Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Browserbasiert mit Identity Center-Integration
Mit diesem Authentifizierungstyp können Sie ein neues JSON-Webtoken (JWT) von einem externen Identitätsanbieter abrufen und sich bei Athena authentifizieren. Sie können dieses Plugin verwenden, um die Unterstützung von Unternehmensidentitäten durch Weitergabe von vertrauenswürdigen Identitäten zu aktivieren. Weitere Informationen zur Weitergabe von vertrauenswürdigen Identitäten mit Treibern, finden Sie unter Weitergabe von vertrauenswürdigen Identitäten mit Amazon Athena-Treibern verwenden. Sie können Ressourcen auch mithilfe von konfigurieren und bereitstellen. CloudFormation
Bei der Verbreitung vertrauenswürdiger Identitäten wird einer IAM-Rolle ein Identitätskontext hinzugefügt, um den Benutzer zu identifizieren, der Zugriff auf AWS Ressourcen anfordert. Informationen zur Aktivierung und Verwendung der Weitergabe von vertrauenswürdiger Identitäten finden Sie unter Was ist Weitergabe von vertrauenswürdiger Identitäten?.
Anmerkung
Das Plugin wurde speziell für Desktop-Umgebungen mit Einzelbenutzern entwickelt. In gemeinsam genutzten Umgebungen wie Windows Server sind Systemadministratoren dafür verantwortlich, Sicherheitsgrenzen zwischen Benutzern festzulegen und aufrechtzuerhalten.
Anmeldeinformationsanbieter
Der Anbieter für Anmeldeinformationen, der zur Authentifizierung von Anforderungen an AWS verwendet wird. Stellen Sie den Wert dieses Parameters auf BrowserOidcTip ein.
| Parametername | Alias | Parametertyp | Standardwert | Zu verwendender Wert |
|---|---|---|---|---|
| CredentialsProvider | AWSCredentialsProviderClass (veraltet) | Erforderlich | Keine | BrowserOidcTip |
Bekannte Idp-Konfigurations-URL
Die IDP Well Known Configuration URL ist der Endpunkt, der OpenID Connect-Konfigurationsdetails für Ihren Identitätsanbieter bereitstellt. Diese URL endet in der Regel mit .well-known/openid-configuration wichtigen Metadaten zu den Authentifizierungsendpunkten, unterstützten Funktionen und Tokensignaturschlüsseln und enthält diese. Wenn Sie beispielsweise Okta verwenden, könnte die URL wie folgt aussehen. https://your-domain.okta.com/.well-known/openid-configuration
Zur Problembehandlung: Wenn Sie Verbindungsfehler erhalten, stellen Sie sicher, dass diese URL von Ihrem Netzwerk aus zugänglich ist und eine gültige OpenID Connect-Konfigurations-JSON zurückgibt. Die URL muss für den Client, auf dem der Treiber installiert ist, erreichbar sein und sollte von Ihrem Identity Provider-Administrator bereitgestellt werden.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| IdpWellKnownConfigurationUrl | Keine | Erforderlich | Keine |
Client-ID
Die Client-ID, die der Anwendung vom OpenID Connect-Anbieter zugewiesen wurde.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| OidcClientId | Keine | Erforderlich | Keine |
WorkgroupArn
Der Amazon-Ressourcenname (ARN) der Amazon Athena-Arbeitsgruppe, die die Trusted Identity Propagation-Konfigurations-Tags enthält. Weitere Informationen zu Arbeitsgruppen finden Sie unter WorkGroup.
Anmerkung
Dieser Parameter unterscheidet sich von dem Workgroup Parameter, der angibt, wo Abfragen ausgeführt werden. Sie müssen beide Parameter festlegen:
-
WorkgroupArn- Verweist auf die Arbeitsgruppe, die die Konfigurations-Tags für die Weitergabe vertrauenswürdiger Identitäten enthält -
Workgroup- Gibt die Arbeitsgruppe an, in der Abfragen ausgeführt werden
Diese verweisen zwar in der Regel auf dieselbe Arbeitsgruppe, aber beide Parameter müssen explizit gesetzt werden, damit sie ordnungsgemäß funktionieren.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| WorkGroupArn | Keine | Erforderlich | primary |
JWT-Anwendungsrollen-ARN
Der ARN der Rolle, die im JWT-Austausch übernommen wird. Diese Rolle wird für den JWT-Austausch, das Abrufen des ARN der vom Kunden verwalteten Anwendung des IAM Identity Center über Arbeitsgruppen-Tags und das Abrufen der ARN für die Zugriffsrolle verwendet. Weitere Informationen zur Übernahme von Rollen finden Sie unter AssumeRole.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| ApplicationRoleArn | Keine | Erforderlich | Keine |
JWT-Rollensitzungsname
Ein Name für die IAM-Sitzung. Es kann alles sein, was Sie möchten, aber normalerweise übergeben Sie den Namen oder den Bezeichner, der dem Benutzer Ihrer Anwendung zugeordnet ist. Auf diese Weise werden die temporären Sicherheitsanmeldeinformationen, die Ihre Anwendung verwendet, diesem Benutzer zugeordnet.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| JwtRoleSessionName | role_session_name (veraltet) | Erforderlich | Keine |
Clientschlüssel
Der ClientSecret ist ein vertraulicher Schlüssel, der von Ihrem Identitätsanbieter ausgegeben wird und zur Authentifizierung Ihrer Anwendung (Client) verwendet wird. Dieser Parameter ist zwar optional und möglicherweise nicht für alle Authentifizierungsabläufe erforderlich, bietet jedoch eine zusätzliche Sicherheitsebene, wenn er verwendet wird. Wenn Ihre IDP-Konfiguration einen geheimen Clientschlüssel erfordert, müssen Sie diesen Parameter zusammen mit dem Wert angeben, den Sie von Ihrem Identity Provider-Administrator erhalten haben.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| OidcClientSecret | Keine | Optional | Keine |
Scope
Der Bereich gibt an, welche Zugriffsebene Ihre Anwendung vom Identitätsanbieter anfordert. openidIn den Gültigkeitsbereich müssen Sie ein ID-Token aufnehmen, das wichtige Angaben zur Benutzeridentität enthält. Ihr Geltungsbereich muss möglicherweise zusätzliche Berechtigungen wie email oder enthaltenprofile, je nachdem, welcher Benutzer behauptet, dass Ihr Identitätsanbieter (z. B. Microsoft Entra ID) so konfiguriert ist, dass er in das ID-Token aufgenommen wird. Diese Angaben sind für die korrekte Zuordnung von Trusted Identity Propagation unerlässlich. Wenn die Zuordnung der Benutzeridentität fehlschlägt, stellen Sie sicher, dass Ihr Geltungsbereich alle erforderlichen Berechtigungen umfasst und Ihr Identitätsanbieter so konfiguriert ist, dass er die erforderlichen Ansprüche in das ID-Token aufnimmt. Diese Ansprüche müssen mit Ihrer Zuordnungskonfiguration für Trusted Token Issuer im IAM Identity Center übereinstimmen.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| Scope | Keine | Optional | OpenID-E-Mail offline_access |
Rollensitzungsdauer
Die Dauer der Rollen-Sitzung in Sekunden. Weitere Informationen finden Sie unter AssumeRoleWithWebIdentity.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| RoleSessionDuration | Duration (veraltet) | Optional | 3600 |
JWT-Zugriffsrollen-ARN
Der ARN der Rolle, die Athena übernimmt, um in Ihrem Namen Anrufe zu tätigen. Weitere Informationen zur Übernahme von Rollen finden Sie AssumeRolein der AWS -Security-Token-Service API-Referenz.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| AccessRoleArn | Keine | Optional | Keine |
ARN der vom Kunden verwalteten Anwendung des IAM Identity Center
Der ARN der vom Kunden verwalteten Anwendung des IAM Identity Center. Weitere Informationen finden Sie unter vom Kunden verwaltete Anwendungen.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| CustomerIdcApplicationArn | Keine | Optional | Keine |
Portnummer des Identitätsanbieters
Die lokale Portnummer, die für den OAuth 2.0-Callback-Server verwendet werden soll. Dies wird als redirect_uri verwendet und Sie müssen dies in Ihrer IDP-Anwendung auf eine Zulassungsliste setzen. Die standardmäßig generierte Redirect_URI ist: http://localhost:7890/athena
Warnung
In gemeinsam genutzten Umgebungen wie Windows Terminal Servern oder Remote Desktop Services wird der Loopback-Port (Standard: 7890) von allen Benutzern auf demselben Computer gemeinsam genutzt. Systemadministratoren können potenzielle Risiken durch Port-Hijacking minimieren, indem sie:
-
Konfiguration verschiedener Portnummern für verschiedene Benutzergruppen
-
Verwendung von Windows-Sicherheitsrichtlinien zur Beschränkung des Portzugriffs
-
Implementierung der Netzwerkisolierung zwischen Benutzersitzungen
Wenn diese Sicherheitskontrollen nicht implementiert werden können, empfehlen wir, stattdessen das JWT Trusted Identity Propagation Plugin zu verwenden, für das kein Loopback-Port erforderlich ist.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| IdpPortNumber | Keine | Optional | 7890 |
Identitätsanbieter-Reaktions-Timeout
Das Timeout in Sekunden für das Warten auf die OAuth 2.0-Callback-Antwort.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| IdpResponseTimeout | Keine | Optional | 120 |
Token-Caching aktivieren
Der EnableTokenCaching Parameter bestimmt, ob der Treiber das Authentifizierungstoken zwischen Verbindungen zwischenspeichert. Die Einstellung EnableTokenCaching auf true reduziert die Anzahl der Authentifizierungsaufforderungen und verbessert die Benutzererfahrung, sollte jedoch mit Vorsicht verwendet werden. Diese Einstellung eignet sich am besten für Desktop-Umgebungen mit Einzelbenutzern. In gemeinsam genutzten Umgebungen wie Windows Server wird empfohlen, diese Option deaktiviert zu lassen, um eine mögliche gemeinsame Nutzung von Token zwischen Benutzern mit ähnlichen Verbindungszeichenfolgen zu verhindern.
Für Unternehmensbereitstellungen, die Tools wie Tableau Server verwenden, empfehlen wir die Verwendung des JWT-Plug-ins zur vertrauenswürdigen Identitätsverbreitung anstelle dieser Authentifizierungsmethode.
| Parametername | Alias | Parametertyp | Standardwert |
|---|---|---|---|
| EnableTokenCaching | Keine | Optional | FALSE |
