Abilita l'accesso federato all'Athena API - Amazon Athena
Prima di iniziareComprendi il processo di autenticazioneProcedura: abilitare l'accesso federato SAML basato su Athena API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita l'accesso federato all'Athena API

Questa sezione descrive l'accesso federato che consente a un'applicazione utente o client dell'organizzazione di chiamare le operazioni di Amazon API Athena. In questo caso, gli utenti dell'organizzazione non hanno accesso diretto ad Athena. Invece, gestisci le credenziali utente al di fuori di AWS in Microsoft Active Directory. Active Directory supporta SAML2.0 (Security Assertion Markup Language 2.0).

Per autenticare gli utenti in questo scenario, utilizzate il ODBC driver JDBC o con supporto SAML .2.0 per accedere ad Active Directory Federation Services (ADFS) 3.0 e abilitare un'applicazione client per richiamare le operazioni Athena. API

Per ulteriori informazioni sul supporto 2.0 su SAML AWS, vedere Informazioni sulla federazione SAML 2.0 nella Guida IAM per l'utente.

Nota

L'accesso federato ad API Athena è supportato per un particolare tipo di provider di identità (IdP), l'Active Directory Federation Service ADFS (3.0), che fa parte di Windows Server. L'accesso federato non è compatibile con la funzionalità di propagazione delle IAM identità affidabili di Identity Center. L'accesso viene stabilito tramite le versioni JDBC o ODBC i driver che supportano SAML la versione 2.0. Per informazioni, consulta Connettiti ad Amazon Athena con JDBC e Connettiti ad Amazon Athena con ODBC.

Prima di iniziare

Prima di iniziare, completa i seguenti prerequisiti:

  • All'interno della tua organizzazione, installa e configura ADFS 3.0 come IdP.

  • Installa e configura le versioni più recenti disponibili dei JDBC nostri ODBC driver sui client utilizzati per accedere ad Athena. Il driver deve includere il supporto per l'accesso federato compatibile con SAML la versione 2.0. Per informazioni, consulta Connettiti ad Amazon Athena con JDBC e Connettiti ad Amazon Athena con ODBC.

Comprendi il processo di autenticazione

Il diagramma seguente illustra il processo di autenticazione dell'accesso federato all'Athena. API

Diagramma dell'accesso federato all'Athena. API

  1. Un utente dell'organizzazione utilizza un'applicazione client con il ODBC driver JDBC or per richiedere l'autenticazione all'IdP dell'organizzazione. L'IdP è ADFS 3.0.

  2. L'IdP autentica l'utente rispetto ad Active Directory, che è l'archivio identità dell'organizzazione.

  3. L'IdP crea un'SAMLasserzione con informazioni sull'utente e invia l'asserzione all'applicazione client tramite il driver or. JDBC ODBC

  4. Il driver o chiama il JDBC ODBC AWS Security Token Service AssumeRoleWithSAMLAPIoperazione, passandole i seguenti parametri:

    • Il ARN nome del SAML provider

    • Il ARN ruolo da assumere

    • L'SAMLaffermazione dell'IdP

    Per ulteriori informazioni, vedere AssumeRoleWithSAML, in AWS Security Token Service APIRiferimento.

  5. La API risposta all'applicazione client tramite il ODBC driver JDBC or include credenziali di sicurezza temporanee.

  6. L'applicazione client utilizza le credenziali di sicurezza temporanee per chiamare le operazioni API Athena, consentendo agli utenti di accedere alle operazioni API Athena.

Procedura: abilitare l'accesso federato SAML basato su Athena API

Questa procedura stabilisce la fiducia tra l'IdP dell'organizzazione e il AWS account per abilitare l'accesso federato SAML basato sulle operazioni di Amazon API Athena.

Per abilitare l'accesso federato all'Athena: API

  1. Nella tua organizzazione, registrati AWS come service provider (SP) nel tuo IdP. Questo processo è noto come relazione di trust. Per ulteriori informazioni, consulta Configuring your SAML 2.0 IdP with relying party trust nella IAM Guida per l'utente. Come parte di questa operazione, eseguire questi passaggi:

    1. Ottieni il documento di esempio SAML sui metadati da questo:. URL https://signin.aws.amazon.com/static/saml-metadata.xml

    2. Nell'IdP (ADFS) della tua organizzazione, genera un XML file di metadati equivalente che descriva il tuo IdP come provider di identità per AWS. Il file di metadati deve includere il nome dell'emittente, la data di creazione, la data di scadenza e le chiavi che AWS utilizza per convalidare le risposte di autenticazione (asserzioni) dell'organizzazione.

  2. Nella IAM console, crea un'entità provider di SAML identità. Per ulteriori informazioni, consulta Creazione di provider di SAML identità nella Guida IAM per l'utente. Come parte di questo passaggio, eseguire queste operazioni:

    1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

    2. Carica il documento di SAML metadati prodotto dall'IdP ADFS () nel passaggio 1 di questa procedura.

  3. Nella IAM console, crea uno o più IAM ruoli per il tuo IdP. Per ulteriori informazioni, consulta Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente. Come parte di questo passaggio, eseguire queste operazioni:

    • Nella politica di autorizzazione del ruolo, elenca le azioni che gli utenti della tua organizzazione possono eseguire AWS.

    • Nella politica di attendibilità del ruolo, imposta come principale l'entità SAML provider creata nel passaggio 2 di questa procedura.

    In questo modo si stabilisce una relazione di fiducia tra l'organizzazione e AWS.

  4. Nell'IdP (ADFS) della tua organizzazione, definisci le asserzioni che associano gli utenti o i gruppi dell'organizzazione ai ruoli. IAM La mappatura di utenti e gruppi ai IAM ruoli è nota anche come regola di rivendicazione. Tieni presente che utenti e gruppi diversi all'interno dell'organizzazione potrebbero corrispondere a IAM ruoli diversi.

    Per informazioni sulla configurazione della mappatura inADFS, consulta il post del blog: Enabling federation to AWS utilizzando Windows Active Directory e ADFS SAML 2.0.

  5. Installa e configura il ODBC driver JDBC or con supporto SAML 2.0. Per informazioni, consulta Connettiti ad Amazon Athena con JDBC e Connettiti ad Amazon Athena con ODBC.

  6. Specificate la stringa di connessione dall'applicazione al ODBC driver JDBC or. Per informazioni sulla stringa di connessione che l'applicazione deve utilizzare, vedere l'argomento «Utilizzo del provider di credenziali Active Directory Federation Services (ADFS)» nella Guida all'installazione e alla configurazione dei JDBC driver o un argomento simile nella Guida all'installazione e alla configurazione dei ODBC driver, PDF scaricabile dagli Connettiti ad Amazon Athena con ODBC argomenti Connettiti ad Amazon Athena con JDBC and.

    Segue un riepilogo generale della configurazione della stringa di connessione ai driver:

    1. NelAwsCredentialsProviderClass configuration, imposta com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider per indicare che desideri utilizzare l'autenticazione basata su SAML 2.0 tramite ADFS IdP.

    2. Peridp_host, fornire il nome host del server ADFS IdP.

    3. Peridp_port, fornisci il numero di porta su cui l'ADFSIdP ascolta la SAML richiesta di asserzione.

    4. Per UID e PWD, fornire le credenziali utente di dominio AD. Quando si utilizza il driver su Windows, se UID e PWD non vengono forniti, il driver tenta di ottenere le credenziali utente dell'utente che ha effettuato l'accesso al computer Windows.

    5. Facoltativamente, impostare ssl_insecure su true. In questo caso, il driver non verifica l'autenticità del SSL certificato per il server ADFS IdP. L'impostazione su true è necessaria se il SSL certificato dell'ADFSIdP non è stato configurato per essere considerato affidabile dal driver.

    6. Per abilitare la mappatura di un utente o di un gruppo di dominio Active Directory su uno o più IAM ruoli (come indicato nel passaggio 4 di questa procedura), nella sezione preferred_role per la ODBC connessione JDBC o, specificare il IAM ruolo (ARN) da assumere per la connessione del driver. La specifica di preferred_role è facoltativa ed è utile se il ruolo non è il primo ruolo elencato nella regola di attestazione.

    Come risultato della procedura, si verificano le seguenti operazioni:

    1. Il ODBC driver JDBC o chiama il AWS STS AssumeRoleWithSAMLAPI, e gli passa le asserzioni, come mostrato nel passaggio 4 del diagramma di architettura.

    2. AWS si assicura che la richiesta di assunzione del ruolo provenga dall'IdP a cui si fa riferimento nell'entità del SAML provider.

    3. Se la richiesta ha esito positivo, il AWS STS AssumeRoleWithSAMLAPIl'operazione restituisce un set di credenziali di sicurezza temporanee, che l'applicazione client utilizza per effettuare richieste firmate ad Athena.

      L'applicazione ha ora le informazioni sull'utente corrente e può accedere ad Athena in modo programmatico.