Menyiapkan JDBC atau ODBC otentikasi masuk tunggal - Amazon Redshift

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan JDBC atau ODBC otentikasi masuk tunggal

Anda dapat menggunakan penyedia identitas yang berbeda (iDP) untuk mengakses klaster Amazon Redshift Anda. Untuk informasi lebih lanjut tentang mengkonfigurasi AWS sebagai penyedia layanan untuk iDP, lihat Mengonfigurasi iDP 2.0 SAML Anda dengan Kepercayaan Pihak yang Mengandalkan dan Menambahkan Klaim di Panduan Pengguna. IAM

Microsoft Azure AD

Anda dapat menggunakan Microsoft Azure AD sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda. Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan untuk tujuan ini.

Untuk mempelajari cara menggabungkan akses Amazon Redshift dengan sistem masuk tunggal Microsoft Azure AD, tonton video berikut.

Untuk mengatur Azure AD dan AWS akun untuk saling percaya

  1. Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna Azure AD dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat Membuat Cluster.

  2. Menyiapkan Direktori Aktif Azure, grup, pengguna yang digunakan AWS di portal Microsoft Azure.

  3. Tambahkan Amazon Redshift sebagai aplikasi perusahaan di portal Microsoft Azure untuk digunakan untuk sistem masuk tunggal ke AWS Konsol dan login federasi ke Amazon Redshift. Pilih aplikasi Enterprise.

  4. Pilih +Aplikasi baru. Halaman Tambahkan aplikasi muncul.

  5. Cari AWS di bidang pencarian.

  6. Pilih Amazon Web Services (AWS) dan pilih Tambah. Ini menciptakan AWS aplikasi.

  7. Di bawah Kelola, pilih Single sign-on.

  8. Pilih SAML. Amazon Web Services (AWS) | SAML halaman Sign-on berbasis muncul.

  9. Pilih Ya untuk melanjutkan ke halaman Set up Single Sign-On withSAML. Halaman ini menampilkan daftar atribut terkait sistem masuk tunggal yang telah dikonfigurasi sebelumnya.

  10. Untuk SAMLKonfigurasi Dasar, pilih ikon edit dan pilih Simpan.

  11. Saat Anda mengonfigurasi lebih dari satu aplikasi, berikan nilai pengenal. Misalnya, masukkan https://signin.aws.amazon.com/saml#2. Perhatikan bahwa dari aplikasi kedua dan seterusnya, gunakan format ini dengan tanda # untuk menentukan SPN nilai unik.

  12. Di bagian Atribut Pengguna dan Klaim, pilih ikon edit.

    Secara default, Unique User Identifier (UID), Role RoleSessionName, dan SessionDuration klaim sudah dikonfigurasi sebelumnya.

  13. Pilih + Tambahkan klaim baru untuk menambahkan klaim bagi pengguna database.

    Untuk Nama, masukkan DbUser.

    Untuk Namespace, masukkan https://redshift.amazon.com/SAML/Attributes.

    Untuk Sumber, pilih Atribut.

    Untuk atribut Source, pilih user.userprincipalname. Lalu, pilih Simpan.

  14. Pilih + Tambahkan klaim baru untuk menambahkan klaim AutoCreate.

    Untuk Nama, masukkan AutoCreate.

    Untuk Namespace, masukkan https://redshift.amazon.com/SAML/Attributes.

    Untuk Sumber, pilih Atribut.

    Untuk atribut Source, pilih “true”. Lalu, pilih Simpan.

    Di sini, 123456789012 adalah Anda AWS akun Azure SSO adalah IAM peran yang Anda ciptakan, dan A zureADProvider adalah IAM penyedia.

    Nama klaim Nilai

    Pengenal pengguna unik (ID nama)

    user.userprincipalname

    https://aws.amazon.com/SAML/Attributes/SessionDuration

    “900"

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam::123456789012:peran/AzureSSO, arn:aws:iam::123456789012:saml-provider/AzureADProvider

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.userprincipalname

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    “benar”

    https://redshift.amazon.com/SAML/Attributes/DbGroups

    user.assignedroles

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.userprincipalname

  15. Di bawah Pendaftaran Aplikasi > your-application-name > Otentikasi, tambahkan Aplikasi Seluler Dan Desktop. Tentukan URL sebagai http://localhost/redshift/.

  16. Di bagian SAMLMenandatangani Sertifikat, pilih Unduh untuk mengunduh dan menyimpan XML file metadata federasi untuk digunakan saat Anda membuat penyedia IAM SAML identitas. File ini digunakan untuk membuat identitas federasi masuk tunggal.

  17. Buat penyedia IAM SAML identitas di IAM konsol. Dokumen metadata yang Anda berikan adalah XML file metadata federasi yang Anda simpan saat menyiapkan Aplikasi Azure Enterprise. Untuk langkah-langkah mendetail, lihat Membuat dan Mengelola Penyedia IAM Identitas (Konsol) di Panduan IAM Pengguna.

  18. Buat IAM peran untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat Peran SAML di Panduan IAM Pengguna.

  19. Buat IAM kebijakan yang dapat Anda lampirkan ke IAM peran yang Anda buat untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat IAM Kebijakan (Konsol) di Panduan IAM Pengguna.

    Ubah kebijakan berikut (dalam JSON format) untuk lingkungan Anda:

    • Gantikan AWS Wilayah cluster Anda untukus-west-1.

    • Gantikan Anda AWS akun untuk 123456789012.

    • Gantikan pengenal klaster Anda (atau * untuk semua cluster) pengenal kluster.

    • Gantikan database Anda (atau * untuk semua database) untuk dev.

    • Gantikan pengenal unik IAM peran Anda dengan AROAJ2UCCR6DPCEXAMPLE.

    • Gantikan domain email penyewa atau perusahaan Anda. example.com

    • Gantikan grup basis data yang Anda rencanakan untuk ditetapkan pengguna my_dbgroup. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentials",
            "Resource": [
                "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev",
                "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}",
                "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "redshift:CreateClusterUser",
            "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}"
        },
        {
            "Effect": "Allow",
            "Action": "redshift:JoinGroup",
            "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup"
        },
        {
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeClusters",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    Kebijakan ini memberikan izin sebagai berikut:

    • Bagian pertama memberikan izin untuk GetClusterCredentials API operasi untuk mendapatkan kredensi sementara untuk cluster yang ditentukan. Dalam contoh ini, sumber daya adalah cluster-identifier dengan database dev, dalam akun 123456789012, dan di AWS Wilayah as-barat-1. ${redshift:DbUser}Klausa ini hanya memungkinkan pengguna yang cocok dengan DbUser nilai yang ditentukan dalam Azure AD untuk terhubung.

    • Klausul kondisi memberlakukan bahwa hanya pengguna tertentu yang mendapatkan kredensi sementara. Ini adalah pengguna di bawah peran yang ditentukan oleh ID unik peran AROAJ2UCCR6DPCEXAMPLE di IAM akun yang diidentifikasi oleh alamat email di domain email perusahaan Anda. Untuk informasi selengkapnya tentang unikIDs, lihat Unik IDs di Panduan IAM Pengguna.

      Penyiapan Anda dengan iDP Anda (dalam hal ini, Azure AD) menentukan bagaimana klausa kondisi ditulis. Jika email karyawan Andajohndoe@example.com, atur terlebih dahulu ${redshift:DbUser} ke bidang super yang cocok dengan nama pengguna karyawanjohndoe. Kemudian, untuk membuat kondisi ini bekerja, atur AWS SAMLRoleSessionNamebidang ke bidang super yang cocok dengan email karyawanjohndoe@example.com. Saat Anda mengambil pendekatan ini, pertimbangkan hal berikut:

      • Jika Anda mengatur ${redshift:DbUser} untuk menjadi email karyawan, maka hapus @example.com dalam contoh JSON untuk mencocokkanRoleSessionName.

      • Jika Anda menetapkan RoleSessionId untuk menjadi hanya nama pengguna karyawan, maka hapus @example.com dalam contoh untuk mencocokkanRoleSessionName.

      • Dalam contohJSON, ${redshift:DbUser} dan RoleSessionName keduanya diatur ke email karyawan. Contoh ini JSON menggunakan nama pengguna database Amazon Redshift @example.com untuk menandatangani pengguna untuk mengakses cluster.

    • Bagian kedua memberikan izin untuk membuat dbuser nama di cluster yang ditentukan. Dalam contoh iniJSON, ini membatasi penciptaan untuk${redshift:DbUser}.

    • Bagian ketiga memberikan izin untuk menentukan pengguna mana dbgroup yang dapat bergabung. Dalam contoh iniJSON, pengguna dapat bergabung dengan my_dbgroup grup dalam cluster yang ditentukan.

    • Bagian keempat memberikan izin untuk tindakan yang dapat dilakukan pengguna pada semua sumber daya. Dalam contoh iniJSON, memungkinkan pengguna untuk memanggil redshift:DescribeClusters untuk mendapatkan informasi cluster seperti titik akhir cluster, AWS Wilayah, dan pelabuhan. Ini juga memungkinkan pengguna untuk menelepon iam:ListRoles untuk memeriksa peran mana yang dapat diasumsikan pengguna.

JDBCUntuk mengatur otentikasi ke Microsoft Azure AD

  • Konfigurasikan klien database Anda untuk terhubung ke klaster Anda melalui JDBC penggunaan sistem masuk tunggal Azure AD Anda.

    Anda dapat menggunakan klien apa pun yang menggunakan JDBC driver untuk terhubung menggunakan sistem masuk tunggal Azure AD atau menggunakan bahasa seperti Java untuk terhubung menggunakan skrip. Untuk informasi instalasi dan konfigurasi, lihatMengkonfigurasi koneksi untuk JDBC driver versi 2.1 untuk Amazon Redshift.

    Misalnya, Anda dapat menggunakan SQLWorkbench /J sebagai klien. Ketika Anda mengkonfigurasi SQLWorkbench /J, database Anda menggunakan format berikut. URL

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Jika Anda menggunakan SQLWorkbench /J sebagai klien, lakukan langkah-langkah berikut:

    1. Mulai SQL Workbench/J. Pada halaman Select Connection Profile, tambahkan Grup Profil yang disebut. AzureAuth

    2. Untuk Profil Koneksi, masukkanAzure.

    3. Pilih Kelola Driver, dan pilih Amazon Redshift. Pilih ikon Open Folder di sebelah Library, lalu pilih JDBC file.jar yang sesuai.

    4. Pada halaman Pilih Profil Koneksi, tambahkan informasi ke profil koneksi sebagai berikut:

      • Untuk Pengguna, masukkan nama pengguna Microsoft Azure Anda. Ini adalah nama pengguna akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi.

      • Untuk Kata Sandi, masukkan kata sandi Microsoft Azure Anda.

      • Untuk Driver, pilih Amazon Redshift (com.amazon.redshift.jdbc.driver).

      • Untuk URL, masukkanjdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Pilih Extended Properties untuk menambahkan informasi tambahan ke properti koneksi, seperti yang dijelaskan berikut.

      Untuk konfigurasi masuk tunggal Azure AD, tambahkan informasi tambahan sebagai berikut:

      • Untuk plugin_name, masukkan. com.amazon.redshift.plugin.AzureCredentialsProvider Nilai ini menentukan driver untuk menggunakan Azure AD Single Sign-On sebagai metode otentikasi.

      • Untuk idp_tenant, masukkan. your-idp-tenant Hanya digunakan untuk Microsoft Azure AD. Ini adalah nama penyewa perusahaan Anda yang dikonfigurasi pada Azure AD. Nilai ini dapat berupa nama penyewa atau ID unik penyewa dengan tanda hubung.

      • Untuk client_secret, masukkan. your-azure-redshift-application-client-secret Hanya digunakan untuk Microsoft Azure AD. Ini adalah rahasia klien Anda dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi Azure Single Sign-On Anda. Ini hanya berlaku untuk com.amazon.redshift.plugin. AzureCredentialsProviderplugin.

      • Untuk client_id, masukkan. your-azure-redshift-application-client-id Hanya digunakan untuk Microsoft Azure AD. Ini adalah ID klien (dengan tanda hubung) dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi Azure Single Sign-On Anda.

      Untuk sistem masuk tunggal Azure AD dengan MFA konfigurasi, tambahkan informasi tambahan ke properti koneksi sebagai berikut:

      • Untuk plugin_name, masukkan. com.amazon.redshift.plugin.BrowserAzureCredentialsProvider Nilai ini menentukan driver untuk menggunakan sistem masuk tunggal Azure AD MFA sebagai metode otentikasi.

      • Untuk idp_tenant, masukkan. your-idp-tenant Hanya digunakan untuk Microsoft Azure AD. Ini adalah nama penyewa perusahaan Anda yang dikonfigurasi pada Azure AD. Nilai ini dapat berupa nama penyewa atau ID unik penyewa dengan tanda hubung.

      • Untuk client_id, masukkan. your-azure-redshift-application-client-id Opsi ini hanya digunakan untuk Microsoft Azure AD. Ini adalah ID klien (dengan tanda hubung) dari aplikasi Amazon Redshift yang Anda buat saat mengatur sistem masuk tunggal Azure AD Anda dengan konfigurasi. MFA

      • Untuk listen_port, masukkan. your-listen-port Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890.

      • Untuk idp_response_timeout, masukkan. the-number-of-seconds Ini adalah jumlah detik untuk menunggu sebelum waktu habis ketika server iDP mengirim kembali respons. Jumlah minimum detik harus 10. Jika membuat koneksi membutuhkan waktu lebih lama dari ambang ini, maka koneksi dibatalkan.

ODBCUntuk mengatur otentikasi ke Microsoft Azure AD

  • Konfigurasikan klien database Anda untuk terhubung ke klaster Anda melalui ODBC penggunaan sistem masuk tunggal Azure AD Anda.

    Amazon Redshift menyediakan ODBC driver untuk sistem operasi Linux, Windows, dan macOS. Sebelum Anda menginstal ODBC driver, tentukan apakah alat SQL klien Anda 32-bit atau 64-bit. Instal ODBC driver yang sesuai dengan persyaratan alat SQL klien Anda.

    Di Windows, di halaman DSNPengaturan ODBC Driver Amazon Redshift, di bawah Pengaturan Koneksi, masukkan informasi berikut:

    • Untuk Nama Sumber Data, masukkanyour-DSN. Ini menentukan nama sumber data yang digunakan sebagai nama ODBC profil.

    • Untuk tipe Auth untuk konfigurasi masuk tunggal Azure AD, pilih. Identity Provider: Azure AD Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan sistem masuk tunggal Azure.

    • Untuk tipe Auth untuk sistem masuk tunggal Azure AD dengan MFA konfigurasi, pilih. Identity Provider: Browser Azure AD Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan sistem masuk tunggal Azure. MFA

    • Untuk ID Cluster, masukkanyour-cluster-identifier.

    • Untuk Wilayah, masukkanyour-cluster-region.

    • Untuk Database, masukkanyour-database-name.

    • Untuk Pengguna, masukkanyour-azure-username. Ini adalah nama pengguna untuk akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. Gunakan ini hanya untuk Jenis Auth adalah Penyedia Identitas: Azure AD.

    • Untuk Kata Sandi, masukkanyour-azure-password. Gunakan ini hanya untuk Jenis Auth adalah Penyedia Identitas: Azure AD.

    • Untuk IDP Tenant, masukkan. your-idp-tenant Ini adalah nama penyewa perusahaan Anda yang dikonfigurasi di IDP (Azure) Anda. Nilai ini dapat berupa nama penyewa atau ID unik penyewa dengan tanda hubung.

    • Untuk Rahasia Klien Azure, masukkanyour-azure-redshift-application-client-secret. Ini adalah rahasia klien dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi masuk tunggal Azure Anda.

    • Untuk ID Klien Azure, masukkanyour-azure-redshift-application-client-id. Ini adalah ID klien (dengan tanda hubung) dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi masuk tunggal Azure Anda.

    • Untuk Listen Port, masukkanyour-listen-port. Ini adalah port mendengarkan default yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini hanya berlaku untuk plugin Browser Azure AD.

    • Untuk Response Timeout, masukkanthe-number-of-seconds. Ini adalah jumlah detik untuk menunggu sebelum waktu habis ketika server iDP mengirim kembali respons. Jumlah minimum detik harus 10. Jika membuat koneksi membutuhkan waktu lebih lama dari ambang ini, maka koneksi dibatalkan. Opsi ini hanya berlaku untuk plugin Browser Azure AD.

    Di macOS dan Linux, edit odbc.ini file sebagai berikut:

    catatan

    Semua entri tidak peka huruf besar/kecil.

    • Untuk clusterid, masukkan. your-cluster-identifier Ini adalah nama cluster Amazon Redshift yang dibuat.

    • Untuk wilayah, masukkanyour-cluster-region. Ini adalah AWS Wilayah cluster Amazon Redshift yang dibuat.

    • Untuk database, masukkanyour-database-name. Ini adalah nama database yang Anda coba akses di cluster Amazon Redshift.

    • Untuk lokal, masukkanen-us. Ini adalah bahasa yang menampilkan pesan kesalahan.

    • Untuk iam, masukkan1. Nilai ini menentukan driver untuk mengautentikasi menggunakan IAM kredensional.

    • Untuk plugin_name untuk konfigurasi masuk tunggal Azure AD, masukkan. AzureAD Ini menentukan driver untuk menggunakan Azure Single Sign-On sebagai metode otentikasi.

    • Untuk plugin_name untuk sistem masuk tunggal Azure AD dengan konfigurasi, masukkan. MFA BrowserAzureAD Ini menentukan driver untuk menggunakan Azure Single Sign-On MFA sebagai metode otentikasi.

    • Untuk uid, masukkanyour-azure-username. Ini adalah nama pengguna akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. Gunakan ini hanya untuk plugin_name adalah AzuRead.

    • Untuk pwd, masukkan. your-azure-password Gunakan ini hanya untuk plugin_name adalah AzuRead.

    • Untuk idp_tenant, masukkan. your-idp-tenant Ini adalah nama penyewa perusahaan Anda yang dikonfigurasi di IDP (Azure) Anda. Nilai ini dapat berupa nama penyewa atau ID unik penyewa dengan tanda hubung.

    • Untuk client_secret, masukkan. your-azure-redshift-application-client-secret Ini adalah rahasia klien dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi masuk tunggal Azure Anda.

    • Untuk client_id, masukkan. your-azure-redshift-application-client-id Ini adalah ID klien (dengan tanda hubung) dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi masuk tunggal Azure Anda.

    • Untuk listen_port, masukkan. your-listen-port Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini berlaku untuk plugin Browser Azure AD.

    • Untuk idp_response_timeout, masukkan. the-number-of-seconds Ini adalah periode waktu yang ditentukan dalam hitungan detik untuk menunggu respons dari Azure. Opsi ini berlaku untuk plugin Browser Azure AD.

    Di macOS dan Linux, edit juga pengaturan profil untuk menambahkan ekspor berikut.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Untuk memecahkan masalah dengan plugin Browser Azure AD

  1. Untuk menggunakan plugin Browser Azure AD, Anda harus mengatur balasan yang URL ditentukan dalam permintaan agar sesuai dengan balasan yang URL dikonfigurasi untuk aplikasi Anda.

    Arahkan ke SAML halaman Siapkan Single Sign-On with di portal Microsoft Azure. Kemudian periksa Balasan URL diatur ke http://localhost/redshift/.

  2. Jika Anda mendapatkan kesalahan penyewa IDP, verifikasi bahwa nama IDP Tenant cocok dengan nama domain yang awalnya Anda gunakan untuk mengatur Direktori Aktif di Microsoft Azure.

    Di Windows, navigasikan ke bagian Pengaturan Koneksi pada halaman ODBC DSN Pengaturan Amazon Redshift. Kemudian periksa nama penyewa perusahaan Anda yang dikonfigurasi di IDP (Azure) cocok dengan nama domain yang awalnya Anda gunakan untuk mengatur Direktori Aktif di Microsoft Azure.

    Di macOS dan Linux, temukan file odbc.ini. Kemudian periksa nama penyewa perusahaan Anda yang dikonfigurasi di IDP (Azure) cocok dengan nama domain yang awalnya Anda gunakan untuk mengatur Direktori Aktif di Microsoft Azure.

  3. Jika Anda mendapatkan kesalahan bahwa balasan yang URL ditentukan dalam permintaan tidak cocok dengan balasan yang URLs dikonfigurasi untuk aplikasi Anda, verifikasi bahwa Pengalihan URIs sama dengan balasanURL.

    Arahkan ke halaman pendaftaran Aplikasi aplikasi Anda di portal Microsoft Azure. Kemudian periksa Redirect URIs cocok dengan balasanURL.

  4. Jika Anda mendapatkan respons tak terduga: kesalahan tidak sah, verifikasi bahwa Anda telah menyelesaikan konfigurasi aplikasi Seluler dan desktop.

    Arahkan ke halaman pendaftaran Aplikasi aplikasi Anda di portal Microsoft Azure. Kemudian navigasikan ke Otentikasi dan periksa apakah Anda mengonfigurasi aplikasi Seluler dan desktop untuk menggunakan http://localhost/redshift/ sebagai URIs pengalihan.

AD FS

Anda dapat menggunakan AD FS sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda. Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan untuk tujuan ini.

Untuk mengatur AD FS dan AWS akun untuk saling percaya

  1. Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna AD FS dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat Membuat Cluster.

  2. Siapkan AD FS untuk mengontrol akses Amazon Redshift di Konsol Manajemen Microsoft:

    1. Pilih ADFS2.0, lalu pilih Add Relying Party Trust. Pada halaman Add Relying Party Trust Wizard, pilih Mulai.

    2. Pada halaman Pilih Sumber Data, pilih Impor data tentang pihak yang mengandalkan yang dipublikasikan secara online atau di jaringan lokal.

    3. Untuk alamat metadata Federasi (nama host atauURL), masukkan. https://signin.aws.amazon.com/saml-metadata.xml XMLFile metadata adalah dokumen SAML metadata standar yang menjelaskan AWS sebagai partai yang mengandalkan.

    4. Pada halaman Tentukan Nama Tampilan, masukkan nilai untuk Nama tampilan.

    5. Pada halaman Pilih Aturan Otorisasi Penerbitan, pilih aturan otorisasi penerbitan untuk mengizinkan atau menolak semua pengguna mengakses pihak yang bergantung ini.

    6. Pada halaman Siap Tambah Kepercayaan, tinjau pengaturan Anda.

    7. Pada halaman Selesai, pilih Buka dialog Edit Aturan Klaim untuk kepercayaan pihak yang mengandalkan ini saat wizard ditutup.

    8. Pada menu konteks (klik kanan), pilih Mengandalkan Perwalian Partai.

    9. Untuk pihak yang mengandalkan Anda, buka menu konteks (klik kanan) dan pilih Edit Aturan Klaim. Pada halaman Edit Aturan Klaim, pilih Tambah Aturan.

    10. Untuk templat aturan Klaim, pilih Ubah Klaim Masuk, lalu pada NameId halaman Edit Aturan —, lakukan hal berikut:

      • Untuk nama aturan Klaim, masukkan NameId.

      • Untuk Nama klaim masuk, pilih Nama Akun Windows.

      • Untuk Nama klaim keluar, pilih ID Nama.

      • Untuk format ID nama keluar, pilih Persistent Identifier.

      • Pilih Lewati semua nilai klaim.

    11. Pada halaman Edit Aturan Klaim, pilih Tambah Aturan. Pada halaman Pilih Templat Aturan, untuk templat aturan Klaim, pilih Kirim LDAP Atribut sebagai Klaim.

    12. Pada halaman Configure Rule, lakukan hal berikut:

      • Untuk nama aturan Klaim, masukkan RoleSessionName.

      • Untuk toko Atribut, pilih Active Directory.

      • Untuk LDAPAtribut, pilih Alamat Email.

      • Untuk Jenis Klaim Keluar, pilihhttps://aws.amazon.com/SAML/Attributes/RoleSessionName.

    13. Pada halaman Edit Aturan Klaim, pilih Tambah Aturan. Pada halaman Pilih Templat Aturan, untuk templat aturan Klaim, pilih Kirim Klaim Menggunakan Aturan Kustom.

    14. Pada halaman Aturan Edit — Dapatkan Grup IKLAN, untuk nama aturan Klaim, masukkan Dapatkan Grup IKLAN.

    15. Untuk aturan Kustom, masukkan yang berikut ini.

      c:[Type ==
                                    "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
                                    Issuer == "AD AUTHORITY"] => add(store = "Active Directory",
                                    types = ("http://temp/variable"), query = ";tokenGroups;{0}",
                                    param = c.Value);

    16. Pada halaman Edit Aturan Klaim, pilih Tambah Aturan. Pada halaman Pilih Templat Aturan, untuk templat aturan Klaim, pilih Kirim Klaim Menggunakan Aturan Kustom.

    17. Pada halaman Edit Aturan — Peran, untuk nama aturan Klaim, ketik Peran.

    18. Untuk aturan Kustom, masukkan yang berikut ini.

      c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

      Perhatikan SAML penyedia dan peran yang harus diasumsikan. ARNs Dalam contoh ini, arn:aws:iam:123456789012:saml-provider/ADFS adalah SAML penyedia dan arn:aws:iam:123456789012:role/ADFS- merupakan peran. ARN ARN

  3. Pastikan Anda telah mengunduh federationmetadata.xml file tersebut. Periksa apakah isi dokumen tidak memiliki karakter yang tidak valid. Ini adalah file metadata yang Anda gunakan saat mengonfigurasi hubungan kepercayaan dengan AWS.

  4. Buat penyedia IAM SAML identitas di IAM konsol. Dokumen metadata. yang Anda berikan adalah XML file metadata federasi yang Anda simpan saat Anda menyiapkan Aplikasi Azure Enterprise. Untuk langkah-langkah mendetail, lihat Membuat dan Mengelola Penyedia IAM Identitas (Konsol) di Panduan IAM Pengguna.

  5. Buat IAM peran untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat Peran SAML di Panduan IAM Pengguna.

  6. Buat IAM kebijakan yang dapat Anda lampirkan ke IAM peran yang Anda buat untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat IAM Kebijakan (Konsol) di Panduan IAM Pengguna. Untuk contoh Azure AD, lihatMenyiapkan JDBC atau ODBC otentikasi masuk tunggal.

JDBCUntuk mengatur otentikasi ke AD FS

  • Konfigurasikan klien database Anda untuk terhubung ke klaster Anda JDBC menggunakan sistem masuk tunggal AD FS.

    Anda dapat menggunakan klien apa pun yang menggunakan JDBC driver untuk terhubung menggunakan sistem masuk tunggal AD FS atau menggunakan bahasa seperti Java untuk terhubung menggunakan skrip. Untuk informasi instalasi dan konfigurasi, lihatMengkonfigurasi koneksi untuk JDBC driver versi 2.1 untuk Amazon Redshift.

    Misalnya, Anda dapat menggunakan SQLWorkbench /J sebagai klien. Ketika Anda mengkonfigurasi SQLWorkbench /J, database Anda menggunakan format berikut. URL

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Jika Anda menggunakan SQLWorkbench /J sebagai klien, lakukan langkah-langkah berikut:

    1. Mulai SQL Workbench/J. Di halaman Pilih Profil Koneksi, tambahkan Grup Profil, misalnya. ADFS

    2. Untuk Profil Koneksi, masukkan nama profil koneksi Anda, misalnyaADFS.

    3. Pilih Kelola Driver, dan pilih Amazon Redshift. Pilih ikon Open Folder di sebelah Library, lalu pilih JDBC file.jar yang sesuai.

    4. Pada halaman Pilih Profil Koneksi, tambahkan informasi ke profil koneksi sebagai berikut:

      • Untuk Pengguna, masukkan nama pengguna AD FS Anda. Ini adalah nama pengguna akun yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi.

      • Untuk Kata Sandi, masukkan kata sandi AD FS Anda.

      • Untuk Driver, pilih Amazon Redshift (com.amazon.redshift.jdbc.driver).

      • Untuk URL, masukkanjdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Pilih Extended Properties. Untuk plugin_name, masukkan. com.amazon.redshift.plugin.AdfsCredentialsProvider Nilai ini menentukan driver untuk menggunakan sistem masuk tunggal AD FS sebagai metode otentikasi.

ODBCUntuk mengatur otentikasi ke AD FS

  • Konfigurasikan klien database Anda untuk terhubung ke klaster Anda ODBC menggunakan sistem masuk tunggal AD FS.

    Amazon Redshift menyediakan ODBC driver untuk sistem operasi Linux, Windows, dan macOS. Sebelum Anda menginstal ODBC driver, tentukan apakah alat SQL klien Anda 32-bit atau 64-bit. Instal ODBC driver yang sesuai dengan persyaratan alat SQL klien Anda.

    Di Windows, di halaman DSNPengaturan ODBC Driver Amazon Redshift, di bawah Pengaturan Koneksi, masukkan informasi berikut:

    • Untuk Nama Sumber Data, masukkanyour-DSN. Ini menentukan nama sumber data yang digunakan sebagai nama ODBC profil.

    • Untuk jenis Auth, pilih Penyedia Identitas: SAML. Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan sistem masuk tunggal AD FS.

    • Untuk ID Cluster, masukkanyour-cluster-identifier.

    • Untuk Wilayah, masukkanyour-cluster-region.

    • Untuk Database, masukkanyour-database-name.

    • Untuk Pengguna, masukkanyour-adfs-username. Ini adalah nama pengguna untuk akun AD FS yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi. Gunakan ini hanya untuk jenis Auth adalah Penyedia Identitas: SAML.

    • Untuk Kata Sandi, masukkanyour-adfs-password. Gunakan ini hanya untuk jenis Auth adalah Penyedia Identitas: SAML.

    Di macOS dan Linux, edit odbc.ini file sebagai berikut:

    catatan

    Semua entri tidak peka huruf besar/kecil.

    • Untuk clusterid, masukkan. your-cluster-identifier Ini adalah nama cluster Amazon Redshift yang dibuat.

    • Untuk wilayah, masukkanyour-cluster-region. Ini adalah AWS Wilayah cluster Amazon Redshift yang dibuat.

    • Untuk database, masukkanyour-database-name. Ini adalah nama database yang Anda coba akses di cluster Amazon Redshift.

    • Untuk lokal, masukkanen-us. Ini adalah bahasa yang menampilkan pesan kesalahan.

    • Untuk iam, masukkan1. Nilai ini menentukan driver untuk mengautentikasi menggunakan IAM kredensional.

    • Untuk plugin_name, lakukan salah satu hal berikut:

      • Untuk proses masuk tunggal AD FS dengan MFA konfigurasi, masukkan. BrowserSAML Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi ke AD FS.

      • Untuk konfigurasi masuk tunggal AD FS, masukkan. ADFS Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan sistem masuk tunggal Azure AD.

    • Untuk uid, masukkanyour-adfs-username. Ini adalah nama pengguna akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. Gunakan ini hanya untuk plugin_name is. ADFS

    • Untuk pwd, masukkan. your-adfs-password Gunakan ini hanya untuk plugin_name is. ADFS

    Di macOS dan Linux, edit juga pengaturan profil untuk menambahkan ekspor berikut.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Ping Identity

Anda dapat menggunakan Ping Identity sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda. Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan untuk tujuan ini menggunakan PingOne portal.

Untuk mengatur Identitas Ping dan AWS akun untuk saling percaya

  1. Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna Identitas Ping Anda dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat Membuat Cluster.

  2. Tambahkan Amazon Redshift sebagai SAML aplikasi baru di portal. PingOne Untuk langkah-langkah rinci, lihat dokumentasi Ping Identity.

    1. Buka Aplikasi Saya.

    2. Di bawah Add Application, pilih New SAML Application.

    3. Untuk Nama Aplikasi, masukkanAmazon Redshift.

    4. Untuk Protocol Version, pilih SAMLv2.0.

    5. Untuk Kategori, pilihyour-application-category.

    6. Untuk Assertion Consumer Service (ACS), ketik. your-redshift-local-host-url Ini adalah host dan port lokal yang SAML dialihkan oleh pernyataan.

    7. Untuk ID Entitas, masukkan urn:amazon:webservices.

    8. Untuk Menandatangani, pilih Tanda Pernyataan.

    9. Di bagian Pemetaan SSO Atribut, buat klaim seperti yang ditunjukkan pada tabel berikut.

      Atribut aplikasi Atribut jembatan identitas dari nilai literal

      https://aws.amazon.com/SAML/Attributes/Role

      arn:aws:iam::123456789012:peran/Ping, arn:aws:iam::123456789012:saml-provider/PingProvider

      https://aws.amazon.com/SAML/Attributes/RoleSessionName

      Email

      https://redshift.amazon.com/SAML/Attributes/AutoCreate

      “benar”

      https://redshift.amazon.com/SAML/Atribut/ DbUser

      Email

      https://redshift.amazon.com/SAML/Atribut/ DbGroups

      Grup dalam atribut “DbGroups” berisi awalan @directory. Untuk menghapus ini, di jembatan Identity, masukkan memberOf. Di Fungsi, pilih ExtractByRegularExpression. Dalam Ekspresi, masukkan (.*) [\ @] (? :.*).

  3. Untuk Akses Grup, siapkan akses grup berikut, jika diperlukan:

    • https://aws.amazon.com/SAML/Attributes/Role

    • https://aws.amazon.com/SAML/Attributes/RoleSessionName

    • https://redshift.amazon.com/SAML/Attributes/AutoCreate

    • https://redshift.amazon.com/SAML/Attributes/DbUser

  4. Tinjau pengaturan Anda dan buat perubahan, jika perlu.

  5. Gunakan Initiate Single Sign-On (SSO) URL sebagai login URL untuk plugin Browser. SAML

  6. Buat penyedia IAM SAML identitas di IAM konsol. Dokumen metadata yang Anda berikan adalah XML file metadata federasi yang Anda simpan saat Anda mengatur Ping Identity. Untuk langkah-langkah mendetail, lihat Membuat dan Mengelola Penyedia IAM Identitas (Konsol) di Panduan IAM Pengguna.

  7. Buat IAM peran untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat Peran SAML di Panduan IAM Pengguna.

  8. Buat IAM kebijakan yang dapat Anda lampirkan ke IAM peran yang Anda buat untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat IAM Kebijakan (Konsol) di Panduan IAM Pengguna. Untuk contoh Azure AD, lihatMenyiapkan JDBC atau ODBC otentikasi masuk tunggal.

JDBCUntuk mengatur otentikasi ke Ping Identity

  • Konfigurasikan klien database Anda untuk terhubung ke klaster Anda melalui JDBC penggunaan sistem masuk tunggal Ping Identity.

    Anda dapat menggunakan klien apa pun yang menggunakan JDBC driver untuk terhubung menggunakan sistem masuk tunggal Ping Identity atau menggunakan bahasa seperti Java untuk terhubung menggunakan skrip. Untuk informasi instalasi dan konfigurasi, lihatMengkonfigurasi koneksi untuk JDBC driver versi 2.1 untuk Amazon Redshift.

    Misalnya, Anda dapat menggunakan SQLWorkbench /J sebagai klien. Ketika Anda mengkonfigurasi SQLWorkbench /J, database Anda menggunakan format berikut. URL

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Jika Anda menggunakan SQLWorkbench /J sebagai klien, lakukan langkah-langkah berikut:

    1. Mulai SQL Workbench/J. Di halaman Pilih Profil Koneksi, tambahkan Grup Profil, misalnya. Ping

    2. Untuk Profil Koneksiyour-connection-profile-name, masukkan, misalnyaPing.

    3. Pilih Kelola Driver, dan pilih Amazon Redshift. Pilih ikon Open Folder di sebelah Library, lalu pilih JDBC file.jar yang sesuai.

    4. Pada halaman Pilih Profil Koneksi, tambahkan informasi ke profil koneksi sebagai berikut:

      • Untuk Pengguna, masukkan nama PingOne pengguna Anda. Ini adalah nama pengguna PingOne akun yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi.

      • Untuk Kata Sandi, masukkan PingOne kata sandi Anda.

      • Untuk Driver, pilih Amazon Redshift (com.amazon.redshift.jdbc.driver).

      • Untuk URL, masukkanjdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Pilih Extended Properties dan lakukan salah satu hal berikut:

      • Untuk login_url, masukkan. your-ping-sso-login-url Nilai ini menentukan URL untuk menggunakan sistem masuk tunggal sebagai otentikasi untuk masuk.

      • Untuk Ping Identity, untuk plugin_name, masukkan. com.amazon.redshift.plugin.PingCredentialsProvider Nilai ini menentukan driver untuk menggunakan Ping Identity single sign-on sebagai metode otentikasi.

      • Untuk Ping Identity dengan sistem masuk tunggal, untuk plugin_name, masukkan. com.amazon.redshift.plugin.BrowserSamlCredentialsProvider Nilai ini menentukan driver untuk menggunakan Ping Identity PingOne dengan single sign-on sebagai metode otentikasi.

ODBCUntuk mengatur otentikasi ke Ping Identity

  • Konfigurasikan klien database Anda untuk terhubung ke klaster Anda melalui ODBC penggunaan sistem masuk PingOne tunggal Ping Identity.

    Amazon Redshift menyediakan ODBC driver untuk sistem operasi Linux, Windows, dan macOS. Sebelum Anda menginstal ODBC driver, tentukan apakah alat SQL klien Anda 32-bit atau 64-bit. Instal ODBC driver yang sesuai dengan persyaratan alat SQL klien Anda.

    Di Windows, di halaman DSNPengaturan ODBC Driver Amazon Redshift, di bawah Pengaturan Koneksi, masukkan informasi berikut:

    • Untuk Nama Sumber Data, masukkanyour-DSN. Ini menentukan nama sumber data yang digunakan sebagai nama ODBC profil.

    • Untuk jenis Auth, lakukan salah satu hal berikut:

      • Untuk konfigurasi Ping Identity, pilih Identity Provider: Ping Federate. Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan sistem masuk tunggal Ping Identity.

      • Untuk Ping Identity dengan konfigurasi masuk tunggal, pilih Penyedia Identitas: Browser. SAML Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan Ping Identity dengan single sign-on.

    • Untuk ID Cluster, masukkanyour-cluster-identifier.

    • Untuk Wilayah, masukkanyour-cluster-region.

    • Untuk Database, masukkanyour-database-name.

    • Untuk Pengguna, masukkanyour-ping-username. Ini adalah nama pengguna untuk PingOne akun yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi. Gunakan ini hanya untuk jenis Auth adalah Penyedia Identitas: PingFederate.

    • Untuk Kata Sandi, masukkanyour-ping-password. Gunakan ini hanya untuk jenis Auth adalah Penyedia Identitas: PingFederate.

    • Untuk Listen Port, masukkanyour-listen-port. Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini hanya berlaku untuk SAML plugin Browser.

    • Untuk Response Timeout, masukkanthe-number-of-seconds. Ini adalah jumlah detik untuk menunggu sebelum waktu habis ketika server iDP mengirim kembali respons. Jumlah minimum detik harus 10. Jika membuat koneksi membutuhkan waktu lebih lama dari ambang ini, maka koneksi dibatalkan. Ini hanya berlaku untuk SAML plugin Browser.

    • Untuk Login URL, masukkanyour-login-url. Ini hanya berlaku untuk SAML plugin Browser.

    Di macOS dan Linux, edit odbc.ini file sebagai berikut:

    catatan

    Semua entri tidak peka huruf besar/kecil.

    • Untuk clusterid, masukkan. your-cluster-identifier Ini adalah nama cluster Amazon Redshift yang dibuat.

    • Untuk wilayah, masukkanyour-cluster-region. Ini adalah AWS Wilayah cluster Amazon Redshift yang dibuat.

    • Untuk database, masukkanyour-database-name. Ini adalah nama database yang Anda coba akses di cluster Amazon Redshift.

    • Untuk lokal, masukkanen-us. Ini adalah bahasa yang menampilkan pesan kesalahan.

    • Untuk iam, masukkan1. Nilai ini menentukan driver untuk mengautentikasi menggunakan IAM kredensional.

    • Untuk plugin_name, lakukan salah satu hal berikut:

      • Untuk konfigurasi Ping Identity, masukkanBrowserSAML. Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi ke Ping Identity.

      • Untuk Ping Identity dengan konfigurasi masuk tunggal, masukkan. Ping Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan Ping Identity dengan single sign-on.

    • Untuk uid, masukkanyour-ping-username. Ini adalah nama pengguna akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. Gunakan ini hanya untuk plugin_name adalah Ping.

    • Untuk pwd, masukkan. your-ping-password Gunakan ini hanya untuk plugin_name adalah Ping.

    • Untuk login_url, masukkan. your-login-url Ini adalah sistem masuk tunggal Initiate URL yang mengembalikan Response. SAML Ini hanya berlaku untuk SAML plugin Browser.

    • Untuk idp_response_timeout, masukkan. the-number-of-seconds Ini adalah periode waktu yang ditentukan dalam hitungan detik untuk menunggu respons dari PingOne Identity. Ini hanya berlaku untuk SAML plugin Browser.

    • Untuk listen_port, masukkan. your-listen-port Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini hanya berlaku untuk SAML plugin Browser.

    Di macOS dan Linux, edit juga pengaturan profil untuk menambahkan ekspor berikut.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Okta

Anda dapat menggunakan Okta sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda. Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan untuk tujuan ini.

Untuk mengatur Okta dan Anda AWS akun untuk saling percaya

  1. Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna Okta dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat Membuat Cluster.

  2. Tambahkan Amazon Redshift sebagai aplikasi baru di portal Okta. Untuk langkah-langkah rinci, lihat dokumentasi Okta.

    • Pilih Tambahkan Aplikasi.

    • Di bawah Tambahkan Aplikasi, pilih Buat Aplikasi Baru.

    • Pada halaman Create a New Add Application Integration, untuk Platform, pilih Web.

    • Untuk metode Sign on, pilih SAMLv2.0.

    • Pada halaman Pengaturan Umum, untuk nama Aplikasi, masukkanyour-redshift-saml-sso-name. Ini adalah nama aplikasi Anda.

    • Pada halaman SAMLPengaturan, untuk Single sign on URL, masukkanyour-redshift-local-host-url. Ini adalah host dan port lokal yang dialihkan SAML oleh pernyataan, misalnya. http://localhost:7890/redshift/

  3. Gunakan URL nilai Single sign on sebagai Penerima URL dan Tujuan URL.

  4. Untuk Menandatangani, pilih Tanda Pernyataan.

  5. Untuk Audiens URI (SP Entity ID), masukkan urn:amazon:webservices klaim, seperti yang ditunjukkan pada tabel berikut.

  6. Di bagian Pengaturan Lanjut, untuk ID SAML Penerbit, masukkanyour-Identity-Provider-Issuer-ID, yang dapat Anda temukan di bagian Lihat Petunjuk Pengaturan.

  7. Di bagian Pernyataan Atribut, buat klaim seperti yang ditunjukkan pada tabel berikut.

    Nama klaim Nilai

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam::123456789012:peran/Okta, arn:aws:iam::123456789012:saml-provider/Okta

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.email

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    “benar”

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.email

  8. Di bagian App Embed Link, temukan URL yang dapat Anda gunakan sebagai login URL untuk SAML plugin Browser.

  9. Buat penyedia IAM SAML identitas di IAM konsol. Dokumen metadata yang Anda berikan adalah XML file metadata federasi yang Anda simpan saat Anda mengatur Okta. Untuk langkah-langkah mendetail, lihat Membuat dan Mengelola Penyedia IAM Identitas (Konsol) di Panduan IAM Pengguna.

  10. Buat IAM peran untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat Peran SAML di Panduan IAM Pengguna.

  11. Buat IAM kebijakan yang dapat Anda lampirkan ke IAM peran yang Anda buat untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat IAM Kebijakan (Konsol) di Panduan IAM Pengguna. Untuk contoh Azure AD, lihatMenyiapkan JDBC atau ODBC otentikasi masuk tunggal.

JDBCUntuk mengatur otentikasi ke Okta

  • Konfigurasikan klien database Anda untuk terhubung ke cluster Anda melalui JDBC penggunaan Okta single sign-on.

    Anda dapat menggunakan klien apa pun yang menggunakan JDBC driver untuk terhubung menggunakan Okta single sign-on atau menggunakan bahasa seperti Java untuk terhubung menggunakan skrip. Untuk informasi instalasi dan konfigurasi, lihatMengkonfigurasi koneksi untuk JDBC driver versi 2.1 untuk Amazon Redshift.

    Misalnya, Anda dapat menggunakan SQLWorkbench /J sebagai klien. Ketika Anda mengkonfigurasi SQLWorkbench /J, database Anda menggunakan format berikut. URL

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Jika Anda menggunakan SQLWorkbench /J sebagai klien, lakukan langkah-langkah berikut:

    1. Mulai SQL Workbench/J. Di halaman Pilih Profil Koneksi, tambahkan Grup Profil, misalnya. Okta

    2. Untuk Profil Koneksiyour-connection-profile-name, masukkan, misalnyaOkta.

    3. Pilih Kelola Driver, dan pilih Amazon Redshift. Pilih ikon Open Folder di sebelah Library, lalu pilih JDBC file.jar yang sesuai.

    4. Pada halaman Pilih Profil Koneksi, tambahkan informasi ke profil koneksi sebagai berikut:

      • Untuk Pengguna, masukkan nama pengguna Okta Anda. Ini adalah nama pengguna akun Okta yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi.

      • Untuk Kata Sandi, masukkan kata sandi Okta Anda.

      • Untuk Driver, pilih Amazon Redshift (com.amazon.redshift.jdbc.driver).

      • Untuk URL, masukkanjdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Pilih Extended Properties dan lakukan salah satu hal berikut:

      • Untuk login_url, masukkan. your-okta-sso-login-url Nilai ini menentukan URL untuk menggunakan sistem masuk tunggal sebagai otentikasi untuk masuk ke Okta.

      • Untuk sistem masuk tunggal Okta, untuk plugin_name, masukkan. com.amazon.redshift.plugin.OktaCredentialsProvider Nilai ini menentukan driver untuk menggunakan Okta single sign-on sebagai metode otentikasi.

      • Untuk sistem masuk tunggal Okta denganMFA, untuk plugin_name, masukkan. com.amazon.redshift.plugin.BrowserSamlCredentialsProvider Nilai ini menentukan driver untuk menggunakan Okta single sign-on MFA sebagai metode otentikasi.

ODBCUntuk mengatur otentikasi ke Okta

  • Konfigurasikan klien database Anda untuk terhubung ke cluster Anda melalui ODBC penggunaan Okta single sign-on.

    Amazon Redshift menyediakan ODBC driver untuk sistem operasi Linux, Windows, dan macOS. Sebelum Anda menginstal ODBC driver, tentukan apakah alat SQL klien Anda 32-bit atau 64-bit. Instal ODBC driver yang sesuai dengan persyaratan alat SQL klien Anda.

    Di Windows, di halaman DSNPengaturan ODBC Driver Amazon Redshift, di bawah Pengaturan Koneksi, masukkan informasi berikut:

    • Untuk Nama Sumber Data, masukkanyour-DSN. Ini menentukan nama sumber data yang digunakan sebagai nama ODBC profil.

    • Untuk jenis Auth, lakukan salah satu hal berikut:

      • Untuk konfigurasi masuk tunggal Okta, pilih. Identity Provider: Okta Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan Okta single sign-on.

      • Untuk sistem masuk tunggal Okta dengan MFA konfigurasi, pilih. Identity Provider: Browser SAML Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan Okta single sign-on. MFA

    • Untuk ID Cluster, masukkanyour-cluster-identifier.

    • Untuk Wilayah, masukkanyour-cluster-region.

    • Untuk Database, masukkanyour-database-name.

    • Untuk Pengguna, masukkanyour-okta-username. Ini adalah nama pengguna untuk akun Okta yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. Gunakan ini hanya untuk jenis Auth adalah Penyedia Identitas: Okta.

    • Untuk Kata Sandi, masukkanyour-okta-password. Gunakan ini hanya untuk jenis Auth adalah Penyedia Identitas: Okta.

    Di macOS dan Linux, edit odbc.ini file sebagai berikut:

    catatan

    Semua entri tidak peka huruf besar/kecil.

    • Untuk clusterid, masukkan. your-cluster-identifier Ini adalah nama cluster Amazon Redshift yang dibuat.

    • Untuk wilayah, masukkanyour-cluster-region. Ini adalah AWS Wilayah cluster Amazon Redshift yang dibuat.

    • Untuk database, masukkanyour-database-name. Ini adalah nama database yang Anda coba akses di cluster Amazon Redshift.

    • Untuk lokal, masukkanen-us. Ini adalah bahasa yang menampilkan pesan kesalahan.

    • Untuk iam, masukkan1. Nilai ini menentukan driver untuk mengautentikasi menggunakan IAM kredensional.

    • Untuk plugin_name, lakukan salah satu hal berikut:

      • Untuk sistem masuk tunggal Okta dengan MFA konfigurasi, masukkan. BrowserSAML Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi ke Okta single sign-on. MFA

      • Untuk konfigurasi masuk tunggal Okta, masukkan. Okta Ini adalah metode otentikasi yang digunakan ODBC driver untuk mengautentikasi menggunakan Okta single sign-on.

    • Untuk uid, masukkanyour-okta-username. Ini adalah nama pengguna akun Okta yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. Gunakan ini hanya untuk plugin_name adalah Okta.

    • Untuk pwd, masukkan. your-okta-password Gunakan ini hanya untuk plugin_name adalah Okta.

    • Untuk login_url, masukkan. your-login-url Ini adalah sistem masuk tunggal Initiate URL yang mengembalikan Response. SAML Ini hanya berlaku untuk SAML plugin Browser.

    • Untuk idp_response_timeout, masukkan. the-number-of-seconds Ini adalah periode waktu yang ditentukan dalam hitungan detik untuk menunggu respons dari PingOne. Ini hanya berlaku untuk SAML plugin Browser.

    • Untuk listen_port, masukkan. your-listen-port Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini hanya berlaku untuk SAML plugin Browser.

    Di macOS dan Linux, edit juga pengaturan profil untuk menambahkan ekspor berikut.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini