AD FS - Amazon Redshift

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AD FS

Ce didacticiel explique comment utiliser AD FS en tant que fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift.

Étape 1 : configurer AD FS et votre AWS compte pour qu'ils se fassent mutuellement confiance

La procédure suivante décrit comment configurer une relation de confiance.

  1. Créez ou utilisez un cluster Amazon Redshift existant pour que vos utilisateurs AD FS puissent se connecter. Pour configurer la connexion, certaines propriétés de ce cluster sont nécessaires, telles que l'identifiant de cluster. Pour de plus amples informations, veuillez consulter Création d'un cluster.

  2. Configurez AD FS pour contrôler l'accès à Amazon Redshift sur la Console de gestion Microsoft :

    1. Choisissez ADFS2.0, puis choisissez Add Relying Party Trust. Dans la page Assistant Ajout d'approbation de partie de confiance, choisissez Démarrer.

    2. Sur la page Sélectionner une source de données, choisissez Importer des données sur la partie de confiance publiées en ligne ou sur un réseau local.

    3. Pour l'adresse des métadonnées de la fédération (nom d'hôte ouURL), entrezhttps://signin.aws.amazon.com/saml-metadata.xml. Le XML fichier de métadonnées est un document de SAML métadonnées standard décrit AWS comme une partie utilisatrice.

    4. Dans la page Spécifier un nom d'affichage, entrez une valeur pour Nom d'affichage.

    5. Sur la page Choisir des règles d'autorisation d'émission, choisissez une règle d'autorisation d'émission pour autoriser ou refuser à tous les utilisateurs l'accès à cette partie de confiance.

    6. Dans la page Prêt à ajouter l'approbation, vérifiez vos paramètres.

    7. Sur la page Terminer, choisissez Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance lorsque l'Assistant se ferme.

    8. Dans le menu contextuel (clic droit), choisissez Parties de confiance.

    9. Pour votre partie de confiance, ouvrez le menu contextuel (clic droit) et choisissez Modifier les règles de réclamation. Dans la page Modifier les règles de réclamation, choisissez Ajouter une règle.

    10. Pour le modèle de règle de réclamation, choisissez Transformer une réclamation entrante, puis sur la NameId page Modifier la règle, procédez comme suit :

      • Dans Nom de la règle de réclamation, entrez NameId.

      • Pour Nom de la réclamation entrante, choisissez Nom du compte Windows.

      • Pour Nom de la réclamation sortante, choisissez ID nom.

      • Pour Format d'ID de nom sortant, choisissez Identifiant persistant.

      • Choisissez Transférer toutes les valeurs de réclamation.

    11. Dans la page Modifier les règles de réclamation, choisissez Ajouter une règle. Sur la page Sélectionner un modèle de règle, pour Modèle de règle de réclamation, choisissez Envoyer LDAP les attributs sous forme de revendications.

    12. Sur la page Configurer une règle, exécutez les opérations suivantes :

      • Pour Claim rule name (Nom de la règle de revendication), saisissez RoleSessionName.

      • Pour Attribute store (Magasin d'attributs), choisissez Active Directory.

      • Dans LDAPAttribut, sélectionnez Adresses e-mail.

      • Pour Outgoing Claim Type (Type de demande sortante), sélectionnez https://aws.amazon.com/SAML/Attributes/RoleSessionName.

    13. Dans la page Modifier les règles de réclamation, choisissez Ajouter une règle. Dans la page Sélectionner un modèle de règle, pour le Modèle de règle de réclamation, choisissez Envoyer des réclamations à l'aide d'une règle personnalisée.

    14. Dans la page Modifier la règle — Obtenir les groupes AD pour le Nom de la règle de réclamation, entrez Obtenir les groupes AD.

    15. Pour Règle personnalisée, entrez ce qui suit.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
    16. Dans la page Modifier les règles de réclamation, choisissez Ajouter une règle. Dans la page Sélectionner un modèle de règle, pour le Modèle de règle de réclamation, choisissez Envoyer des réclamations à l'aide d'une règle personnalisée.

    17. Dans la page Modifier une règle — Rôles pour Nom de la règle de réclamation, entrez Rôles.

    18. Pour Règle personnalisée, entrez ce qui suit.

      c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

      Notez ARNs le SAML fournisseur et le rôle à assumer. Dans cet exemple, arn:aws:iam:123456789012:saml-provider/ADFS il s'arn:aws:iam:123456789012:role/ADFS-agit ARN du SAML fournisseur et ARN du rôle.

  3. Assurez-vous que vous avez téléchargé le fichier federationmetadata.xml. Vérifiez que le contenu du document n'a pas de caractères non valides. Il s'agit du fichier de métadonnées que vous utilisez lors de la configuration de la relation d'approbation avec AWS.

  4. Créez un fournisseur IAM SAML d'identité sur la IAM console. Le document de métadonnées que vous fournissez est le XML fichier de métadonnées de fédération que vous avez enregistré lors de la configuration d'Azure Enterprise Application. Pour connaître les étapes détaillées, consultez la section Création et gestion d'un fournisseur IAM d'identité (console) dans le guide de IAM l'utilisateur.

  5. Créez un IAM rôle pour la fédération SAML 2.0 sur la IAM console. Pour connaître les étapes détaillées, consultez la section Création d'un rôle pour SAML dans le guide de IAM l'utilisateur.

  6. Créez une IAM politique que vous pouvez associer au IAM rôle que vous avez créé pour la fédération SAML 2.0 sur la IAM console. Pour connaître les étapes détaillées, reportez-vous à la section Création de IAM politiques (console) dans le guide de IAM l'utilisateur. Pour obtenir un exemple Azure AD, consultez Configuration de JDBC l'authentification ODBC unique.

Étape 2 : Configuration JDBC ou authentification auprès ODBC d'AD FS

JDBC

La procédure suivante décrit comment configurer une JDBC relation avec AD FS.

  • Configurez votre client de base de données pour qu'il se connecte à votre cluster à JDBC l'aide de l'authentification unique AD FS.

    Vous pouvez utiliser n'importe quel client utilisant un JDBC pilote pour vous connecter à l'aide de l'authentification unique AD FS ou utiliser un langage tel que Java pour vous connecter à l'aide d'un script. Pour plus d'informations sur l'installation et la configuration, consultez Configuration d'une connexion pour la version 2.1 du JDBC pilote pour Amazon Redshift.

    Par exemple, vous pouvez utiliser SQLWorkbench /J comme client. Lorsque vous configurez SQLWorkbench /J, le URL de votre base de données utilise le format suivant.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Si vous utilisez SQLWorkbench /J comme client, procédez comme suit :

    1. Démarrez SQL Workbench/J. Sur la page Sélectionner le profil de connexion, ajoutez un groupe de profils, par exemple. ADFS

    2. Dans Profil de connexion, entrez le nom de votre profil de connexion, par exemple ADFS.

    3. Choisissez Manage Drivers (Gérer les pilotes), puis Amazon Redshift. Cliquez sur l'icône Ouvrir un dossier à côté de Bibliothèque, puis choisissez le fichier JDBC .jar approprié.

    4. Dans la page Select Connection Profile (Sélectionner un profil de connexion) ajoutez les informations suivantes au profil de connexion :

      • Pour Utilisateur, entrez votre nom d'utilisateur AD FS. Il s'agit du nom d'utilisateur du compte que vous utilisez pour l'authentification unique et qui a la permission du cluster que vous essayez d'utiliser pour vous authentifier.

      • Pour Mot de passe, entrez votre mot de passe AD FS.

      • Pour Drivers (Pilotes), choisissez Amazon Redshift (com.amazon.redshift.jdbc.Driver).

      • Pour URL, entrezjdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Sélectionnez Extended Properties (Propriétés étendues). Pour plugin_name, entrez com.amazon.redshift.plugin.AdfsCredentialsProvider. Cette valeur spécifie au pilote d'utiliser l'authentification unique Azure AD comme méthode d'authentification.

ODBC
ODBCPour configurer l'authentification auprès d'AD FS
  • Configurez votre client de base de données pour qu'il se connecte à votre cluster à ODBC l'aide de l'authentification unique AD FS.

    Amazon Redshift fournit des ODBC pilotes pour les systèmes d'exploitation Linux, Windows et macOS. Avant d'installer un ODBC pilote, déterminez si votre outil SQL client est 32 bits ou 64 bits. Installez le ODBC pilote correspondant aux exigences de votre outil SQL client.

    Sous Windows, sur la page de DSNconfiguration du ODBC pilote Amazon Redshift, sous Paramètres de connexion, entrez les informations suivantes :

    • Pour Data Source Name (Nom de la source de données), entrez your-DSN. Ceci indique le nom de la source de données utilisé comme nom ODBC de profil.

    • Pour le type d'authentification, choisissez Identity Provider : SAML. Il s'agit de la méthode d'authentification utilisée par le ODBC pilote pour s'authentifier à l'aide de l'authentification unique AD FS.

    • Pour Cluster ID (ID de cluster), entrez your-cluster-identifier.

    • Pour Region (Région), entrez your-cluster-region.

    • Pour Database (Base de données), entrez your-database-name.

    • Pour Utilisateur, entrez your-adfs-username. Il s'agit du nom d'utilisateur du compte AD FS que vous utilisez pour l'authentification unique, qui a l'autorisation d'accéder au cluster que vous essayez d'utiliser pour vous authentifier. Utilisez-le uniquement pour le type d'authentification est le fournisseur d'identité : SAML.

    • Pour Mot de passe, entrez your-adfs-password. Utilisez-le uniquement pour le type d'authentification est le fournisseur d'identité : SAML.

    Sous macOS et Linux, modifiez le fichier odbc.ini comme suit :

    Note

    Toutes les entrées sont insensibles à la casse.

    • Pour clusterid, entrez your-cluster-identifier. Il s'agit du nom du cluster Amazon Redshift qui a été créé.

    • Pour region (région), entrez your-cluster-region. Il s'agit de la AWS région du cluster Amazon Redshift créé.

    • Pour database (base de données), entrez your-database-name. Il s'agit du nom de la base de données à laquelle vous essayez d'accéder sur le cluster Amazon Redshift.

    • Pour locale (paramètres régionaux), entrez en-us. Il s'agit de la langue dans laquelle les messages d'erreur s'affichent.

    • Pour iam, entrez 1. Cette valeur indique au pilote qu'il doit s'authentifier à l'aide d'IAMinformations d'identification.

    • Pour plugin_name, effectuez l'une des opérations suivantes :

      • Pour l'authentification unique AD FS avec MFA configuration, entrezBrowserSAML. Il s'agit de la méthode d'authentification utilisée par le ODBC pilote pour s'authentifier auprès d'AD FS.

      • Pour la configuration de l'authentification unique AD FS, entrez ADFS. Il s'agit de la méthode d'authentification utilisée par le ODBC pilote pour s'authentifier à l'aide de l'authentification unique Azure AD.

    • Pour uid, entrez your-adfs-username. Il s'agit du nom d'utilisateur du compte Microsoft Azure que vous utilisez pour l'authentification unique qui a l'autorisation sur le cluster sur lequel vous essayez de vous authentifier. Utilisez-le uniquement pour plugin_name is. ADFS

    • Pour pwd, entrez your-adfs-password. Utilisez-le uniquement pour plugin_name is. ADFS

    Sous mac OS et Linux, modifiez également les paramètres de profil pour ajouter les exportations suivantes.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini