Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 2 : configurer les SAML assertions pour votre IdP
Après avoir créé le IAM rôle, vous définissez une règle de réclamation dans votre application IdP pour associer les utilisateurs ou les groupes de votre organisation au IAM rôle. Pour plus d'informations, consultez la section Configuration SAML des assertions pour la réponse d'authentification dans le guide de l'IAMutilisateur.
Si vous choisissez d'utiliser les paramètres GetClusterCredentials
facultatifs DbUser
, AutoCreate
et DbGroups
, vous avez deux options. Vous pouvez définir les valeurs des paramètres avec votre ODBC connexion JDBC ou vous pouvez définir les valeurs en ajoutant des éléments d'SAMLattribut à votre IdP. Pour plus d'informations sur les paramètres DbUser
, AutoCreate
et DbGroups
, consultez Étape 5 : configurer une ODBC connexion JDBC ou pour utiliser les IAM informations d'identification.
Note
Si vous utilisez une variable de IAM politique${redshift:DbUser}
, telle que décrite dans Politiques relatives aux ressources pour GetClusterCredentials la valeur pour, elle DbUser
est remplacée par la valeur récupérée par le contexte de demande de l'APIopération. Les pilotes Amazon Redshift utilisent la valeur de la DbUser
variable fournie par la connexionURL, plutôt que la valeur fournie sous forme d'SAMLattribut.
Pour sécuriser cette configuration, nous vous recommandons d'utiliser une condition dans une IAM politique afin de valider la DbUser
valeur en utilisantRoleSessionName
. Vous trouverez des exemples de définition d'une condition à l'aide d'une IAM politique dansExemple de politique d'utilisation GetClusterCredentials.
Pour configurer votre IdP pour définir les paramètres DbUser
, AutoCreate
et DbGroups
, incluez les éléments Attribute
suivants :
-
Un
Attribute
élément dont l'Name
attribut est défini sur « https://redshift.amazon.com/SAML/ Attributes/ DbUser »Définissez l'élément
AttributeValue
sur le nom d'un utilisateur qui se connectera à la base de données Amazon Redshift.La valeur de l'élément
AttributeValue
doit être en minuscules, commencer par une lettre, contenir seulement des caractères alphanumériques, des traits de soulignement ('_'), des signes plus ('+'), des points ('.'), des arobases ('@') ou des tirets ('-') et comporter moins de 128 caractères. Généralement, le nom d'utilisateur et un ID utilisateur (par exemple, bobsmith) ou une adresse e-mail (par exemple bobsmith@example.com). La valeur ne peut pas contenir d'espace (par exemple, un nom complet d'utilisateur comme Bob Smith).<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser"> <AttributeValue>user-name</AttributeValue> </Attribute>
-
Un élément d'attribut dont l'attribut Name est défini sur « https://redshift.amazon.com/SAML/ Attributes/ AutoCreate »
Définissez l' AttributeValue élément sur true pour créer un nouvel utilisateur de base de données s'il n'en existe aucun. Définissez la valeur AttributeValue sur false pour spécifier que l'utilisateur de base de données doit exister dans la base de données Amazon Redshift.
<Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate"> <AttributeValue>true</AttributeValue> </Attribute>
-
Un
Attribute
élément dont l'Name
attribut est défini sur « https://redshift.amazon.com/SAML/ Attributes/ DbGroups »Cet élément contient un ou plusieurs éléments
AttributeValue
. Définissez chaque élémentAttributeValue
sur un nom de groupe de bases de données queDbUser
rejoint pendant la durée de la séance lorsqu'il se connecte à la base de données Amazon Redshift.<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups"> <AttributeValue>group1</AttributeValue> <AttributeValue>group2</AttributeValue> <AttributeValue>group3</AttributeValue> </Attribute>