Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Configura l'accesso federato ad Amazon Athena per gli utenti Microsoft AD FS utilizzando un client ODBC

RSS
Modalità Focus
Configura l'accesso federato ad Amazon Athena per gli utenti Microsoft AD FS utilizzando un client ODBC - Amazon Athena
1. Configurazione di un provider e di un ruolo IAM SAML2. Configurazione di AD FS3. Creazione di utenti e gruppi Active Directory4. Configurazione della connessione ODBC di AD FS ad Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per configurare l'accesso federato ad Amazon Athena per gli utenti di Microsoft Active Directory Federation Services (AD FS) utilizzando un client ODBC, devi innanzitutto stabilire una relazione di fiducia tra AD FS e il tuo account AWS . Grazie a questa fiducia, gli utenti AD possono unirsi per AWS utilizzare le proprie credenziali AD e assumere le autorizzazioni di un ruolo AWS Identity and Access Management(IAM) per accedere a AWS risorse come l'API Athena.

Per creare questa fiducia, aggiungi AD FS come provider SAML al tuo Account AWS e crei un ruolo IAM che gli utenti federati possono assumere. Sul lato ADFS, aggiungi AWS come relying party e scrivi regole di reclamo SAML a cui inviare gli attributi utente corretti AWS per l'autorizzazione (in particolare, Athena e Amazon S3).

La configurazione dell'accesso di AD FS ad Athena prevede i seguenti passaggi principali:

1. Configurazione di un provider e di un ruolo IAM SAML

2. Configurazione di AD FS

3. Creazione di utenti e gruppi Active Directory

4. Configurazione della connessione ODBC di AD FS ad Athena

1. Configurazione di un provider e di un ruolo IAM SAML

In questa sezione, aggiungi AD FS come provider SAML al tuo AWS account e crei un ruolo IAM che gli utenti federati possono assumere.

Configurazione di un provider SAML

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel pannello di navigazione, scegli Identity providers (Provider di identità).

  3. Scegli Aggiungi provider.

  4. Per Tipo di provider, scegliere SAML.

    Scegli SAML.

  5. Per Nome provider, inserire adfs-saml-provider.

  6. In un browser, inserisci il seguente indirizzo per scaricare il file XML di federazione per il server AD FS. Per eseguire questo passaggio, il browser deve disporre dell'accesso al server AD FS.

    https://adfs-server-name/federationmetadata/2007-06/federationmetadata.xml

  7. Nella console IAM, per il documento di metadati, scegli Scegli file, quindi carica il file di metadati della federazione su. AWS

  8. Per concludere, scegli Add provider (Aggiungi provider).

Successivamente, crei il ruolo IAM che può essere assunto dai tuoi utenti federati.

Creazione di un ruolo IAM per utenti federati

  1. Nel pannello di navigazione della console IAM, scegli Roles (Ruoli).

  2. Scegliere Crea ruolo.

  3. In Trusted entity type (Tipo di entità attendibile), scegli SAML 2.0 federation (Federazione SAML 2.0).

  4. Per un provider basato su SAML 2.0, scegli il adfs-saml-providerprovider che hai creato.

  5. Scegli Consenti l'accesso programmatico e alla console di AWS gestione, quindi scegli Avanti.

    Scelta di SAML come tipo di entità attendibile.

  6. Nella pagina Add permissions (Aggiungi autorizzazioni), filtra le policy di autorizzazione IAM necessarie per questo ruolo, quindi seleziona le caselle di controllo corrispondenti. Questo tutorial mostra come collegare le policy AmazonAthenaFullAccess e AmazonS3FullAccess.

    Collega la policy di accesso completo ad Athena al ruolo.
    Collegamento della policy di accesso completo ad Amazon S3 al ruolo.

  7. Scegli Next (Successivo).

  8. Nella pagina Name, review, and create (Assegna un nome, verifica e crea), per Role name (Nome ruolo) inserisci un nome per il ruolo. Questo tutorial utilizza il nome adfs-data-access.

    Nel Passaggio 1: Selezione delle entità attendibili, il campo Principal (Principale) dovrebbe essere compilato automaticamente con "Federated:" "arn:aws:iam::account_id:saml-provider/adfs-saml-provider". Il campo Condition deve contenere "SAML:aud" e "https://signin.aws.amazon.com/saml".

    JSON delle entità attendibili.

    Passaggio 2: Aggiunta delle autorizzazioni mostra le policy che hai collegato al ruolo.

    Elenco delle policy collegate al ruolo.

  9. Scegliere Crea ruolo. Un banner informativo conferma la creazione del ruolo.

  10. Nella pagina Roles (Ruoli), scegli il nome del ruolo appena creato. La pagina di riepilogo del ruolo mostra le policy collegate.

    Pagina di riepilogo del ruolo.

2. Configurazione di AD FS

Ora sei pronto per aggiungere AWS come relying party e scrivere regole di reclamo SAML in modo da poter inviare gli attributi utente corretti a cui inviare gli attributi utente corretti AWS per l'autorizzazione.

La federazione basata su SAML coinvolge due parti: l'IdP (Active Directory) e il relying party (AWS), che è il servizio o l'applicazione che utilizza l'autenticazione dall'IdP.

Per configurare AD FS, innanzitutto è necessario aggiungere la fiducia nel relying party, dopodiché occorre configurare le regole di attestazione SAML per il relying party. AD FS utilizza le regole di attestazione per creare un'asserzione SAML che viene inviata a un relying party. L'asserzione SAML afferma che le informazioni sull'utente AD sono vere e che l'utente è stato autenticato.

Aggiunta della fiducia in un relying party

Per aggiungere la fiducia in un relying party in AD FS, si utilizza il gestore server AD FS.

Aggiunta della fiducia in un relying party in AD FS

  1. Accedi al server AD FS.

  2. Nel menu Start, apri Server Manager (Gestore server).

  3. Scegli Tools (Strumenti), quindi scegli AD FS Management (Gestione AD FS).

    Scegli Tools (Strumenti), quindi scegli AD FS Management (Gestione AD FS).

  4. Nel riquadro di navigazione, in Trust Relationships (Relazioni di fiducia), scegli Relying Party Trust (Fiducia nel relying party).

  5. In Actions (Operazioni), scegli Add Relying Party Trust (Aggiungi fiducia in un relying party).

    Scegli Add Relying Party Trust (Aggiungi fiducia in un relying party).

  6. Nella pagina Add Relying Party Trust Wizard (Aggiunta guidata relazione di trust), scegliere Start (Avvia).

    Scegli Avvia.

  7. Nella pagina Select Data Source (Seleziona origine dati), seleziona l'opzione Import data about the relying party published online or on a local network (Importa dati sul relying party pubblicati online o in una rete locale).

  8. In Federation metadata address (host name or URL) (Indirizzo dei metadati di federazione [nome host o URL]), inserisci l'URL https://signin.aws.amazon.com/static/saml-metadata.xml.

  9. Scegli Next (Successivo).

    Configurazione dell'origine dati.

  10. Nella pagina Specify Display Name (Specifica il nome da visualizzare), in Display name (Nome da visualizzare) inserisci un nome da visualizzare per il tuo relying party, quindi scegli Next (Successivo).

    Specifica il nome da visualizzare per il relying party.

  11. Nella pagina Configure Multi-factor Authentication Now (Configura ora l'autenticazione a più fattori), in questo tutorial viene selezionato I do not want to configure multi-factor authentication for this relying party trust at this time (Non voglio configurare l'autenticazione a più fattori per questo relying party in questo momento).

    Per una maggiore sicurezza, ti consigliamo di configurare l'autenticazione a più fattori per proteggere le tue risorse. AWS Poiché utilizza un set di dati di esempio, questo tutorial non abilita l'autenticazione a più fattori.

    Configurazione dell'autenticazione a più fattori.

  12. Scegli Next (Successivo).

  13. Nella pagina Choose Issuance Authorization Rules (Scegli regole di autorizzazione emissione), seleziona Permit all users to access this relying party (Autorizza tutti gli utenti ad accedere a questo relying party).

    Questa opzione consente a tutti gli utenti di Active Directory di utilizzare AD FS con AWS come relying party. Dovresti considerare i tuoi requisiti di sicurezza e adattare questa configurazione di conseguenza.

    Configurazione dell'accesso dell'utente al relying party.

  14. Scegli Next (Successivo).

  15. Nella pagina Ready to Add Trust (Pronto per aggiungere la fiducia), scegli Next (Successivo) per aggiungere la fiducia nel relying party al database di configurazione AD FS.

    Scegli Next (Successivo).

  16. Nella pagina Finish (Concludi), scegli Close (Chiudi).

    Scegli Chiudi.

Configurazione delle regole di attestazione SAML per il relying party

In questa attività, crei due set di regole di attestazione.

Il primo set, le regole da 1 a 4, contiene le regole di attestazione AD FS necessarie per assumere un ruolo IAM basato sull'appartenenza al gruppo AD. Queste sono le stesse regole che crei se desideri stabilire un accesso federato alla AWS Management Console.

Il secondo set, le regole 5 e 6, sono le regole di attestazione necessarie per il controllo degli accessi di Athena.

Creazione di regole di attestazione AD FS

  1. Nel riquadro di navigazione della console di gestione AD FS, scegli Trust Relationships (Relazioni di fiducia), quindi scegli Relying Party Trusts (Fiducia nei relying party).

  2. Trova il relying party che hai creato nella sezione precedente.

  3. Fai clic con il pulsante destro del mouse sul relying party e scegli Edit Claim Rules (Modifica regole di attestazione) oppure scegli Edit Claim Rules (Modifica regole di attestazione) dal menu Actions (Operazioni).

    Scegli Edit Claim Rules (Modifica regole di attestazione).

  4. Selezionare Add Rule (Aggiungi regola).

  5. Nella pagina Configura regola della procedura guidata Add Transform Claim Rule (Aggiungi trasformazione regola di attestazione), inserisci le seguenti informazioni per creare la regola di attestazione 1, quindi scegli Finish (Concludi).

    • In Claim rule name (Nome regola di attestazione), inserisci NameID.

    • In Rule template (Modello di regola), scegli Transform an Incoming Claim (Trasforma un'attestazione in entrata).

    • In Incoming claim type (Tipo di attestazione in entrata), scegli Windows account name (Nome account Windows).

    • In Outgoing claim type (Tipo di attestazione in uscita), scegli Name ID (ID nome).

    • In Outgoing name ID format (Formato ID nome in uscita), scegliere Persistent Identifier (Identificatore persistente).

    • Scegli Pass through all claim values (Passa tutti i valori di attestazione).

    Crea la prima regola di attestazione.

  6. Scegli Add Rule (Aggiungi regola), inserisci le seguenti informazioni per creare la regola di attestazione 2, quindi scegli Finish (Concludi).

    • In Claim rule name (Nome regola di attestazione), inserisci RoleSessionName.

    • In Rule template (Modello di regola), scegli Send LDAP Attribute as Claims (Invia attributo LDAP come attestazione).

    • In Attribute store (Archivio attributi), scegliere Active Directory.

    • In Mapping of LDAP attributes to outgoing claim types (Mappatura degli attributi LDAP ai tipi di attestazione in uscita), aggiungi l'attributo E-Mail-Addresses. In Outgoing Claim Type (Tipo di attestazione in uscita), inserisci https://aws.amazon.com/SAML/Attributes/RoleSessionName.

    Crea la seconda regola di attestazione.

  7. Scegli Add Rule (Aggiungi regola), inserisci le seguenti informazioni per creare la regola di attestazione 3, quindi scegli Finish (Concludi).

    • In Claim rule name (Nome regola di attestazione), inserisci Get AD Groups.

    • In Rule template (Modello di regola), scegli Send Claims Using a Custom Rule (Invia attestazioni utilizzando una regola personalizzata).

    • In Custom rule (Regola personalizzata), inserisci il codice seguente:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
 Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types = ("http://temp/variable"),  
 query = ";tokenGroups;{0}", param = c.Value);
      Crea la terza regola di attestazione.

  8. Selezionare Add Rule (Aggiungi regola). Inserisci le seguenti informazioni per creare la regola di attestazione 4, quindi scegli Finish (Concludi).

    • In Claim rule name (Nome regola di attestazione), inserisci Role.

    • In Rule template (Modello di regola), scegli Send Claims Using a Custom Rule (Invia attestazioni utilizzando una regola personalizzata).

    • In Custom rule (Regola personalizzata), inserisci il seguente codice con il numero di account e il nome del provider SAML che hai creato in precedenza:

      c:[Type == "http://temp/variable", Value =~ "(?i)^aws-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role",  
Value = RegExReplace(c.Value, "aws-", "arn:aws:iam::AWS_ACCOUNT_NUMBER:saml-provider/adfs-saml-provider,arn:aws:iam:: AWS_ACCOUNT_NUMBER:role/"));
    Crea la quarta regola di attestazione.

3. Creazione di utenti e gruppi Active Directory

Ora è tutto pronto per creare utenti AD che accederanno ad Athena e gruppi AD in cui inserirli in modo da poter controllare i livelli di accesso per gruppo. Dopo avere creato gruppi AD che classificano i pattern di accesso ai dati, aggiungi gli utenti a tali gruppi.

Creazione di utenti AD per l'accesso ad Athena

  1. Nel pannello di controllo di Server Manager (Gestore server), scegli Tools (Strumenti), quindi scegli Active Directory Users and Computers (Strumento Utenti e computer di Active Directory).

    Scegli Tools (Strumenti), quindi scegli Active Directory Users and Computers (Strumento Utenti e computer di Active Directory).

  2. Nel pannello di navigazione, seleziona Utenti.

  3. Nella barra degli strumenti Active Directory Users and Computers (Utenti e computer di Active Directory), scegli l'opzione Create user (Crea utente).

    Selezionare Create user (Crea utente).

  4. Nella finestra di dialogo New Object – User (Nuovo oggetto - Utente), in First name (Nome), Last name (Cognome) e Full name (Nome completo, inserisci un nome. In questo tutorial si utilizza Jane Doe.

    Immettere un nome utente.

  5. Scegli Next (Successivo).

  6. In Password, inserisci una password, quindi digitala nuovamente per conferma.

    Per semplicità, in questo tutorial viene deselezionato User must change password at next sign on (L'utente deve cambiare la password all'accesso successivo). Negli scenari reali, è necessario richiedere agli utenti appena creati di modificare la password.

    Inserisci una password.

  7. Scegli Next (Successivo).

  8. Scegli Fine.

    Scegli Fine.

  9. In Active Directory Users and Computers (Strumento Utenti e computer di Active Directory), scegli il nome utente.

  10. Nella finestra di dialogo Properties (Proprietà) per l'utente, in E-mail (Posta elettronica) inserisci un indirizzo e-mail. In questo tutorial si utilizza jane@example.com.

    Immetti un indirizzo e-mail

  11. Scegli OK.

Creazione di gruppi AD per rappresentare i pattern di accesso ai dati

Puoi creare gruppi AD i cui membri assumono il ruolo adfs-data-access IAM quando accedono. AWS L'esempio seguente crea un gruppo AD chiamato aws-adfs-data-access.

Creazione di un gruppo AD

  1. Nel pannello di controllo di Server Manager (Gestore server), nel menu Tools (Strumenti), scegli Active Directory Users and Computers (Strumento Utenti e computer di Active Directory).

  2. Sulla barra degli strumenti, scegli l'opzione Create new group (Crea nuovo gruppo).

    Scegli Create new group (Crea nuovo gruppo).

  3. Nella finestra di dialogo New Object - Group (Nuovo oggetto - Gruppo), inserisci le informazioni seguenti:

    • In Group Name (Nome del gruppo), inserisci aws-adfs-data-access.

    • In Group scope (Ambito del gruppo), seleziona Global (Globale).

    • In Group type (Tipo di gruppo), seleziona Security (Sicurezza).

    Creazione di un gruppo di sicurezza globale in AD.

  4. Scegli OK.

Aggiunta di utenti AD ai gruppi appropriati

Ora che hai creato sia un utente AD sia un gruppo AD, puoi aggiungere l'utente al gruppo.

Aggiunta di un utente AD a un gruppo AD

  1. Nel pannello di controllo di Server Manager (Gestore server), nel menu Tools (Strumenti), scegli Active Directory Users and Computers (Strumento Utenti e computer di Active Directory).

  2. In First name (Nome) e Last name (Cognome), scegli un utente (ad esempio, Jane Doe).

  3. Nella finestra di dialogo Properties (Proprietà) dell'utente, nella scheda Member Of (Membro di), scegli Add (Aggiungi).

    Scegli Aggiungi.

  4. Aggiungi uno o più gruppi AD FS in base alle tue esigenze. Questo tutorial aggiunge il aws-adfs-data-accessgruppo.

  5. Nella finestra di dialogo Select Groups (Seleziona gruppi), in Enter the object names to select (Inserisci i nomi degli oggetti da selezionare), inserisci il nome del gruppo AD FS che hai creato (ad esempio aws-adfs-data-access), quindi scegli Check Names (Controlla nomi).

    Scegli Check Names (Verifica nomi).

  6. Scegli OK.

    Nella finestra di dialogo Properties (Proprietà) per l'utente, il nome del gruppo AD viene visualizzato nell'elenco Member of (Membro di).

    Gruppo AD aggiunto alle proprietà dell'utente.

  7. Scegli Apply (Applica), quindi scegli OK.

4. Configurazione della connessione ODBC di AD FS ad Athena

Dopo avere creato gli utenti e i gruppi AD, è possibile utilizzare il programma di origini dei dati ODBC in Windows per configurare la connessione ODBC di Athena per AD FS.

Configurazione della connessione ODBC di AD FS ad Athena

  1. Installa il driver ODBC per Athena. Per i link di download, consulta la sezione Connect ad Amazon Athena con ODBC.

  2. In Windows, scegli Start, ODBC Data Sources (Origini dati ODBC).

  3. Nel programma ODBC Data Source Administrator (Amministratore origine dati ODBC), scegli Add (Aggiungi).

    Scegli Add (Aggiungi) per aggiungere un'origine dati ODBC.

  4. Nella finestra di dialogo Create New Data Source (Crea nuova origine dati), scegli Simba Athena ODBC Driver, quindi scegli Finish (Concludi).

    Scegli Simba Athena ODBC Driver (Driver ODBC Simba Athena).

  5. Nella finestra di dialogo Simba Athena ODBC Driver DSN Setup (Configurazione DSN driver ODBC Simba Athena), inserisci i valori seguenti:

    • In Data Source Name (Nome origine dei dati), inserisci un nome per l'origine dati (ad esempio, Athena-odbc-test).

    • In Description (Descrizione), inserisci una breve descrizione per l'origine dati.

    • Per Regione AWS, inserisci quello Regione AWS che stai usando (ad esempio, us-west-1).

    • Per S3 Output Location (Percorso di output S3), inserisci il percorso di Amazon S3 in cui archiviare l'output.

    Immissione dei valori per Simba Athena ODBC Driver DSN Setup (Configurazione DSN driver ODBC Simba Athena).

  6. Scegli Authentication Options (Opzioni di autenticazione).

  7. Nella finestra di dialogo Authentication Options (Opzioni di autenticazione), specifica i seguenti valori:

    • In Authentication Type (Tipo di autenticazione), scegli ADFS.

    • In User (Utente), inserisci l'indirizzo e-mail dell'utente (ad esempio, jane@example.com).

    • In Password, inserisci la password ADFS dell'utente.

    • In IdP Host (Host IdP), inserisci il nome del server AD FS (ad esempio, adfs.example.com).

    • In IdP Port (Porta IdP), utilizza il valore predefinito 443.

    • Seleziona l'opzione SSL Insecure.

    Configurazione delle opzioni di autenticazione.

  8. Scegli OK per chiudere la finestra Authentication Options (Opzioni di autenticazione).

  9. Scegli Test per verificare la connessione oppure OK per terminare.

Argomento successivo:

SSO per ODBC e Okta

Argomento precedente:

ODBC 1.x

Hai bisogno di aiuto?

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.