

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren des Verbundzugriffs auf Amazon Athena für Microsoft AD FS-Benutzer mithilfe eines ODBC-Clients
<a name="odbc-adfs-saml"></a>

Um den Verbundzugriff auf Amazon Athena für Benutzer von Microsoft Active Directory Federation Services (AD FS) mithilfe eines ODBC-Clients einzurichten, stellen Sie zunächst eine Vertrauensstellung zwischen AD FS und Ihrem AWS -Konto her. Wenn dieses Vertrauen besteht, können sich Ihre AD-Benutzer zusammenschließen, [um](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring-IdP) ihre AD-Anmeldeinformationen zu AWS verwenden und die Berechtigungen einer [AWS Identity and Access Management](https://aws.amazon.com/iam/)(IAM-) Rolle für den Zugriff auf AWS Ressourcen wie die Athena-API zu übernehmen.

Um dieses Vertrauen herzustellen, fügen Sie AD FS als SAML-Anbieter zu Ihrem hinzu AWS-Konto und erstellen eine IAM-Rolle, die Verbundbenutzer übernehmen können. Auf der AD FS-Seite fügen AWS Sie eine vertrauende Partei hinzu und schreiben SAML-Anspruchsregeln, an die die richtigen Benutzerattribute AWS zur Autorisierung gesendet werden sollen (insbesondere Athena und Amazon S3).

Die Konfiguration des AD-FS-Zugriffs auf Athena umfasst die folgenden Hauptschritte:

[1. Einrichtung eines IAM-SAML-Anbieters und einer Rolle](#odbc-adfs-saml-setting-up-an-iam-saml-provider-and-role)

[2. Konfigurieren von AD FS](#odbc-adfs-saml-configuring-ad-fs)

[3. Erstellen von Active-Directory-Benutzern und -Gruppen](#odbc-adfs-saml-creating-active-directory-users-and-groups)

[4. Konfigurieren der AD-FS-ODBC-Verbindung zu Athena](#odbc-adfs-saml-configuring-the-ad-fs-odbc-connection-to-athena)

## 1. Einrichtung eines IAM-SAML-Anbieters und einer Rolle
<a name="odbc-adfs-saml-setting-up-an-iam-saml-provider-and-role"></a>

In diesem Abschnitt fügen Sie AD FS als SAML-Anbieter zu Ihrem AWS Konto hinzu und erstellen eine IAM-Rolle, die Ihre Verbundbenutzer übernehmen können.

**So richten Sie einen SAML-Anbieter ein**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Identitätsanbieter**.

1. Wählen Sie **Add provider** (Anbieter hinzufügen) aus.

1. Wählen Sie als **Provider type** (Anbietertyp) **SAML** aus.  
![\[Wählen Sie SAML.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-1.png)

1. Geben Sie für **Anbietername** **adfs-saml-provider** ein.

1. Geben Sie in einem Browser die folgende Adresse ein, um die Verbund-XML-Datei für Ihren AD-FS-Server herunterzuladen. Um diesen Schritt auszuführen, muss Ihr Browser über Zugriff auf den AD-FS-Server verfügen.

   ```
   https://adfs-server-name/federationmetadata/2007-06/federationmetadata.xml       
   ```

1. Wählen Sie in der IAM-Konsole für **Metadaten-Dokument** die Option **Datei auswählen aus** und laden Sie dann die Verbund-Metadatendatei in hoch. AWS

1. Wählen Sie abschließend **Add provider** (Anbieter hinzufügen).

Als Nächstes erstellen Sie die IAM-Rolle, die Ihre Verbundbenutzer annehmen können.

**So erstellen Sie eine IAM-Rolle für Verbundbenutzer**

1. Wählen Sie im Navigationsbereich der IAM-Konsole **Roles** (Rollen) aus.

1. Wählen Sie **Rolle erstellen** aus.

1. Wählen Sie als **Trusted entity type** (Typ der vertrauenswürdigen Entität) die Option **SAML 2.0 federation** (SAML 2.0-Verbund) aus.

1. Wählen Sie für einen **SAML 2.0-basierten Anbieter** den Anbieter aus, den Sie **adfs-saml-provider**erstellt haben.

1. **Wählen Sie **Programmatischen Zugriff und Zugriff auf die AWS Managementkonsole zulassen** und klicken Sie dann auf Weiter.**  
![\[Auswählen von SAML als vertrauenswürdiger Entitätstyp.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-2.png)

1. Filtern Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) nach den IAM-Berechtigungsrichtlinien, die Sie für diese Rolle benötigen, und aktivieren Sie dann die entsprechenden Kontrollkästchen. In diesem Tutorial werden die `AmazonAthenaFullAccess`- und `AmazonS3FullAccess`-Richtlinien angefügt.  
![\[Anfügen der vollständigen Zugriffsrichtlinie von Athena an die Rolle.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-3.png)  
![\[Anfügen der vollständigen Amazon-S3-Zugriffsrichtlinie an die Rolle.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-4.png)

1. Wählen Sie **Weiter** aus.

1. Geben Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) für **Role name** (Rollenname) einen Namen für die Rolle ein. In diesem Tutorial wird der Name **adfs-data-access**verwendet.

   In **Step 1: Select trusted entities** (In Schritt 1: Vertrauenswürdige Entitäten auswählen) sollte das Feld **Principal** (Prinzipal) automatisch mit `"Federated:" "arn:aws:iam::account_id:saml-provider/adfs-saml-provider"` ausgefüllt werden. Das `Condition`-Feld sollte `"SAML:aud"` und `"https://signin.aws.amazon.com/saml"` enthalten.  
![\[Vertrauenswürdige Entitäten JSON.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-5.png)

   **Step 2: Add permissions** (Schritt 2: Berechtigungen hinzufügen) zeigt die Richtlinien an, die Sie der Rolle angefügt haben.  
![\[Liste von Richtlinien, die an die Rolle angefügt sind.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-6.png)

1. Wählen Sie **Rolle erstellen** aus. Eine Banner-Meldung bestätigt die Erstellung der Rolle.

1. Wählen Sie auf der Seite **Roles** (Rollen) den Namen der von Ihnen soeben erstellten Rolle aus. Auf der Übersichtsseite für die Rolle werden die angefügten Richtlinien angezeigt.  
![\[Übersichtsseite für die Rolle.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-7.png)

## 2. Konfigurieren von AD FS
<a name="odbc-adfs-saml-configuring-ad-fs"></a>

Jetzt sind Sie bereit, SAML-Anspruchsregeln AWS als vertrauende Partei hinzuzufügen und zu schreiben, sodass Sie die richtigen Benutzerattribute AWS zur Autorisierung an diese senden können.

Der SAML-basierte Verbund verfügt über zwei Teilnehmerparteien: den IdP (Active Directory) und die vertrauende Partei (AWS), d. h. den Service oder die Anwendung, die die Authentifizierung durch IdP verwendet.

Um AD FS zu konfigurieren, fügen Sie zuerst eine Vertrauensstellung der vertrauenden Partei hinzu und konfigurieren dann SAML-Antragsregeln für die vertrauende Partei. AD FS verwendet Antragsregeln, um eine SAML-Aussage zu bilden, die an eine vertrauende Partei gesendet wird. Die SAML-Aussage besagt, dass die Informationen über den AD-Benutzer wahr sind und dass der Benutzer authentifiziert wurde.

### Hinzufügen einer Vertrauensstellung der vertrauenden Partei
<a name="odbc-adfs-saml-adding-a-relying-party-trust"></a>

Um eine Vertrauensstellung der vertrauenden Partei in AD FS hinzuzufügen, verwenden Sie den AD-FS-Server-Manager.

**So fügen Sie eine Vertrauensstellung der vertrauenden Partei in AD FS hinzu**

1. Melden Sie sich beim AD-FS-Server an.

1. Öffnen Sie im **Start**-Menü den **Server Manager** (Server-Manager).

1. Wählen Sie **Tools** und anschließend **AD FS Management** (AD-FS-Verwaltung) aus.  
![\[Wählen Sie Tools, AD FS Management (AD-FS-Verwaltung) aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-8.png)

1. Wählen Sie im Navigationsbereich unter **Trust Relationships** (Vertrauensstellungen) die Option **Relying Party Trusts** (Vertrauensstellungen der vertrauenden Partei) aus.

1. Wählen Sie unter **Aktionen** die Option **Add Relying Party Trust** (Vertrauen für die vertrauende Partei hinzufügen) aus.  
![\[Wählen Sie unter Aktionen die Option Add Relying Party Trust (Vertrauensstellung der vertrauenden Partei) hinzufügen aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-9.png)

1. Wählen Sie auf der Seite **Add Relying Party Trust Wizard (Assistent zum Hinzufügen vertrauender Parteien)** die Option **Start**.  
![\[Wählen Sie Starten.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-10.png)

1. Wählen Sie auf dem Bildschirm **Select Data Source** (Datenquelle auswählen) die Option **Import data about the relying party published online or on a local network** (Daten über die vertrauende Partei importieren, die online oder in einem lokalen Netzwerk veröffentlicht wurden) aus.

1. Geben Sie für **Federation metadata address (host name or URL) (Verbund-Metadatenadresse (Hostname oder URL))** die URL ** https://signin.aws.amazon.com/static/saml-metadata.xml** ein

1. Wählen Sie **Weiter** aus.  
![\[Konfigurieren der Datenquelle.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-11.png)

1. Geben Sie auf der Seite **Specify Display Name** (Anzeigenamen angeben) für **Display name** (Anzeigename) einen Anzeigenamen für Ihre vertrauende Partei ein, und wählen Sie dann **Next** (Weiter) aus.  
![\[Geben Sie einen Anzeigenamen für die vertrauende Partei ein.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-12.png)

1. Auf der Seite **Configure Multi-factor Authentication Now** (Mehrstufige Authentifizierung jetzt konfigurieren) wählt dieses Tutorial **I do not want to configure multi-factor authentication for this relying party trust at this time** (Ich möchte die mehrstufige Authentifizierung für diese Vertrauensstellung der vertrauenden Partei zu diesem Zeitpunkt nicht konfigurieren) aus.

   Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, die Multi-Faktor-Authentifizierung zu konfigurieren, um Ihre AWS Ressourcen zu schützen. Da es nur einen Beispieldatensatz verwendet, aktiviert dieses Tutorial keine Multi-Faktor-Authentifizierung.  
![\[Konfigurieren der Multi-Faktor-Authentifizierung.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-13.png)

1. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Choose Issuance Authorization Rules** (Ausgabeberechtigungsregeln auswählen) die Option **Permit all users to access this relying party** (Allen Benutzern den Zugriff auf diese vertrauende Partei gewähren) aus.

   Mit dieser Option können alle Benutzer in Active Directory AD FS mit AWS als vertrauende Partei verwenden. Sie sollten Ihre Sicherheitsanforderungen berücksichtigen und diese Konfiguration entsprechend anpassen.  
![\[Konfigurieren des Benutzerzugriffs auf die vertrauende Partei.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-14.png)

1. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Ready to Add Trust** (Bereit zum Hinzufügen der Vertrauensstellung) **Next** (Weiter) aus, um die Vertrauensstellung der vertrauenden Partei zur AD-FS-Konfigurationsdatenbank hinzuzufügen.  
![\[Wählen Sie Weiter aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-15.png)

1. Wählen Sie auf der Seite **Finish** (Fertigstellen) die Option **Close** (Schließen) aus.  
![\[Klicken Sie auf Schließen.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-16.png)

### Konfigurieren von SAML-Antragsregeln für die vertrauende Partei
<a name="odbc-adfs-saml-configuring-saml-claim-rules-for-the-relying-party"></a>

In dieser Aufgabe erstellen Sie zwei Sätze von Antragsregeln.

Der erste Satz, die Regeln 1-4, enthält AD-FS-Antragsregeln, die erforderlich sind, um eine IAM-Rolle basierend auf der AD-Gruppenmitgliedschaft anzunehmen. Dies sind die gleichen Regeln, die Sie erstellen, wenn Sie Verbundzugriff auf [AWS-Managementkonsole](https://aws.amazon.com/console) einrichten möchten.

Beim zweiten Satz, den Regeln 5-6, handelt es sich um Beanspruchungsregeln, die für die Athena-Zugriffskontrolle erforderlich sind.

**So erstellen Sie AD-FS-Antragsregeln**

1. Wählen Sie im Navigationsbereich der AD-FS-Verwaltungskonsole **Trust Relationships** (Vertrauensbeziehungen), **Relying Party Trusts** (Vertrauensstellungen der vertrauenden Partei) aus.

1. Suchen Sie die vertrauende Partei, die Sie im vorherigen Abschnitt erstellt haben.

1. Klicken Sie mit der rechten Maustaste auf die vertrauende Partei und wählen Sie **Edit Claim Rules** (Antragsregeln bearbeiten) oder wählen Sie die Option **Edit Claim Rules** (Antragsregeln bearbeiten) im Menü **Actions** (Aktionen) aus.  
![\[Wählen Sie Edit Claim Rules (Antragsregeln bearbeiten) aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-17.png)

1. Klicken Sie auf **Add Rule (Regel hinzufügen)**.

1. Geben Sie auf der Seite **Configure Rule** (Regel konfigurieren) des Assistenten zum Hinzufügen von Transformations-Antragsregeln die folgenden Informationen ein, um Antragsregeln 1 zu erstellen, und wählen Sie anschließend **Finish** (Fertig stellen) aus.
   + Geben Sie unter **Claim rule name** (Name der Antragsregel) **NameID** ein.
   + Verwenden Sie für **Rule template** (Regelvorlage) die Option **Transform an Incoming Claim** (Einen eingehenden Antrag transformieren).
   + Wählen Sie unter **Incoming claim type** (Typ des eingehenden Antrags) die Option **Windows Account Name** (Windows-Kontoname).
   + Wählen Sie unter **Outgoing claim type** (Typ des ausgehenden Antrags) die Option **Name ID** (Namens-ID) aus.
   + Wählen Sie unter **Outgoing name ID format (Format der ausgehenden Namens-ID)** die Option **Persistent identifier (Persistente ID)**.
   + Wählen Sie **Pass through all claim values** (Alle Antragswerte weiterleiten) aus.  
![\[Erstellen Sie die erste Antragsregel.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-18.png)

1. Wählen Sie **Add Rule** (Regel hinzufügen) aus und geben Sie dann die folgenden Informationen ein, um Antragsregel 2 zu erstellen. Wählen Sie anschließend **Finish** (Fertig stellen) aus.
   + Geben Sie unter **Claim rule name ** (Name der Antragsregel) **RoleSessionName** ein.
   + Verwenden Sie für **Rule template** (Regelvorlage) die Option **Send LDAP Attribute as Claims** (LDAP-Attribut als Anträge senden) aus.
   + Wählen Sie unter **Attribute store (Attributspeicher)** **Active Directory**.
   + Fügen Sie für **Mapping of LDAP attributes to outgoing claim types** (Zuordnung von LDAP-Attributen zu ausgehenden Antragstypen) das Attribut **E-Mail-Addresses** hinzu. Geben Sie für **Outgoing Claim Type** (Art des ausgehenden Antrags) ** https://aws.amazon.com/SAML/Attributes/RoleSessionName** ein.  
![\[Erstellen Sie die zweite Antragsregel.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-19.png)

1. Wählen Sie **Add Rule** (Regel hinzufügen) aus und geben Sie dann die folgenden Informationen ein, um Antragsregel 3 zu erstellen. Wählen Sie dann **Finish** (Fertig stellen) aus.
   + Geben Sie unter **Claim rule name ** (Name der Antragsregel) **Get AD Groups** ein.
   + Verwenden Sie für die **Regelvorlage** die Option **Send Claims Using a Custom Rule** (Anträge mit einer benutzerdefinierten Regel senden).
   + Geben Sie unter **Custom rule** (Benutzerdefinierte Regel) den folgenden Code ein:

     ```
     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
      Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types = ("http://temp/variable"),  
      query = ";tokenGroups;{0}", param = c.Value);
     ```  
![\[Erstellen Sie die dritte Antragsregel.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-20.png)

1. Klicken Sie auf **Add Rule (Regel hinzufügen)**. Geben Sie die folgenden Informationen ein, um Antragsregel 4 zu erstellen und wählen Sie anschließend **Finish** (Fertig stellen) aus.
   + Geben Sie unter **Claim rule name ** (Name der Antragsregel) **Role** ein.
   + Verwenden Sie für **Rule template** (Regelvorlage) die Option **Send LDAP Attribute as Claims** (LDAP-Attribut als Anträge senden) aus.
   + Geben Sie für **Custom Rule** (Benutzerdefinierte Regel) den folgenden Code mit Ihrer Kontonummer und dem Namen des zuvor erstellten SAML-Anbieters ein:

     ```
     c:[Type == "http://temp/variable", Value =~ "(?i)^aws-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role",  
     Value = RegExReplace(c.Value, "aws-", "arn:aws:iam::AWS_ACCOUNT_NUMBER:saml-provider/adfs-saml-provider,arn:aws:iam:: AWS_ACCOUNT_NUMBER:role/"));
     ```  
![\[Erstellen Sie die vierte Antragsregel.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-21.png)

## 3. Erstellen von Active-Directory-Benutzern und -Gruppen
<a name="odbc-adfs-saml-creating-active-directory-users-and-groups"></a>

Jetzt können Sie AD-Benutzer erstellen, die auf Athena zugreifen, und AD-Gruppen erstellen, in denen sie platziert werden, sodass Sie die Zugriffsebenen nach Gruppen steuern können. Nachdem Sie AD-Gruppen erstellt haben, die Datenzugriffsmuster kategorisieren, fügen Sie Ihre Benutzer zu diesen Gruppen hinzu.

**So erstellen Sie AD-Benutzer für den Zugriff auf Athena**

1. Wählen Sie im Dashboard des Server-Managers **Tools** und dann **Active Directory Users and Computers** (Active-Directory-Benutzer und -Computer) aus.  
![\[Wählen Sie Tools, dann Active Directory Users and Computers (Active-Directory-Benutzer und -Computer) aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-22.png)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der Symbolleiste **Active Directory Users and Computers** (Active-Directory-Benutzer und -Computer) die Option **Create user** (Benutzer erstellen) aus.  
![\[Wählen Sie Create user (Benutzer erstellen) aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-23.png)

1. Geben Sie im Dialogfeld **New Object – User** (Neues Objekt – Benutzer)unter **First name** (Vorname), **Last name** (Nachname) und **Full name** (Vollständiger Name) einen Namen ein. In diesem Tutorial wird ein **Jane Doe** verwendet.  
![\[Geben Sie einen Benutzernamen ein.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-24.png)

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Password** (Passwort) ein Passwort ein; geben Sie es zur Bestätigung erneut ein.

   Der Einfachheit halber wird in diesem Tutorial die Option **User must change password at next sign on** (Benutzer muss das Passwort bei der nächsten Anmeldung ändern) deaktiviert. In realen Szenarien sollten Sie von neu erstellten Benutzern verlangen, dass sie ihr Passwort ändern.  
![\[Geben Sie ein Passwort ein.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-25.png)

1. Wählen Sie **Weiter** aus.

1. Wählen Sie **Finish** (Abschließen).  
![\[Wählen Sie Finish (Abschließen).\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-26.png)

1. Wählen Sie unter **Active Directory Users and Computers** (Active-Directory-Benutzer und -Computer) den Benutzernamen aus.

1. Geben Sie im Dialogfeld **Properties** (Eigenschaften) des Benutzers unter **E-Mail** eine E-Mail-Adresse ein. In diesem Tutorial wird ein **jane@example.com** verwendet.  
![\[Geben Sie eine E-Mail-Adresse ein.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-27.png)

1. Wählen Sie **OK** aus.

### Erstellen von AD-Gruppen zur Darstellung von Datenzugriffsmustern
<a name="odbc-adfs-saml-create-ad-groups-to-represent-data-access-patterns"></a>

Sie können AD-Gruppen erstellen, deren Mitglieder bei der Anmeldung die `adfs-data-access` IAM-Rolle übernehmen. AWS Im folgenden Beispiel wird eine AD-Gruppe namens aws-adfs-data-access erstellt.

**So erstellen Sie eine AD-Gruppe**

1. Wählen Sie im Server-Manager-Dashboard im Menü **Tools** die Option **Active Directory Users and Computers** (Active-Directory-Benutzer und -Computer) aus.

1. Wählen Sie in der Symbolleiste die Option **Create new group** (Neue Gruppe erstellen) aus.  
![\[Wählen Sie Create new group (Neue Gruppe erstellen) aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-28.png)

1. Geben Sie in das Dialogfeld **New Object – Group** (Neues Objekt – Gruppe) die folgenden Informationen ein:
   + Geben Sie für **Group name** (Gruppenname) **aws-adfs-data-access** ein.
   + Wählen Sie als **Group scope** (Gruppenbereich) die Option **Global** aus.
   + Wählen Sie als **Group type** (Gruppentyp) die Option **Security** (Sicherheit) aus.  
![\[Erstellen einer globalen Sicherheitsgruppe in AD.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-29.png)

1. Wählen Sie **OK** aus.

### AD-Benutzer zu entsprechenden Gruppen hinzufügen
<a name="odbc-adfs-saml-add-ad-users-to-appropriate-groups"></a>

Nachdem Sie nun sowohl einen AD-Benutzer als auch eine AD-Gruppe erstellt haben, können Sie den Benutzer der Gruppe hinzufügen.

**So fügen Sie einen AD-Benutzer zu einer AD-Gruppe hinzu**

1. Wählen Sie im Server-Manager-Dashboard im Menü **Tools** die Option **Active Directory Users and Computers** (Active-Directory-Benutzer und -Computer) aus.

1. Wählen Sie für **First name** (Vorname) und **Last name** (Nachname) einen Benutzer aus (z. B. **Jane Doe** (Erika Mustermann)).

1. Wählen Sie im Dialogfeld **Properties** (Eigenschaften) des Benutzers auf der Registerkarte **Member Of** (Mitglied von) die Option **Add** (Hinzufügen) aus.  
![\[Wählen Sie Hinzufügen aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-30.png)

1. Fügen Sie je nach Bedarf eine oder mehrere AD-FS-Gruppen hinzu. In diesem Tutorial wird die **aws-adfs-data-access**Gruppe hinzugefügt.

1. Geben Sie im Dialogfeld **Select Groups** (Gruppen auswählen) unter **Enter the object names to select** (Zu verwendende Objektnamen eingeben) den Namen der AD-FS-Gruppe ein, die Sie erstellt haben (z. B. **aws-adfs-data-access**), und wählen Sie anschließend **Check Names** (Namen überprüfen) aus.  
![\[Wählen Sie Check Names (Namen überprüfen) aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-31.png)

1. Wählen Sie **OK** aus.

   Im Dialogfeld **Properties** (Eigenschaften) für den Benutzer wird der Name der AD-Gruppe in der Liste **Member of** (Mitglied von) angezeigt.  
![\[AD-Gruppe zu Benutzereigenschaften hinzugefügt.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-32.png)

1. Wählen Sie **Apply** (Anwenden) und anschließend **OK** aus.

## 4. Konfigurieren der AD-FS-ODBC-Verbindung zu Athena
<a name="odbc-adfs-saml-configuring-the-ad-fs-odbc-connection-to-athena"></a>

Nachdem Sie Ihre AD-Benutzer und -Gruppen erstellt haben, können Sie das ODBC-Datenquellenprogramm in Windows verwenden, um Ihre Athena-ODBC-Verbindung für AD FS zu konfigurieren.

**So konfigurieren Sie die AD FS-ODBC-Verbindung zu Athena**

1. Installieren Sie den ODBC-Treiber für Athena. Die Downloadlinks finden Sie unter [Mit ODBC eine Verbindung zu Amazon Athena herstellen](connect-with-odbc.md).

1. Wählen Sie in Windows **Start**, dann **ODBC Data Sources** (ODBC-Datenquellen) aus.

1. Wählen Sie in **ODBC-Datenquellen-Administrator** ** Hinzufügen (Add)** aus.  
![\[Wählen Sie Hinzufügen, um eine ODBC-Datenquelle hinzuzufügen.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-33.png)

1. Wählen Sie im Dialogfeld **Create New Data Source** (Neue Datenquelle erstellen) die Option **Simba Athena ODBC Driver** (Simba-Athena-ODBC-Treiber) und anschließend **Finish** (Fertig stellen) aus.  
![\[Wählen Sie Simba Athena OBDC Driver (Simba-Athena-OBDC-Treiber) aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-34.png)

1. Geben Sie im Dialogfeld **Simba Athena ODBC Driver DSN Setup** (DSN-Setup des Simba-Athena-ODBC-Treibers) die folgenden Werte ein:
   + Geben Sie in **Data Source Name** (Datenquellenname) einen Namen für Ihre Datenquelle ein (z. B. ** Athena-odbc-test**).
   + Geben Sie in das Feld **Bezeichnung (Description)** eine Beschreibung für Ihre Datenquelle ein.
   + Geben Sie für AWS-Region die Datei ein **AWS-Region**, die Sie verwenden (z. B.** us-west-1**).
   + Geben Sie für **S3-Ausgabespeicherort** den Amazon-S3-Pfad ein, in dem Ihre Ausgabe gespeichert werden soll.  
![\[Eingabe von Werten für das Simba Athena ODBC Driver DSN Setup (DSN-Setup des Simba-Athena-ODBC-Treibers).\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-35.png)

1. Wählen Sie **Authentifizierungsoptionen** aus.

1. Geben Sie im Dialogfeld **Authentication Options** (Authentifizierungsoptionen) die folgenden Werte an:
   + Wählen Sie für **Authentication Type** (Authentifizierungstyp) **ADFS** aus.
   + Geben Sie unter **User** (Benutzer) die E-Mail-Adresse des Benutzers ein (z. B. **jane@example.com**).
   + Geben Sie unter **Password** (Passwort) das ADFS-Passwort des Benutzers ein.
   + Geben Sie für **IdP Host** (IdP-Host) den AD-FS-Servernamen ein (z. B. **adfs.example.com**).
   + Verwenden Sie für **IdP Port** (IdP-Anschluss) den Standardwert **443** aus.
   + Wählen Sie die Option **SSL Insecure** aus.  
![\[Konfigurieren Sie die Authentifizierungsoptionen.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/odbc-adfs-saml-37.png)

1. Wählen Sie **OK**, um die **Authentication Options** (Authentifizierungsoptionen) zu schließen.

1. Wählen Sie **Test**, um die Verbindung zu testen, oder **OK**, um den Vorgang abzuschließen.