Activer l'accès fédéré à l'Athena API - Amazon Athena
Avant de commencerComprendre le processus d'authentificationProcédure : activer l'accès fédéré SAML basé sur l'Athena API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer l'accès fédéré à l'Athena API

Cette section décrit l'accès fédéré qui permet à un utilisateur ou à une application cliente de votre organisation d'appeler les opérations Amazon API Athena. Dans ce cas, les utilisateurs de l'organisation ne disposent pas d'un accès direct à Athena. Au lieu de cela, vous gérez les informations d'identification des utilisateurs en dehors de AWS dans Microsoft Active Directory. Active Directory prend en charge la SAMLversion 2.0 (Security Assertion Markup Language 2.0).

Pour authentifier les utilisateurs dans ce scénario, utilisez le ODBC pilote JDBC or compatible SAML .2.0 pour accéder à Active Directory Federation Services (ADFS) 3.0 et permettre à une application cliente d'appeler les opérations Athena. API

Pour plus d'informations sur le support SAML 2.0 sur AWS, voir À propos de la fédération SAML 2.0 dans le Guide de IAM l'utilisateur.

Note

L'accès fédéré à API Athena est pris en charge pour un type particulier de fournisseur d'identité (IdP), l'Active Directory Federation Service ADFS (3.0), qui fait partie de Windows Server. L'accès fédéré n'est pas compatible avec la fonctionnalité de propagation IAM d'identité sécurisée d'Identity Center. L'accès est établi via les versions JDBC ou les ODBC pilotes compatibles avec la SAML version 2.0. Pour plus d'informations, consultez Connectez-vous à Amazon Athena avec JDBC et Connectez-vous à Amazon Athena avec ODBC.

Avant de commencer

Avant de commencer, effectuez les opérations obligatoires suivantes :

  • Au sein de votre organisation, installez et configurez la ADFS version 3.0 en tant qu'IdP.

  • Installez et configurez les dernières versions JDBC ou ODBC pilotes disponibles sur les clients utilisés pour accéder à Athena. Le pilote doit inclure la prise en charge de l'accès fédéré compatible avec la SAML version 2.0. Pour plus d'informations, consultez Connectez-vous à Amazon Athena avec JDBC et Connectez-vous à Amazon Athena avec ODBC.

Comprendre le processus d'authentification

Le schéma suivant illustre le processus d'authentification de l'accès fédéré à l'AthenaAPI.

Schéma de l'accès fédéré à l'AthénaAPI.

  1. Un utilisateur de votre organisation utilise une application cliente avec le ODBC pilote JDBC or pour demander l'authentification auprès de l'IdP de votre organisation. L'IdP est ADFS 3.0.

  2. L'IdP authentifie l'utilisateur par rapport à Active Directory, qui est la base d'identités de l'organisation.

  3. L'IdP construit une SAML assertion avec des informations sur l'utilisateur et envoie l'assertion à l'application cliente via le JDBC pilote or. ODBC

  4. Le JDBC ODBC chauffeur du laboratoire appelle le AWS Security Token Service AssumeRoleWithSAMLAPIopération, en lui passant les paramètres suivants :

    • Le ARN du SAML fournisseur

    • Le ARN rôle à assumer

    • L'SAMLassertion de l'IdP

    Pour plus d'informations, voir AssumeRoleWithSAML, dans le AWS Security Token Service APIRéférence.

  5. La API réponse à l'application client via le ODBC pilote JDBC or inclut des informations d'identification de sécurité temporaires.

  6. L'application cliente utilise les informations d'identification de sécurité temporaires pour appeler les API opérations Athena, permettant ainsi à vos utilisateurs d'accéder aux opérations Athena. API

Procédure : activer l'accès fédéré SAML basé sur l'Athena API

Cette procédure établit la confiance entre l'IdP de votre organisation et votre AWS compte pour activer un accès fédéré SAML basé sur l'opération Amazon API Athena.

Pour activer l'accès fédéré à l'Athena API :

  1. Dans votre organisation, inscrivez-vous AWS en tant que fournisseur de services (SP) dans votre IdP. Ce processus est connu sous le nom d'approbation des parties utilisatrices. Pour plus d'informations, consultez la section Configuration de votre IdP SAML 2.0 en toute confiance dans le Guide de l'IAMutilisateur. Dans le cadre de cette tâche, effectuez les étapes suivantes :

    1. Obtenez l'exemple de document de SAML métadonnées à partir de ceci URL :https://signin.aws.amazon.com/static/saml-metadata.xml.

    2. Dans l'IdP (ADFS) de votre organisation, générez un XML fichier de métadonnées équivalent qui décrit votre IdP en tant que fournisseur d'identité pour AWS. Votre fichier de métadonnées doit inclure le nom de l'émetteur, la date de création, la date d'expiration et les clés qui AWS utilise pour valider les réponses d'authentification (assertions) de votre organisation.

  2. Dans la IAM console, créez une entité de fournisseur SAML d'identité. Pour plus d'informations, consultez la section Création de fournisseurs SAML d'identité dans le guide de IAM l'utilisateur. Dans le cadre de cette étape, effectuez ce qui suit :

    1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

    2. Téléchargez le document de SAML métadonnées produit par l'IdP (ADFS) à l'étape 1 de cette procédure.

  3. Dans la IAM console, créez un ou plusieurs IAM rôles pour votre IdP. Pour plus d'informations, consultez la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur. Dans le cadre de cette étape, effectuez ce qui suit :

    • Dans la politique d'autorisation du rôle, listez les actions que les utilisateurs de votre organisation sont autorisés à effectuer dans AWS.

    • Dans la politique de confiance du rôle, définissez l'entité SAML fournisseur que vous avez créée à l'étape 2 de cette procédure comme entité principale.

    Cela établit une relation de confiance entre votre organisation et AWS.

  4. Dans l'IdP (ADFS) de votre organisation, définissez des assertions qui associent les utilisateurs ou les groupes de votre organisation aux rôles. IAM Le mappage des utilisateurs et des groupes aux IAM rôles est également connu sous le nom de règle de réclamation. Notez que les différents utilisateurs et groupes de votre organisation peuvent correspondre à différents IAM rôles.

    Pour plus d'informations sur la configuration du mappage dansADFS, consultez le billet de blog : Enabling federation to AWS à l'aide de Windows Active Directory et SAML 2.0. ADFS

  5. Installez et configurez le ODBC pilote JDBC or avec le support SAML 2.0. Pour plus d'informations, consultez Connectez-vous à Amazon Athena avec JDBC et Connectez-vous à Amazon Athena avec ODBC.

  6. Spécifiez la chaîne de connexion entre votre application et le ODBC pilote JDBC or. Pour plus d'informations sur la chaîne de connexion que votre application doit utiliser, consultez la rubrique « Utilisation du fournisseur d'informations d'identification Active Directory Federation Services (ADFS) » du guide d'installation et de configuration du JDBC pilote, ou une rubrique similaire du guide d'installation et de configuration des ODBC pilotes disponible en PDF téléchargement depuis les Connectez-vous à Amazon Athena avec ODBC rubriques Connectez-vous à Amazon Athena avec JDBC et.

    Le résumé global de la configuration de la chaîne de connexion pour les pilotes est le suivant :

    1. Dans leAwsCredentialsProviderClass configuration, définissez le com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider pour indiquer que vous souhaitez utiliser l'authentification basée sur SAML 2.0 via ADFS IdP.

    2. Pouridp_host, indiquez le nom d'hôte du serveur ADFS IdP.

    3. Pouridp_port, indiquez le numéro de port sur lequel l'ADFSIdP écoute la SAML demande d'assertion.

    4. Pour UID et PWD, fournissez les informations d'identification de l'utilisateur de domaine AD. Lorsque vous utilisez le pilote sur Windows, si UID et PWD ne sont pas fournis, le pilote tente d'obtenir les informations d'identification de l'utilisateur connecté à la machine Windows.

    5. Vous pouvez également définir ssl_insecure sur true. Dans ce cas, le pilote ne vérifie pas l'authenticité du SSL certificat pour le serveur ADFS IdP. Le réglage sur true est nécessaire si le SSL certificat de l'ADFSIdP n'a pas été configuré pour être approuvé par le pilote.

    6. Pour activer le mappage d'un utilisateur ou d'un groupe de domaine Active Directory vers un ou plusieurs IAM rôles (comme indiqué à l'étape 4 de cette procédure), dans la ODBC connexion preferred_role for the JDBC or, spécifiez le IAM rôle (ARN) à assumer pour la connexion du pilote. La spécification du preferred_role est facultative, et elle est utile si le rôle n'est pas le premier répertorié dans la règle de demande.

    En conséquence de cette procédure, les actions suivantes se produisent :

    1. Le JDBC ODBC chauffeur du laboratoire appelle le AWS STS AssumeRoleWithSAMLAPI, et lui transmet les assertions, comme indiqué à l'étape 4 du schéma d'architecture.

    2. AWS s'assure que la demande pour assumer le rôle provient de l'IdP référencé dans l'entité SAML fournisseur.

    3. Si la demande aboutit, le AWS STS AssumeRoleWithSAMLAPIL'opération renvoie un ensemble d'informations d'identification de sécurité temporaires, que votre application cliente utilise pour envoyer des demandes signées à Athena.

      Votre application dispose maintenant d'informations sur l'utilisateur actuel et peut accéder à Athena par programmation.