Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IKLAN FS
Tutorial ini menunjukkan kepada Anda bagaimana Anda dapat menggunakan AD FS sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda.
Langkah 1: Siapkan AD FS dan AWS akun Anda untuk saling percaya
Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan.
-
Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna AD FS dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat Membuat Cluster.
-
Siapkan AD FS untuk mengontrol akses Amazon Redshift di Konsol Manajemen Microsoft:
-
Pilih ADFS2.0, lalu pilih Add Relying Party Trust. Pada halaman Add Relying Party Trust Wizard, pilih Mulai.
-
Pada halaman Pilih Sumber Data, pilih Impor data tentang pihak yang mengandalkan yang dipublikasikan secara online atau di jaringan lokal.
-
Untuk alamat metadata Federasi (nama host atauURL), masukkan.
https://signin.aws.amazon.com/saml-metadata.xml
XMLFile metadata adalah dokumen SAML metadata standar yang menggambarkan AWS sebagai pihak yang mengandalkan. -
Pada halaman Tentukan Nama Tampilan, masukkan nilai untuk Nama tampilan.
-
Pada halaman Pilih Aturan Otorisasi Penerbitan, pilih aturan otorisasi penerbitan untuk mengizinkan atau menolak semua pengguna mengakses pihak yang bergantung ini.
-
Pada halaman Siap Tambah Kepercayaan, tinjau pengaturan Anda.
-
Pada halaman Selesai, pilih Buka dialog Edit Aturan Klaim untuk kepercayaan pihak yang mengandalkan ini saat wizard ditutup.
-
Pada menu konteks (klik kanan), pilih Mengandalkan Perwalian Partai.
-
Untuk pihak yang mengandalkan Anda, buka menu konteks (klik kanan) dan pilih Edit Aturan Klaim. Pada halaman Edit Aturan Klaim, pilih Tambah Aturan.
-
Untuk templat aturan Klaim, pilih Ubah Klaim Masuk, lalu pada NameId halaman Edit Aturan —, lakukan hal berikut:
-
Untuk nama aturan Klaim, masukkan NameId.
-
Untuk Nama klaim masuk, pilih Nama Akun Windows.
-
Untuk Nama klaim keluar, pilih ID Nama.
-
Untuk format ID nama keluar, pilih Persistent Identifier.
-
Pilih Lewati semua nilai klaim.
-
-
Pada halaman Edit Aturan Klaim, pilih Tambah Aturan. Pada halaman Pilih Templat Aturan, untuk templat aturan Klaim, pilih Kirim LDAP Atribut sebagai Klaim.
-
Pada halaman Configure Rule, lakukan hal berikut:
-
Untuk nama aturan Klaim, masukkan RoleSessionName.
-
Untuk toko Atribut, pilih Active Directory.
-
Untuk LDAPAtribut, pilih Alamat Email.
-
Untuk Jenis Klaim Keluar, pilihhttps://aws.amazon.com/SAML/Attributes/RoleSessionName.
-
-
Pada halaman Edit Aturan Klaim, pilih Tambah Aturan. Pada halaman Pilih Templat Aturan, untuk templat aturan Klaim, pilih Kirim Klaim Menggunakan Aturan Kustom.
-
Pada halaman Aturan Edit — Dapatkan Grup IKLAN, untuk nama aturan Klaim, masukkan Dapatkan Grup IKLAN.
-
Untuk aturan Kustom, masukkan yang berikut ini.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
-
Pada halaman Edit Aturan Klaim, pilih Tambah Aturan. Pada halaman Pilih Templat Aturan, untuk templat aturan Klaim, pilih Kirim Klaim Menggunakan Aturan Kustom.
-
Pada halaman Edit Aturan — Peran, untuk nama aturan Klaim, ketik Peran.
-
Untuk aturan Kustom, masukkan yang berikut ini.
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
Perhatikan SAML penyedia dan peran yang harus diasumsikan. ARNs Dalam contoh ini,
arn:aws:iam:123456789012:saml-provider/ADFS
adalah SAML penyedia danarn:aws:iam:123456789012:role/ADFS-
merupakan peran. ARN ARN
-
-
Pastikan Anda telah mengunduh
federationmetadata.xml
file tersebut. Periksa apakah isi dokumen tidak memiliki karakter yang tidak valid. Ini adalah file metadata yang Anda gunakan saat mengonfigurasi hubungan kepercayaan. AWS -
Buat penyedia IAM SAML identitas di IAM konsol. Dokumen metadata. yang Anda berikan adalah XML file metadata federasi yang Anda simpan saat Anda menyiapkan Aplikasi Azure Enterprise. Untuk langkah-langkah mendetail, lihat Membuat dan Mengelola Penyedia IAM Identitas (Konsol) di Panduan IAM Pengguna.
-
Buat IAM peran untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat Peran SAML di Panduan IAM Pengguna.
-
Buat IAM kebijakan yang dapat Anda lampirkan ke IAM peran yang Anda buat untuk federasi SAML 2.0 di IAM konsol. Untuk langkah-langkah mendetail, lihat Membuat IAM Kebijakan (Konsol) di Panduan IAM Pengguna. Untuk contoh Azure AD, lihatMenyiapkan JDBC atau ODBC otentikasi masuk tunggal.