Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Basé sur un navigateur avec intégration du centre d'identité
Ce type d'authentification vous permet de récupérer un nouveau jeton Web JSON (JWT) auprès d'un fournisseur d'identité externe et de vous authentifier auprès d'Athena. Vous pouvez utiliser ce plug-in pour que les identités d’entreprise soient prises en charge via une propagation d’identité de confiance. Pour plus d’informations sur l’utilisation de la propagation d’identité de confiance avec des pilotes, consultez Utilisation de la propagation d’identité de confiance avec les pilotes Amazon Athena. Vous pouvez également configurer et déployer des ressources à l'aide de CloudFormation.
Avec la propagation d'identité sécurisée, le contexte d'identité est ajouté à un rôle IAM pour identifier l'utilisateur qui demande l'accès aux AWS ressources. Pour plus d’informations sur l’activation et l’utilisation de la propagation d’identité de confiance, consultez What is trusted identity propagation?
Note
Le plugin est spécialement conçu pour les environnements de bureau mono-utilisateur. Dans les environnements partagés tels que Windows Server, les administrateurs système sont chargés d'établir et de maintenir les limites de sécurité entre les utilisateurs.
Fournisseur d'informations d'identification
Le fournisseur d'informations d'identification qui sera utilisé pour authentifier les requêtes adressées à AWS. Définissez la valeur de ce paramètre sur BrowserOidcTip.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut | Valeur à utiliser |
|---|---|---|---|---|
| CredentialsProvider | AWSCredentialsProviderClass (obsolète) | Obligatoire | Aucune | BrowserOidcTip |
URL de configuration IDP bien connue
L'URL de configuration bien connue de l'IDP est le point de terminaison qui fournit les détails de configuration d'OpenID Connect à votre fournisseur d'identité. Cette URL se termine généralement par .well-known/openid-configuration et contient des métadonnées essentielles concernant les points de terminaison d'authentification, les fonctionnalités prises en charge et les clés de signature des jetons. Par exemple, si vous utilisez Okta, l'URL peut ressembler à https://your-domain.okta.com/.well-known/openid-configuration
Pour résoudre les problèmes : si vous recevez des erreurs de connexion, vérifiez que cette URL est accessible depuis votre réseau et renvoie un fichier JSON de configuration OpenID Connect valide. L'URL doit être accessible par le client sur lequel le pilote est installé et doit être fournie par l'administrateur de votre fournisseur d'identité.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| IdpWellKnownConfigurationUrl | Aucune | Obligatoire | Aucune |
Identifiant du client
L'identifiant du client délivré à l'application par le fournisseur OpenID Connect.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| OidcClientId | Aucune | Obligatoire | Aucune |
WorkgroupArn
Le nom de ressource Amazon (ARN) du groupe de travail Amazon Athena qui contient les balises de configuration de propagation d'identité fiables. Pour plus d'informations sur les groupes de travail, consultez WorkGroup.
Note
Ce paramètre est différent du Workgroup paramètre qui indique où les requêtes seront exécutées. Vous devez définir les deux paramètres :
-
WorkgroupArn- Pointe vers le groupe de travail contenant les balises de configuration de propagation des identités fiables -
Workgroup- Spécifie le groupe de travail dans lequel les requêtes seront exécutées
Bien que ceux-ci fassent généralement référence au même groupe de travail, les deux paramètres doivent être définis explicitement pour un fonctionnement correct.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| WorkGroupArn | Aucune | Obligatoire | primary |
ARN du rôle d’application JWT
L'ARN du rôle qui sera assumé dans l'échange JWT. Ce rôle est utilisé dans le cadre de l’échange de JWT, pour obtenir l’ARN de l’application gérée par le client IAM Identity Center via des balises de groupe de travail et l’ARN du rôle d’accès. Pour plus d'informations sur la prise de rôles, consultez AssumeRole.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| ApplicationRoleArn | Aucune | Obligatoire | Aucune |
Nom de la session de rôle JWT
Nom de la session IAM. Vous pouvez utiliser le nom de votre choix, mais il s’agit généralement du nom ou de l’identifiant de l’utilisateur de votre application. Cela permet d’associer à cet utilisateur les informations d’identification de sécurité temporaires utilisées par votre application.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| JwtRoleSessionName | role_session_name (obsolète) | Obligatoire | Aucune |
Secret client
Le ClientSecret est une clé confidentielle émise par votre fournisseur d'identité qui est utilisée pour authentifier votre application (client). Bien que ce paramètre soit facultatif et ne soit pas obligatoire pour tous les flux d'authentification, il fournit un niveau de sécurité supplémentaire lorsqu'il est utilisé. Si la configuration de votre IDP nécessite un secret client, vous devez inclure ce paramètre dans la valeur fournie par l'administrateur de votre fournisseur d'identité.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| OidcClientSecret | Aucune | Facultatif | Aucune |
Scope
Le champ d'application indique le niveau d'accès que votre application demande au fournisseur d'identité. Vous devez inclure openid dans le champ d'application pour recevoir un jeton d'identification contenant les principales demandes d'identité des utilisateurs. Votre champ d'application devra peut-être inclure des autorisations supplémentaires, telles que email ouprofile, selon l'utilisateur qui affirme que votre fournisseur d'identité (tel que l'identifiant Microsoft Entra) est configuré pour inclure dans le jeton d'identification. Ces affirmations sont essentielles pour un mappage correct de la propagation des identités fiables. Si le mappage de l'identité utilisateur échoue, vérifiez que votre champ d'application inclut toutes les autorisations nécessaires et que votre fournisseur d'identité est configuré pour inclure les demandes requises dans le jeton d'identification. Ces demandes doivent correspondre à la configuration de mappage de votre émetteur de jetons fiables dans IAM Identity Center.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| Scope | Aucune | Facultatif | openid email offline_access |
Durée de la session de rôle
La durée de la session de rôle en secondes. Pour de plus amples informations, veuillez consulter AssumeRoleWithWebIdentity.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| RoleSessionDuration | Duration (obsolète) | Facultatif | 3600 |
ARN du rôle d’accès JWT
L'ARN du rôle qu'Athéna assume pour passer des appels en votre nom. Pour plus d'informations sur l'attribution de rôles, consultez AssumeRolela référence des AWS Security Token Service API.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| AccessRoleArn | Aucune | Facultatif | Aucune |
ARN de l’application gérée par le client IAM Identity Center
Il s’agit de l’ARN de l’application gérée par le client IAM Identity Center. Pour plus d’informations, consultez Customer managed applications.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| CustomerIdcApplicationArn | Aucune | Facultatif | Aucune |
Numéro de port du fournisseur d'identité
Le numéro de port local à utiliser pour le serveur de rappel OAuth 2.0. Il est utilisé en tant que redirect_uri et vous devrez l'autoriser à le répertorier dans votre application IDP. Le redirect_uri généré par défaut est : http://localhost:7890/athena
Avertissement
Dans les environnements partagés tels que Windows Terminal Server ou Remote Desktop Services, le port de boucle (par défaut : 7890) est partagé entre tous les utilisateurs d'une même machine. Les administrateurs système peuvent atténuer les risques potentiels de détournement de ports en :
-
Configuration de différents numéros de port pour différents groupes d'utilisateurs
-
Utilisation des politiques de sécurité Windows pour restreindre l'accès aux ports
-
Implémentation de l'isolation réseau entre les sessions utilisateur
Si ces contrôles de sécurité ne peuvent pas être mis en œuvre, nous vous recommandons d'utiliser à la place le plugin de propagation d'identité sécurisé JWT, qui ne nécessite pas de port de boucle.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| IdpPortNumber | Aucune | Facultatif | 7890 |
Délai d'expiration de la réponse du fournisseur d'identité
Le délai d'attente en secondes de la réponse de rappel OAuth 2.0.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| IdpResponseTimeout | Aucune | Facultatif | 120 |
Activation de la mise en cache des jetons
Le EnableTokenCaching paramètre détermine si le pilote met en cache le jeton d'authentification entre les connexions. Le réglage EnableTokenCaching sur true réduit les demandes d'authentification et améliore l'expérience utilisateur, mais doit être utilisé avec prudence. Ce paramètre est particulièrement adapté aux environnements de bureau mono-utilisateur. Dans les environnements partagés tels que Windows Server, il est recommandé de garder cette option désactivée pour empêcher le partage potentiel de jetons entre des utilisateurs ayant des chaînes de connexion similaires.
Pour les déploiements en entreprise utilisant des outils tels que Tableau Server, nous recommandons d'utiliser le plugin de propagation d'identité fiable JWT au lieu de cette méthode d'authentification.
| Nom du paramètre | Alias | Type de paramètre | Valeur par défaut |
|---|---|---|---|
| EnableTokenCaching | Aucune | Facultatif | FALSE |
