Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Browser SSO OIDC
Browser SSO OIDC ist ein Authentifizierungs-Plugin, das mit funktioniert. AWS IAM Identity Center Informationen zur Aktivierung und Verwendung von IAM Identity Center finden Sie unter Schritt 1: IAM Identity Center aktivieren im AWS IAM Identity Center -Benutzerhandbuch.
Anmerkung
Sicherheitsupdate v2.1.0.0: Ab Version 2.1.0.0 verwendet das BrowserSSOOIDC-Plugin zur Verbesserung der Sicherheit den Autorisierungscode mit PKCE anstelle der Gerätecode-Autorisierung. Durch diese Änderung entfällt der Schritt zur Anzeige des Gerätecodes und die Authentifizierung ist schneller. Ein neuer listen_port Parameter (Standard 7890) wird für den OAuth 2.0-Callback-Server verwendet. Möglicherweise müssen Sie diesen Port in Ihrem Netzwerk auf eine Zulassungsliste setzen. Der Standardbereich wurde auf sso:account:access geändert.
Authentifizierungstyp
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| AuthenticationType | Erforderlich | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
Start-URL von IAM Identity Center
Die URL für das AWS Zugriffsportal. Die IAM Identity Center RegisterClientAPI-Aktion verwendet diesen Wert für den issuerUrl Parameter.
Um die URL des AWS Zugriffsportals zu kopieren
Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter https://console.aws.amazon.com/singlesignon/
. -
Wählen Sie im Navigationsbereich Settings (Einstellungen).
-
Wählen Sie auf der Seite Einstellungen unter Identitätsquelle das Zwischenablagesymbol für die AWS -Zugangsportal-URL aus.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| sso_oidc_start_url | Erforderlich | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
Region des IAM-Identitätszentrums
Der AWS-Region Ort, an dem Ihr SSO konfiguriert ist. Die SSOClient AWS SDK-Clients SSOOIDCClient und die SDK-Clients verwenden diesen Wert für den region Parameter.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| sso_oidc_region | Erforderlich | none |
sso_oidc_region=us-east-1; |
Bereiche
Die Liste der Bereiche, die vom Client definiert sind. Bei der Autorisierung schränkt diese Liste die Berechtigungen ein, wenn ein Zugriffstoken gewährt wird. Die IAM Identity Center RegisterClientAPI-Aktion verwendet diesen Wert für den scopes Parameter.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| sso_oidc_scopes | Optional | sso:account:access |
sso_oidc_scopes=sso:account:access; |
Konto-ID
Der Bezeichner für den AWS-Konto , der dem Benutzer zugewiesen ist. Die IAM Identity GetRoleCredentialsCenter-API verwendet diesen Wert für den accountId Parameter.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| sso_oidc_account_id | Erforderlich | none |
sso_oidc_account_id=123456789123; |
Rollenname
Der freundliche Name der Rolle, die dem Benutzer zugewiesen ist. Der Name, den Sie für diesen Berechtigungssatz angeben, wird im AWS Zugriffsportal als verfügbare Rolle angezeigt. Die IAM Identity Center GetRoleCredentialsAPI-Aktion verwendet diesen Wert für den roleName Parameter.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| sso_oidc_role_name | Erforderlich | none |
sso_oidc_role_name=AthenaReadAccess; |
Zeitüberschreitung
Die Anzahl der Sekunden, für die die SSO-API für Abfragen nach dem Zugriffstoken suchen soll.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| sso_oidc_timeout | Optional | 120 |
sso_oidc_timeout=60; |
Listener-Port
Die lokale Portnummer, die für den OAuth 2.0-Callback-Server verwendet werden soll. Dies wird als Umleitungs-URI verwendet und Sie müssen diesen Port möglicherweise in Ihrem Netzwerk auf eine Zulassungsliste setzen. Die standardmäßig generierte Umleitungs-URI lautet:http://localhost:7890/athena. Dieser Parameter wurde in Version 2.1.0.0 im Rahmen der Migration vom Gerätecode zum Autorisierungscode mit PKCE hinzugefügt.
Warnung
In gemeinsam genutzten Umgebungen wie Windows Terminal Servern oder Remote Desktop Services wird der Loopback-Port (Standard: 7890) von allen Benutzern auf demselben Computer gemeinsam genutzt. Systemadministratoren können potenzielle Risiken durch Port-Hijacking minimieren, indem sie:
-
Konfiguration verschiedener Portnummern für verschiedene Benutzergruppen
-
Verwendung von Windows-Sicherheitsrichtlinien zur Beschränkung des Portzugriffs
-
Implementierung der Netzwerkisolierung zwischen Benutzersitzungen
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| listen_port | Optional | 7890 |
listen_port=8080; |
Dateicache aktivieren
Aktiviert einen Cache für temporäre Anmeldeinformationen. Mit diesem Verbindungsparameter können temporäre Anmeldeinformationen zwischengespeichert und zwischen mehreren Prozessen wiederverwendet werden. Verwenden Sie diese Option, um die Anzahl der geöffneten Browserfenster zu reduzieren, wenn Sie BI-Tools wie Microsoft Power BI verwenden.
Anmerkung
Ab Version 2.1.0.0 werden zwischengespeicherte Anmeldeinformationen als Klartext-JSON im user-profile/.athena-odbc/ Verzeichnis gespeichert, wobei die Dateiberechtigungen auf den besitzenden Benutzer beschränkt sind. Dies entspricht der Art und Weise, wie die AWS CLI lokal gespeicherte Anmeldeinformationen schützt.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| sso_oidc_cache | Optional | 1 |
sso_oidc_cache=0; |
