Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Einrichten der Single-Sign-On-Authentifizierung über JDBC oder ODBC Sie können externe Identitätsanbieter (IdPs) nutzen, um Benutzer zu authentifizieren und zu autorisieren, die auf Ihren Amazon Redshift Redshift-Cluster zugreifen, wodurch die Benutzerverwaltung vereinfacht und die Sicherheit erhöht wird. Außerdem ermöglicht dies eine zentrale Benutzerverwaltung, eine rollenbasierte Zugriffskontrolle sowie Prüfungsfunktionen über mehrere Services hinweg. Zu den häufigsten Anwendungsfällen gehören die Optimierung der Authentifizierung für verschiedene Benutzergruppen, die Durchsetzung einheitlicher Zugriffsrichtlinien und die Einhaltung regulatorischer Anforderungen. Die folgenden Seiten führen Sie durch die Konfiguration der IdP-Integration mit Ihrem Redshift-Cluster. Weitere Informationen zur Konfiguration AWS als Service Provider für den IdP finden Sie unter [Configuring Your SAML 2.0 IdP with Relying Party Trust and Adding Claims](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html#saml_relying-party) im *IAM-Benutzerhandbuch*. # AD FS Dieses Tutorial zeigt Ihnen, wie Sie AD FS als Identitätsanbieter (IdP) verwenden können, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. ## Schritt 1: Richten Sie AD FS und Ihr AWS Konto so ein, dass sie einander vertrauen Im folgenden Verfahren wird beschrieben, wie Sie eine Vertrauensstellung einrichten. 1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem sich Ihre AD-FS-Benutzer verbinden können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter [Erstellen eines Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html). 1. Richten Sie AD FS ein, um den Amazon-Redshift-Zugriff auf die Microsoft Management Console zu steuern: 1. Wählen Sie **ADFS 2.0** und dann **Add relying Party Trust (Vertrauensstellung von vertrauender Partei hinzufügen)**. Wählen Sie auf der Seite **Add Relying Party Trust Wizard (Assistent zum Hinzufügen vertrauender Parteien)** die Option **Start**. 1. Wählen Sie auf der Seite **Select Data Source (Datenquelle auswählen)** die Option **Import data about the relying party published online or on a local network (Online oder im lokalen Netzwerk veröffentlichte Daten über die vertrauende Partei importieren)**. 1. Geben Sie für **Federation metadata address (host name or URL) (Verbundmetadatenadresse (Hostname oder URL))** **https://signin.aws.amazon.com/saml-metadata.xml** ein. Bei der XML-Metadatendatei handelt es sich um ein standardmäßiges SAML-Metadatendokument, in dem AWS beschrieben wird, dass es sich um eine vertrauende Partei handelt. 1. Geben Sie auf der Seite **Specify Display Name (Anzeigename angeben)** einen Wert für **Display name (Anzeigename)** ein. 1. Wählen Sie auf der Seite **Choose Issuance Authorization Rules (Ausgabeautorisierungsregeln auswählen)**eine Ausgabeautorisierungsregel aus, um allen Benutzern den Zugriff auf diese vertrauende Partei zu erlauben oder zu verweigern. 1. Überprüfen Sie auf der Seite **Ready to Add trust (Bereit zum Hinzufügen von Vertrauensstellungen)** Ihre Einstellungen. 1. Wählen Sie auf der Seite **Finish (Fertig stellen)** die Option **Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Nach Abschluss des Assistenten das Dialogfeld „Antragsregeln bearbeiten“ für diese Vertrauensstellung der vertrauenden Seite öffnen)**. 1. Wählen Sie im Kontextmenü (Rechtsklick) **Relying Party Trusts (Vertrauensstellungen von vertrauenden Parteien)**. 1. Öffnen Sie für Ihre vertrauende Partei das Kontextmenü (Rechtsklick), und wählen Sie **Edit Claim Rules (Antragsregeln bearbeiten)**. Wählen Sie auf der Seite **Edit Claim Rules (Antragsregeln bearbeiten)** die Option **Add Rule (Regel hinzufügen)**. 1. Wählen Sie als **Vorlage für eine Anspruchsregel** **die Option Eingehenden Anspruch transformieren** aus, und gehen Sie dann auf der NameId Seite **Regel bearbeiten —** wie folgt vor: + Geben Sie als **Namen der Anspruchsregel** Folgendes ein **NameId**. + Wählen Sie unter **Incoming claim name (Name des eingehenden Antrags)** die Option **Windows Account Name (Windows-Kontoname)**. + Wählen Sie unter **Outgoing claim name (Name des ausgehenden Antrags)** die Option **Name ID**. + Wählen Sie unter **Outgoing name ID format (Format der ausgehenden Namens-ID)** die Option **Persistent identifier (Persistente ID)**. + Wählen Sie **Pass through all claim values (Alle Antragswerte durchleiten)**. 1. Wählen Sie auf der Seite **Edit Claim Rules (Antragsregeln bearbeiten)** die Option **Add Rule (Regel hinzufügen)**. Wählen Sie auf der Seite **Select Rule Template (Regelvorlage auswählen)** für **Claim rule template (Antragsregelvorlage)** die Option **Send LDAP Attributes as Claims (LDAP-Attribute als Anträge senden)**. 1. Führen Sie auf der Seite **Configure Rule (Regel konfigurieren)** die folgenden Schritte aus: + Geben Sie unter **Claim rule name ** (Name der Antragsregel) **RoleSessionName** ein. + Wählen Sie unter **Attribute store (Attributspeicher)** **Active Directory**. + Wählen Sie für **LDAP Attribute (LDAP-Attribut)** **Email Addresses (E-Mail-Adressen)**. + Wählen Sie bei **Outgoing Claim Type (Art des ausgehenden Anspruchs)** **https://aws.amazon.com/SAML/Attributes/RoleSessionName** aus. 1. Wählen Sie auf der Seite **Edit Claim Rules (Antragsregeln bearbeiten)** die Option **Add Rule (Regel hinzufügen)**. Wählen Sie auf der Seite **Select Rule Template (Regelvorlage auswählen)** für **Claim rule template (Antragsregelvorlage)** die Option **Send Claims Using a Custom Rule (Anträge mit benutzerdefinierter Regel senden)**. 1. Geben Sie auf der Seite **Edit Rule – Get AD Groups (Regel bearbeiten – AD-Gruppen abrufen)** für **Claim rule name (Name der Antragsregel)** **Get AD Groups (AD-Gruppen abrufen)** ein. 1. Geben Sie unter **Custom rule (Benutzerdefinierte Regel)** Folgendes ein. ``` c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value); ``` 1. Wählen Sie auf der Seite **Edit Claim Rules (Antragsregeln bearbeiten)** die Option **Add Rule (Regel hinzufügen)**. Wählen Sie auf der Seite **Select Rule Template (Regelvorlage auswählen)** für **Claim rule template (Antragsregelvorlage)** die Option **Send Claims Using a Custom Rule (Anträge mit benutzerdefinierter Regel senden)**. 1. Geben Sie auf der Seite **Edit Rule - Roles (Regel bearbeiten — Rollen)** für **Claim rule name Namen der Antragsregel** **Roles (Rollen)** ein. 1. Geben Sie unter **Custom rule (Benutzerdefinierte Regel)** Folgendes ein. ``` c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-")); ``` Notieren Sie sich ARNs den SAML-Anbieter und die Rolle, die Sie übernehmen möchten. In diesem Beispiel ist `arn:aws:iam:123456789012:saml-provider/ADFS` der ARN des SAML-Providers und `arn:aws:iam:123456789012:role/ADFS-` der ARN der Rolle. 1. Stellen Sie sicher, dass Sie die `federationmetadata.xml`-Datei heruntergeladen haben. Überprüfen Sie, dass der Dokumentinhalt keine ungültigen Zeichen enthält. Dies ist die Metadatendatei, die Sie beim Konfigurieren der Vertrauensstellung mit verwenden AWS. 1. Erstellen Sie auf der IAM-Konsole einen IAM SAML-Identitätsanbieter. Das Metadatendokument, das Sie bereitstellen, ist die XML-Datei mit Verbundmetadaten, die Sie beim Einrichten der Azure Enterprise-Anwendung gespeichert haben. Ausführliche Schritte finden Sie unter [Erstellen und Verwalten eines IAM-Identitätsanbieters (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie auf der IAM-Konsole eine IAM-Rolle für SAML 2.0-Verbund. Detaillierte Schritte finden Sie unter [Erstellen einer Rolle für SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie eine IAM-Richtlinie, die Sie an die IAM-Rolle anhängen können, die Sie für den SAML 2.0-Verbund auf der IAM-Konsole erstellt haben. Ausführliche Schritte finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*. Ein Azure AD-Beispiel finden Sie unter [Einrichten der Single-Sign-On-Authentifizierung über JDBC oder ODBC](setup-azure-ad-identity-provider.md). ## Schritt 2: Einrichten von JDBC oder ODBC für die Authentifizierung bei AD FS ------ #### [ JDBC ] Im folgenden Verfahren wird beschrieben, wie Sie eine JDBC-Vertrauensstellung zu AD FS einrichten. + Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über JDBC mithilfe von AD FS Single Sign-On. Sie können jeden Client verwenden, der mithilfe eines JDBC-Treibers eine Verbindung mit AD FS Single Sign-On herstellt oder eine Sprache wie Java verwendet, um über ein Skript eine Verbindung herzustellen. Informationen zur Installation und Konfiguration finden Sie unter [Konfiguration einer Verbindung für JDBC-Treiberversion 2.x für Amazon Redshift](jdbc20-install.md). Sie können es beispielsweise SQLWorkbench/J als Client verwenden. Wenn Sie SQLWorkbench /J konfigurieren, verwendet die URL Ihrer Datenbank das folgende Format. ``` jdbc:redshift:iam://cluster-identifier:us-west-1/dev ``` Wenn Sie SQLWorkbench/J als Client verwenden, gehen Sie wie folgt vor: 1. Starten Sie SQL Workbench/J. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** eine **Profile Group (Profilgruppe)** hinzu, z. B. **ADFS**. 1. Geben Sie unter **Connection Profile (Verbindungsprofil)** Ihren Verbindungsprofilnamen ein, z. B. **ADFS**. 1. Wählen Sie **Manage Drivers (Treiber verwalten)** und dann **Amazon Redshift** aus. Wählen Sie das Symbol **Open Folder (Ordner öffnen)** neben **Library (Bibliothek)** und dann die entsprechende JDBC-JAR-Datei aus. 1. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** dem Verbindungsprofil Informationen wie folgt hinzu: + Geben Sie unter **User (Benutzer)** Ihren AD FS-Benutzernamen ein. Dies ist der Benutzername des -Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden, und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. + Geben Sie unter **Password (Passwort)** Ihr AD FS-Passwort ein. + Wählen Sie für **Driver (Treiber)** die Option **Amazon Redshift (com.amazon.redshift.jdbc.Driver)** aus. + Geben Sie für **URL** **jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name*** ein. 1. Wählen Sie **Extended Properties (Erweiterte Eigenschaften)** aus. Geben Sie für **plugin\$1name** **com.amazon.redshift.plugin.AdfsCredentialsProvider** ein. Dieser Wert gibt an, dass der Treiber AD FS Single Sign-On als Authentifizierungsmethode verwenden soll. ------ #### [ ODBC ] **So richten Sie ODBC für die Authentifizierung bei AD FS ein:** + Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über ODBC mithilfe von AD FS Single Sign-On. Amazon Redshift stellt ODBC-Treiber für Linux-, Windows- und macOS-Betriebssysteme bereit. Stellen Sie vor der Installation eines ODBC-Treibers fest, ob Ihr SQL-Client-Tool 32-Bit oder 64-Bit ist. Installieren Sie den ODBC-Treiber, der den Anforderungen Ihres SQL-Clienttools entspricht. Geben Sie unter Windows auf der Seite **Amazon Redshift ODBC Driver DSN Setup (DSN-Setup für Amazon Redshift ODBC-Treiber)** unter **Connection Settings (Verbindungseinstellungen)** die folgenden Informationen ein: + Geben Sie für **Data Source Name (Datenquellenname)** ***your-DSN*** ein. Dies gibt den Datenquellennamen an, der als ODBC-Profilname verwendet wird. + Wählen Sie bei **Auth type (Authentifizierungstyp)** **Identity Provider: SAML (Identitätsanbieter: SAML)** aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit AD FS Single Sign-On verwendet. + Geben Sie für **Cluster ID (Cluster-ID)** ***your-cluster-identifier*** ein. + Geben Sie für **Region** ***your-cluster-region*** ein. + Geben Sie für **Database (Datenbank)** ***your-database-name*** ein. + Geben Sie für **User (Benutzer)** ***your-adfs-username*** ein. Dies ist der Benutzername des AD-FS-Kontos, das Sie für Single Sign-On verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn **Auth type (Authentifizierungstyp)** **Identity Provider: SAML (Identitätsanbieter: SAML)** ist. + Geben Sie unter **Password (Passwort)** ***your-adfs-password*** ein. Verwenden Sie dies nur, wenn **Auth type (Authentifizierungstyp)** **Identity Provider: SAML (Identitätsanbieter: SAML)** ist. Bearbeiten Sie die `odbc.ini`-Datei unter Mac OS und Linux wie folgt: **Anmerkung** Bei allen Eingaben wird zwischen Groß- und Kleinschreibung unterschieden. + Geben Sie für **clusterid** ***your-cluster-identifier*** ein. Dies ist der Name des erstellten Amazon-Redshift-Clusters. + Geben Sie für **Region** ***your-cluster-region*** ein. Dies ist die AWS Region des erstellten Amazon Redshift Redshift-Clusters. + Geben Sie für die **database** ***your-database-name*** ein. Dies ist der Name der Datenbank, auf die Sie im Amazon-Redshift-Cluster zugreifen möchten. + Geben Sie für **locale** **en-us** ein. Dies ist die Sprache, in der Fehlermeldungen angezeigt werden. + Geben Sie für **iam** **1** ein. Dieser Wert signalisiert dem Treiber, dass mit IAM-Anmeldeinformationen authentifiziert werden soll. + Führen Sie für **plugin\$1name** einen der folgenden Schritte aus: + Geben Sie für Single Sign-On von AD FS mit MFA-Konfiguration **BrowserSAML** ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung bei AD FS verwendet. + Geben Sie für die Single-Sign-On-Konfiguration von AD FS **ADFS** ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Azure AD Single Sign-On verwendet. + Geben Sie für **uid** ***your-adfs-username*** ein. Dies ist der Benutzername des Microsoft-Azure-Kontos, das Sie für Single-Sign-On verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn der **plugin\$1name (Plug-In-Name)** **ADFS** ist. + Geben Sie für **pwd** ***your-adfs-password*** ein. Verwenden Sie dies nur, wenn der **plugin\$1name (Plug-In-Name)** **ADFS** ist. Bearbeiten Sie unter macOS und Linux auch die Profileinstellungen, um folgende Exporte hinzuzufügen: ``` export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini ``` ``` export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini ``` ------ # Azure Sie können Microsoft Azure AD als Identitätsanbieter verwenden, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. Dieses Tutorial zeigt Ihnen, wie Sie Azure als Identitätsanbieter (IdP) verwenden können, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. Weitere Informationen zum Verbinden des Amazon-Redshift-Zugriffs mit Microsoft-Azure-AD-Single-Sign-On finden Sie im folgenden Video. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/aXs9hEgJCss/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/aXs9hEgJCss) ## Schritt 1: Richten Sie Azure und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen Im folgenden Verfahren wird beschrieben, wie Sie eine Vertrauensstellung einrichten. **So richten Sie Azure AD und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen** 1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem sich Ihre Azure-AD-Benutzer verbinden können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter [Erstellen eines Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html). 1. Richten Sie ein Azure Active Directory, Gruppen und Benutzer ein, die AWS im Microsoft Azure-Portal verwendet werden. 1. Fügen Sie Amazon Redshift als Unternehmensanwendung im Microsoft Azure-Portal hinzu, um es für Single Sign-On an der AWS Konsole und die Verbundanmeldung bei Amazon Redshift zu verwenden. Wählen Sie **Enterprise application (Unternehmensanwendung)**. 1. Wählen Sie **\$1New Application (\$1Neue Anwendung)**. Die Seite „Add an application (Anwendung hinzufügen)“ wird angezeigt. 1. Suchen Sie im Suchfeld nach **AWS**. 1. Wählen Sie **Amazon Web Services (AWS)** und dann **Add (Hinzufügen)** aus. Dadurch wird die AWS -Anwendung erstellt. 1. Wählen Sie unter **Manage (Verwalten)** die Option **Single Sign-on**aus. 1. Wählen Sie **SAML**. Die Seite „Amazon Web Services (AWS) \$1 SAML-based Sign-on“ wird angezeigt. 1. Wählen Sie **Yes (Ja)** um zur Seite „Setup Single-Sign-On with SAML (Single-Sign-On mit SAML einrichten)“ fortzufahren. Auf dieser Seite wird die Liste vorkonfigurierter Attribute angezeigt, die sich auf Single Sign-On beziehen. 1. Wählen Sie für **Basic SAML Configuration (Grundlegende SAML-Konfiguration)** das Bearbeitungssymbol und dann **Save (Speichern)**. 1. Wenn Sie für mehrere Anwendungen konfigurieren, geben Sie einen ID-Wert ein. Geben Sie z. B. ei ***https://signin.aws.amazon.com/saml\$12***. Beachten Sie, dass ab der zweiten Anwendung dieses Format mit einem \$1 -Zeichen verwendet werden muss, um einen eindeutigen SPN-Wert anzugeben. 1. Wählen Sie im Abschnitt **User Attributes and Claims (Benutzerattribute und Anträge)** das Bearbeitungssymbol aus. Standardmäßig sind der Unique User Identifier (UID), die Rolle und die Ansprüche vorkonfiguriert RoleSessionName. SessionDuration 1. Wählen Sie **\$1 Add new claim (\$1 Neuen Antrag hinzufügen)**, um einen Antrag für Datenbankbenutzer hinzuzufügen. Geben Sie unter **Name** **DbUser** ein. Geben Sie für **Namespace** **https://redshift.amazon.com/SAML/Attributes** ein. Wählen Sie unter **Source (Quelle)** die Option **Attribute (Attribut)** aus. Wählen Sie für **Source attribute (Quellattribut)** **user.userprincipalname** aus. Wählen Sie dann **Save (Speichern)** aus. 1. Wählen Sie **\$1 Neuen Anspruch hinzufügen**, um einen Anspruch hinzuzufügen. AutoCreate Geben Sie unter **Name** **AutoCreate** ein. Geben Sie für **Namespace** **https://redshift.amazon.com/SAML/Attributes** ein. Wählen Sie unter **Source (Quelle)** die Option **Attribute (Attribut)** aus. Wählen Sie für **Source attribute (Quellattribut)** **„true“**. Wählen Sie dann **Save (Speichern)** aus. Hier ist `123456789012` Ihr AWS -Konto, *`AzureSSO`* ist eine von Ihnen erstellte IAM-Rolle und *`AzureADProvider`* ist der IAM-Anbieter. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/setup-identity-provider-azure.html) 1. Fügen Sie unter **App Registration (App-Registrierung) > ***your-application-name*** > Authentication (Authentifizierung)** die Option **Mobile And Desktop Application (Mobile und Desktop-Anwendung)** hinzu. Geben Sie die URL als „http://localhost/redshift/“ an. 1. Wählen Sie im Abschnitt **SAML Signing Certificate (SAML-Signaturzertifikat)** die Option **Download (Herunterladen)** aus, um die XML-Datei für die Verbundmetadaten herunterzuladen und zu speichern, die beim Erstellen eines IAM-SAML-Identitätsanbieters verwendet werden soll. Diese Datei wird verwendet, um die Single-Sign-On-Verbundidentität zu erstellen. 1. Erstellen Sie auf der IAM-Konsole einen IAM SAML-Identitätsanbieter. Das Metadatendokument, das Sie bereitstellen, ist die XML-Datei für Verbundmetadaten, die Sie beim Einrichten der Azure Enterprise-Anwendung gespeichert haben. Ausführliche Schritte finden Sie unter [Erstellen und Verwalten eines IAM-Identitätsanbieters (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie auf der IAM-Konsole eine IAM-Rolle für SAML 2.0-Verbund. Detaillierte Schritte finden Sie unter [Erstellen einer Rolle für SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie eine IAM-Richtlinie, die Sie an die IAM-Rolle anhängen können, die Sie für den SAML 2.0-Verbund auf der IAM-Konsole erstellt haben. Ausführliche Schritte finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*. Ändern Sie die folgende Richtlinie (im JSON-Format) für Ihre Umgebung: + Ersetzen Sie die AWS Region Ihres Clusters durch. `us-west-1` + Ersetzen Sie Ihr AWS Konto durch*`123456789012`*. + Ersetzen Sie *`cluster-identifier`* durch Ihre Cluster-ID (oder `*` für alle Cluster). + Ersetzen Sie Ihre Datenbank (oder `*` alle Datenbanken) durch *`dev`*. + Ersetzen Sie den eindeutigen Bezeichner Ihrer IAM-Rolle durch *`AROAJ2UCCR6DPCEXAMPLE`*. + Geben Sie anstelle von Ihre Mandanten- oder Unternehmens-E-Mail-Domäne ein `example.com`. + Geben Sie anstelle von die Datenbankgruppe ein, der Sie den Benutzer zuweisen möchten *`my_dbgroup`*. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev", "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}", "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier" ], "Condition": { "StringEquals": { "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com" } } }, { "Effect": "Allow", "Action": "redshift:CreateClusterUser", "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}" }, { "Effect": "Allow", "Action": "redshift:JoinGroup", "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup" }, { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "iam:ListRoles" ], "Resource": "*" } ] } ``` Diese Richtlinie gewährt Berechtigungen wie folgt: + Der erste Abschnitt erteilt der API-Operation `GetClusterCredentials` die Berechtigung, temporäre Anmeldeinformationen für den angegebenen Cluster abzurufen. In diesem Beispiel ist die Ressource `cluster-identifier` mit Datenbank *`dev`* im Konto *`123456789012`* und in AWS -Region *`us-west-1`*. Die Klausel `${redshift:DbUser}` ermöglicht es nur Benutzern, die dem in Azure AD angegebenen `DbUser`-Wert entsprechen, eine Verbindung herzustellen. + Die Bedingungsklausel erzwingt, dass nur bestimmte Benutzer temporäre Anmeldeinformationen erhalten. Dies sind Benutzer unter der Rolle, die durch die eindeutige ID der Rolle *`AROAJ2UCCR6DPCEXAMPLE`* im IAM-Konto angegeben wird, das durch eine E-Mail-Adresse in der E-Mail-Domäne Ihres Unternehmens identifiziert wird. Weitere Informationen zu Unique IDs finden Sie unter [Unique IDs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) im *IAM-Benutzerhandbuch*. Ihr Setup mit Ihrem IdP (in diesem Fall Azure AD) bestimmt, wie die Bedingungsklausel geschrieben wird. Wenn die E-Mail Ihres Mitarbeiters `johndoe@example.com` lautet, stellen Sie `${redshift:DbUser}` zuerst auf das Superfeld ein, das dem Benutzernamen `johndoe` des Mitarbeiters entspricht. Stellen Sie dann das AWS -SAML-Feld `RoleSessionName` auf das Superfeld ein, das mit der Mitarbeiter-E-Mail-Adresse `johndoe@example.com` übereinstimmt, damit diese Bedingung funktioniert. Berücksichtigen Sie bei diesem Ansatz Folgendes: + Wenn Sie `${redshift:DbUser}` als E-Mail des Mitarbeiters festlegen, entfernen Sie das `@example.com` im JSON-Beispiel,um dem `RoleSessionName` zu entsprechen. + Wenn Sie die `RoleSessionId` auf nur den Benutzernamen des Mitarbeiters eingestellt haben, entfernen Sie die `@example.com` im Beispiel, um dem `RoleSessionName` zu entsprechen. + Im JSON-Beispiel sind `${redshift:DbUser}` und `RoleSessionName` beide auf die E-Mail des Mitarbeiters festgelegt. In diesem JSON-Beispiel wird der Amazon-Redshift-Datenbankbenutzername mit `@example.com` verwendet, um den Benutzer für den Zugriff auf den Cluster anzumelden. + Der zweite Abschnitt erteilt die Berechtigung zum Erstellen eines `dbuser`-Namens im angegebenen Cluster. In diesem Beispiel beschränkt JSON die Erstellung auf `${redshift:DbUser}`. + Der dritte Abschnitt erteilt die Berechtigung zur Angabe, welcher `dbgroup` ein Benutzer beitreten kann. In diesem JSON-Beispiel kann ein Benutzer der Gruppe `my_dbgroup` im angegebenen Cluster beitreten. + Der vierte Abschnitt berechtigt Aktionen, die der Benutzer für alle Ressourcen ausführen kann. In diesem JSON-Beispiel können Benutzer anrufen, `redshift:DescribeClusters` um Clusterinformationen wie den Cluster-Endpunkt, die AWS Region und den Port abzurufen. Auch ermöglicht es Benutzern, `iam:ListRoles` aufzurufen, um zu überprüfen, welche Rollen ein Benutzer übernehmen kann. ## Schritt 2: Einrichten von JDBC oder ODBC für die Authentifizierung bei Azure ------ #### [ JDBC ] **So richten Sie JDBC für die Authentifizierung bei Microsoft Azure AD ein:** + Konfigurieren Sie Ihren Datenbankclient für die Verbindung mit Ihrem Cluster über JDBC mithilfe von Azure AD Single Sign-On. Sie können jeden Client verwenden, der mithilfe eines JDBC-Treibers eine Verbindung mit Azure AD Single Sign-On herstellt oder eine Sprache wie Java verwendet, um über ein Skript eine Verbindung herzustellen. Informationen zur Installation und Konfiguration finden Sie unter [Konfiguration einer Verbindung für JDBC-Treiberversion 2.x für Amazon Redshift](jdbc20-install.md). Sie können es beispielsweise SQLWorkbench/J als Client verwenden. Wenn Sie SQLWorkbench /J konfigurieren, verwendet die URL Ihrer Datenbank das folgende Format. ``` jdbc:redshift:iam://cluster-identifier:us-west-1/dev ``` Wenn Sie SQLWorkbench/J als Client verwenden, gehen Sie wie folgt vor: 1. Starten Sie SQL Workbench/J. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** eine **Profile Group (Profilgruppe)** namens **AzureAuth** hinzu. 1. Geben Sie für **Connection Profile (Verbindungsprofil)** **Azure** ein. 1. Wählen Sie **Manage Drivers (Treiber verwalten)** und dann **Amazon Redshift** aus. Wählen Sie das Symbol **Open Folder (Ordner öffnen)** neben **Library (Bibliothek)** und dann die entsprechende JDBC-JAR-Datei aus. 1. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** dem Verbindungsprofil Informationen wie folgt hinzu: + Geben Sie für **User (Benutzer)** Ihren Microsoft Azure-Benutzernamen ein. Dies ist der Benutzername des Microsoft Azure-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. + Geben Sie für **Password (Passwort)** Ihr Microsoft Azure-Passwort ein. + Wählen Sie für **Driver (Treiber)** die Option **Amazon Redshift (com.amazon.redshift.jdbc.Driver)** aus. + Geben Sie für **URL** **jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name*** ein. 1. Wählen Sie **Extended Properties (Erweiterte Eigenschaften)**, um den Verbindungseigenschaften wie folgt zusätzliche Informationen hinzuzufügen: Fügen Sie für die Single-Sign-On-Konfiguration von Azure AD zusätzliche Informationen wie folgt hinzu: + Geben Sie für **plugin\$1name** **com.amazon.redshift.plugin.AzureCredentialsProvider** ein. Dieser Wert gibt an, dass der Treiber Azure AD Single Sign-On als Authentifizierungsmethode verwenden soll. + Geben Sie für **idp\$1tenant** ***your-idp-tenant*** ein. Wird nur für Microsoft Azure AD verwendet. Dies ist der Mandantenname Ihres Unternehmens, der auf Ihrem Azure AD konfiguriert ist. Dieser Wert kann entweder der Mandantenname oder die eindeutige ID des Mandanten mit Bindestrichen sein. + Geben Sie für **client\$1secret** ***your-azure-redshift-application-client-secret*** ein. Wird nur für Microsoft Azure AD verwendet. Dies ist Ihr Client-Secret der Amazon-Redshift-Anwendung, das Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben. Dies gilt nur für das com.amazon.redshift.plugin. AzureCredentialsProviderPlugin. + Geben Sie für **client\$1id** ***your-azure-redshift-application-client-id*** ein. Wird nur für Microsoft Azure AD verwendet. Dies ist die Client-ID (mit Bindestrichen) der Amazon-Redshift-Anwendung, die Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben. Fügen Sie für Single Sign-On von Azure AD mit MFA-Konfiguration den Verbindungseigenschaften wie folgt zusätzliche Informationen hinzu: + Geben Sie für **plugin\$1name** **com.amazon.redshift.plugin.BrowserAzureCredentialsProvider** ein. Dies signalisiert dem Treiber, dass Single Sign-On für Azure AD mit MFA als Authentifizierungsmethode verwendet werden soll. + Geben Sie für **idp\$1tenant** ***your-idp-tenant*** ein. Wird nur für Microsoft Azure AD verwendet. Dies ist der Mandantenname Ihres Unternehmens, der auf Ihrem Azure AD konfiguriert ist. Dieser Wert kann entweder der Mandantenname oder die eindeutige ID des Mandanten mit Bindestrichen sein. + Geben Sie für **client\$1id** ***your-azure-redshift-application-client-id*** ein. Diese Option wird nur für Microsoft Azure AD verwendet. Dies ist die Client-ID (mit Bindestrichen) der Amazon-Redshift-Anwendung, die Sie beim Einrichten von Single Sign-On für Azure AD mit MFA-Konfiguration erstellt haben. + Geben Sie bei **listen\$1port** „***your-listen-port***“ ein. Dies ist der Port, den der lokale Server überwacht. Der Standardwert ist 7890. + Geben Sie für **idp\$1response\$1timeout** ***the-number-of-seconds*** ein. Dies ist die Anzahl der Sekunden, für die vor dem Timeout gewartet werden muss, wenn der IdP-Server eine Antwort zurücksendet. Die Mindestanzahl von Sekunden muss 10 sein. Wenn es länger dauert, eine Verbindung mit dem Server herzustellen, als durch diesen Schwellenwert angegeben, wird die Verbindung abgebrochen. ------ #### [ ODBC ] **So richten Sie ODBC für die Authentifizierung bei Microsoft Azure AD ein:** + Konfigurieren Sie Ihren Datenbankclient für die Verbindung mit Ihrem Cluster über ODBC mithilfe von Azure AD Single Sign-On. Amazon Redshift stellt ODBC-Treiber für Linux-, Windows- und macOS-Betriebssysteme bereit. Stellen Sie vor der Installation eines ODBC-Treibers fest, ob Ihr SQL-Client-Tool 32-Bit oder 64-Bit ist. Installieren Sie den ODBC-Treiber, der den Anforderungen Ihres SQL-Clienttools entspricht. Geben Sie unter Windows auf der Seite **Amazon Redshift ODBC Driver DSN Setup (DSN-Setup für Amazon Redshift ODBC-Treiber)** unter **Connection Settings (Verbindungseinstellungen)** die folgenden Informationen ein: + Geben Sie für **Data Source Name (Datenquellenname)** ***your-DSN*** ein. Dies gibt den Datenquellennamen an, der als ODBC-Profilname verwendet wird. + Wählen Sie für die Single-Sign-On-Konfiguration von Azure AD unter **Auth type** (Authentifizierungstyp) **Identity Provider: Azure AD** aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Azure Single Sign-On verwendet. + Wählen Sie für die Single-Sign-On-Konfiguration von Azure AD mit MFA-Konfiguration unter **Auth type** (Authentifizierungstyp) **Identity Provider: Browser Azure AD** aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Azure Single Sign-On mit MFA verwendet. + Geben Sie für **Cluster ID (Cluster-ID)** ***your-cluster-identifier*** ein. + Geben Sie für **Region** ***your-cluster-region*** ein. + Geben Sie für **Database (Datenbank)** ***your-database-name*** ein. + Geben Sie für **User (Benutzer)** ***your-azure-username*** ein. Dies ist der Benutzername des Microsoft Azure-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn **Auth Type (Authentifizierungstyp)** **Identity Provider: Azure AD (Identitätsanbieter: Azure AD)** ist. + Geben Sie unter **Password (Passwort)** ***your-azure-password*** ein. Verwenden Sie dies nur, wenn **Auth Type (Authentifizierungstyp)** **Identity Provider: Azure AD (Identitätsanbieter: Azure AD)** ist. + Geben Sie für **IdP Tenant (IdP-Mandant)** ***your-idp-tenant*** ein. Dies ist der Mandantenname Ihres Unternehmens, der auf Ihrem IdP (Azure) konfiguriert ist. Dieser Wert kann entweder der Mandantenname oder die eindeutige ID des Mandanten mit Bindestrichen sein. + Geben Sie für **Azure Client Secret (Azure-Clientgeheimnis)** ***your-azure-redshift-application-client-secret*** ein. Dies ist das Client-Secret der Amazon-Redshift-Anwendung, das Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben. + Geben Sie für **Azure Client ID (Azure-Client-ID)** ***your-azure-redshift-application-client-id*** ein. Dies ist die Client-ID (mit Bindestrichen) der Amazon-Redshift-Anwendung, die Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben. + Geben Sie als **Listen Port** „***your-listen-port***“ ein. Dies ist der standardmäßige Listening-Port, den der lokale Server überwacht. Der Standardwert ist 7890. Dies gilt nur für das Browser Azure AD-Plug-in. + Geben Sie für **Response Timeout (Antwortzeitüberschreitung)** ***the-number-of-seconds*** ein. Dies ist die Anzahl der Sekunden, für die vor dem Timeout gewartet werden muss, wenn der IdP-Server eine Antwort zurücksendet. Die Mindestanzahl von Sekunden muss 10 sein. Wenn es länger dauert, eine Verbindung mit dem Server herzustellen, als durch diesen Schwellenwert angegeben, wird die Verbindung abgebrochen. Dies gilt nur für das Browser-Azure-AD-Plug-In. Bearbeiten Sie die `odbc.ini`-Datei unter Mac OS und Linux wie folgt: **Anmerkung** Bei allen Eingaben wird zwischen Groß- und Kleinschreibung unterschieden. + Geben Sie für **clusterid** ***your-cluster-identifier*** ein. Dies ist der Name des erstellten Amazon-Redshift-Clusters. + Geben Sie für **Region** ***your-cluster-region*** ein. Dies ist die AWS Region des erstellten Amazon Redshift Redshift-Clusters. + Geben Sie für die **database** ***your-database-name*** ein. Dies ist der Name der Datenbank, auf die Sie im Amazon-Redshift-Cluster zugreifen möchten. + Geben Sie für **locale** **en-us** ein. Dies ist die Sprache, in der Fehlermeldungen angezeigt werden. + Geben Sie für **iam** **1** ein. Dieser Wert signalisiert dem Treiber, dass mit IAM-Anmeldeinformationen authentifiziert werden soll. + Geben Sie für die Single-Sign-On-Konfiguration von Azure AD im Feld **plugin\$1name** **AzureAD** ein. Dies signalisiert dem Treiber, Azure Single Sign-On als Authentifizierungsmethode zu verwenden. + Geben Sie für Single Sign-On von Azure AD mit MFA-Konfiguration im Feld **plugin\$1name** **BrowserAzureAD** ein. Dies signalisiert dem Treiber, dass Azure Single Sign-On mit MFA als Authentifizierungsmethode verwendet werden soll. + Geben Sie für **uid** ***your-azure-username*** ein. Dies ist der Benutzername des Microsoft Azure-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn der **plugin\$1name** **AzureAd** ist. + Geben Sie für **pwd** ***your-azure-password*** ein. Verwenden Sie dies nur, wenn der **plugin\$1name** **AzureAd** ist. + Geben Sie für **idp\$1tenant** ***your-idp-tenant*** ein. Dies ist der Mandantenname Ihres Unternehmens, der auf Ihrem IdP (Azure) konfiguriert ist. Dieser Wert kann entweder der Mandantenname oder die eindeutige ID des Mandanten mit Bindestrichen sein. + Geben Sie für **client\$1secret** ***your-azure-redshift-application-client-secret*** ein. Dies ist das Client-Secret der Amazon-Redshift-Anwendung, das Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben. + Geben Sie für **client\$1id** ***your-azure-redshift-application-client-id*** ein. Dies ist die Client-ID (mit Bindestrichen) der Amazon-Redshift-Anwendung, die Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben. + Geben Sie bei **listen\$1port** „***your-listen-port***“ ein. Dies ist der Port, den der lokale Server überwacht. Der Standardwert ist 7890. Dies gilt für das Browser Azure AD-Plug-in. + Geben Sie für **idp\$1response\$1timeout** ***the-number-of-seconds*** ein. Dies ist der angegebene Zeitraum in Sekunden, für den auf die Antwort von Azure gewartet werden soll. Diese Option gilt für das Browser-Azure-AD-Plug-In. Bearbeiten Sie unter macOS und Linux auch die Profileinstellungen, um folgende Exporte hinzuzufügen: ``` export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini ``` ``` export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini ``` ------ ## Fehlerbehebung Beachten Sie zur Behebung von Problemen mit dem Browser-Azure-AD-Plugin Folgendes. + Zur Verwendung des Browser-Azure AD-Plug-ins müssen Sie die in der Anforderung angegebene Antwort-URL so festlegen, dass sie mit der für Ihre Anwendung konfigurierten Antwort-URL übereinstimmt. Navigieren Sie im Microsoft Azure-Portal zur Seite **Set up Single Sign-On with SAML (Single Sign-On mit SAML einrichten)**. Überprüfen Sie dann, ob der Wert unter **Reply URL (Antwort-URL)** auf „http://localhost/redshift/“ festgelegt ist. + Wenn Sie einen IdP-Mandantenfehler erhalten, überprüfen Sie, ob der Name unter **IdP Tenant (IdP-Mandant** mit dem Domänennamen übereinstimmt, den Sie ursprünglich zum Einrichten von Active Directory in Microsoft Azure verwendet haben. Navigieren Sie unter Windows zum Bereich **Connection Settings (Verbindungseinstellungen)** der Seite **Amazon Redshift ODBC DSN Setup (DSN-Einrichtung von Amazon-Redshift-ODBC)**. Überprüfen Sie dann, ob der für den IdP (Azure) konfigurierte Mandantenname Ihres Unternehmens mit dem Domänennamen übereinstimmt, den Sie ursprünglich zum Einrichten von Active Directory in Microsoft Azure verwendet haben. Suchen Sie unter macOS und Linux die Datei *odbc.ini*. Überprüfen Sie dann, ob der für den IdP (Azure) konfigurierte Mandantenname Ihres Unternehmens mit dem Domänennamen übereinstimmt, den Sie ursprünglich zum Einrichten von Active Directory in Microsoft Azure verwendet haben. + Wenn Sie eine Fehlermeldung erhalten, dass die in der Anfrage angegebene Antwort-URL nicht mit der für Ihre Anwendung URLs konfigurierten Antwort übereinstimmt, überprüfen Sie, ob die **Umleitung URIs** mit der Antwort-URL übereinstimmt. Navigieren Sie im Microsoft Azure-Portal zur Seite ** App registration (App-Registrierung)** Ihrer Anwendung. Überprüfen Sie dann, ob die Weiterleitung URIs mit der Antwort-URL übereinstimmt. + Wenn Sie einen unerwarteten Fehler wegen fehlender Autorisierung erhalten, überprüfen Sie, ob Sie die Konfiguration der **Mobil- und Desktopanwendungen** abgeschlossen haben. Navigieren Sie im Microsoft Azure-Portal zur Seite ** App registration (App-Registrierung)** Ihrer Anwendung. Gehen Sie dann zu **Authentifizierung** und überprüfen Sie, ob Sie die **Mobil- und Desktop-Anwendungen** so konfiguriert haben, dass sie http://localhost/redshift/ als Umleitung verwenden URIs. # Ping Identity Sie können Ping Identity als Identitätsanbieter (IdP) verwenden, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. Dieses Tutorial zeigt Ihnen, wie Sie Ping Identity als Identitätsanbieter (IdP) verwenden können, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. ## Schritt 1: Richten Sie Ping Identity und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen Das folgende Verfahren beschreibt, wie Sie mithilfe des PingOne Portals eine Vertrauensbeziehung einrichten. **So richten Sie Ping Identity und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen** 1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem Ihre Ping-Identity-Benutzer eine Verbindung herstellen können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter [Erstellen eines Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html). 1. Fügen Sie Amazon Redshift als neue SAML-Anwendung im PingOne Portal hinzu. Ausführliche Schritte finden Sie in der [Ping Identity-Dokumentation](https://docs.pingidentity.com/). 1. Wechseln Sie zu **My Applications (Meine Anwendungen)**. 1. Wählen Sie unter **Add Application (Anwendung hinzufügen)** die Option **New SAML Application (Neue SAML-Anwendung)**. 1. Geben Sie unter **Application name (Anwendungsname)** **Amazon Redshift** ein. 1. Wählen Sie für **Protocol Version (Protokollversion)** **SAML v2.0**. 1. Wählen Sie unter **Category (Kategorie)** ***your-application-category*** aus. 1. Geben Sie für **Assertion Consumer Service (ACS)** ***your-redshift-local-host-url*** ein. Dies ist der lokale Host und Port, auf den die SAML-Zusicherung umgeleitet wird. 1. Geben Sie für **Entity ID (Entitäts-ID)** `urn:amazon:webservices` ein. 1. Wählen Sie für **Signing (Signieren)** die Option **Sign Assertion (Zusicherung signieren)**. 1. Erstellen Sie im Abschnitt **SSO Attribute Mapping (SSO-Attributzuweisung)** die Anträge wie in der folgenden Tabelle dargestellt. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/setup-identity-provider-ping.html) 1. Richten Sie unter **Group Access (Gruppenzugriff)** bei Bedarf den folgenden Gruppenzugriff ein: + **https://aws.amazon.com/SAML/Attributes/Role** + **https://aws.amazon.com/SAML/Attributes/RoleSessionName** + **https://redshift.amazon.com/SAML/Attributes/AutoCreate** + **https://redshift.amazon.com/SAML/Attributes/DbUser** 1. Überprüfen Sie Ihre Einrichtung und nehmen Sie Änderungen vor, wenn notwendig. 1. Verwenden Sie die **Initiate Single Sign-On (SSO) URL** als Anmelde-URL für das Browser-SAML-Plug-in. 1. Erstellen Sie auf der IAM-Konsole einen IAM SAML-Identitätsanbieter. Das Metadatendokument, das Sie bereitstellen, ist die XML-Datei für Verbundmetadaten, die Sie beim Einrichten von Ping Identity gespeichert haben. Ausführliche Schritte finden Sie unter [Erstellen und Verwalten eines IAM-Identitätsanbieters (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie auf der IAM-Konsole eine IAM-Rolle für SAML 2.0-Verbund. Detaillierte Schritte finden Sie unter [Erstellen einer Rolle für SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie eine IAM-Richtlinie, die Sie an die IAM-Rolle anhängen können, die Sie für den SAML 2.0-Verbund auf der IAM-Konsole erstellt haben. Ausführliche Schritte finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*. Ein Azure AD-Beispiel finden Sie unter [Einrichten der Single-Sign-On-Authentifizierung über JDBC oder ODBC](setup-azure-ad-identity-provider.md). ## Schritt 2: Einrichten von JDBC oder ODBC für die Authentifizierung bei Ping Identity ------ #### [ JDBC ] **So richten Sie JDBC für die Authentifizierung bei Ping Identity ein:** + Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über JDBC mithilfe von Single Sign-On mit Ping Identity. Sie können jeden Client verwenden, der mithilfe eines JDBC-Treibers eine Verbindung mit Single Sign-On mit Ping Identity herstellt oder eine Sprache wie Java verwendet, um über ein Skript eine Verbindung herzustellen. Informationen zur Installation und Konfiguration finden Sie unter [Konfiguration einer Verbindung für JDBC-Treiberversion 2.x für Amazon Redshift](jdbc20-install.md). Sie können es beispielsweise SQLWorkbench/J als Client verwenden. Wenn Sie SQLWorkbench /J konfigurieren, verwendet die URL Ihrer Datenbank das folgende Format. ``` jdbc:redshift:iam://cluster-identifier:us-west-1/dev ``` Wenn Sie SQLWorkbench/J als Client verwenden, gehen Sie wie folgt vor: 1. Starten Sie SQL Workbench/J. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** eine **Profile Group (Profilgruppe)** hinzu, z. B. **Ping**. 1. Geben Sie unter **Connection Profile (Verbindungsprofil)** ***your-connection-profile-name*** ein, z. B. **Ping**. 1. Wählen Sie **Manage Drivers (Treiber verwalten)** und dann **Amazon Redshift** aus. Wählen Sie das Symbol **Open Folder (Ordner öffnen)** neben **Library (Bibliothek)** und dann die entsprechende JDBC-JAR-Datei aus. 1. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** dem Verbindungsprofil Informationen wie folgt hinzu: + Geben Sie unter **Benutzer** Ihren PingOne Benutzernamen ein. Dies ist der Benutzername des PingOne -Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden, und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. + Geben Sie unter **Passwort** Ihr PingOne Passwort ein. + Wählen Sie für **Driver (Treiber)** die Option **Amazon Redshift (com.amazon.redshift.jdbc.Driver)** aus. + Geben Sie für **URL** **jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name*** ein. 1. Wählen Sie **Extended Properties (Erweiterte Eigenschaften)**, und führen Sie einen der folgenden Schritte aus: + Geben Sie für **login\$1url** ***your-ping-sso-login-url*** ein. Dieser Wert gibt die URL an, die Single Sign-On als Authentifizierungsmethode für die Anmeldung verwenden soll. + Geben Sie bei Ping Identity für **plugin\$1name** **com.amazon.redshift.plugin.PingCredentialsProvider** ein. Dieser Wert gibt an, dass der Treiber Single Sign-On mit Ping Identity als Authentifizierungsmethode verwenden soll. + Geben Sie für Ping Identity mit Single Sign-On im Feld **plugin\$1name** **com.amazon.redshift.plugin.BrowserSamlCredentialsProvider** ein. Dieser Wert gibt dem Treiber an, Ping Identity PingOne mit Single Sign-On als Authentifizierungsmethode zu verwenden. ------ #### [ ODBC ] **So richten Sie ODBC für die Authentifizierung bei Ping Identity ein:** + Konfigurieren Sie Ihren Datenbankclient so, dass er mithilfe von Ping Identity PingOne Single Sign-On über ODBC eine Verbindung zu Ihrem Cluster herstellt. Amazon Redshift stellt ODBC-Treiber für Linux-, Windows- und macOS-Betriebssysteme bereit. Stellen Sie vor der Installation eines ODBC-Treibers fest, ob Ihr SQL-Client-Tool 32-Bit oder 64-Bit ist. Installieren Sie den ODBC-Treiber, der den Anforderungen Ihres SQL-Clienttools entspricht. Geben Sie unter Windows auf der Seite **Amazon Redshift ODBC Driver DSN Setup (DSN-Setup für Amazon Redshift ODBC-Treiber)** unter **Connection Settings (Verbindungseinstellungen)** die folgenden Informationen ein: + Geben Sie für **Data Source Name (Datenquellenname)** ***your-DSN*** ein. Dies gibt den Datenquellennamen an, der als ODBC-Profilname verwendet wird. + Führen Sie für **Auth type (Authentifizierungstyp)** eine der folgenden Aktionen aus: + Wählen Sie für die Ping Identity-Konfiguration **Identitätsanbieter: Ping Federate** aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Single Sign-On mit Ping Identity verwendet. + Wählen Sie für Ping Identity mit Single-Sign-On-Konfiguration **Identity Provider: Browser SAML** (Identitätsanbieter: Browser SAML) aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Single Sign-On mit Ping Identity verwendet. + Geben Sie für **Cluster ID (Cluster-ID)** ***your-cluster-identifier*** ein. + Geben Sie für **Region** ***your-cluster-region*** ein. + Geben Sie für **Database (Datenbank)** ***your-database-name*** ein. + Geben Sie für **User (Benutzer)** ***your-ping-username*** ein. Dies ist der Benutzername für das PingOne Konto, das Sie für Single Sign-On verwenden und das über Berechtigungen für den Cluster verfügt, mit dem Sie sich authentifizieren möchten. Verwenden Sie dies nur für den **Authentifizierungstyp **Identity** Provider:**. PingFederate + Geben Sie unter **Password (Passwort)** ***your-ping-password*** ein. Verwenden Sie dies nur für den **Authentifizierungstyp** **Identity Provider**:. PingFederate + Geben Sie als **Listen Port** „***your-listen-port***“ ein. Dies ist der Port, den der lokale Server überwacht. Der Standardwert ist 7890. Dies gilt nur für das Browser SAML-Plug-in. + Geben Sie für **Response Timeout (Antwortzeitüberschreitung)** ***the-number-of-seconds*** ein. Dies ist die Anzahl der Sekunden, für die vor dem Timeout gewartet werden muss, wenn der IdP-Server eine Antwort zurücksendet. Die Mindestanzahl von Sekunden muss 10 sein. Wenn es länger dauert, eine Verbindung mit dem Server herzustellen, als durch diesen Schwellenwert angegeben, wird die Verbindung abgebrochen. Dies gilt nur für das Browser SAML-Plug-in. + Geben Sie unter **Login-URL (Anmelde-URL)** ***your-login-url*** ein. Dies gilt nur für das Browser SAML-Plug-in. Bearbeiten Sie die `odbc.ini`-Datei unter Mac OS und Linux wie folgt: **Anmerkung** Bei allen Eingaben wird zwischen Groß- und Kleinschreibung unterschieden. + Geben Sie für **clusterid** ***your-cluster-identifier*** ein. Dies ist der Name des erstellten Amazon-Redshift-Clusters. + Geben Sie für **Region** ***your-cluster-region*** ein. Dies ist die AWS Region des erstellten Amazon Redshift Redshift-Clusters. + Geben Sie für die **database** ***your-database-name*** ein. Dies ist der Name der Datenbank, auf die Sie im Amazon-Redshift-Cluster zugreifen möchten. + Geben Sie für **locale** **en-us** ein. Dies ist die Sprache, in der Fehlermeldungen angezeigt werden. + Geben Sie für **iam** **1** ein. Dieser Wert signalisiert dem Treiber, dass mit IAM-Anmeldeinformationen authentifiziert werden soll. + Führen Sie für **plugin\$1name** einen der folgenden Schritte aus: + Geben Sie für die Ping Identity-Konfiguration ein **BrowserSAML**. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung bei Ping Identity verwendet. + Geben Sie für Ping Identity mit Single-Sign-On-Konfiguration **Ping** ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Single Sign-On mit Ping Identity verwendet. + Geben Sie für **uid** ***your-ping-username*** ein. Dies ist der Benutzername des Microsoft Azure-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn **plugin\$1name** **Ping** ist. + Geben Sie für **pwd** ***your-ping-password*** ein. Verwenden Sie dies nur, wenn **plugin\$1name** **Ping** ist. + Geben Sie für **login\$1url** ***your-login-url*** ein. Dies ist die URL zur Initiierung von Single Sign-On, die die SAML-Antwort zurückgibt. Dies gilt nur für das Browser SAML-Plug-in. + Geben Sie für **idp\$1response\$1timeout** ***the-number-of-seconds*** ein. Dies ist der angegebene Zeitraum in Sekunden, in dem auf eine Antwort von PingOne Identity gewartet werden soll. Dies gilt nur für das Browser SAML-Plug-in. + Geben Sie bei **listen\$1port** „***your-listen-port***“ ein. Dies ist der Port, den der lokale Server überwacht. Der Standardwert ist 7890. Dies gilt nur für das Browser SAML-Plug-in. Bearbeiten Sie unter macOS und Linux auch die Profileinstellungen, um folgende Exporte hinzuzufügen: ``` export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini ``` ``` export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini ``` ------ # Okta Sie können Okta als Identitätsanbieter (IdP) verwenden, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. Dieses Tutorial zeigt Ihnen, wie Sie Okta als Identitätsanbieter (IdP) verwenden können, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. ## Schritt 1: Richten Sie Okta und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen Im folgenden Verfahren wird beschrieben, wie Sie eine Vertrauensstellung einrichten. **Um Okta und Ihr AWS Konto so einzurichten, dass sie einander vertrauen** 1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem sich Ihre Okta-Benutzer verbinden können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter [Erstellen eines Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html). 1. Fügen Sie Amazon Redshift als neue Anwendung im Okta-Portal hinzu. Ausführliche Schritte finden Sie in der [Okta-Dokumentation](https://developer.okta.com/docs/). + Wählen Sie **Add Application (Anwendung hinzufügen)**. + Wählen Sie unter **Add Application (Anwendung hinzufügen)** die Option **Create New App (Neue Anwendung erstellen)**. + Wählen Sie auf der Seite **Create a New Add Application Integration (Neue „Anwendung hinzufügen“-Integration erstellen)** unter **Platform (Plattform)** die Option **Web**. + Wählen Sie unter **Sign on method (Anmeldemethode)** **SAML v2.0**. + Geben Sie auf der Seite **General Settings (Allgemeine Einstellungen)** unter **App name (Name der Anwendung)** ***your-redshift-saml-sso-name*** ein. Der Name Ihrer Anwendung. + Geben Sie auf der Seite **SAML Settings (SAML-Einstellungen)** unter **Single sign-on URL (SSO-URL)** ***your-redshift-local-host-url*** ein. Dies ist der lokale Host und Port, auf die die SAML-Zusicherung umgeleitet wird, z. B. `http://localhost:7890/redshift/`. 1. Verwenden Sie den Wert von **Single Sign on URL (Single-Sign-On-URL)** als **Recipient URL (Empfänger-URL)** und **Destination URL (Ziel-URL)**. 1. Wählen Sie für **Signing (Signieren)** die Option **Sign Assertion (Zusicherung signieren)**. 1. Geben Sie unter **Audience URI (SP Entity ID) (Zielgruppen-URI (SP-Entitäts-ID))** **urn:amazon:webservices** für die Ansprüche ein, wie in der folgenden Tabelle dargestellt. 1. Geben Sie im Abschnitt **Erweiterte Einstellungen** unter **SAML-Aussteller-ID** ***your-Identity-Provider-Issuer-ID*** ein. Sie finden diese im Abschnitt **Einrichtungsanweisungen anzeigen**. 1. Erstellen Sie im Abschnitt **Attribute Statements (Attributanweisungen)** die Anträge, wie in der folgenden Tabelle dargestellt. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/setup-identity-provider-okta.html) 1. Suchen Sie im Abschnitt **App Embed Link (Link zum Einbetten der App)** nach der URL, die Sie als Anmelde-URL für das Browser-SAML-Plug-in verwenden können. 1. Erstellen Sie auf der IAM-Konsole einen IAM SAML-Identitätsanbieter. Das Metadatendokument, das Sie bereitstellen, ist die XML-Datei für Verbundmetadaten, die Sie beim Einrichten von Okta gespeichert haben. Ausführliche Schritte finden Sie unter [Erstellen und Verwalten eines IAM-Identitätsanbieters (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie auf der IAM-Konsole eine IAM-Rolle für SAML 2.0-Verbund. Detaillierte Schritte finden Sie unter [Erstellen einer Rolle für SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie eine IAM-Richtlinie, die Sie an die IAM-Rolle anhängen können, die Sie für den SAML 2.0-Verbund auf der IAM-Konsole erstellt haben. Ausführliche Schritte finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*. Ein Azure AD-Beispiel finden Sie unter [Einrichten der Single-Sign-On-Authentifizierung über JDBC oder ODBC](setup-azure-ad-identity-provider.md). ## Schritt 2: Einrichten von JDBC oder ODBC für die Authentifizierung bei Okta ------ #### [ JDBC ] **So richten Sie JDBC für die Authentifizierung bei Okta ein:** + Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über JDBC mithilfe von Okta Single Sign-On. Sie können jeden Client verwenden, der mithilfe eines JDBC-Treibers eine Verbindung mit Okta Single Sign-On herstellt oder eine Sprache wie Java verwendet, um über ein Skript eine Verbindung herzustellen. Informationen zur Installation und Konfiguration finden Sie unter [Konfiguration einer Verbindung für JDBC-Treiberversion 2.x für Amazon Redshift](jdbc20-install.md). Sie können es beispielsweise als Client verwenden. SQLWorkbench/J Wenn Sie SQLWorkbench /J konfigurieren, verwendet die URL Ihrer Datenbank das folgende Format. ``` jdbc:redshift:iam://cluster-identifier:us-west-1/dev ``` Wenn Sie SQLWorkbench/J als Client verwenden, gehen Sie wie folgt vor: 1. Starten Sie SQL Workbench/J. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** eine **Profile Group (Profilgruppe)** hinzu, z. B. **Okta**. 1. Geben Sie unter **Connection Profile (Verbindungsprofil)** ***your-connection-profile-name*** ein, z. B. **Okta**. 1. Wählen Sie **Manage Drivers (Treiber verwalten)** und dann **Amazon Redshift** aus. Wählen Sie das Symbol **Open Folder (Ordner öffnen)** neben **Library (Bibliothek)** und dann die entsprechende JDBC-JAR-Datei aus. 1. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** dem Verbindungsprofil Informationen wie folgt hinzu: + Geben Sie unter **User (Benutzer)** Ihren Okta-Benutzernamen ein. Dies ist der Benutzername des Okta-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden, und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. + Geben Sie unter **Password (Passwort)** Ihr Okta-Passwort ein. + Wählen Sie für **Driver (Treiber)** die Option **Amazon Redshift (com.amazon.redshift.jdbc.Driver)** aus. + Geben Sie für **URL** **jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name*** ein. 1. Wählen Sie **Extended Properties (Erweiterte Eigenschaften)**, und führen Sie einen der folgenden Schritte aus: + Geben Sie für **login\$1url** ***your-okta-sso-login-url*** ein. Dieser Wert gibt die URL an, die Single Sign-On als Authentifizierungsmethode für die Anmeldung bei Okta verwenden soll. + Geben Sie für Okta Single Sign-On im Feld **plugin\$1name** den Wert **com.amazon.redshift.plugin.OktaCredentialsProvider** ein. Dieser Wert gibt an, dass der Treiber Okta Single Sign-On als Authentifizierungsmethode verwenden soll. + Geben Sie für Okta Single Sign-On mit MFA im Feld **plugin\$1name** den Wert **com.amazon.redshift.plugin.BrowserSamlCredentialsProvider** ein. Dies signalisiert dem Treiber, dass Single Sign-On für Okta mit MFA als Authentifizierungsmethode verwendet werden soll. ------ #### [ ODBC ] **So richten Sie ODBC für die Authentifizierung bei Okta ein:** + Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über ODBC mithilfe von Okta Single Sign-On. Amazon Redshift stellt ODBC-Treiber für Linux-, Windows- und macOS-Betriebssysteme bereit. Stellen Sie vor der Installation eines ODBC-Treibers fest, ob Ihr SQL-Client-Tool 32-Bit oder 64-Bit ist. Installieren Sie den ODBC-Treiber, der den Anforderungen Ihres SQL-Clienttools entspricht. Geben Sie unter Windows auf der Seite **Amazon Redshift ODBC Driver DSN Setup (DSN-Setup für Amazon Redshift ODBC-Treiber)** unter **Connection Settings (Verbindungseinstellungen)** die folgenden Informationen ein: + Geben Sie für **Data Source Name (Datenquellenname)** ***your-DSN*** ein. Dies gibt den Datenquellennamen an, der als ODBC-Profilname verwendet wird. + Führen Sie für **Auth type (Authentifizierungstyp)** eine der folgenden Aktionen aus: + Wählen Sie für die Konfiguration von Okta Single Sign-On **Identity Provider: Okta** aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Okta Single Sign-On verwendet. + Wählen Sie für die Konfiguration von Okta Single Sign-On mit MFA-Konfiguration **Identity Provider: Browser SAML** aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Okta Single Sign-On mit MFA verwendet. + Geben Sie für **Cluster ID (Cluster-ID)** ***your-cluster-identifier*** ein. + Geben Sie für **Region** ***your-cluster-region*** ein. + Geben Sie für **Database (Datenbank)** ***your-database-name*** ein. + Geben Sie für **User (Benutzer)** ***your-okta-username*** ein. Dies ist der Benutzername des Okta-Kontos, das Sie für Single Sign-On verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn **Auth type (Authentifizierungstyp)** **Identity Provider: Okta (Identitätsanbieter: Okta)** ist. + Geben Sie unter **Password (Passwort)** ***your-okta-password*** ein. Verwenden Sie dies nur, wenn **Auth type (Authentifizierungstyp)** **Identity Provider: Okta (Identitätsanbieter: Okta)** ist. Bearbeiten Sie die `odbc.ini`-Datei unter Mac OS und Linux wie folgt: **Anmerkung** Bei allen Eingaben wird zwischen Groß- und Kleinschreibung unterschieden. + Geben Sie für **clusterid** ***your-cluster-identifier*** ein. Dies ist der Name des erstellten Amazon-Redshift-Clusters. + Geben Sie für **Region** ***your-cluster-region*** ein. Dies ist die AWS Region des erstellten Amazon Redshift Redshift-Clusters. + Geben Sie für die **database** ***your-database-name*** ein. Dies ist der Name der Datenbank, auf die Sie im Amazon-Redshift-Cluster zugreifen möchten. + Geben Sie für **locale** **en-us** ein. Dies ist die Sprache, in der Fehlermeldungen angezeigt werden. + Geben Sie für **iam** **1** ein. Dieser Wert signalisiert dem Treiber, dass mit IAM-Anmeldeinformationen authentifiziert werden soll. + Führen Sie für **plugin\$1name** einen der folgenden Schritte aus: + Geben Sie für Okta Single Sign-On mit MFA-Konfiguration **BrowserSAML** ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung bei Okta Single Sign-On mit MFA verwendet. + Geben Sie für die Konfiguration von Okta Single Sign-On **Okta** ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Okta Single Sign-On verwendet. + Geben Sie für **uid** ***your-okta-username*** ein. Dies ist der Benutzername des Okta-Kontos, das Sie für Single Sign-on verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn **plugin\$1name (Plug-In-Name)** **Okta** ist. + Geben Sie für **pwd** ***your-okta-password*** ein. Verwenden Sie dies nur, wenn **plugin\$1name (Plug-In-Name)** **Okta** ist. + Geben Sie für **login\$1url** ***your-login-url*** ein. Dies ist die URL zur Initiierung von Single Sign-On, die die SAML-Antwort zurückgibt. Dies gilt nur für das Browser SAML-Plug-in. + Geben Sie für **idp\$1response\$1timeout** ***the-number-of-seconds*** ein. Dies ist der angegebene Zeitraum in Sekunden, für den auf eine Antwort gewartet werden soll. PingOne Dies gilt nur für das Browser SAML-Plug-in. + Geben Sie bei **listen\$1port** „***your-listen-port***“ ein. Dies ist der Port, den der lokale Server überwacht. Der Standardwert ist 7890. Dies gilt nur für das Browser SAML-Plug-in. Bearbeiten Sie unter macOS und Linux auch die Profileinstellungen, um folgende Exporte hinzuzufügen: ``` export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini ``` ``` export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini ``` ------