Aktifkan akses federasi ke Athena API - Amazon Athena
Sebelum Anda mulaiMemahami proses otentikasiProsedur: Aktifkan akses federasi SAML berbasis ke Athena API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan akses federasi ke Athena API

Bagian ini membahas akses federasi yang memungkinkan pengguna atau aplikasi klien di organisasi Anda untuk memanggil operasi Amazon API Athena. Dalam hal ini, pengguna organisasi Anda tidak memiliki akses langsung ke Athena. Sebagai gantinya, Anda mengelola kredensi pengguna di luar AWS di Microsoft Active Directory. Active Directory mendukung SAML2.0 (Security Assertion Markup Language 2.0).

Untuk mengautentikasi pengguna dalam skenario ini, gunakan ODBC driver JDBC atau dengan SAML dukungan.2.0 untuk mengakses Active Directory Federation Services (ADFS) 3.0 dan aktifkan aplikasi klien untuk memanggil operasi Athena. API

Untuk informasi lebih lanjut tentang dukungan SAML 2.0 pada AWS, lihat Tentang federasi SAML 2.0 di Panduan IAM Pengguna.

catatan

Akses federasi ke API Athena didukung untuk jenis penyedia identitas tertentu (iDP), Layanan Federasi Direktori Aktif ADFS (3.0), yang merupakan bagian dari Windows Server. Akses federasi tidak kompatibel dengan fitur propagasi IAM identitas tepercaya Pusat Identitas. Akses dibuat melalui versi JDBC atau ODBC driver yang mendukung SAML 2.0. Untuk informasi selengkapnya, lihat Connect ke Amazon Athena dengan JDBC dan Connect ke Amazon Athena dengan ODBC.

Sebelum Anda mulai

Sebelum menggunakan fungsi , pastikan untuk melengkapi prasyarat berikut:

  • Di dalam organisasi Anda, instal dan konfigurasikan ADFS 3.0 sebagai IDP Anda.

  • Instal dan konfigurasikan versi terbaru JDBC atau ODBC driver yang tersedia pada klien yang digunakan untuk mengakses Athena. Pengemudi harus menyertakan dukungan untuk akses federasi yang kompatibel dengan SAML 2.0. Untuk informasi selengkapnya, lihat Connect ke Amazon Athena dengan JDBC dan Connect ke Amazon Athena dengan ODBC.

Memahami proses otentikasi

Diagram berikut menggambarkan proses otentikasi akses federasi ke Athena. API

Diagram akses federasi ke AthenaAPI.

  1. Pengguna di organisasi Anda menggunakan aplikasi klien dengan ODBC driver JDBC atau untuk meminta otentikasi dari IDP organisasi Anda. IdP adalah ADFS 3.0.

  2. mengautentikasi pengguna terhadap toko identitas organisasi Anda.

  3. IdP membangun SAML pernyataan dengan informasi tentang pengguna dan mengirimkan pernyataan ke aplikasi klien melalui driver atau. JDBC ODBC

  4. ODBCSopir JDBC atau memanggil AWS Security Token Service AssumeRoleWithSAMLAPIoperasi, melewati parameter berikut:

    • ARNSAMLPenyedia

    • ARNPeran yang harus diasumsikan

    • SAMLPernyataan dari iDP

    Untuk informasi lebih lanjut AssumeRoleWithSAML, lihat, di AWS Security Token Service APIReferensi.

  5. APIRespons terhadap aplikasi klien melalui JDBC atau ODBC driver termasuk kredenal keamanan sementara.

  6. Aplikasi klien menggunakan kredensi keamanan sementara untuk memanggil operasi Athena, yang memungkinkan pengguna Anda mengakses API operasi Athena. API

Prosedur: Aktifkan akses federasi SAML berbasis ke Athena API

Prosedur ini membangun kepercayaan antara IDP organisasi Anda dan AWS akun untuk mengaktifkan akses federasi SAML berbasis ke operasi Amazon API Athena.

Untuk mengaktifkan akses federasi ke AthenaAPI:

  1. Di organisasi Anda, daftar AWS sebagai penyedia layanan (SP) di IDP Anda. Proses ini dikenal sebagaiMengonfigurasi kepercayaan pihak. Untuk informasi selengkapnya, lihat Mengonfigurasi iDP SAML 2.0 Anda dengan mengandalkan kepercayaan pihak dalam IAM Panduan Pengguna. Sebagai bagian dari tugas ini, lakukan langkah-langkah berikut:

    1. Dapatkan contoh dokumen SAML metadata dari iniURL:. https://signin.aws.amazon.com/static/saml-metadata.xml

    2. Di idP (ADFS) organisasi Anda, buat XML file metadata setara yang menjelaskan IDP Anda sebagai penyedia identitas AWS. File metadata Anda harus menyertakan nama penerbit, tanggal pembuatan, tanggal kedaluwarsa, dan kunci yang AWS digunakan untuk memvalidasi tanggapan otentikasi (pernyataan) dari organisasi Anda.

  2. Di IAM konsol, buat entitas penyedia SAML identitas. Untuk informasi selengkapnya, lihat Membuat penyedia SAML identitas di Panduan IAM Pengguna. Sebagai bagian dari langkah ini, lakukan hal berikut:

    1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

    2. Unggah dokumen SAML metadata yang dihasilkan oleh iDP (ADFS) pada Langkah 1 dalam prosedur ini.

  3. Di IAM konsol, buat satu atau beberapa IAM peran untuk IDP Anda. Untuk informasi selengkapnya, lihat Membuat peran untuk Penyedia Identitas pihak ketiga (federasi) di Panduan IAM Pengguna. Sebagai bagian dari langkah ini, lakukan hal berikut:

    • Dalam kebijakan izin peran, buat daftar tindakan yang diizinkan dilakukan oleh pengguna dari organisasi Anda AWS.

    • Dalam kebijakan kepercayaan peran, tetapkan entitas SAML penyedia yang Anda buat di Langkah 2 prosedur ini sebagai prinsipal.

    Ini membangun hubungan kepercayaan antara organisasi Anda dan AWS.

  4. Di idP (ADFS) organisasi Anda, tentukan pernyataan yang memetakan pengguna atau grup di organisasi Anda ke peran. IAM Pemetaan pengguna dan grup ke IAM peran juga dikenal sebagai aturan klaim. Perhatikan bahwa pengguna dan grup yang berbeda di organisasi Anda mungkin memetakan ke IAM peran yang berbeda.

    Untuk informasi tentang mengonfigurasi pemetaan diADFS, lihat posting blog: Mengaktifkan federasi ke AWS menggunakan Windows Active DirectoryADFS,, dan SAML 2.0.

  5. Instal dan konfigurasikan ODBC driver JDBC atau dengan dukungan SAML 2.0. Untuk informasi selengkapnya, lihat Connect ke Amazon Athena dengan JDBC dan Connect ke Amazon Athena dengan ODBC.

  6. Tentukan string koneksi dari aplikasi Anda ke ODBC driver JDBC atau. Untuk informasi tentang string koneksi yang harus digunakan aplikasi Anda, lihat topik “Menggunakan Active Directory Federation Services (ADFS) Credentials Provider” di Panduan Instalasi dan Konfigurasi JDBC Driver, atau topik serupa di Panduan Instalasi dan Konfigurasi ODBC Driver yang tersedia sebagai PDF unduhan dari Connect ke Amazon Athena dengan JDBC dan Connect ke Amazon Athena dengan ODBC topik.

    Berikut ini adalah ringkasan level tinggi mengonfigurasi string koneksi ke driver:

    1. DalamAwsCredentialsProviderClass configuration, atur com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider untuk menunjukkan bahwa Anda ingin menggunakan otentikasi berbasis SAML 2.0 melalui ADFS iDP.

    2. Untukidp_host, berikan nama host server ADFS iDP.

    3. Untukidp_port, berikan nomor port yang didengarkan ADFS IDP untuk permintaan pernyataan. SAML

    4. UntukUIDdanPWD, berikan kredensial pengguna domain AD. Saat menggunakan driver di Windows, jikaUIDdanPWDtidak disediakan, driver mencoba untuk mendapatkan kredensial pengguna yang masuk ke mesin Windows.

    5. Opsional, setssl_insecureketrue. Dalam hal ini, pengemudi tidak memeriksa keaslian SSL sertifikat untuk server ADFS iDP. Pengaturan ke true diperlukan jika SSL sertifikat ADFS IDP belum dikonfigurasi untuk dipercaya oleh pengemudi.

    6. Untuk mengaktifkan pemetaan pengguna atau grup domain Direktori Aktif ke satu atau beberapa IAM peran (seperti yang disebutkan dalam langkah 4 prosedur ini), dalam preferred_role for the JDBC or ODBC connection, tentukan IAM role (ARN) yang akan diambil untuk koneksi driver. Menentukanpreferred_rolebersifat opsional, dan berguna jika peran bukan peran pertama yang tercantum dalam aturan klaim.

    Sebagai hasil dari prosedur ini, tindakan berikut terjadi:

    1. ODBCSopir JDBC atau memanggil AWS STS AssumeRoleWithSAMLAPI, dan meneruskannya pernyataan, seperti yang ditunjukkan pada langkah 4 dari diagram arsitektur.

    2. AWS memastikan bahwa permintaan untuk mengambil peran berasal dari idP yang direferensikan di entitas penyedia. SAML

    3. Jika permintaan berhasil, AWS STS AssumeRoleWithSAMLAPIOperation mengembalikan satu set kredensi keamanan sementara, yang digunakan aplikasi klien Anda untuk membuat permintaan yang ditandatangani ke Athena.

      Aplikasi Anda sekarang memiliki informasi tentang pengguna saat ini dan dapat mengakses Athena secara pemrograman.