Browser SSO OIDC
Browser SSO OIDC es un complemento de autenticación que funciona con AWS IAM Identity Center. Para obtener información sobre cómo habilitar y usar IAM Identity Center, consulte Paso 1: habilitar IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.
nota
Actualización de seguridad v2.1.0.0: a partir de la versión 2.1.0.0, el complemento BrowsersSOOIDC utiliza el código de autorización con PKCE en lugar de la autorización del código del dispositivo para mejorar la seguridad. Este cambio elimina el paso de mostrar el código del dispositivo y facilita una autenticación más rápida. Hay un nuevo parámetro listen_port (7890 por defecto) que se usa para el servidor de devolución de llamadas OAuth 2.0. Es posible que tenga que incluir este puerto en la lista de permitidos de su red. El ámbito predeterminado ha cambiado a sso:account:access.
Tipo de autenticación
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| AuthenticationType | Obligatorio | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
URL de inicio de IAM Identity Center
La URL del portal de acceso de AWS. La acción de la API RegisterClient de IAM Identity Center utiliza este valor para el parámetro issuerUrl.
Para copiar la URL del portal de acceso de AWS
Inicie sesión en la Consola de administración de AWS y abra la consola de AWS IAM Identity Center en https://console.aws.amazon.com/singlesignon/
. -
En el panel de navegación, seleccione Configuración.
-
En la página Configuración, en Origen de identidad, elija el icono del portapapeles para la URL del portal de acceso de AWS.
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| sso_oidc_start_url | Obligatorio | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
Región de IAM Identity Center
La Región de AWS donde está configurado su SSO. Los clientes del SDK de AWS SSOOIDCClient y SSOClient utilizan este valor para el parámetro region.
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| sso_oidc_region | Obligatorio | none |
sso_oidc_region=us-east-1; |
Ámbitos
La lista de ámbitos que define el cliente. Tras la autorización, esta lista restringe los permisos cuando se concede un token de acceso. La acción de la API RegisterClient de IAM Identity Center utiliza este valor para el parámetro scopes.
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| sso_oidc_scopes | Opcional | sso:account:access |
sso_oidc_scopes=sso:account:access; |
ID de cuenta
El identificador de la Cuenta de AWS que se asigna al usuario. La API GetRoleCredentials de IAM Identity Center utiliza este valor para el parámetro accountId.
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| sso_oidc_account_id | Obligatorio | none |
sso_oidc_account_id=123456789123; |
Nombre de rol
El nombre descriptivo del rol que se asigna al usuario. El nombre que especifique para este conjunto de permisos aparece en el portal de acceso de AWS como un rol disponible. La acción de la API GetRoleCredentials de IAM Identity Center utiliza este valor para el parámetro roleName.
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| sso_oidc_role_name | Obligatorio | none |
sso_oidc_role_name=AthenaReadAccess; |
Tiempo de espera
El número de segundos que la API de SSO de sondeo debe comprobar si existe el token de acceso.
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| sso_oidc_timeout | Opcional | 120 |
sso_oidc_timeout=60; |
Puerto de escucha
El número de puerto local que se utilizará para el servidor de devolución de llamadas de OAuth 2.0. Se utiliza como URI de redireccionamiento y es posible que necesite incluir este puerto en la lista de puertos de su red. El URI de redireccionamiento generado por defecto es: http://localhost:7890/athena. Este parámetro se agregó en la versión 2.1.0.0 como parte de la migración del código de dispositivo al código de autorización con PKCE.
aviso
En entornos compartidos, como servidores de terminales Windows o servicios de escritorio remoto, el puerto de bucle invertido (valor predeterminado: 7890) se comparte entre todos los usuarios de la misma máquina. Los administradores de sistemas pueden mitigar los posibles riesgos de secuestro de puertos de la siguiente manera:
-
Configuración de diferentes números de puerto para diferentes grupos de usuarios
-
Uso de las políticas de seguridad de Windows para restringir el acceso a los puertos
-
Implementación del aislamiento de la red entre las sesiones de usuario
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| listen_port | Opcional | 7890 |
listen_port=8080; |
Habilitar la caché de los archivos
Activa una caché de credenciales temporal. Este parámetro de conexión a la caché de archivos permite almacenar en caché las credenciales temporales y reutilizarlas entre los múltiples procesos. Utilice esta opción para reducir el número de ventanas del explorador abiertas cuando utilice herramientas de BI como Microsoft Power BI.
nota
A partir de la versión 2.1.0.0, las credenciales almacenadas en caché se almacenan como JSON de texto simple en el directorio user-profile/.athena-odbc/ con permisos de archivo restringidos al usuario propietario, de forma coherente con la forma en que la CLI AWS protege las credenciales almacenadas de forma local.
| Nombre de la cadena de conexión | Tipo de parámetro | Predeterminado | Ejemplo de la cadena de conexión |
|---|---|---|---|
| sso_oidc_cache | Opcional | 1 |
sso_oidc_cache=0; |
