permisos para Amazon Redshift se facilita con la federación de proveedores de identidades nativos porque aprovecha el proveedor de identidades existente para simplificar la autenticación y la administración de permisos. Para ello, posibilita compartir con Redshift metadatos de identidad del proveedor de identidades. Para la primera iteración de esta característica, el proveedor de identidades admitido es Microsoft Azure Active Directory (Azure AD)
Para configurar Amazon Redshift de modo que pueda autenticar identidades del proveedor de identidades de terceros, debe registrar el proveedor de identidades en Amazon Redshift. De este modo, Redshift puede autenticar usuarios y roles definidos por el proveedor de identidades. Por lo tanto, puede evitar tener que llevar a cabo una administración de identidades detallada tanto en su proveedor de identidades de terceros como en Amazon Redshift porque se comparte información de identidades.
Para obtener información sobre el uso de los roles de sesión que se transfieren desde grupos de proveedores de identidades (IdP), consulte PG_GET_SESSION_ROLES en la Guía para desarrolladores de bases de datos de Amazon Redshift.
Federación de proveedores de identidades (IdP) nativos
Para completar la configuración preliminar entre el proveedor de identidades y Amazon Redshift, realice un par de pasos: en primer lugar, registre Amazon Redshift como aplicación de terceros en su proveedor de identidades, solicitando los permisos de API necesarios. A continuación, cree usuarios y grupos en el proveedor de identidades. Por último, registre el proveedor de identidades en Amazon Redshift mediante instrucciones SQL, que establecen parámetros de autenticación exclusivos del proveedor de identidades. Como parte del registro del proveedor de identidades en Redshift, se asigna un espacio de nombres para asegurarse de que los usuarios y los roles se agrupan correctamente.
Con el proveedor de identidades registrado en Amazon Redshift, se configura la comunicación entre Redshift y el proveedor de identidades. A continuación, un cliente puede pasar tokens y autenticarse en Redshift como entidad de proveedor de identidades. Amazon Redshift utiliza la información de pertenencia a grupos de IdP para la asignación a roles de Redshift. Si el usuario no existe anteriormente en Redshift, se crea uno. Se crean roles que se asignan a grupos de proveedores de identidades, si no existen. El administrador de Amazon Redshift concede permiso sobre los roles y los usuarios pueden ejecutar consultas y realizar otras tareas de base de datos.
En los siguientes pasos se describe cómo funciona la federación de proveedores de identidades nativos cuando un usuario inicia sesión:
-
Cuando un usuario inicia sesión utilizando la opción de IdP nativo, desde el cliente, el token del proveedor de identidades se envía desde el cliente al controlador.
-
El usuario está autenticado. Si el usuario no existe todavía en Amazon Redshift, se crea uno nuevo. Redshift asigna los grupos de proveedores de identidades del usuario a roles de Redshift.
-
Los permisos se asignan según los roles de Redshift del usuario. Los concede a los usuarios y roles un administrador.
-
El usuario puede consultar a Redshift.
Herramientas del cliente de escritorio
Para obtener instrucciones sobre cómo utilizar la federación de proveedores de identidades nativos para conectarse a Amazon Redshift con Power BI, consulte la publicación del blog Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI
Para obtener información sobre cómo integrar la federación de IdP nativo de Amazon Redshift con Azure AD, mediante Power BI Desktop y JDBC Client-SQL Workbench/J, vea el siguiente vídeo:
Para obtener instrucciones sobre cómo utilizar la federación de proveedores de identidades nativos para conectarse a Amazon Redshift con un cliente SQL, específicamente DBeaver o SQL Workbench/J, consulte la publicación del blog Integrate Amazon Redshift native IdP federation with Microsoft Azure AD using a SQL client
Limitaciones
Se aplican estas limitaciones:
-
Los controladores de Amazon Redshift admiten
BrowserIdcAuthPlugina partir de las siguientes versiones:-
Controlador JDBC de Amazon Redshift, versión 2.1.0.30
-
Controlador ODBC de Amazon Redshift versión 2.1.3
-
Controlador de Python de Amazon Redshift versión 2.1.3
-
-
Los controladores de Amazon Redshift admiten
IdpTokenAuthPlugina partir de las siguientes versiones:-
Controlador JDBC de Amazon Redshift, versión 2.1.0.19
-
Controlador ODBC de Amazon Redshift, versión 2.0.0.9
-
Controlador de Python de Amazon Redshift versión 2.0.914
-
-
No es compatible con la VPC mejorada: la VPC mejorada no es compatible cuando se configura la propagación de identidades de confianza de Redshift con AWS IAM Identity Center. Para obtener más información sobre la VPC mejorada, consulte Enrutamiento de VPC mejorada en Amazon Redshift.
-
Almacenamiento en caché de AWS IAM Identity Center: AWS IAM Identity Center almacena en caché la información de la sesión. Es posible que esto provoque problemas de acceso impredecibles cuando intenta conectarse a la base de datos de Redshift mediante el editor de consultas de Redshift v2. Esto se debe a que la sesión de AWS IAM Identity Center asociada en el editor de consultas v2 sigue siendo válida, incluso en el caso de que el usuario de la base de datos haya cerrado sesión en la consola de AWS. La memoria caché caduca al cabo de una hora, lo que normalmente soluciona cualquier problema.
