Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Navigateur SSO OIDC
Browser SSO OIDC est un plugin d'authentification qui fonctionne avec. AWS IAM Identity Center Pour plus d'informations sur l'activation et l'utilisation d'IAM Identity Center, consultez Étape 1 : Activer IAM Identity Center dans le Guide de l'utilisateur AWS IAM Identity Center .
Note
Mise à jour de sécurité v2.1.0.0 : À partir de la version 2.1.0.0, le plugin BrowsersSooidC utilise le code d'autorisation avec PKCE au lieu de l'autorisation du code du périphérique pour améliorer la sécurité. Cette modification élimine l'étape d'affichage du code de l'appareil et permet une authentification plus rapide. Un nouveau listen_port paramètre (par défaut 7890) est utilisé pour le serveur de rappel OAuth 2.0. Vous devrez peut-être autoriser ce port sur votre réseau. La portée par défaut est passée àsso:account:access.
Type d’authentification
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| AuthenticationType | Obligatoire | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
URL de démarrage d'IAM Identity Center
URL du portail AWS d'accès. L'action d'RegisterClientAPI IAM Identity Center utilise cette valeur pour le issuerUrl paramètre.
Pour copier l'URL du portail AWS d'accès
Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/singlesignon/
. -
Dans le panneau de navigation, sélectionnez Settings (Paramètres).
-
Sur la page Paramètres, sous Source d'identité, choisissez l'icône du presse-papier pour l'URL du portail d'accès AWS .
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| sso_oidc_start_url | Obligatoire | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
Région du centre d'identité IAM
L' Région AWS endroit où votre SSO est configuré. Les clients du SSOClient AWS SDK SSOOIDCClient et utilisent cette valeur pour le region paramètre.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| sso_oidc_region | Obligatoire | none |
sso_oidc_region=us-east-1; |
Portées
Liste des portées définies par le client. Au moment de l'autorisation, cette liste restreint les autorisations lorsqu'un jeton d'accès est accordé. L'action d'RegisterClientAPI IAM Identity Center utilise cette valeur pour le scopes paramètre.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| sso_oidc_scopes | Facultatif | sso:account:access |
sso_oidc_scopes=sso:account:access; |
ID de compte
L'identifiant attribué à l'utilisateur. Compte AWS L'GetRoleCredentialsAPI IAM Identity Center utilise cette valeur pour le accountId paramètre.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| sso_oidc_account_id | Obligatoire | none |
sso_oidc_account_id=123456789123; |
Nom du rôle
Nom descriptif du rôle attribué à l'utilisateur. Le nom que vous spécifiez pour cet ensemble d'autorisations apparaît dans le portail AWS d'accès en tant que rôle disponible. L'action d'GetRoleCredentialsAPI IAM Identity Center utilise cette valeur pour le roleName paramètre.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| sso_oidc_role_name | Obligatoire | none |
sso_oidc_role_name=AthenaReadAccess; |
Timeout
Nombre de secondes pendant lesquelles l'API SSO d'interrogation doit vérifier la présence du jeton d'accès.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| sso_oidc_timeout | Facultatif | 120 |
sso_oidc_timeout=60; |
Port d'écoute
Le numéro de port local à utiliser pour le serveur de rappel OAuth 2.0. Ceci est utilisé comme URI de redirection et vous devrez peut-être autoriser ce port sur votre réseau. L'URI de redirection généré par défaut est :http://localhost:7890/athena. Ce paramètre a été ajouté dans la version 2.1.0.0 dans le cadre de la migration du code du périphérique vers le code d'autorisation avec PKCE.
Avertissement
Dans les environnements partagés tels que Windows Terminal Server ou Remote Desktop Services, le port de boucle (par défaut : 7890) est partagé entre tous les utilisateurs d'une même machine. Les administrateurs système peuvent atténuer les risques potentiels de piratage de ports en :
-
Configuration de différents numéros de port pour différents groupes d'utilisateurs
-
Utilisation des politiques de sécurité Windows pour restreindre l'accès aux ports
-
Implémentation de l'isolation réseau entre les sessions utilisateur
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| listen_port | Facultatif | 7890 |
listen_port=8080; |
Activation du cache de fichiers
Active un cache d'informations d'identification temporaire. Ce paramètre de connexion permet de mettre en cache des informations d'identification temporaires et de les réutiliser entre plusieurs processus. Utilisez cette option pour réduire le nombre de fenêtres de navigateur ouvertes lorsque vous utilisez des outils de BI tels que Microsoft Power BI.
Note
À partir de la version 2.1.0.0, les informations d'identification mises en cache sont stockées au format JSON en texte brut dans le user-profile/.athena-odbc/ répertoire avec des autorisations de fichier limitées à l'utilisateur propriétaire, conformément à la façon dont la AWS CLI protège les informations d'identification stockées localement.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| sso_oidc_cache | Facultatif | 1 |
sso_oidc_cache=0; |
