Identità Ping - Amazon Redshift
Passaggio 1: configura Ping Identity e il tuo AWS account in modo che si fidino l'uno dell'altroPassaggio 2: configurazione JDBC o ODBC autenticazione su Ping Identity

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identità Ping

Puoi utilizzare Ping Identity come provider di identità (IdP) per accedere al cluster Amazon Redshift. Questo tutorial mostra come utilizzare Ping Identity come provider di identità (IdP) per accedere al cluster Amazon Redshift.

Passaggio 1: configura Ping Identity e il tuo AWS account in modo che si fidino l'uno dell'altro

La procedura seguente descrive come impostare una relazione di fiducia utilizzando il PingOne portale.

Per configurare Ping Identity e il tuo AWS account in modo che si fidino l'uno dell'altro

  1. Crea o utilizza un cluster Amazon Redshift esistente a cui possono accedere gli utenti di Ping Identity. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.

  2. Aggiungi Amazon Redshift come nuova SAML applicazione sul PingOne portale. Per i passaggi dettagliati, vedere la documentazione relativa all'identità di ping.

    1. Passare a My Applications (Le mie applicazioni).

    2. In Aggiungi applicazione, scegli Nuova SAML applicazione.

    3. Per Application name (Nome applicazione), immettere Amazon Redshift.

    4. Per la versione del protocollo, scegli SAMLv2.0.

    5. Per Category (Categoria), scegliere your-application-category.

    6. Per Assertion Consumer Service (ACS), digitate. your-redshift-local-host-url Si tratta dell'host e della porta locali a cui l'SAMLasserzione reindirizza.

    7. Per Entity ID (ID entità), inserisci urn:amazon:webservices.

    8. Per Signing (Firma), scegliere Sign Assertion (Asserzione firma).

    9. Nella sezione Mappatura SSO degli attributi, create le attestazioni come mostrato nella tabella seguente.

      Attributo Application Attributo Identity Bridge del valore letterale

      https://aws.amazon.com/SAML/Attributes/Role

      arn:aws:iam::123456789012: ruolo/Ping, arn:aws:iam::123456789012: saml-provider/PingProvider

      https://aws.amazon.com/SAML/Attributes/RoleSessionName

      e-mail

      https://redshift.amazon.com/SAML/Attributes/AutoCreate

      "true"

      https://redshift.amazon.com/SAML/Attributi/ DbUser

      e-mail

      https://redshift.amazon.com/SAML/Attributi/ DbGroups

      I gruppi negli attributi «DbGroups» contengono il prefisso @directory. Per rimuoverlo, in Identity bridge, inserisci memberOf. In Funzione, scegli ExtractByRegularExpression. In Espressione, specifica (.*)[\@](?:.*).

  3. Per Group Access (Accesso di gruppo), impostare il seguente accesso di gruppo, se necessario:

    • https://aws.amazon.com/SAML/Attributes/Role

    • https://aws.amazon.com/SAML/Attributes/RoleSessionName

    • https://redshift.amazon.com/SAML/Attributes/AutoCreate

    • https://redshift.amazon.com/SAML/Attributes/DbUser

  4. Rivedere la configurazione e apportare modifiche, se necessario.

  5. Utilizzate Initiate Single Sign-On (SSO) URL come login URL per il plug-in Browser. SAML

  6. Crea un provider di IAM SAML identità sulla console. IAM Il documento di metadati che fornisci è il XML file di metadati di federazione che hai salvato quando hai configurato Ping Identity. Per i passaggi dettagliati, consulta Creazione e gestione di un provider di IAM identità (console) nella Guida per l'IAMutente.

  7. Crea un IAM ruolo per la federazione SAML 2.0 sulla IAM console. Per i passaggi dettagliati, consulta Creazione di un ruolo per SAML nella Guida per l'IAMutente.

  8. Crea una IAM policy da allegare al IAM ruolo creato per la federazione SAML 2.0 sulla IAM console. Per i passaggi dettagliati, consulta Creazione IAM di politiche (console) nella Guida IAM per l'utente. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione JDBC ODBC Single Sign-On.

Passaggio 2: configurazione JDBC o ODBC autenticazione su Ping Identity

JDBC
JDBCPer configurare l'autenticazione su Ping Identity

  • Configura il client del database per la connessione al cluster JDBC utilizzando il single sign-on di Ping Identity.

    È possibile utilizzare qualsiasi client che utilizza un JDBC driver per connettersi tramite Ping Identity Single Sign-on o utilizzare un linguaggio come Java per connettersi utilizzando uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del JDBC driver per Amazon Redshift.

    Ad esempio, puoi usare SQLWorkbench /J come client. Quando si configura SQLWorkbench /J, il formato URL del database viene utilizzato il seguente formato.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Se usi SQLWorkbench /J come client, procedi nel seguente modo:

    1. Avvia SQL Workbench/J. Nella pagina Seleziona profilo di connessione, aggiungi un gruppo di profili, ad esempio. Ping

    2. Per Connection Profile (Profilo connessione), immettere your-connection-profile-name, ad esempio Ping.

    3. Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegli l'icona Apri cartella accanto a Libreria, quindi scegli il file.jar appropriatoJDBC.

    4. Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:

      • Per Utente, inserisci il tuo nome PingOne utente. Questo è il nome utente dell' PingOne account che stai utilizzando per il Single Sign-On che dispone dell'autorizzazione per il cluster che stai cercando di utilizzare per l'autenticazione.

      • Per Password, inserisci la tua password. PingOne

      • Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.com.rproxy.goskope.comredShift.jdbc.driver).

      • Per URL, inseriscijdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Scegliere Extended Properties (Proprietà estese) ed effettuare una delle seguenti operazioni:

      • Per login_url, immettere your-ping-sso-login-url. Questo valore specifica l'utilizzo del URL Single Sign-On come autenticazione per l'accesso.

      • Per Ping Identity, in plugin_name, immetti com.amazon.redshift.plugin.PingCredentialsProvider. Questo valore indica al driver di utilizzare Single Sign-On di Ping Identity come metodo di autenticazione.

      • Per Ping Identity con Single Sign-On, in plugin_name immettere com.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Questo valore specifica al driver di utilizzare Ping Identity PingOne con Single Sign-on come metodo di autenticazione.

ODBC
Per configurare l'autenticazione su ODBC Ping Identity

  • Configura il client del database per la connessione al cluster ODBC utilizzando il PingOne single sign-on di Ping Identity.

    Amazon Redshift fornisce ODBC driver per i sistemi operativi Linux, Windows e macOS. Prima di installare un ODBC driver, stabilisci se lo strumento SQL client è a 32 o 64 bit. Installa il ODBC driver che soddisfa i requisiti del tuo strumento SQL client.

    Su Windows, nella pagina di DSNconfigurazione del ODBC driver di Amazon Redshift, in Impostazioni di connessione, inserisci le seguenti informazioni:

    • Per Data Source Name (Nome origine dati), immettere your-DSN. Questo specifica il nome dell'origine dati utilizzato come nome del ODBC profilo.

    • In Auth type (Tipo di autenticazione), procedere in uno dei seguenti modi:

      • Per la configurazione di Ping Identity, seleziona Provider di identità: federazione Ping. Questo è il metodo di autenticazione utilizzato dal ODBC driver per l'autenticazione utilizzando il single sign-on di Ping Identity.

      • Per la configurazione Ping Identity con accesso singolo, scegli Identity Provider: Browser. SAML Questo è il metodo di autenticazione utilizzato dal ODBC driver per l'autenticazione tramite Ping Identity con Single Sign-on.

    • Per Cluster ID (ID cluster), immettere your-cluster-identifier.

    • Per Region (Regione), immettere your-cluster-region.

    • Per Database, immettere your-database-name.

    • Per User (Utente), immettere your-ping-username. Questo è il nome utente dell' PingOne account che stai utilizzando per il Single Sign-On che dispone dell'autorizzazione per il cluster che stai cercando di utilizzare per l'autenticazione. Usalo solo per il tipo di autenticazione come Identity Provider:. PingFederate

    • Per Password, immettere your-ping-password. Usalo solo perché il tipo di autenticazione è Identity Provider:. PingFederate

    • Per Listen Port (Porta di ascolto), immettere your-listen-port. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo vale solo per il SAML plug-in Browser.

    • In Response Timeout (Timeout di risposta), immettere the-number-of-seconds. Questo è il numero di secondi di attesa prima del timeout quando il server IdP restituisce una risposta. Il numero minimo di secondi deve essere 10. Se stabilire la connessione richiede più tempo della soglia prevista, l'operazione viene interrotta. Questo vale solo per il SAML plugin Browser.

    • Per Login URL, inserisciyour-login-url. Questo vale solo per il SAML plugin Browser.

    Su macOS e Linux, modificare il file odbc.ini come segue:

    Nota

    Tutte le voci non fanno distinzione tra maiuscole e minuscole.

    • Per clusterid, immettere your-cluster-identifier. Questo è il nome del cluster Amazon Redshift creato.

    • Per region, immettere your-cluster-region. Questa è la AWS regione del cluster Amazon Redshift creato.

    • Per database, immettere your-database-name. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.

    • Per locale, immettere en-us. Questa è la lingua in cui vengono visualizzati i messaggi di errore.

    • Per iam, immettere 1. Questo valore indica al driver di autenticarsi utilizzando le credenziali. IAM

    • Per plugin_name, effettuare una delle seguenti operazioni:

      • Per la configurazione di Ping Identity, immetti BrowserSAML. Questo è il metodo di autenticazione utilizzato dal ODBC driver per autenticarsi su Ping Identity.

      • Per la configurazione di Ping Identity con Single Sign-On, immetterePing. Questo è il metodo di autenticazione utilizzato dal ODBC driver per l'autenticazione tramite Ping Identity con Single Sign-on.

    • Per uid, immettere your-ping-username. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Utilizzare solo se plugin_name è Ping.

    • Per PWD, immettere your-ping-password. Utilizzare solo se plugin_name è Ping.

    • Per login_url, immettere your-login-url. Questo è l'Initiate single URL sign-on che restituisce la risposta. SAML Questo vale solo per il plug-in Browser. SAML

    • In idp_response_timeout, immettere the-number-of-seconds. Questo è il periodo di tempo specificato, in secondi, per attendere la risposta di PingOne Identity. Questo vale solo per il SAML plug-in Browser.

    • Per listen_port, immettere your-listen-port. Questa è la porta ascoltata dal server locale. Il valore predefinito è 7890. Questo vale solo per il SAML plugin Browser.

    Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini