Configurar a autenticação única de JDBC ou ODBC
É possível usar diferentes provedores de identidades (IdP) para acessar o cluster do Amazon Redshift. Para obter mais informações sobre como configurar a AWS como um provedor de serviços para o IdP, consulte Configurar seu IdP SAML 2.0 com confiança de parte confiante e adicionar declarações no Guia do usuário do IAM.
- Microsoft Azure AD
-
Você pode usar o Microsoft Azure AD como um provedor de identidade (IdP) para acessar seu cluster do Amazon Redshift. O procedimento a seguir descreve como configurar uma relação de confiança para essa finalidade.
Para saber como federar o acesso do Amazon Redshift com o logon único do Microsoft Azure AD, assista ao vídeo a seguir.
Para configurar o Azure AD e sua conta da AWS para que confiem um no outro
-
Crie ou use um cluster existente do Amazon Redshift para os usuários do Azure AD se conectarem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.
-
Configure grupos e usuários do Diretório Ativo do Azure usados para a AWS no portal do Microsoft Azure.
-
Adicione o Amazon Redshift como uma aplicação empresarial no portal do Microsoft Azure para usar para logon único no AWS Console e logon federado no Amazon Redshift. Escolha Enterprise application (Aplicativo empresarial).
-
Escolha +New application (+Novo aplicativo). A página Adicionar um aplicativo é exibida.
-
Pesquise
AWS
no campo de pesquisa. -
Escolha Amazon Web Services (AWS) e escolha Adicionar. Isso cria a aplicação da AWS.
-
Em Manage (Gerenciar), escolha Single sign-on (Logon único).
-
Escolha SAML. O Amazon Web Services (AWS) | A página de logon baseada em SAML é exibida.
-
Escolha Yes (Sim) para prosseguir para a página Configurar logon único com SAML. Esta página mostra a lista de atributos pré-configurados relacionados à autenticação única.
-
Em Basic SAML Configuration (Configuração básica de SAML), escolha o ícone de edição e Save (Salvar).
-
Quando você estiver configurando mais de um aplicativo, forneça um valor de identificador. Por exemplo, digite
. Observe que a partir do segundo aplicativo em diante, use esse formato com um sinal # para especificar um valor SPN exclusivo.https://signin.aws.amazon.com/saml#2
-
Na seção User Attributes and Claims (Atributos de usuário e reivindicações), escolha o ícone de edição.
Por padrão, as reivindicações UID (Unique User Identifier), Role, RoleSessionName e SessionDuration são pré-configuradas.
-
Escolha + Add new claim (+ Adicionar nova reivindicação) para adicionar uma reivindicação aos usuários do banco de dados.
Em Nome, digite
DbUser
.Em Namespace, insira
https://redshift.amazon.com/SAML/Attributes
.Em Origem, escolha Atributo.
Em Source attribute (Atributo de origem), escolha user.userprincipalname. Selecione Salvar.
-
Escolha + Add new claim (+ Adicionar nova reivindicação) para adicionar uma reivindicação ao AutoCreate.
Em Nome, digite
AutoCreate
.Em Namespace, insira
https://redshift.amazon.com/SAML/Attributes
.Em Origem, escolha Atributo.
Em Source attribute (Atributo de origem), escolha "true". Selecione Salvar.
Aqui,
é a conta da AWS,123456789012
é uma função do IAM que você criou eAzureSSO
é o provedor do IAM.AzureADProvider
Nome da reivindicação Valor Identificador de usuário exclusivo (ID de nome)
user.userprincipalname
https://aws.amazon.com/SAML/Attributes/SessionDuration
"900"
https://aws.amazon.com/SAML/Attributes/Role
arn:aws:iam::
123456789012
:role/AzureSSO
,arn:aws:iam::123456789012
:saml-provider/AzureADProvider
https://aws.amazon.com/SAML/Attributes/RoleSessionName
user.userprincipalname
https://redshift.amazon.com/SAML/Attributes/AutoCreate
"true"
https://redshift.amazon.com/SAML/Attributes/DbGroups
user.assignedroles
https://redshift.amazon.com/SAML/Attributes/DbUser
user.userprincipalname
-
Em Registro de aplicativo >
> Autenticação, adicione Aplicativo móvel e desktop. Especifique o URL como http://localhost/redshift/.your-application-name
-
Na seção SAML Signing Certificate (Certificado de assinatura SAML), escolha Download (Fazer download) para fazer download e salvar o arquivo XML de metadados de federação para usar ao criar um provedor de identidade SAML do IAM. Esse arquivo é usado para criar a identidade federada da autenticação única.
-
Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Azure Enterprise Application. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.
-
Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.
Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM.
Modifique a seguinte política (no formato JSON) para o seu ambiente:
Substitua a região da AWS do seu cluster por
.us-west-1
Substitua a conta da AWS por
.123456789012
Substitua seu identificador de cluster (ou
*
para todos os clusters) por
.cluster-identifier
Substitua seu banco de dados (ou
*
para todos os bancos de dados) por
.dev
Substitua o identificador exclusivo de sua função do IAM por
.AROAJ2UCCR6DPCEXAMPLE
Substitua o domínio de e-mail do locatário ou da empresa por
.example.com
Substitua o grupo de banco de dados ao qual você planeja atribuir o usuário por
.my_dbgroup
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:
us-west-1
:123456789012
:dbname:cluster-identifier
/dev
", "arn:aws:redshift:us-west-1
:123456789012
:dbuser:cluster-identifier
/${redshift:DbUser}", "arn:aws:redshift:us-west-1
:123456789012
:cluster:cluster-identifier
" ], "Condition": { "StringEquals": { "aws:userid": "AROAJ2UCCR6DPCEXAMPLE
:${redshift:DbUser}@example.com
" } } }, { "Effect": "Allow", "Action": "redshift:CreateClusterUser", "Resource": "arn:aws:redshift:us-west-1
:123456789012
:dbuser:cluster-identifier
/${redshift:DbUser}" }, { "Effect": "Allow", "Action": "redshift:JoinGroup", "Resource": "arn:aws:redshift:us-west-1
:123456789012
:dbgroup:cluster-identifier
/my_dbgroup
" }, { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "iam:ListRoles" ], "Resource": "*" } ] }Esta política concede permissões da seguinte forma:
A primeira seção concede permissão à operação de API do
GetClusterCredentials
para obter credenciais temporárias para o cluster especificado. Neste exemplo, o recurso é
com banco de dadoscluster-identifier
, na contadev
e na região da AWS123456789012
. A cláusulaus-west-1
${redshift:DbUser}
permite que apenas os usuários que correspondam ao valor deDbUser
especificado no Azure AD se conectem.A cláusula de condição impõe que apenas determinados usuários obtêm credenciais temporárias. Esses são os usuários da função especificada pelo ID exclusivo de função
na conta do IAM identificada por um endereço de e-mail no domínio de e-mail da empresa. Para obter mais informações sobre IDs exclusivos, consulte IDs exclusivos no Manual do usuário do IAM.AROAJ2UCCR6DPCEXAMPLE
Sua configuração com seu IdP (neste caso, Azure AD) determina como a cláusula de condição é gravada. Se o e-mail do seu funcionário for
johndoe@example.com
, primeiro defina${redshift:DbUser}
para o campo super que corresponde ao nome de usuário do funcionáriojohndoe
. Então, para fazer essa condição funcionar, defina o campoRoleSessionName
do AWS SAML como o supercampo que corresponde ao e-mail do funcionáriojohndoe@example.com
. Ao adotar essa abordagem, considere o seguinte:Se você definir
${redshift:DbUser}
para ser o e-mail do funcionário, em seguida, remova o@example.com
no JSON do exemplo para corresponder com oRoleSessionName
.Se você definir o
RoleSessionId
para ser apenas o nome de usuário do funcionário, remova o@example.com
no exemplo para corresponder aoRoleSessionName
.No JSON de exemplo, tanto
${redshift:DbUser}
comoRoleSessionName
são definidos como o e-mail do funcionário. Este exemplo JSON usa o nome de usuário do banco de dados Amazon Redshift com@example.com
para conectar o usuário para acessar o cluster.
A segunda seção concede permissão para criar um nome
dbuser
no cluster especificado. Neste JSON de exemplo, ele restringe a criação de${redshift:DbUser}
.A terceira seção concede permissão para especificar a qual
dbgroup
um usuário pode ingressar. Neste JSON de exemplo, um usuário pode ingressar no grupomy_dbgroup
no cluster especificado.A quarta seção concede permissão para ações que o usuário pode fazer em todos os recursos. Neste JSON de exemplo, ele permite que os usuários chamem
redshift:DescribeClusters
para obter informações do cluster, como o endpoint do cluster, região da AWS e porta. Também permite que os usuários chamemiam:ListRoles
para verificar quais funções um usuário pode assumir.
Como configurar o JDBC para autenticação no Microsoft Azure AD
-
Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando o logon único do Azure AD.
Você pode usar qualquer cliente que use um driver JDBC para se conectar usando o logon único do Azure AD ou usar uma linguagem, como Java, para se conectar usando um script. Para obter informações sobre instalação e configuração, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.
Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, a URL do seu banco de dados usa o seguinte formato.
jdbc:redshift:iam://
cluster-identifier
:us-west-1
/dev
Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:
-
Inicie o SQL Workbench/J. Na página Selecionar perfil de conexão adicione um Grupo de perfis chamado
AzureAuth
. -
Em Connection Profile (Perfil de conexão), insira
Azure
. -
Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.
-
Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil de conexão da seguinte maneira:
-
Em User (Usuário), insira seu nome de usuário do Microsoft Azure. Este é o nome de usuário da conta do Microsoft Azure que você está usando para o logon único que tem permissão para o cluster que você está tentando autenticar.
-
Em Password (Senha), digite sua senha do Microsoft Azure.
-
Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).
-
Para URL, insira
jdbc:redshift:iam://
.your-cluster-identifier
:your-cluster-region
/your-database-name
-
-
Escolha Extended Properties (Propriedades estendidas) para adicionar informações adicionais às propriedades de conexão, conforme descrito a seguir.
Para a configuração de autenticação única do Azure AD, adicione outras informações da seguinte forma:
-
Para plugin_name, insira
com.amazon.redshift.plugin.AzureCredentialsProvider
. Esse valor especifica para o driver usar o logon único do Azure AD como o método de autenticação. -
Para idp_tenant, insira
. Usado apenas para o Microsoft Azure AD. Este é o nome do locatário da sua empresa configurado no Azure AD. Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário com hífens.your-idp-tenant
-
Para client_secret, insira
. Usado apenas para o Microsoft Azure AD. Este é o segredo do seu cliente da aplicação Amazon Redshift que você criou ao definir a configuração do Azure Single Sign-On. Isso só é aplicável ao plug-in com.amazon.redshift.plugin.AzureCredentialsProvider.your-azure-redshift-application-client-secret
-
Para client_id, insira
. Usado apenas para o Microsoft Azure AD. Esta é a ID do cliente (com hifens) da aplicação Amazon Redshift que você criou ao definir sua configuração do Azure Single Sign-On.your-azure-redshift-application-client-id
Para a configuração de autenticação única do Azure AD com MFA, adicione outras informações às propriedades de conexão da seguinte forma:
-
Para plugin_name, insira
com.amazon.redshift.plugin.BrowserAzureCredentialsProvider
. Isso especifica para o driver usar o método de autenticação única do Azure com MFA. -
Para idp_tenant, insira
. Usado apenas para o Microsoft Azure AD. Este é o nome do locatário da sua empresa configurado no Azure AD. Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário com hífens.your-idp-tenant
-
Para client_id, insira
. Essa opção é usada apenas para o Microsoft Azure AD. Este é o ID do cliente (com hifens) da aplicação Amazon Redshift que você criou ao definir a configuração de autenticação única do Azure com MFA.your-azure-redshift-application-client-id
-
Em listen_port, insira
. Esta é a porta que o servidor local está escutando. O padrão é 7890.your-listen-port
-
Em idp_response_timeout, insira
. Este é o número de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta uma resposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão for maior do que esse limite, a conexão é cancelada.the-number-of-seconds
-
-
Como configurar o ODBC para autenticação no Microsoft Azure AD
-
Configure seu cliente de banco de dados para se conectar ao cluster por meio de ODBC usando seu logon único do Azure AD.
O Amazon Redshift fornece drivers ODBC para sistemas operacionais Linux, Windows e macOS. Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de 32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.
No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driver ODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintes informações:
-
Para Data Source Name (Nome da fonte de dados), insira
. Isto especifica o nome da fonte de dados usado como o nome do perfil de ODBC.your-DSN
-
Em Auth type (Tipo de autenticação) para a configuração de autenticação única do Azure AD, escolha
Identity Provider: Azure AD
. Este é o método de autenticação que o driver de ODBC usa para autenticar usando o logon único do Azure. -
Em Auth type (Tipo de autenticação) para a configuração de autenticação única do Azure AD com MFA, escolha
Identity Provider: Browser Azure AD
. Este é o método de autenticação que o driver de ODBC usa para autenticar usando o logon único do Azure com MFA. -
Para Cluster ID (ID do cluster), insira
.your-cluster-identifier
-
Para Region (Região), insira
.your-cluster-region
-
Para Database (Banco de dados), insira
.your-database-name
-
Em User (Usuário), insira
. Este é o nome de usuário da conta do Microsoft Azure que está sendo usada para logon único que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando Auth Type (Tipo de autenticação) for Identity Provider: Azure AD (Provedor de identidade: Azure AD).your-azure-username
-
Em Password (Senha), insira
. Use isso somente quando Auth Type (Tipo de autenticação) for Identity Provider: Azure AD (Provedor de identidade: Azure AD).your-azure-password
-
Para IdP Tenant (Locatário IdP), insira
. Este é o nome do locatário da sua empresa configurado no seu IdP (Azure). Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário com hífens.your-idp-tenant
-
Para Azure Client Secret (Segredo do cliente do Azure), insira
. Este é o segredo do cliente da aplicação Amazon Redshift que você criou ao definir sua configuração de logon único do Azure.your-azure-redshift-application-client-secret
-
Para Azure Client ID (ID do cliente do Azure), insira
. Este é o ID do cliente (com hífens) da aplicação Amazon Redshift que você criou ao definir sua configuração do Azure Single Sign-On.your-azure-redshift-application-client-id
-
Em Porta de escuta, insira
. Esta é a porta de escuta padrão que o servidor local está escutando. O padrão é 7890. Isso se aplica somente ao plug-in do Browser Azure AD.your-listen-port
-
Em Response Timeout (Tempo limite de resposta), insira
. Este é o número de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta uma resposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão for maior do que esse limite, a conexão é cancelada. Esta opção se aplica apenas ao plug-in do Azure AD do navegador.the-number-of-seconds
No macOS e no Linux, edite o arquivo
odbc.ini
da seguinte forma:nota
Nenhuma entrada diferencia letras maiúsculas de minúsculas.
-
Para clusterid, insira
. Esse é o nome do cluster criado pelo Amazon Redshift.your-cluster-identifier
-
Para region (região), insira
. Esta é a Região da AWS do cluster do Amazon Redshift criado.your-cluster-region
-
Para database (banco de dados), insira
. Este é o nome do banco de dados que você está tentando acessar no cluster do Amazon Redshift.your-database-name
-
Para locale (localidade), insira
en-us
. Este é o idioma em que as mensagens de erro são exibidas. -
Para IAM, insira
1
. Esse valor especifica ao driver para autenticar usando credenciais do IAM. -
Em plugin_name para a configuração de autenticação única do Azure AD, insira
AzureAD
. Isso especifica ao driver para usar o Azure Single Sign-On como o método de autenticação. -
Em plugin_name para a configuração de autenticação única do Azure AD com MFA, insira
BrowserAzureAD
. Isso especifica para o driver usar o logon único do Azure com MFA como o método de autenticação. -
Em uid, insira
. Este é o nome de usuário da conta do Microsoft Azure que você está usando para logon único, que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando plugin_name for AzureAD.your-azure-username
-
Em pwd, insira
. Use isso somente quando plugin_name for AzureAD.your-azure-password
-
Para idp_tenant, insira
. Este é o nome do locatário da sua empresa configurado no seu IdP (Azure). Esse valor pode ser o nome do locatário ou o ID exclusivo do locatário com hífens.your-idp-tenant
-
Para client_secret, insira
. Este é o segredo do cliente da aplicação Amazon Redshift que você criou ao definir sua configuração de logon único do Azure.your-azure-redshift-application-client-secret
-
Para client_id, insira
. Este é o ID do cliente (com hífens) da aplicação Amazon Redshift que você criou ao definir sua configuração do Azure Single Sign-On.your-azure-redshift-application-client-id
-
Em listen_port, insira
. Esta é a porta que o servidor local está escutando. O padrão é 7890. Isso se aplica ao plug-in do Browser Azure AD.your-listen-port
-
Em idp_response_timeout, insira
. Este é o período especificado em segundos para aguardar a resposta do Azure. Esta opção se aplica ao plug-in do Azure AD do navegador.the-number-of-seconds
No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações a seguir.
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
-
Como solucionar problemas com o plug-in Browser Azure AD
-
Para usar o plug-in Browser Azure AD, você deve definir o URL de resposta especificado na solicitação para corresponder ao URL de resposta configurado para seu aplicativo.
Navegue até a página Configurar o logon único com SAML no portal do Microsoft Azure. Verifique se o URL de resposta está definido como http://localhost/redshift/.
-
Se você receber um erro de locatário IdP, verifique se o nome do Locatário IdP corresponde ao nome de domínio usado inicialmente para configurar o Active Directory no Microsoft Azure.
No Windows, navegue até a seção Configurações de conexão da página Configuração do DSN do driver ODBC do Amazon Redshift. Verifique se o nome do locatário da empresa configurada no seu IdP (Azure) corresponde ao nome de domínio usado inicialmente para configurar o Active Directory no Microsoft Azure.
No macOS e no Linux, localize o arquivo odbc.ini. Verifique se o nome do locatário da empresa configurada no seu IdP (Azure) corresponde ao nome de domínio usado inicialmente para configurar o Active Directory no Microsoft Azure.
-
Se você receber um erro informando que o URL de resposta especificado na solicitação não corresponde aos URLs de resposta configurados para seu aplicativo, verifique se os URIs de redirecionamento são os mesmos que o URL de resposta.
Navegue até a página de Registro de aplicativo do seu aplicativo no portal do Microsoft Azure. Verifique se os URIs de redirecionamento correspondem ao URL de resposta.
-
Se receber a resposta inesperada: erro não autorizado, verifique se você concluiu a configuração de Aplicativos móveis e de desktop.
Navegue até a página de Registro de aplicativo do seu aplicativo no portal do Microsoft Azure. Navegue até Autenticação e verifique se você configurou Aplicativos móveis e de desktop para usar http://localhost/redshift/ como URIs de redirecionamento.
-
- AD FS
-
É possível usar o AD FS como um provedor de identidade (IdP) para acessar seu cluster do Amazon Redshift. O procedimento a seguir descreve como configurar uma relação de confiança para essa finalidade.
Para configurar o AD FS e sua conta da AWS para que confiem um no outro
-
Crie ou use um cluster existente do Amazon Redshift para os usuários do AD FS se conectarem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.
-
Configure o AD FS para controlar o acesso do Amazon Redshift no console de gerenciamento Microsoft:
-
Escolha ADFS 2.0 e Add Relying Party Trust (Adicionar confiança da parte dependente). Na página Add Relying Party Trust Wizard (Assistente para adicionar confiança da parte dependente) escolha Start (Iniciar).
-
Na página Select Data Source (Selecionar fonte de dados), escolha Import data about the relying party published online or on a local network (Importar dados sobre a parte dependente publicados online ou em uma rede local).
-
Em Federation metadata address (host name or URL) (Endereço de metadados de federação [nome do host ou URL]), insira
https://signin.aws.amazon.com/saml-metadata.xml
. O arquivo XML de metadados é um documento de metadados SAML padrão que descreve a AWS como uma parte confiável. -
Na página Specify Display Name (Especificar nome de exibição), insira um valor para Display name (Nome de exibição).
-
Na página Choose Issuance Authorization Rules (Escolher regras de autorização de emissão), escolha uma regra de autorização de emissão para permitir ou negar que todos os usuários acessem essa parte dependente.
-
Na página Ready to Add Trust (Pronto para adicionar confiança) revise as configurações.
-
Na página Finish (Concluir), escolha Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Abrir a caixa de diálogo Editar regras de reivindicação para esta parte dependente quando o assistente for encerrado).
-
No menu de contexto (clique com o botão direito do mouse), escolha Relying Party Trusts (Confianças de parte dependente).
-
Para sua parte dependente, abra o menu de contexto (clique com o botão direito do mouse) e escolha Edit Claim Rules (Editar regras de reivindicação). Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra).
-
Em Claim rule template (Modelo de regra de reivindicação), escolha Transform an Incoming Claim (Transformar uma reivindicação de entrada) e na página Edit Rule – NameId (Editar regra – NameId), faça o seguinte:
-
Em Claim rule name (Nome da regra de reivindicação), insira NameId.
-
Em Incoming claim name (Nome da reivindicação de entrada), escolha Windows Account Name (Nome da conta do Windows).
-
Em Outgoing claim name (Nome da reivindicação de saída), escolha Name ID (ID do nome).
-
Em Outgoing name ID format (Formato de ID de nome de saída), escolha Persistent Identifier (Identificador persistente).
-
Escolha Pass through all claim values (Transmitir todos os valores de reivindicação).
-
-
Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send LDAP Attributes as Claims (Enviar atributos LDAP como reivindicações).
-
Na página Configure Rule (Configurar regra), faça o seguinte:
-
Em Claim rule name (Nome da regra de reivindicação), insira RoleSessionName.
-
Em Attribute store (Armazenamento de atributos), escolha Active Directory.
-
Em LDAP Attribute (Atributo LDAP), escolha Email Addresses (Endereços de e-mail).
-
Para o Tipo de declaração de saída, escolha https://aws.amazon.com/SAML/Attributes/RoleSessionName.
-
-
Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send Claims Using a Custom Rule (Enviar reivindicações usando uma regra personalizada).
-
Na página Edit Rule – Get AD Groups (Editar regra – Obter grupos do AD), em Claim rule name (Nome da regra de reivindicação), insira Get AD Groups (Obter grupos do AD).
-
Em Custom rule (Regra personalizada), insira o seguinte.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
-
Na página Edit Claim Rules (Editar regras de reivindicação), escolha Add Rule (Adicionar regra). Na página Select Rule Template (Selecionar modelo de regra), em Claim rule template (Modelo de regra de reivindicação), escolha Send Claims Using a Custom Rule (Enviar reivindicações usando uma regra personalizada).
-
Na página Edit Rule – Roles (Editar regra – Funções), em Claim rule name (Nome da regra de reivindicação), digite Roles (Funções).
-
Em Custom rule (Regra personalizada), insira o seguinte.
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
Observe os ARNs do provedor SAML e a função a ser assumida. Neste exemplo,
arn:aws:iam:123456789012:saml-provider/ADFS
é o ARN do provedor SAML earn:aws:iam:123456789012:role/ADFS-
é o ARN da função.
-
-
Certifique-se de que você fez download do arquivo
federationmetadata.xml
. Verifique se o conteúdo do documento não tem caracteres inválidos. Este é o arquivo de metadados que você usa ao configurar a relação de confiança com a AWS. -
Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Azure Enterprise Application. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.
-
Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.
-
Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM. Para obter um exemplo do Azure AD, consulte Configurar a autenticação única de JDBC ou ODBC.
Como configurar o JDBC para autenticação no AD FS
-
Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando a autenticação única do Azure FS.
Você pode utilizar qualquer cliente que use um driver JDBC para se conectar usando a autenticação única do AD FS ou usar uma linguagem, como Java, para se conectar por meio de um script. Para obter informações sobre instalação e configuração, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.
Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, a URL do seu banco de dados usa o seguinte formato.
jdbc:redshift:iam://
cluster-identifier
:us-west-1
/dev
Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:
-
Inicie o SQL Workbench/J. Na página Selecionar perfil de conexão, adicione um Grupo de perfis, por exemplo,
ADFS
. -
Em Connection Profile (Perfil de conexão), insira o nome do perfil de conexão, por exemplo,
ADFS
. -
Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.
-
Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil de conexão da seguinte maneira:
-
Em User (Usuário), insira o nome de usuário do AD FS. Este é o nome de usuário da conta do usado para o logon único que tem permissão para o cluster que você está tentando autenticar.
-
Em Password (Senha), insira a senha do AD FS.
-
Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).
-
Para URL, insira
jdbc:redshift:iam://
.your-cluster-identifier
:your-cluster-region
/your-database-name
-
-
Escolha Propriedades estendidas. Para plugin_name, insira
com.amazon.redshift.plugin.AdfsCredentialsProvider
. Esse valor especifica para o driver usar o método de autenticação única do AD FS.
-
Como configurar o ODBC para autenticação no AD FS
-
Configure seu cliente de banco de dados para se conectar ao cluster por meio de ODBC usando a autenticação única do AD FS.
O Amazon Redshift fornece drivers ODBC para sistemas operacionais Linux, Windows e macOS. Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de 32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.
No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driver ODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintes informações:
-
Para Data Source Name (Nome da fonte de dados), insira
. Isto especifica o nome da fonte de dados usado como o nome do perfil de ODBC.your-DSN
-
Para o Tipo de autenticação, escolha Provedor de identidade: SAML. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do AD FS.
-
Para Cluster ID (ID do cluster), insira
.your-cluster-identifier
-
Para Region (Região), insira
.your-cluster-region
-
Para Database (Banco de dados), insira
.your-database-name
-
Em User (Usuário), insira
. Esse é o nome de usuário da conta do AD FS que está sendo usado para autenticação única que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: SAML (Provedor de identidade: SAML).your-adfs-username
-
Em Password (Senha), insira
. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: SAML (Provedor de identidade: SAML).your-adfs-password
No macOS e no Linux, edite o arquivo
odbc.ini
da seguinte forma:nota
Nenhuma entrada diferencia letras maiúsculas de minúsculas.
-
Para clusterid, insira
. Esse é o nome do cluster criado pelo Amazon Redshift.your-cluster-identifier
-
Para region (região), insira
. Esta é a Região da AWS do cluster do Amazon Redshift criado.your-cluster-region
-
Para database (banco de dados), insira
. Este é o nome do banco de dados que você está tentando acessar no cluster do Amazon Redshift.your-database-name
-
Para locale (localidade), insira
en-us
. Este é o idioma em que as mensagens de erro são exibidas. -
Para IAM, insira
1
. Esse valor especifica ao driver para autenticar usando credenciais do IAM. -
Em plugin_name, siga um destes procedimentos:
-
Na configuração de autenticação única do AD FS com MFA, digite
BrowserSAML
. Este é o método de autenticação que o driver ODBC usa para autenticar no AD FS. -
Na configuração de autenticação única do AD FS, digite
ADFS
. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Azure AD.
-
-
Em uid, insira
. Esse é o nome de usuário da conta do Microsoft Azure que está sendo usado para autenticação única que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando plugin_name for ADFS.your-adfs-username
-
Em pwd, insira
. Use isso somente quando plugin_name for ADFS.your-adfs-password
No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações a seguir.
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
-
-
- Ping Identity
-
É possível usar o Ping Identity como um provedor de identidade (IdP) para acessar seu cluster do Amazon Redshift. O procedimento a seguir descreve como configurar uma relação de confiança para essa finalidade usando o portal PingOne.
Para configurar o Ping Identity e sua conta da AWS para que confiem uma na outra
-
Crie ou use um cluster existente do Amazon Redshift para que seus usuários de Ping Identity se conectem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.
-
Adicione o Amazon Redshift como uma nova aplicação SAML no portal PingOne. Para obter etapas detalhadas, consulte a documentação do Ping Identity
. -
Acesse My Applications (Meus aplicativos).
-
Em Add Application (Adicionar aplicativo), escolha New SAML Application (Novo aplicativo SAML).
-
Em Application Name (Nome do aplicativo), insira
Amazon Redshift
. -
Em Protocol Version (Versão do protocolo), escolha SAML v2.0.
-
Em Category (Categoria), escolha
.your-application-category
-
Em Assertion Consumer Service (ACS), digite
. Este é o host local e a porta para a qual a declaração de SAML redireciona.your-redshift-local-host-url
-
Em Entity ID (ID da entidade), insira
urn:amazon:webservices
. -
Em Signing (Assinar), escolha Sign Assertion (Assinar declaração).
-
Na seção SSO Attribute Mapping (Mapeamento de atributo de SSO), crie as reivindicações conforme mostrado na tabela a seguir.
Atributo do aplicativo Atributo de ligação de identidade de valor literal https://aws.amazon.com/SAML/Attributes/Role
arn:aws:iam::
123456789012
:role/Ping
,arn:aws:iam::123456789012
:saml-provider/PingProvider
https://aws.amazon.com/SAML/Attributes/RoleSessionName
email
https://redshift.amazon.com/SAML/Attributes/AutoCreate
"true"
https://redshift.amazon.com/SAML/Attributes/DbUser
email
https://redshift.amazon.com/SAML/Attributes/DbGroups
Os grupos nos atributos “DbGroups” contêm o prefixo @directory. Para remover isso, em Ponte de identidade, insira memberOf. Em Função, escolha ExtractByRegularExpression. Em Expressão, insira (.*)[\@](?:.*).
-
-
Em Group Access (Acesso de grupo), configure o seguinte acesso de grupo, se necessário:
-
https://aws.amazon.com/SAML/Attributes/Role
-
https://aws.amazon.com/SAML/Attributes/RoleSessionName
-
https://redshift.amazon.com/SAML/Attributes/AutoCreate
-
https://redshift.amazon.com/SAML/Attributes/DbUser
-
-
Revise sua configuração e faça alterações, se necessário.
-
Use o Initiate Single Sign-On (SSO) URL (URL de logon único inicial [SSO]) como o URL de login para o plug-in de Browser SAML.
-
Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Ping Identity. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.
-
Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.
-
Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM. Para obter um exemplo do Azure AD, consulte Configurar a autenticação única de JDBC ou ODBC.
Como configurar o JDBC para autenticação para o Ping Identity
-
Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando a autenticação única do Ping Identity.
Você pode usar qualquer cliente que utilize um driver JDBC para se conectar por meio da autenticação única do Ping Identity ou usar uma linguagem, como Java, para se conectar por meio de um script. Para obter informações sobre instalação e configuração, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.
Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, a URL do seu banco de dados usa o seguinte formato.
jdbc:redshift:iam://
cluster-identifier
:us-west-1
/dev
Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:
-
Inicie o SQL Workbench/J. Na página Selecionar perfil de conexão, adicione um Grupo de perfis, por exemplo,
Ping
. -
Em Connection Profile (Perfil de conexão), insira
, por exemplo,your-connection-profile-name
Ping
. -
Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.
-
Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil de conexão da seguinte maneira:
-
Em User (Usuário), insira seu nome do usuário do PingOne. Esse é o nome de usuário da conta do PingOne usado para o logon único que tem permissão para o cluster que você está tentando autenticar.
-
Em Password (Senha), insira sua senha do PingOne.
-
Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).
-
Para URL, insira
jdbc:redshift:iam://
.your-cluster-identifier
:your-cluster-region
/your-database-name
-
-
Escolha Extended Properties (Propriedades estendidas) e siga um destes procedimentos:
-
Em login_url, insira
. Esse valor especifica ao URL para usar autenticação única para login.your-ping-sso-login-url
-
Para o Ping Identity, em plugin_name, insira
com.amazon.redshift.plugin.PingCredentialsProvider
. Esse valor especifica ao driver para usar a autenticação única do Ping Identity como método. -
Para o Ping Identity com autenticação única, em plugin_name, insira
com.amazon.redshift.plugin.BrowserSamlCredentialsProvider
. Esse valor especifica ao driver para usar a autenticação única do PingOne do Ping Identity como método.
-
-
Como configurar o ODBC para autenticação para o Ping Identity
-
Configure o cliente de banco de dados para se conectar ao cluster por meio do ODBC usando a autenticação única do PingOne do Ping Identity.
O Amazon Redshift fornece drivers ODBC para sistemas operacionais Linux, Windows e macOS. Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de 32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.
No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driver ODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintes informações:
-
Para Data Source Name (Nome da fonte de dados), insira
. Isto especifica o nome da fonte de dados usado como o nome do perfil de ODBC.your-DSN
-
Em Auth type (Tipo de autenticação), siga um destes procedimentos:
-
Para a configuração do Ping Identity, escolha Provedor de identidade: Ping Federate. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Ping Identity.
-
Para a configuração do Ping Identity com autenticação única, escolha Identity Provider: Browser SAML (Provedor de identidades: navegador SAML). Esse é o método que o driver de ODBC usa para autenticar por meio do Ping Identity com autenticação única.
-
-
Para Cluster ID (ID do cluster), insira
.your-cluster-identifier
-
Para Region (Região), insira
.your-cluster-region
-
Para Database (Banco de dados), insira
.your-database-name
-
Em User (Usuário), insira
. Esse é o nome de usuário da conta do PingOne usado para autenticação única que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: PingFederate (Provedor de identidade: PingFederate).your-ping-username
-
Em Password (Senha), insira
. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: PingFederate (Provedor de identidade: PingFederate).your-ping-password
-
Em Porta de escuta, insira
. Esta é a porta que o servidor local está escutando. O padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.your-listen-port
-
Em Response Timeout (Tempo limite de resposta), insira
. Este é o número de segundos a aguardar antes do tempo limite quando o servidor IdP envia de volta uma resposta. O número mínimo de segundos deve ser 10. Se o tempo para estabelecer a conexão for maior do que esse limite, a conexão é cancelada. Isso se aplica somente ao plug-in de Browser SAML.the-number-of-seconds
-
Em Login URL (URL de login), insira
. Isso se aplica somente ao plug-in de Browser SAML.your-login-url
No macOS e no Linux, edite o arquivo
odbc.ini
da seguinte forma:nota
Nenhuma entrada diferencia letras maiúsculas de minúsculas.
-
Para clusterid, insira
. Esse é o nome do cluster criado pelo Amazon Redshift.your-cluster-identifier
-
Para region (região), insira
. Esta é a Região da AWS do cluster do Amazon Redshift criado.your-cluster-region
-
Para database (banco de dados), insira
. Este é o nome do banco de dados que você está tentando acessar no cluster do Amazon Redshift.your-database-name
-
Para locale (localidade), insira
en-us
. Este é o idioma em que as mensagens de erro são exibidas. -
Para IAM, insira
1
. Esse valor especifica ao driver para autenticar usando credenciais do IAM. -
Em plugin_name, siga um destes procedimentos:
-
Para a configuração do Ping Identity, insira
BrowserSAML
. Este é o método de autenticação que o driver de ODBC usa para se autenticar no Ping Identity. -
Na configuração do Ping Identity com autenticação única, digite
Ping
. Esse é o método que o driver de ODBC usa para autenticar por meio do Ping Identity com autenticação única.
-
-
Em uid, insira
. Este é o nome de usuário da conta do Microsoft Azure que você está usando para logon único, que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando plugin_name for Ping.your-ping-username
-
Em pwd, insira
. Use isso somente quando plugin_name for Ping.your-ping-password
-
Em login_url, insira
. Esse é o URL de autenticação única inicial que retorna a resposta de SAML. Isso se aplica somente ao plug-in de Browser SAML.your-login-url
-
Em idp_response_timeout, insira
. Esse é o período especificado em segundos para aguardar a resposta do PingOne Identity. Isso se aplica somente ao plug-in de Browser SAML.the-number-of-seconds
-
Em listen_port, insira
. Esta é a porta que o servidor local está escutando. O padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.your-listen-port
No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações a seguir.
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
-
-
- Okta
-
É possível usar o Okta como um provedor de identidade (IdP) para acessar seu cluster do Amazon Redshift. O procedimento a seguir descreve como configurar uma relação de confiança para essa finalidade.
Para configurar o Okta e sua conta da AWS para que confiem um no outro
-
Crie ou use um cluster existente do Amazon Redshift para os usuários do Okta se conectarem. Para configurar a conexão, certas propriedades deste cluster são necessárias, como o identificador de cluster. Para obter mais informações, consulte Criar um cluster.
-
Adicione o Amazon Redshift como uma nova aplicação no portal Okta. Para obter etapas detalhadas, consulte a Documentação do Okta
. -
Escolha Add Application (Adicionar aplicativo).
-
Em Add Application (Adicionar aplicativo), escolha Create New App (Criar novo aplicativo).
-
Na página Create a New Add Application Integration (Criar uma nova integração de aplicativos de adição), em Platform (Plataforma), escolha Web.
-
Em Sign on method (Método de logon), escolha SAML v2.0.
-
Na página General Settings (Configurações gerais), em App name (Nome do aplicativo), insira
. Esse é o nome do seu aplicativo.your-redshift-saml-sso-name
-
Na página Configurações de SAML, em URL de logon único, insira
. Este é o host local e a porta para os quais a declaração de SAML redireciona, por exemployour-redshift-local-host-url
http://localhost:7890/redshift/
.
-
-
Use o valor URL de logon único como o URL do destinatário e o URL de destino.
-
Em Signing (Assinar), escolha Sign Assertion (Assinar declaração).
-
Para URI de público (ID da entidade SP), insira
urn:amazon:webservices
para as declarações, conforme mostrado na tabela a seguir. -
Na seção Advanced Settings (Configurações avançadas), em SAML Issuer ID (ID do emissor SAML), insira
, que você encontra na seção View Setup Instructions (Visualizar instruções de configuração).your-Identity-Provider-Issuer-ID
-
Na seção Attribute Statements (Declarações de atributo), crie as reivindicações conforme mostrado na tabela a seguir.
Nome da reivindicação Valor https://aws.amazon.com/SAML/Attributes/Role
arn:aws:iam::
123456789012
:role/Okta
,arn:aws:iam::123456789012
:saml-provider/Okta
https://aws.amazon.com/SAML/Attributes/RoleSessionName
user.email
https://redshift.amazon.com/SAML/Attributes/AutoCreate
"true"
https://redshift.amazon.com/SAML/Attributes/DbUser
user.email
-
Na seção App Embed Link (Link de incorporação de aplicativo) localize o URL que você pode usar como o URL de login do plug-in SAML do navegador.
-
Crie um provedor de identidade SAML do IAM no console do IAM. O documento de metadados fornecido é o arquivo XML de metadados da federação que você salvou quando configurou o Okta. Para obter etapas detalhadas, consulte Criar e gerenciar um provedor de identidade do IAM (console) no Manual do usuário do IAM.
-
Crie uma função do IAM para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar uma função para o SAML no Manual do usuário do IAM.
-
Crie uma política do IAM que você possa anexar à função do IAM criada para a federação do SAML 2.0 no console do IAM. Para obter etapas detalhadas, consulte Criar políticas do IAM (console) no Manual do usuário do IAM. Para obter um exemplo do Azure AD, consulte Configurar a autenticação única de JDBC ou ODBC.
Como configurar o JDBC para autenticação no Okta
-
Configure seu cliente de banco de dados para se conectar ao cluster por meio do JDBC usando a autenticação única do Okta.
Você pode usar qualquer cliente que utilize um driver JDBC para se conectar por meio da autenticação única do Okta ou usar uma linguagem, como Java, para se conectar por meio de um script. Para obter informações sobre instalação e configuração, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.
Por exemplo, você pode usar SQLWorkbench/J como o cliente. Ao configurar o SQLWorkbench/j, a URL do seu banco de dados usa o seguinte formato.
jdbc:redshift:iam://
cluster-identifier
:us-west-1
/dev
Se você usar o SQLWorkbench/j como o cliente, execute as seguintes etapas:
-
Inicie o SQL Workbench/J. Na página Selecionar perfil de conexão, adicione um Grupo de perfis, por exemplo,
Okta
. -
Em Connection Profile (Perfil de conexão), insira
, por exemplo,your-connection-profile-name
Okta
. -
Escolha Manage Drivers (Gerenciar drivers) e escolha Amazon Redshift. Escolha o ícone Open Folder (Abrir pasta) ao lado de Library (Biblioteca), e escolha o arquivo.jar JDBC apropriado.
-
Na página Select Connection Profile (Selecionar perfil de conexão), adicione informações ao perfil de conexão da seguinte maneira:
-
Em User (Usuário), insira o nome de usuário do Okta. Este é o nome de usuário da conta do Okta que está sendo usado para o logon único que tem permissão para o cluster que você está tentando autenticar.
-
Em Password (Senha), insira sua senha do Okta.
-
Em Drivers, escolha Amazon Redshift (com.amazon.redshift.jdbc.Driver).
-
Para URL, insira
jdbc:redshift:iam://
.your-cluster-identifier
:your-cluster-region
/your-database-name
-
-
Escolha Extended Properties (Propriedades estendidas) e siga um destes procedimentos:
-
Em login_url, insira
. Esse valor especifica ao URL para usar autenticação única para login no Okta.your-okta-sso-login-url
-
Para autenticação única do Okta, em plugin_name, insira
com.amazon.redshift.plugin.OktaCredentialsProvider
. Esse valor especifica ao driver para usar a autenticação única do Okta como método. -
Para autenticação única do Okta com MFA, em plugin_name, insira
com.amazon.redshift.plugin.BrowserSamlCredentialsProvider
. Isso especifica para o driver usar o método de autenticação única do Okta com MFA.
-
-
Como configurar o ODBC para autenticação no Okta
-
Configure seu cliente de banco de dados para se conectar ao cluster por meio do ODBC usando a autenticação única do Okta.
O Amazon Redshift fornece drivers ODBC para sistemas operacionais Linux, Windows e macOS. Antes de instalar um driver de ODBC, será necessário determinar se a ferramenta do cliente SQL é de 32 ou 64 bits. Instale o driver de ODBC que corresponde aos requisitos da ferramenta de cliente SQL.
No Windows, na página Amazon Redshift ODBC Driver DSN Setup (Configuração do DSN do driver ODBC do Amazon Redshift), em Connection Settings (Configurações de conexão), insira as seguintes informações:
-
Para Data Source Name (Nome da fonte de dados), insira
. Isto especifica o nome da fonte de dados usado como o nome do perfil de ODBC.your-DSN
-
Em Auth type (Tipo de autenticação), siga um destes procedimentos:
-
Para a configuração de autenticação única do Okta, escolha
Identity Provider: Okta
. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Okta. -
Para a configuração de autenticação única do Okta com MFA, escolha
Identity Provider: Browser SAML
. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Okta com MFA.
-
-
Para Cluster ID (ID do cluster), insira
.your-cluster-identifier
-
Para Region (Região), insira
.your-cluster-region
-
Para Database (Banco de dados), insira
.your-database-name
-
Em User (Usuário), insira
. Esse é o nome de usuário da conta do Okta usado para autenticação única que tem permissão para o cluster que você está tentando autenticar. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: Okta (Provedor de identidade: Okta).your-okta-username
-
Em Password (Senha), insira
. Use isso somente quando Auth type (Tipo de autenticação) for Identity Provider: Okta (Provedor de identidade: Okta).your-okta-password
No macOS e no Linux, edite o arquivo
odbc.ini
da seguinte forma:nota
Nenhuma entrada diferencia letras maiúsculas de minúsculas.
-
Para clusterid, insira
. Esse é o nome do cluster criado pelo Amazon Redshift.your-cluster-identifier
-
Para region (região), insira
. Esta é a Região da AWS do cluster do Amazon Redshift criado.your-cluster-region
-
Para database (banco de dados), insira
. Este é o nome do banco de dados que você está tentando acessar no cluster do Amazon Redshift.your-database-name
-
Para locale (localidade), insira
en-us
. Este é o idioma em que as mensagens de erro são exibidas. -
Para IAM, insira
1
. Esse valor especifica ao driver para autenticar usando credenciais do IAM. -
Em plugin_name, siga um destes procedimentos:
-
Na configuração de autenticação única do Okta com MFA, digite
BrowserSAML
. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Okta com MFA. -
Na configuração de autenticação única do Okta, digite
Okta
. Esse é o método que o driver de ODBC usa para autenticar por meio da autenticação única do Okta.
-
-
Em uid, insira
. Esse é o nome de usuário da conta do Okta usado para autenticação única que tem permissão para o cluster no qual você está tentando autenticar. Use isso somente quando plugin_name for Okta.your-okta-username
-
Em pwd, insira
. Use isso somente quando plugin_name for Okta.your-okta-password
-
Em login_url, insira
. Esse é o URL de autenticação única inicial que retorna a resposta de SAML. Isso se aplica somente ao plug-in de Browser SAML.your-login-url
-
Em idp_response_timeout, insira
. Esse é o período especificado em segundos para aguardar a resposta do PingOne. Isso se aplica somente ao plug-in de Browser SAML.the-number-of-seconds
-
Em listen_port, insira
. Esta é a porta que o servidor local está escutando. O padrão é 7890. Isso se aplica somente ao plug-in de Browser SAML.your-listen-port
No macOS e no Linux, edite também as configurações de perfil para adicionar as exportações a seguir.
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
-
-