# Configuración de SSO para ODBC mediante el complemento Okta y el proveedor de identidades Okta
<a name="odbc-okta-plugin"></a>

Esta página muestra cómo configurar el controlador ODBC de Amazon Athena y el complemento Okta para agregar el módulo de inicio de sesión único (SSO) con el proveedor de identidad Okta.

## Requisitos previos
<a name="odbc-okta-plugin-prerequisites"></a>

Para completar los pasos de este tutorial, se necesitan las siguientes versiones:
+ Controlador ODBC de Amazon Athena. Para obtener enlaces de descarga, consulte [Conexión a Amazon Athena con ODBC](connect-with-odbc.md).
+ Un rol de IAM que quiera usar con SAML. Para obtener más información, consulte [Creación de un rol para una federación SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) en la *Guía del usuario de IAM*.
+ Una cuenta de Okta. Para obtener información, visite [Okta.com](https://www.okta.com/).

## Creación de una integración de aplicaciones en Okta
<a name="odbc-okta-plugin-creating-an-app-integration-in-okta"></a>

En primer lugar, use el panel de control de Okta para crear y configurar una aplicación SAML 2.0 para el inicio de sesión único en Athena. Puede utilizar una aplicación de Redshift existente en Okta para configurar el acceso a Athena.

**Para crear una integración de aplicaciones en Okta**

1. Inicie sesión en la página de administración de su cuenta en [Okta.com](https://www.okta.com/).

1. En el panel de navegación, elija **Applications** (Aplicaciones), **Applications**.

1. En la página **Applications**, elija **Browse App Catalog** (Examinar catálogo de aplicaciones).

1. En la página **Browse App Integration Catalog** (Examinar catálogo de integración de aplicaciones), en la sección **Use Case** (Caso de uso), elija **All Integrations** (Todas las integraciones).

1. En el cuadro de búsqueda, ingrese **Amazon Web Services Redshift** y luego elija **Amazon Web Services Redshift SAML** (SAML de Amazon Web Services Redshift).

1. Seleccione **Add Integration** (Agregar integración).  
![\[Seleccione Add Integration.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-1.png)

1. En la sección **General Settings Required** (Configuración general necesaria), para **Application label** (Etiqueta de aplicación), ingrese un nombre para la aplicación. Este tutorial utiliza el nombre **Athena-ODBC-Okta.**  
![\[Ingrese un nombre para la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-2.png)

1. Seleccione **Listo**.

1. En la página de su solicitud de Okta (por ejemplo, **Atena-ODBC-Okta**), elija **Sign On** (Iniciar sesión).  
![\[Elija la pestaña Sign On (Iniciar sesión).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-3.png)

1. En la sección **Settings** (Configuración), elija **Edit** (Editar).  
![\[Elija Edit (Edición de).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-4.png)

1. En la sección **Advanced Sign-on Settings** (Configuración avanzada de inicio de sesión), configure los siguientes valores.
   + En **IdP ARN and Role ARN** (ARN de IdP y ARN de rol), ingrese su ARN de IdP y ARN de rol de AWS como valores separados por comas. Para obtener información sobre el formato del rol de IAM, consulte [Configuración de aserciones SAML para la respuesta de autenticación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) en la *Guía del usuario de IAM.*.
   + En **Session Duration** (Duración de la sesión), indique un valor entre 900 y 43 200 segundos. En este tutorial, se usa el valor predeterminado de 3600 (1 hora).  
![\[Ingrese la configuración avanzada de inicio de sesión.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-5.png)

   Athena no utiliza las configuraciones **DbUser Format** (Formato DbUser), **AutoCreate** (Creación automática) y **Allowed DBGroups** (DBGroups permitidos). No es preciso configurarlas.

1. Seleccione **Save**.

## Recuperación de información de configuración de ODBC desde Okta
<a name="odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta"></a>

Ahora que ya creó la aplicación Okta, tiene todo listo para recuperar el ID de la aplicación y la URL del host del IdP. Los necesitará más adelante cuando configure ODBC para la conexión a Athena.

**Para recuperar la información de configuración de ODBC desde Okta**

1. Elija la pestaña **General** (General) de la aplicación Okta y desplácese hacia abajo hasta la sección **App Embed Link** (Enlace de inserción de aplicación).  
![\[La URL del enlace de inserción de la aplicación Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-6.png)

   La URL de **Embed Link** (Enlace de inserción) tiene el siguiente formato:

   ```
   https://trial-1234567.okta.com/home/amazon_aws_redshift/Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4
   ```

1. Desde la URL de **Embed Link** (Enlace de inserción), extraiga y guarde las siguientes piezas:
   + El primer segmento después de `https://`, hasta e incluyendo `okta.com` (por ejemplo, **trial-1234567.okta.com**). Este es el host de su IdP.
   + Los dos últimos segmentos de la URL, incluida la barra del medio. Los segmentos son dos cadenas de 20 caracteres con una combinación de números, y letras mayúsculas y minúsculas (por ejemplo, **Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4**). Este es el ID de la aplicación.

## Adición de un usuario a la aplicación de Okta
<a name="odbc-okta-plugin-add-a-user-to-the-okta-application"></a>

Ya puede agregar un usuario a su aplicación Okta.

**Para agregar un usuario a la aplicación de Okta**

1. En el panel de navegación izquierdo, elija **Directory** (Directorio) y, a continuación, elija **People** (Personas).

1. Elija **Add person** (Agregar persona).  
![\[Elija Add person.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-7.png)

1. En el cuadro de diálogo **Add person**, ingrese la siguiente información.
   + En **First name** (Nombre) y **Last name** (Apellido), ingrese valores. En este tutorial se utiliza un **test user**.
   + Ingrese los valores para **Username** (Nombre de usuario) y **Primary email** (Correo electrónico principal). En este tutorial se utiliza **test@amazon.com** para ambos. Los requisitos de seguridad para las contraseñas pueden variar.  
![\[Ingrese las credenciales de usuario.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-8.png)

1. Seleccione **Save**.

Ya puede asignar el usuario que ha creado a su aplicación.

**Para asignar el usuario a la aplicación:**

1. En el panel de navegación, elija **Applications** (Aplicaciones), **Applications** (Aplicaciones) y, a continuación, elija el nombre de la aplicación (por ejemplo, **Atena-ODBC-Okta**).

1. Elija **Assign** (Asignar) y, luego, elija **Assign to People** (Asignar a personas).  
![\[Elija Assign to people.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-9.png)

1. Elija la opción **Assign** (Asignar) para el usuario y, luego, seleccione **Done** (Listo).  
![\[Elija Assign y, a continuación, elija Done.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-10.png)

1. Cuando se le solicite, elija **Save and Go Back** (Guardar y volver). En el cuadro de diálogo se muestra el estado del usuario como **Assigned** (Asignado).

1. Seleccione **Listo**.

1. Elija la pestaña **Sign On** (Iniciar sesión).

1. Desplácese hasta la sección **SAML Signing Certificates** (Certificados de firma de SAML).

1. Elija **Acciones**.

1. Abra el menú contextual (clic derecho) de **View IdP metadata** (Visualización de metadatos del IdP) y, a continuación, seleccione la opción del navegador para guardar el archivo.

1. Guarde el archivo con una extensión de `.xml`.  
![\[Guardar los metadatos del IdP en un archivo XML local.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-11.png)

## Crear un proveedor de identidad SAML y rol de AWS
<a name="odbc-okta-plugin-create-an-aws-saml-identity-provider-and-role"></a>

Ya puede cargar el archivo XML de metadatos en la consola de IAM en AWS. Utilizará este archivo para crear un proveedor de identidad de SAML y rol de AWS. Utilice una cuenta de administrador de servicios de AWS para realizar estos pasos.

**Para crear un proveedor de identidad SAML y un rol en AWS**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/IAM/](https://console.aws.amazon.com/IAM/).

1. En el panel de navegación, elija **Proveedores de identidades** y, a continuación, **Agregar proveedor**.  
![\[Elija Agregar proveedor.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-12.png)

1. En la página **Add an Identity provider** (Agregar un proveedor de identidad), en **Configure provider** (Configurar proveedor), ingrese la siguiente información.
   + En **Provider type** (Tipo de proveedor), elija **SAML**.
   + En **Provider name** (Nombre del proveedor), ingrese un nombre para el proveedor (por ejemplo, ** AthenaODBCOkta**).
   + En **Metadata document** (Documento de metadatos), utilice la opción **Choose file** (Elegir archivo) para cargar el archivo XML de metadatos del proveedor de identidades (IdP) que descargó.  
![\[Ingrese la información para el proveedor de identidad.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-13.png)

1. Elija **Agregar proveedor**.

### Creación de un rol de IAM para el acceso a Athena y Amazon S3
<a name="odbc-okta-plugin-creating-an-iam-role-for-athena-and-amazon-s3-access"></a>

Ahora ya tiene todo listo para crear un rol de IAM para el acceso a Athena y Amazon S3. Asignará este rol al usuario. De esta forma, puede proporcionar al usuario acceso de inicio de sesión único a Athena.

**Para crear un rol de IAM para el usuario**

1. En el panel de navegación de la consola de IAM, elija **Roles** y, a continuación, elija **Create role** (Crear rol).  
![\[Elija Creación de rol.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-14.png)

1. En la página **Create role** (Crear rol), elija las opciones siguientes:
   + En **Select type of trusted entity** (Seleccionar tipo de entidad de confianza), elija **SAML 2.0 Federation** (Federación SAML 2.0).
   + En **SAML 2.0–based provider** (Proveedor basado en SAML 2.0), seleccione el proveedor de identidad SAML que ha creado (por ejemplo, **AthenaODBCOkta**).
   + Seleccione **Permitir acceso mediante programación y mediante la Consola de administración de AWS**.  
![\[Elija las opciones en la página Crear rol.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-15.png)

1. Elija **Siguiente**.

1. En la página **Add Permissions** (Agregar permisos), para **Filter policies** (Filtrar políticas), ingrese **AthenaFull** y, a continuación, pulse INTRO.

1. Seleccione la política administrada de `AmazonAthenaFullAccess` y, a continuación, elija **Next** (Siguiente).  
![\[Elija la política administrada AmazonAthenaFullAccess.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-16.png)

1. En la página **Asignar nombre, revisar y crear**, en **Nombre del rol**, ingrese un nombre para el rol (por ejemplo, **Athena-ODBC-OktaRole**) y luego elija **Crear rol**.

## Configuración de la conexión ODBC de Okta a Athena
<a name="odbc-okta-plugin-configuring-the-okta-odbc-connection-to-athena"></a>

Ya tiene todo listo para configurar la conexión ODBC de Okta a Athena con el programa de orígenes de datos ODBC en Windows.

**Para configurar la conexión ODBC de Okta a Athena**

1. En Windows, inicie el programa **ODBC Data Sources** (Orígenes de datos ODBC).

1. En el programa **ODBC Data Source Administrator** (Administrador de orígenes de datos ODBC), elija **Add** (Agregar).  
![\[Elija Add.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-17.png)

1. Elija **Simba Athena ODBC Driver** (Controlador ODBC Simba Athena) y, a continuación, elija **Finish** (Finalizar).  
![\[Elija el controlador ODBC de Athena.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-18.png)

1. En el cuadro de diálogo **Simba Athena ODBC Driver DSN Setup** (Configuración de DSN del controlador ODBC Simba Athena), ingrese los valores descritos.
   + En **Data Source Name** (Nombre de origen de datos), ingrese un nombre para el origen de datos (por ejemplo, **Athena ODBC 64**).
   + En **Description** (Descripción), ingrese una descripción para el origen de datos.
   + En **Región de AWS**, ingrese la Región de AWS que usa actualmente (por ejemplo, **us-west-1**).
   + En **S3 Output Location** (Ubicación de salida de S3), ingrese la ruta de Amazon S3 en la que desea que se almacenen los datos de salida.  
![\[Ingrese valores para la configuración de nombre de origen de datos.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-19.png)

1. Elija **Authentication Options** (Opciones de autenticación).

1. En el cuadro de diálogo **Authentication Options** (Opciones de autenticación), elija o ingrese los siguientes valores.
   + En **Authentication Type** (Tipo de autenticación), elija **Okta**.
   + Para **User (Usuario)**, escriba su nombre de usuario de Okta.
   + En **Password (Contraseña)**, escriba su contraseña de Okta.
   + En **IdP Host** (Host de IdP), ingrese el valor que registró anteriormente (por ejemplo, **trial-1234567.okta.com**).
   + En **IdP Port** (Puerto de IdP), ingrese **443**.
   + En **App ID** (ID de aplicación), ingrese el valor que registró anteriormente (los dos últimos segmentos de su enlace de inserción de Okta).
   + En **Okta App Name** (Nombre de aplicación Okta), ingrese **amazon\$1aws\$1redshift**.  
![\[Ingrese las opciones de autenticación.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/odbc-okta-plugin-20.png)

1. Seleccione **Aceptar**.

1. Elija **Test** (Probar) para realizar una prueba de la conexión o **OK** (Aceptar) para finalizar.