Configurar a autenticação única de JDBC ou ODBC - Amazon Redshift

Configurar a autenticação única de JDBC ou ODBC

É possível usar diferentes provedores de identidades (IdP) para acessar o cluster do Amazon Redshift. Para obter mais informações sobre como configurar a AWS como um provedor de serviços para o IdP, consulte Configurar seu IdP SAML 2.0 com confiança de parte confiante e adicionar declarações no Guia do usuário do IAM.

Microsoft Azure AD

Você pode usar o Microsoft Azure AD como um provedor de identidade (IdP) para acessar seu cluster do Amazon Redshift. O procedimento a seguir descreve como configurar uma relação de confiança para essa finalidade.

Para saber como federar o acesso do Amazon Redshift com o logon único do Microsoft Azure AD, assista ao vídeo a seguir.

Para configurar o Azure AD e sua conta da AWS para que confiem um no outro

  1. Crie ou use um cluster existente do Amazon Redshift para os usuários do Azure AD se conectarem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.

  2. Configure grupos e usuários do Diretório Ativo do Azure usados para a AWS no portal do Microsoft Azure.

  3. Adicione o Amazon Redshift como uma aplicação empresarial no portal do Microsoft Azure para usar para logon único no AWS Console e logon federado no Amazon Redshift. Escolha Enterprise application (Aplicativo empresarial).

  4. Escolha +New application (+Novo aplicativo). A página Adicionar um aplicativo é exibida.

  5. Pesquise AWS no campo de pesquisa.

  6. Escolha Amazon Web Services (AWS) e escolha Adicionar. Isso cria a aplicação da AWS.

  7. Em Manage (Gerenciar), escolha Single sign-on (Logon único).

  8. Escolha SAML. O Amazon Web Services (AWS) | A página de logon baseada em SAML é exibida.

  9. Escolha Yes (Sim) para prosseguir para a página Configurar logon único com SAML. Esta página mostra a lista de atributos pré-configurados relacionados à autenticação única.

  10. Em Basic SAML Configuration (Configuração básica de SAML), escolha o ícone de edição e Save (Salvar).

  11. Quando você estiver configurando mais de um aplicativo, forneça um valor de identificador. Por exemplo, digite https://signin.aws.amazon.com/saml#2. Observe que a partir do segundo aplicativo em diante, use esse formato com um sinal # para especificar um valor SPN exclusivo.

  12. Na seção User Attributes and Claims (Atributos de usuário e reivindicações), escolha o ícone de edição.

    Por padrão, as reivindicações UID (Unique User Identifier), Role, RoleSessionName e SessionDuration são pré-configuradas.

  13. Escolha + Add new claim (+ Adicionar nova reivindicação) para adicionar uma reivindicação aos usuários do banco de dados.

    Em Nome, digite DbUser.

    Em Namespace, insira https://redshift.amazon.com/SAML/Attributes.

    Em Origem, escolha Atributo.

    Em Source attribute (Atributo de origem), escolha user.userprincipalname. Selecione Salvar.

  14. Escolha + Add new claim (+ Adicionar nova reivindicação) para adicionar uma reivindicação ao AutoCreate.

    Em Nome, digite AutoCreate.

    Em Namespace, insira https://redshift.amazon.com/SAML/Attributes.

    Em Origem, escolha Atributo.

    Em Source attribute (Atributo de origem), escolha "true". Selecione Salvar.

    Aqui, 123456789012 é a conta da AWS, AzureSSO é uma função do IAM que você criou e AzureADProvider é o provedor do IAM.

    Nome da reivindicação Valor

    Identificador de usuário exclusivo (ID de nome)

    user.userprincipalname

    https://aws.amazon.com/SAML/Attributes/SessionDuration

    "900"

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam::123456789012:role/AzureSSO,arn:aws:iam::123456789012:saml-provider/AzureADProvider

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.userprincipalname

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    "true"

    https://redshift.amazon.com/SAML/Attributes/DbGroups

    user.assignedroles

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.userprincipalname

  15. Em Registro de aplicativo > your-application-name > Autenticação, adicione Aplicativo móvel e desktop. Especifique o URL como http://localhost/redshift/.

  16. Na seção SAML Signing Certificate (Certificado de assinatura SAML), escolha Download (Fazer download) para fazer download e salvar o arquivo XML de metadados de federação para usar ao criar um provedor de identidade SAML do IAM. Esse arquivo é usado para criar a identidade federada da autenticação única.

  17. Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Azure Enterprise Application. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.

  18. Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.

  19. Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM.

    Modifique a seguinte política (no formato JSON) para o seu ambiente:

    • Substitua a região da AWS do seu cluster por us-west-1.

    • Substitua a conta da AWS por 123456789012.

    • Substitua seu identificador de cluster (ou * para todos os clusters) por cluster-identifier.

    • Substitua seu banco de dados (ou * para todos os bancos de dados) por dev.

    • Substitua o identificador exclusivo de sua função do IAM por AROAJ2UCCR6DPCEXAMPLE.

    • Substitua o domínio de e-mail do locatário ou da empresa por example.com.

    • Substitua o grupo de banco de dados ao qual você planeja atribuir o usuário por my_dbgroup. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentials",
            "Resource": [
                "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev",
                "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}",
                "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "redshift:CreateClusterUser",
            "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}"
        },
        {
            "Effect": "Allow",
            "Action": "redshift:JoinGroup",
            "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup"
        },
        {
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeClusters",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    Esta política concede permissões da seguinte forma:

    • A primeira seção concede permissão à operação de API do GetClusterCredentials para obter credenciais temporárias para o cluster especificado. Neste exemplo, o recurso é cluster-identifier com banco de dados dev, na conta 123456789012 e na região da AWS us-west-1. A cláusula ${redshift:DbUser} permite que apenas os usuários que correspondam ao valor de DbUser especificado no Azure AD se conectem.

    • A cláusula de condição impõe que apenas determinados usuários obtêm credenciais temporárias. Esses são os usuários da função especificada pelo ID exclusivo de função AROAJ2UCCR6DPCEXAMPLE na conta do IAM identificada por um endereço de e-mail no domínio de e-mail da empresa. Para obter mais informações sobre IDs exclusivos, consulte IDs exclusivos no Manual do usuário do IAM.

      Sua configuração com seu IdP (neste caso, Azure AD) determina como a cláusula de condição é gravada. Se o e-mail do seu funcionário for johndoe@example.com, primeiro defina ${redshift:DbUser} para o campo super que corresponde ao nome de usuário do funcionário johndoe. Então, para fazer essa condição funcionar, defina o campo RoleSessionName do AWS SAML como o supercampo que corresponde ao e-mail do funcionário johndoe@example.com. Ao adotar essa abordagem, considere o seguinte:

      • Se você definir ${redshift:DbUser} para ser o e-mail do funcionário, em seguida, remova o @example.com no JSON do exemplo para corresponder com o RoleSessionName.

      • Se você definir o RoleSessionId para ser apenas o nome de usuário do funcionário, remova o @example.com no exemplo para corresponder ao RoleSessionName.

      • No JSON de exemplo, tanto ${redshift:DbUser} como RoleSessionName são definidos como o e-mail do funcionário. Este exemplo JSON usa o nome de usuário do banco de dados Amazon Redshift com @example.com para conectar o usuário para acessar o cluster.

    • A segunda seção concede permissão para criar um nome dbuser no cluster especificado. Neste JSON de exemplo, ele restringe a criação de ${redshift:DbUser}.

    • A terceira seção concede permissão para especificar a qual dbgroup um usuário pode ingressar. Neste JSON de exemplo, um usuário pode ingressar no grupo my_dbgroup no cluster especificado.

    • A quarta seção concede permissão para ações que o usuário pode fazer em todos os recursos. Neste JSON de exemplo, ele permite que os usuários chamem redshift:DescribeClusters para obter informações do cluster, como o endpoint do cluster, região da AWS e porta. Também permite que os usuários chamem iam:ListRoles para verificar quais funções um usuário pode assumir.

Como configurar o JDBC para autenticação no Microsoft Azure AD

  • Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando o logon único do Azure AD.

    Você pode usar qualquer cliente que use um driver JDBC para se conectar usando o logon único do Azure AD ou usar uma linguagem, como Java, para se conectar usando um script. Para obter informações sobre instalação e configuração, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.

    Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, a URL do seu banco de dados usa o seguinte formato.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:

    1. Inicie o SQL Workbench/J. Na página Selecionar perfil de conexão adicione um Grupo de perfis chamado AzureAuth.

    2. Em Connection Profile (Perfil de conexão), insira Azure.

    3. Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.

    4. Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil de conexão da seguinte maneira:

      • Em User (Usuário), insira seu nome de usuário do Microsoft Azure. Este é o nome de usuário da conta do Microsoft Azure que você está usando para o logon único que tem permissão para o cluster que você está tentando autenticar.

      • Em Password (Senha), digite sua senha do Microsoft Azure.

      • Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).

      • Para URL, insira jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Escolha Extended Properties (Propriedades estendidas) para adicionar informações adicionais às propriedades de conexão, conforme descrito a seguir.

      Para a configuração de autenticação única do Azure AD, adicione outras informações da seguinte forma:

      • Para plugin_name, insira com.amazon.redshift.plugin.AzureCredentialsProvider. Esse valor especifica para o driver usar o logon único do Azure AD como o método de autenticação.

      • Para idp_tenant, insira your-idp-tenant. Usado apenas para o Microsoft Azure AD. Este é o nome do locatário da sua empresa configurado no Azure AD. Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário com hífens.

      • Para client_secret, insira your-azure-redshift-application-client-secret. Usado apenas para o Microsoft Azure AD. Este é o segredo do seu cliente da aplicação Amazon Redshift que você criou ao definir a configuração do Azure Single Sign-On. Isso só é aplicável ao plug-in com.amazon.redshift.plugin.AzureCredentialsProvider.

      • Para client_id, insira your-azure-redshift-application-client-id. Usado apenas para o Microsoft Azure AD. Esta é a ID do cliente (com hifens) da aplicação Amazon Redshift que você criou ao definir sua configuração do Azure Single Sign-On.

      Para a configuração de autenticação única do Azure AD com MFA, adicione outras informações às propriedades de conexão da seguinte forma:

      • Para plugin_name, insira com.amazon.redshift.plugin.BrowserAzureCredentialsProvider. Isso especifica para o driver usar o método de autenticação única do Azure com MFA.

      • Para idp_tenant, insira your-idp-tenant. Usado apenas para o Microsoft Azure AD. Este é o nome do locatário da sua empresa configurado no Azure AD. Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário com hífens.

      • Para client_id, insira your-azure-redshift-application-client-id. Essa opção é usada apenas para o Microsoft Azure AD. Este é o ID do cliente (com hifens) da aplicação Amazon Redshift que você criou ao definir a configuração de autenticação única do Azure com MFA.

      • Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando. O padrão é 7890.

      • Em idp_response_timeout, insira the-number-of-seconds. Este é o número de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta uma resposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão for maior do que esse limite, a conexão é cancelada.

Como configurar o ODBC para autenticação no Microsoft Azure AD

  • Configure seu cliente de banco de dados para se conectar ao cluster por meio de ODBC usando seu logon único do Azure AD.

    O Amazon Redshift fornece drivers ODBC para sistemas operacionais Linux, Windows e macOS. Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de 32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.

    No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driver ODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintes informações:

    • Para Data Source Name (Nome da fonte de dados), insira your-DSN. Isto especifica o nome da fonte de dados usado como o nome do perfil de ODBC.

    • Em Auth type (Tipo de autenticação) para a configuração de autenticação única do Azure AD, escolha Identity Provider: Azure AD. Este é o método de autenticação que o driver de ODBC usa para autenticar usando o logon único do Azure.

    • Em Auth type (Tipo de autenticação) para a configuração de autenticação única do Azure AD com MFA, escolha Identity Provider: Browser Azure AD. Este é o método de autenticação que o driver de ODBC usa para autenticar usando o logon único do Azure com MFA.

    • Para Cluster ID (ID do cluster), insira your-cluster-identifier.

    • Para Region (Região), insira your-cluster-region.

    • Para Database (Banco de dados), insira your-database-name.

    • Em User (Usuário), insira your-azure-username. Este é o nome de usuário da conta do Microsoft Azure que está sendo usada para logon único que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando Auth Type (Tipo de autenticação) for Identity Provider: Azure AD (Provedor de identidade: Azure AD).

    • Em Password (Senha), insira your-azure-password. Use isso somente quando Auth Type (Tipo de autenticação) for Identity Provider: Azure AD (Provedor de identidade: Azure AD).

    • Para IdP Tenant (Locatário IdP), insira your-idp-tenant. Este é o nome do locatário da sua empresa configurado no seu IdP (Azure). Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário com hífens.

    • Para Azure Client Secret (Segredo do cliente do Azure), insira your-azure-redshift-application-client-secret. Este é o segredo do cliente da aplicação Amazon Redshift que você criou ao definir sua configuração de logon único do Azure.

    • Para Azure Client ID (ID do cliente do Azure), insira your-azure-redshift-application-client-id. Este é o ID do cliente (com hífens) da aplicação Amazon Redshift que você criou ao definir sua configuração do Azure Single Sign-On.

    • Em Porta de escuta, insira your-listen-port. Esta é a porta de escuta padrão que o servidor local está escutando. O padrão é 7890. Isso se aplica somente ao plug-in do Browser Azure AD.

    • Em Response Timeout (Tempo limite de resposta), insira the-number-of-seconds. Este é o número de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta uma resposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão for maior do que esse limite, a conexão é cancelada. Esta opção se aplica apenas ao plug-in do Azure AD do navegador.

    No macOS e no Linux, edite o arquivo odbc.ini da seguinte forma:

    nota

    Nenhuma entrada diferencia letras maiúsculas de minúsculas.

    • Para clusterid, insira your-cluster-identifier. Esse é o nome do cluster criado pelo Amazon Redshift.

    • Para region (região), insira your-cluster-region. Esta é a Região da AWS do cluster do Amazon Redshift criado.

    • Para database (banco de dados), insira your-database-name. Este é o nome do banco de dados que você está tentando acessar no cluster do Amazon Redshift.

    • Para locale (localidade), insira en-us. Este é o idioma em que as mensagens de erro são exibidas.

    • Para IAM, insira 1. Esse valor especifica ao driver para autenticar usando credenciais do IAM.

    • Em plugin_name para a configuração de autenticação única do Azure AD, insira AzureAD. Isso especifica ao driver para usar o Azure Single Sign-On como o método de autenticação.

    • Em plugin_name para a configuração de autenticação única do Azure AD com MFA, insira BrowserAzureAD. Isso especifica para o driver usar o logon único do Azure com MFA como o método de autenticação.

    • Em uid, insira your-azure-username. Este é o nome de usuário da conta do Microsoft Azure que você está usando para logon único, que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando plugin_name for AzureAD.

    • Em pwd, insira your-azure-password. Use isso somente quando plugin_name for AzureAD.

    • Para idp_tenant, insira your-idp-tenant. Este é o nome do locatário da sua empresa configurado no seu IdP (Azure). Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário com hífens.

    • Para client_secret, insira your-azure-redshift-application-client-secret. Este é o segredo do cliente da aplicação Amazon Redshift que você criou ao definir sua configuração de logon único do Azure.

    • Para client_id, insira your-azure-redshift-application-client-id. Este é o ID do cliente (com hífens) da aplicação Amazon Redshift que você criou ao definir sua configuração do Azure Single Sign-On.

    • Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando. O padrão é 7890. Isso se aplica ao plug-in do Browser Azure AD.

    • Em idp_response_timeout, insira the-number-of-seconds. Este é o período especificado em segundos para aguardar a resposta do Azure. Esta opção se aplica ao plug-in do Azure AD do navegador.

    No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações a seguir.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Como solucionar problemas com o plug-in Browser Azure AD

  1. Para usar o plug-in Browser Azure AD, você deve definir o URL de resposta especificado na solicitação para corresponder ao URL de resposta configurado para seu aplicativo.

    Navegue até a página Configurar o logon único com SAML no portal do Microsoft Azure. Verifique se o URL de resposta está definido como http://localhost/redshift/.

  2. Se você receber um erro de locatário IdP, verifique se o nome do Locatário IdP corresponde ao nome de domínio usado inicialmente para configurar o Active Directory no Microsoft Azure.

    No Windows, navegue até a seção Configurações de conexão da página Configuração do DSN do driver ODBC do Amazon Redshift. Verifique se o nome do locatário da empresa configurada no seu IdP (Azure) corresponde ao nome de domínio usado inicialmente para configurar o Active Directory no Microsoft Azure.

    No macOS e no Linux, localize o arquivo odbc.ini. Verifique se o nome do locatário da empresa configurada no seu IdP (Azure) corresponde ao nome de domínio usado inicialmente para configurar o Active Directory no Microsoft Azure.

  3. Se você receber um erro informando que o URL de resposta especificado na solicitação não corresponde aos URLs de resposta configurados para seu aplicativo, verifique se os URIs de redirecionamento são os mesmos que o URL de resposta.

    Navegue até a página de Registro de aplicativo do seu aplicativo no portal do Microsoft Azure. Verifique se os URIs de redirecionamento correspondem ao URL de resposta.

  4. Se receber a resposta inesperada: erro não autorizado, verifique se você concluiu a configuração de Aplicativos móveis e de desktop.

    Navegue até a página de Registro de aplicativo do seu aplicativo no portal do Microsoft Azure. Navegue até Autenticação e verifique se você configurou Aplicativos móveis e de desktop para usar http://localhost/redshift/ como URIs de redirecionamento.

AD FS

É possível usar o AD FS como um provedor de identidade (IdP) para acessar seu cluster do Amazon Redshift. O procedimento a seguir descreve como configurar uma relação de confiança para essa finalidade.

Para configurar o AD FS e sua conta da AWS para que confiem um no outro

  1. Crie ou use um cluster existente do Amazon Redshift para os usuários do AD FS se conectarem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.

  2. Configure o AD FS para controlar o acesso do Amazon Redshift no console de gerenciamento Microsoft:

    1. Escolha ADFS 2.0 e Add Relying Party Trust (Adicionar confiança da parte dependente). Na página Add Relying Party Trust Wizard (Assistente para adicionar confiança da parte dependente) escolha Start (Iniciar).

    2. Na página Select Data Source (Selecionar fonte de dados), escolha Import data about the relying party published online or on a local network (Importar dados sobre a parte dependente publicados online ou em uma rede local).

    3. Em Federation metadata address (host name or URL) (Endereço de metadados de federação [nome do host ou URL]), insira https://signin.aws.amazon.com/saml-metadata.xml. O arquivo XML de metadados é um documento de metadados SAML padrão que descreve a AWS como uma parte confiável.

    4. Na página Specify Display Name (Especificar nome de exibição), insira um valor para Display name (Nome de exibição).

    5. Na página Choose Issuance Authorization Rules (Escolher regras de autorização de emissão), escolha uma regra de autorização de emissão para permitir ou negar que todos os usuários acessem essa parte dependente.

    6. Na página Ready to Add Trust (Pronto para adicionar confiança) revise as configurações.

    7. Na página Finish (Concluir), escolha Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Abrir a caixa de diálogo Editar regras de reivindicação para esta parte dependente quando o assistente for encerrado).

    8. No menu de contexto (clique com o botão direito do mouse), escolha Relying Party Trusts (Confianças de parte dependente).

    9. Para sua parte dependente, abra o menu de contexto (clique com o botão direito do mouse) e escolha Edit Claim Rules (Editar regras de reivindicação). Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra).

    10. Em Claim rule template (Modelo de regra de reivindicação), escolha Transform an Incoming Claim (Transformar uma reivindicação de entrada) e na página Edit Rule – NameId (Editar regra – NameId), faça o seguinte:

      • Em Claim rule name (Nome da regra de reivindicação), insira NameId.

      • Em Incoming claim name (Nome da reivindicação de entrada), escolha Windows Account Name (Nome da conta do Windows).

      • Em Outgoing claim name (Nome da reivindicação de saída), escolha Name ID (ID do nome).

      • Em Outgoing name ID format (Formato de ID de nome de saída), escolha Persistent Identifier (Identificador persistente).

      • Escolha Pass through all claim values (Transmitir todos os valores de reivindicação).

    11. Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send LDAP Attributes as Claims (Enviar atributos LDAP como reivindicações).

    12. Na página Configure Rule (Configurar regra), faça o seguinte:

      • Em Claim rule name (Nome da regra de reivindicação), insira RoleSessionName.

      • Em Attribute store (Armazenamento de atributos), escolha Active Directory.

      • Em LDAP Attribute (Atributo LDAP), escolha Email Addresses (Endereços de e-mail).

      • Para o Tipo de declaração de saída, escolha https://aws.amazon.com/SAML/Attributes/RoleSessionName.

    13. Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send Claims Using a Custom Rule (Enviar reivindicações usando uma regra personalizada).

    14. Na página Edit Rule – Get AD Groups (Editar regra – Obter grupos do AD), em Claim rule name (Nome da regra de reivindicação), insira Get AD Groups (Obter grupos do AD).

    15. Em Custom rule (Regra personalizada), insira o seguinte.

      c:[Type ==
                                    "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
                                    Issuer == "AD AUTHORITY"] => add(store = "Active Directory",
                                    types = ("http://temp/variable"), query = ";tokenGroups;{0}",
                                    param = c.Value);

    16. Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send Claims Using a Custom Rule (Enviar reivindicações usando uma regra personalizada).

    17. Na página Edit Rule – Roles (Editar regra – Funções), em Claim rule name (Nome da regra de reivindicação), digite Roles (Funções).

    18. Em Custom rule (Regra personalizada), insira o seguinte.

      c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

      Observe os ARNs do provedor SAML e a função a ser assumida. Neste exemplo, arn:aws:iam:123456789012:saml-provider/ADFS é o ARN do provedor SAML e arn:aws:iam:123456789012:role/ADFS- é o ARN da função.

  3. Certifique-se de que você fez download do arquivo federationmetadata.xml. Verifique se o conteúdo do documento não tem caracteres inválidos. Este é o arquivo de metadados que você usa ao configurar a relação de confiança com a AWS.

  4. Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Azure Enterprise Application. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.

  5. Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.

  6. Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM. Para obter um exemplo do Azure AD, consulte Configurar a autenticação única de JDBC ou ODBC.

Como configurar o JDBC para autenticação no AD FS

  • Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando a autenticação única do Azure FS.

    Você pode utilizar qualquer cliente que use um driver JDBC para se conectar usando a autenticação única do AD FS ou usar uma linguagem, como Java, para se conectar por meio de um script. Para obter informações sobre instalação e configuração, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.

    Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, a URL do seu banco de dados usa o seguinte formato.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:

    1. Inicie o SQL Workbench/J. Na página Selecionar perfil de conexão, adicione um Grupo de perfis, por exemplo, ADFS.

    2. Em Connection Profile (Perfil de conexão), insira o nome do perfil de conexão, por exemplo, ADFS.

    3. Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.

    4. Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil de conexão da seguinte maneira:

      • Em User (Usuário), insira o nome de usuário do AD FS. Este é o nome de usuário da conta do usado para o logon único que tem permissão para o cluster que você está tentando autenticar.

      • Em Password (Senha), insira a senha do AD FS.

      • Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).

      • Para URL, insira jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Escolha Propriedades estendidas. Para plugin_name, insira com.amazon.redshift.plugin.AdfsCredentialsProvider. Esse valor especifica para o driver usar o método de autenticação única do AD FS.

Como configurar o ODBC para autenticação no AD FS

  • Configure seu cliente de banco de dados para se conectar ao cluster por meio de ODBC usando a autenticação única do AD FS.

    O Amazon Redshift fornece drivers ODBC para sistemas operacionais Linux, Windows e macOS. Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de 32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.

    No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driver ODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintes informações:

    • Para Data Source Name (Nome da fonte de dados), insira your-DSN. Isto especifica o nome da fonte de dados usado como o nome do perfil de ODBC.

    • Para o Tipo de autenticação, escolha Provedor de identidade: SAML. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do AD FS.

    • Para Cluster ID (ID do cluster), insira your-cluster-identifier.

    • Para Region (Região), insira your-cluster-region.

    • Para Database (Banco de dados), insira your-database-name.

    • Em User (Usuário), insira your-adfs-username. Esse é o nome de usuário da conta do AD FS que está sendo usado para autenticação única que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: SAML (Provedor de identidade: SAML).

    • Em Password (Senha), insira your-adfs-password. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: SAML (Provedor de identidade: SAML).

    No macOS e no Linux, edite o arquivo odbc.ini da seguinte forma:

    nota

    Nenhuma entrada diferencia letras maiúsculas de minúsculas.

    • Para clusterid, insira your-cluster-identifier. Esse é o nome do cluster criado pelo Amazon Redshift.

    • Para region (região), insira your-cluster-region. Esta é a Região da AWS do cluster do Amazon Redshift criado.

    • Para database (banco de dados), insira your-database-name. Este é o nome do banco de dados que você está tentando acessar no cluster do Amazon Redshift.

    • Para locale (localidade), insira en-us. Este é o idioma em que as mensagens de erro são exibidas.

    • Para IAM, insira 1. Esse valor especifica ao driver para autenticar usando credenciais do IAM.

    • Em plugin_name, siga um destes procedimentos:

      • Na configuração de autenticação única do AD FS com MFA, digite BrowserSAML. Este é o método de autenticação que o driver ODBC usa para autenticar no AD FS.

      • Na configuração de autenticação única do AD FS, digite ADFS. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Azure AD.

    • Em uid, insira your-adfs-username. Esse é o nome de usuário da conta do Microsoft Azure que está sendo usado para autenticação única que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando plugin_name for ADFS.

    • Em pwd, insira your-adfs-password. Use isso somente quando plugin_name for ADFS.

    No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações a seguir.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Ping Identity

É possível usar o Ping Identity como um provedor de identidade (IdP) para acessar seu cluster do Amazon Redshift. O procedimento a seguir descreve como configurar uma relação de confiança para essa finalidade usando o portal PingOne.

Para configurar o Ping Identity e sua conta da AWS para que confiem uma na outra

  1. Crie ou use um cluster existente do Amazon Redshift para que seus usuários de Ping Identity se conectem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.

  2. Adicione o Amazon Redshift como uma nova aplicação SAML no portal PingOne. Para obter etapas detalhadas, consulte a documentação do Ping Identity.

    1. Acesse My Applications (Meus aplicativos).

    2. Em Add Application (Adicionar aplicativo), escolha New SAML Application (Novo aplicativo SAML).

    3. Em Application Name (Nome do aplicativo), insira Amazon Redshift.

    4. Em Protocol Version (Versão do protocolo), escolha SAML v2.0.

    5. Em Category (Categoria), escolha your-application-category.

    6. Em Assertion Consumer Service (ACS), digite your-redshift-local-host-url. Este é o host local e a porta para a qual a declaração de SAML redireciona.

    7. Em Entity ID (ID da entidade), insira urn:amazon:webservices.

    8. Em Signing (Assinar), escolha Sign Assertion (Assinar declaração).

    9. Na seção SSO Attribute Mapping (Mapeamento de atributo de SSO), crie as reivindicações conforme mostrado na tabela a seguir.

      Atributo do aplicativo Atributo de ligação de identidade de valor literal

      https://aws.amazon.com/SAML/Attributes/Role

      arn:aws:iam::123456789012:role/Ping,arn:aws:iam::123456789012:saml-provider/PingProvider

      https://aws.amazon.com/SAML/Attributes/RoleSessionName

      email

      https://redshift.amazon.com/SAML/Attributes/AutoCreate

      "true"

      https://redshift.amazon.com/SAML/Attributes/DbUser

      email

      https://redshift.amazon.com/SAML/Attributes/DbGroups

      Os grupos nos atributos “DbGroups” contêm o prefixo @directory. Para remover isso, em Ponte de identidade, insira memberOf. Em Função, escolha ExtractByRegularExpression. Em Expressão, insira (.*)[\@](?:.*).

  3. Em Group Access (Acesso de grupo), configure o seguinte acesso de grupo, se necessário:

    • https://aws.amazon.com/SAML/Attributes/Role

    • https://aws.amazon.com/SAML/Attributes/RoleSessionName

    • https://redshift.amazon.com/SAML/Attributes/AutoCreate

    • https://redshift.amazon.com/SAML/Attributes/DbUser

  4. Revise sua configuração e faça alterações, se necessário.

  5. Use o Initiate Single Sign-On (SSO) URL (URL de logon único inicial [SSO]) como o URL de login para o plug-in de Browser SAML.

  6. Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Ping Identity. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.

  7. Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.

  8. Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM. Para obter um exemplo do Azure AD, consulte Configurar a autenticação única de JDBC ou ODBC.

Como configurar o JDBC para autenticação para o Ping Identity

  • Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando a autenticação única do Ping Identity.

    Você pode usar qualquer cliente que utilize um driver JDBC para se conectar por meio da autenticação única do Ping Identity ou usar uma linguagem, como Java, para se conectar por meio de um script. Para obter informações sobre instalação e configuração, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.

    Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, a URL do seu banco de dados usa o seguinte formato.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:

    1. Inicie o SQL Workbench/J. Na página Selecionar perfil de conexão, adicione um Grupo de perfis, por exemplo, Ping.

    2. Em Connection Profile (Perfil de conexão), insira your-connection-profile-name, por exemplo, Ping.

    3. Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.

    4. Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil de conexão da seguinte maneira:

      • Em User (Usuário), insira seu nome do usuário do PingOne. Esse é o nome de usuário da conta do PingOne usado para o logon único que tem permissão para o cluster que você está tentando autenticar.

      • Em Password (Senha), insira sua senha do PingOne.

      • Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).

      • Para URL, insira jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Escolha Extended Properties (Propriedades estendidas) e siga um destes procedimentos:

      • Em login_url, insira your-ping-sso-login-url. Esse valor especifica ao URL para usar autenticação única para login.

      • Para o Ping Identity, em plugin_name, insira com.amazon.redshift.plugin.PingCredentialsProvider. Esse valor especifica ao driver para usar a autenticação única do Ping Identity como método.

      • Para o Ping Identity com autenticação única, em plugin_name, insira com.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Esse valor especifica ao driver para usar a autenticação única do PingOne do Ping Identity como método.

Como configurar o ODBC para autenticação para o Ping Identity

  • Configure o cliente de banco de dados para se conectar ao cluster por meio do ODBC usando a autenticação única do PingOne do Ping Identity.

    O Amazon Redshift fornece drivers ODBC para sistemas operacionais Linux, Windows e macOS. Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de 32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.

    No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driver ODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintes informações:

    • Para Data Source Name (Nome da fonte de dados), insira your-DSN. Isto especifica o nome da fonte de dados usado como o nome do perfil de ODBC.

    • Em Auth type (Tipo de autenticação), siga um destes procedimentos:

      • Para a configuração do Ping Identity, escolha Provedor de identidade: Ping Federate. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Ping Identity.

      • Para a configuração do Ping Identity com autenticação única, escolha Identity Provider: Browser SAML (Provedor de identidades: navegador SAML). Esse é o método que o driver de ODBC usa para autenticar por meio do Ping Identity com autenticação única.

    • Para Cluster ID (ID do cluster), insira your-cluster-identifier.

    • Para Region (Região), insira your-cluster-region.

    • Para Database (Banco de dados), insira your-database-name.

    • Em User (Usuário), insira your-ping-username. Esse é o nome de usuário da conta do PingOne usado para autenticação única que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: PingFederate (Provedor de identidade: PingFederate).

    • Em Password (Senha), insira your-ping-password. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: PingFederate (Provedor de identidade: PingFederate).

    • Em Porta de escuta, insira your-listen-port. Esta é a porta que o servidor local está escutando. O padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.

    • Em Response Timeout (Tempo limite de resposta), insira the-number-of-seconds. Este é o número de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta uma resposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão for maior do que esse limite, a conexão é cancelada. Isso se aplica somente ao plug-in de Browser SAML.

    • Em Login URL (URL de login), insira your-login-url. Isso se aplica somente ao plug-in de Browser SAML.

    No macOS e no Linux, edite o arquivo odbc.ini da seguinte forma:

    nota

    Nenhuma entrada diferencia letras maiúsculas de minúsculas.

    • Para clusterid, insira your-cluster-identifier. Esse é o nome do cluster criado pelo Amazon Redshift.

    • Para region (região), insira your-cluster-region. Esta é a Região da AWS do cluster do Amazon Redshift criado.

    • Para database (banco de dados), insira your-database-name. Este é o nome do banco de dados que você está tentando acessar no cluster do Amazon Redshift.

    • Para locale (localidade), insira en-us. Este é o idioma em que as mensagens de erro são exibidas.

    • Para IAM, insira 1. Esse valor especifica ao driver para autenticar usando credenciais do IAM.

    • Em plugin_name, siga um destes procedimentos:

      • Para a configuração do Ping Identity, insira BrowserSAML. Este é o método de autenticação que o driver de ODBC usa para se autenticar no Ping Identity.

      • Na configuração do Ping Identity com autenticação única, digite Ping. Esse é o método que o driver de ODBC usa para autenticar por meio do Ping Identity com autenticação única.

    • Em uid, insira your-ping-username. Este é o nome de usuário da conta do Microsoft Azure que você está usando para logon único, que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando plugin_name for Ping.

    • Em pwd, insira your-ping-password. Use isso somente quando plugin_name for Ping.

    • Em login_url, insira your-login-url. Esse é o URL de autenticação única inicial que retorna a resposta de SAML. Isso se aplica somente ao plug-in de Browser SAML.

    • Em idp_response_timeout, insira the-number-of-seconds. Esse é o período especificado em segundos para aguardar a resposta do PingOne Identity. Isso se aplica somente ao plug-in de Browser SAML.

    • Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando. O padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.

    No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações a seguir.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
Okta

É possível usar o Okta como um provedor de identidade (IdP) para acessar seu cluster do Amazon Redshift. O procedimento a seguir descreve como configurar uma relação de confiança para essa finalidade.

Para configurar o Okta e sua conta da AWS para que confiem um no outro

  1. Crie ou use um cluster existente do Amazon Redshift para os usuários do Okta se conectarem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.

  2. Adicione o Amazon Redshift como uma nova aplicação no portal Okta. Para obter etapas detalhadas, consulte a Documentação do Okta.

    • Escolha Add Application (Adicionar aplicativo).

    • Em Add Application (Adicionar aplicativo), escolha Create New App (Criar novo aplicativo).

    • Na página Create a New Add Application Integration (Criar uma nova integração de aplicativos de adição), em Platform (Plataforma), escolha Web.

    • Em Sign on method (Método de logon), escolha SAML v2.0.

    • Na página General Settings (Configurações gerais), em App name (Nome do aplicativo), insira your-redshift-saml-sso-name. Esse é o nome do seu aplicativo.

    • Na página Configurações de SAML, em URL de logon único, insira your-redshift-local-host-url. Este é o host local e a porta para os quais a declaração de SAML redireciona, por exemplo http://localhost:7890/redshift/.

  3. Use o valor URL de logon único como o URL do destinatário e o URL de destino.

  4. Em Signing (Assinar), escolha Sign Assertion (Assinar declaração).

  5. Para URI de público (ID da entidade SP), insira urn:amazon:webservices para as declarações, conforme mostrado na tabela a seguir.

  6. Na seção Advanced Settings (Configurações avançadas), em SAML Issuer ID (ID do emissor SAML), insira your-Identity-Provider-Issuer-ID, que você encontra na seção View Setup Instructions (Visualizar instruções de configuração).

  7. Na seção Attribute Statements (Declarações de atributo), crie as reivindicações conforme mostrado na tabela a seguir.

    Nome da reivindicação Valor

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam::123456789012:role/Okta,arn:aws:iam::123456789012:saml-provider/Okta

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.email

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    "true"

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.email

  8. Na seção App Embed Link (Link de incorporação de aplicativo) localize o URL que você pode usar como o URL de login do plug-in SAML do navegador.

  9. Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Okta. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.

  10. Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.

  11. Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM. Para obter um exemplo do Azure AD, consulte Configurar a autenticação única de JDBC ou ODBC.

Como configurar o JDBC para autenticação no Okta

  • Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando a autenticação única do Okta.

    Você pode usar qualquer cliente que utilize um driver JDBC para se conectar por meio da autenticação única do Okta ou usar uma linguagem, como Java, para se conectar por meio de um script. Para obter informações sobre instalação e configuração, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.

    Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, a URL do seu banco de dados usa o seguinte formato.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:

    1. Inicie o SQL Workbench/J. Na página Selecionar perfil de conexão, adicione um Grupo de perfis, por exemplo, Okta.

    2. Em Connection Profile (Perfil de conexão), insira your-connection-profile-name, por exemplo, Okta.

    3. Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.

    4. Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil de conexão da seguinte maneira:

      • Em User (Usuário), insira o nome de usuário do Okta. Este é o nome de usuário da conta do Okta que está sendo usado para o logon único que tem permissão para o cluster que você está tentando autenticar.

      • Em Password (Senha), insira sua senha do Okta.

      • Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).

      • Para URL, insira jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Escolha Extended Properties (Propriedades estendidas) e siga um destes procedimentos:

      • Em login_url, insira your-okta-sso-login-url. Esse valor especifica ao URL para usar autenticação única para login no Okta.

      • Para autenticação única do Okta, em plugin_name, insira com.amazon.redshift.plugin.OktaCredentialsProvider. Esse valor especifica ao driver para usar a autenticação única do Okta como método.

      • Para autenticação única do Okta com MFA, em plugin_name, insira com.amazon.redshift.plugin.BrowserSamlCredentialsProvider. Isso especifica para o driver usar o método de autenticação única do Okta com MFA.

Como configurar o ODBC para autenticação no Okta

  • Configure seu cliente de banco de dados para se conectar ao cluster por meio do ODBC usando a autenticação única do Okta.

    O Amazon Redshift fornece drivers ODBC para sistemas operacionais Linux, Windows e macOS. Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de 32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.

    No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driver ODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintes informações:

    • Para Data Source Name (Nome da fonte de dados), insira your-DSN. Isto especifica o nome da fonte de dados usado como o nome do perfil de ODBC.

    • Em Auth type (Tipo de autenticação), siga um destes procedimentos:

      • Para a configuração de autenticação única do Okta, escolha Identity Provider: Okta. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Okta.

      • Para a configuração de autenticação única do Okta com MFA, escolha Identity Provider: Browser SAML. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Okta com MFA.

    • Para Cluster ID (ID do cluster), insira your-cluster-identifier.

    • Para Region (Região), insira your-cluster-region.

    • Para Database (Banco de dados), insira your-database-name.

    • Em User (Usuário), insira your-okta-username. Esse é o nome de usuário da conta do Okta usado para autenticação única que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: Okta (Provedor de identidade: Okta).

    • Em Password (Senha), insira your-okta-password. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: Okta (Provedor de identidade: Okta).

    No macOS e no Linux, edite o arquivo odbc.ini da seguinte forma:

    nota

    Nenhuma entrada diferencia letras maiúsculas de minúsculas.

    • Para clusterid, insira your-cluster-identifier. Esse é o nome do cluster criado pelo Amazon Redshift.

    • Para region (região), insira your-cluster-region. Esta é a Região da AWS do cluster do Amazon Redshift criado.

    • Para database (banco de dados), insira your-database-name. Este é o nome do banco de dados que você está tentando acessar no cluster do Amazon Redshift.

    • Para locale (localidade), insira en-us. Este é o idioma em que as mensagens de erro são exibidas.

    • Para IAM, insira 1. Esse valor especifica ao driver para autenticar usando credenciais do IAM.

    • Em plugin_name, siga um destes procedimentos:

      • Na configuração de autenticação única do Okta com MFA, digite BrowserSAML. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Okta com MFA.

      • Na configuração de autenticação única do Okta, digite Okta. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Okta.

    • Em uid, insira your-okta-username. Esse é o nome de usuário da conta do Okta usado para autenticação única que tem permissão para o cluster no qual você está tentando autenticar. Use isso somente quando plugin_name for Okta.

    • Em pwd, insira your-okta-password. Use isso somente quando plugin_name for Okta.

    • Em login_url, insira your-login-url. Esse é o URL de autenticação única inicial que retorna a resposta de SAML. Isso se aplica somente ao plug-in de Browser SAML.

    • Em idp_response_timeout, insira the-number-of-seconds. Esse é o período especificado em segundos para aguardar a resposta do PingOne. Isso se aplica somente ao plug-in de Browser SAML.

    • Em listen_port, insira your-listen-port. Esta é a porta que o servidor local está escutando. O padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.

    No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações a seguir.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini