Langkah 2: Konfigurasikan SAML pernyataan untuk IDP Anda - Amazon Redshift

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 2: Konfigurasikan SAML pernyataan untuk IDP Anda

Setelah membuat IAM peran, Anda menentukan aturan klaim di aplikasi iDP untuk memetakan pengguna atau grup di organisasi Anda ke peran tersebutIAM. Untuk informasi selengkapnya, lihat Mengonfigurasi SAML Pernyataan untuk Respons Otentikasi di Panduan Pengguna. IAM

Jika Anda memilih untuk menggunakan GetClusterCredentials parameter opsionalDbUser,AutoCreate, danDbGroups, Anda memiliki dua opsi. Anda dapat mengatur nilai untuk parameter dengan ODBC koneksi JDBC atau Anda, atau Anda dapat mengatur nilai dengan menambahkan elemen SAML atribut ke IDP Anda. Untuk informasi tentang parameter DbUser, AutoCreate dan DbGroups, lihat Langkah 5: Konfigurasikan JDBC atau ODBC koneksi untuk menggunakan IAM kredensional.

catatan

Jika Anda menggunakan variabel IAM kebijakan${redshift:DbUser}, seperti Kebijakan sumber daya untuk GetClusterCredentials yang dijelaskan dalam nilai untuk DbUser diganti dengan nilai yang diambil oleh konteks permintaan API operasi. Driver Amazon Redshift menggunakan nilai untuk DbUser variabel yang disediakan oleh koneksiURL, bukan nilai yang diberikan sebagai SAML atribut.

Untuk membantu mengamankan konfigurasi ini, sebaiknya gunakan kondisi dalam IAM kebijakan untuk memvalidasi DbUser nilai dengan menggunakanRoleSessionName. Anda dapat menemukan contoh cara menyetel kondisi menggunakan IAM kebijakan diContoh kebijakan untuk menggunakan GetClusterCredentials.

Untuk mengkonfigurasi IDP Anda untuk mengatur,, dan DbGroups parameter DbUserAutoCreate, sertakan elemen-elemen berikut: Attribute

  • AttributeElemen dengan Name atribut diatur ke "Atributhttps://redshift.amazon.com/SAML//DbUser”

    Atur AttributeValue elemen ke nama pengguna yang akan terhubung ke database Amazon Redshift.

    Nilai dalam AttributeValue elemen harus huruf kecil, dimulai dengan huruf, hanya berisi karakter alfanumerik, garis bawah ('_'), tanda plus ('+'), titik ('.'), at ('@'), atau tanda hubung ('-'), dan kurang dari 128 karakter. Biasanya, nama pengguna adalah ID pengguna (misalnya, bobsmith) atau alamat email (misalnya bobsmith@example.com). Nilai tidak dapat menyertakan spasi (misalnya, nama tampilan pengguna seperti Bob Smith).

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser">
    <AttributeValue>user-name</AttributeValue>
</Attribute>

  • Elemen Atribut dengan atribut Name diatur ke "https://redshift.amazon.com/SAML/Attributes/AutoCreate”

    Atur AttributeValue elemen ke true untuk membuat pengguna database baru jika tidak ada. Setel AttributeValue ke false untuk menentukan bahwa pengguna database harus ada di database Amazon Redshift.

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate">
    <AttributeValue>true</AttributeValue>
</Attribute>

  • AttributeElemen dengan Name atribut diatur untuk disetel ke "https://redshift.amazon.com/SAML/Atributes/DbGroups”

    Elemen ini mengandung satu atau lebih AttributeValue elemen. Tetapkan setiap AttributeValue elemen ke nama grup database yang DbUser bergabung selama durasi sesi saat menghubungkan ke database Amazon Redshift.

    <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups">
    <AttributeValue>group1</AttributeValue>
    <AttributeValue>group2</AttributeValue>
    <AttributeValue>group3</AttributeValue>
</Attribute>