Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tutoriel : Configuration de l’accès fédéré des utilisateurs Okta à Athena à l’aide de Lake Formation et de JDBC
Ce didacticiel explique comment configurer Okta AWS Lake Formation, les Gestion des identités et des accès AWS autorisations et le pilote Athena JDBC pour permettre une utilisation fédérée d'Athena basée sur le protocole SAML. Lake Formation fournit à l'utilisateur basé sur SAML un contrôle d'accès précis aux données disponibles dans Athena. Pour configurer cette configuration, le didacticiel utilise la console de développement Okta, les consoles AWS IAM et Lake Formation, ainsi que l'outil SQL Workbench/J .
**Conditions préalables**
Ce tutoriel suppose que vous avez effectué les opérations suivantes :
+ Création d'un compte Amazon Web Services. Pour créer un compte, visitez la [page d'accueil d'Amazon Web Services](https://aws.amazon.com/).
+ [Configuration d'un emplacement de résultats de requête](query-results-specify-location.md) pour Athena dans Simple Storage Service (Amazon S3).
+ [Enregistrement d'un emplacement de compartiment de données Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html) dans Lake Formation.
+ Définition dans le [catalogue de données AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) d’une [base de données](https://docs.aws.amazon.com/glue/latest/dg/define-database.html) et de [tables](https://docs.aws.amazon.com/glue/latest/dg/tables-described.html) qui pointent vers vos données dans Amazon S3.
+ Si vous n'avez pas encore défini de table, [lancez un AWS Glue robot d'exploration](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html) ou [utilisez Athena pour définir une base de données et une ou plusieurs](work-with-data.md) tables pour les données auxquelles vous souhaitez accéder.
+ Ce tutoriel utilise une table basée sur le [jeu de données des courses de taxi de NYC](https://registry.opendata.aws/nyc-tlc-trip-records-pds/) disponible dans le [Registre des données ouvertes sur AWS](https://registry.opendata.aws/). Le tutoriel utilise le nom de la base de données `tripdb` et le nom de la table `nyctaxi`.
**Topics**
+ [Étape 1 : créer un compte Okta](#security-athena-lake-formation-jdbc-okta-tutorial-step-1-create-an-okta-account)
+ [Étape 2 : Ajouter des utilisateurs et des groupes à Okta](#security-athena-lake-formation-jdbc-okta-tutorial-step-2-set-up-an-okta-application-for-saml-authentication)
+ [Étape 3 : configurer une application Okta pour l'authentification SAML](#security-athena-lake-formation-jdbc-okta-tutorial-step-3-set-up-an-okta-application-for-saml-authentication)
+ [Étape 4 : Création d'un fournisseur d'identité AWS SAML et d'un rôle IAM d'accès à Lake Formation](#security-athena-lake-formation-jdbc-okta-tutorial-step-4-create-an-aws-saml-identity-provider-and-lake-formation-access-IAM-role)
+ [Étape 5 : ajouter le rôle IAM et le fournisseur d'identité SAML à l'application Okta](#security-athena-lake-formation-jdbc-okta-tutorial-step-5-update-the-okta-application-with-the-aws-role-and-saml-identity-provider)
+ [Étape 6 : Accorder des autorisations aux utilisateurs et aux groupes via AWS Lake Formation](#security-athena-lake-formation-jdbc-okta-tutorial-step-6-grant-permissions-through-aws-lake-formation)
+ [Étape 7 : Vérifier l'accès via le client JDBC d'Athena](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client)
+ [Conclusion](#security-athena-lake-formation-jdbc-okta-tutorial-conclusion)
+ [Ressources connexes](#security-athena-lake-formation-jdbc-okta-tutorial-related-resources)
## Étape 1 : créer un compte Okta
Ce tutoriel utilise Okta comme fournisseur d'identité basé sur SAML. Si vous n'avez pas encore de compte Okta, vous pouvez en créer un gratuitement. Un compte Okta est nécessaire pour pouvoir créer une application Okta pour l'authentification SAML.
**Création d'un compte**
1. Pour utiliser Okta, rendez-vous sur la [page d'inscription des développeurs Okta](https://developer.okta.com/signup/) et créez un compte d'essai Okta gratuit. Le service Developer Edition est gratuit dans les limites spécifiées par Okta à [developer.okta.com/pricing](https://developer.okta.com/pricing).
1. Lorsque vous recevez l'e-mail d'activation, activez votre compte.
Un nom de domaine Okta vous sera attribué. Notez le nom de domaine pour référence. Plus tard, vous utiliserez le nom de domaine (**) dans la chaîne JDBC qui se connecte à Athena.
## Étape 2 : Ajouter des utilisateurs et des groupes à Okta
Dans cette étape, vous utilisez la console Okta pour effectuer les tâches suivantes :
+ Créer deux utilisateurs Okta.
+ Créer deux groupes Okta.
+ Ajouter un utilisateur Okta à chaque groupe Okta.
**Ajout d'utilisateurs à Okta**
1. Après avoir activé votre compte Okta, connectez-vous en tant qu'utilisateur administratif au domaine Okta attribué.
1. Dans le panneau de navigation de gauche, choisissez **Directory** (Répertoire), puis choisissez **People** (Personnes).
1. Choisissez **Add Person** (Ajouter une personne) pour ajouter un nouvel utilisateur qui accédera à Athena via le pilote JDBC.
![\[Choisissez Add Person (Ajouter une personne).\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-3.png)
1. Dans la boîte de dialogue **Add Person** (Ajouter une personne), sasissez les informations requises.
+ Saisissez les valeurs pour **First name** (Prénom) et **Last name** (Nom de famille). Ce tutoriel utilise *athena-okta-user*.
+ Saisissez un **Username** (Nom d'utilisateur) et un **Primary email** (E-mail principal). Ce tutoriel utilise *athena-okta-user@anycompany.com*.
+ Pour **Password** (Mot de passe), choisissez **Set by admin** (Défini par l'administrateur), puis fournissez un mot de passe. Ce tutoriel désactive l'option **User must change password on first login** (L'utilisateur doit changer son mot de passe à la première connexion) ; vos exigences en matière de sécurité peuvent varier.
![\[Ajout d'un utilisateur à l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4.png)
1. Choisissez **Save and Add Another** (Enregistrer et ajouter un autre type).
1. Saisissez les informations pour un autre utilisateur. Cet exemple ajoute l'utilisateur Business Analyst*athena-ba-user@anycompany.com*.
![\[Ajout d'un utilisateur à l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4a.png)
1. Choisissez **Enregistrer**.
Dans la procédure suivante, vous fournissez l'accès à deux groupes Okta par le biais du pilote JDBC d'Athena en ajoutant un groupe « Analystes commerciaux » et un groupe « Développeurs ».
**Ajout de groupes Okta**
1. Dans le panneau de navigation de gauche, choisissez **Directory** (Répertoire), puis choisissez **Groups** (Groupes).
1. Sur la page **Groups** (Groupes), choisissez **Add Group** (Ajouter un groupe).
![\[Choisissez Add Group (Ajouter un groupe).\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4c.png)
1. Dans la boîte de dialogue **Add Group** (Ajouter un groupe), saisissez les informations requises.
+ Pour **Nom**, saisissez *lf-business-analyst*.
+ Dans le **champ Description du groupe**, entrez*Business Analysts*.
![\[Ajout d'un groupe Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4d.png)
1. Choisissez **Add Group** (Ajouter un groupe).
1. Sur la page **Groups** (Groupes), choisissez à nouveau **Add Group** (Ajouter un groupe). Cette fois, vous allez saisir les informations pour le groupe des développeurs.
1. Saisissez les informations requises.
+ Pour **Nom**, saisissez *lf-developer*.
+ Dans le **champ Description du groupe**, entrez*Developers*.
1. Choisissez **Add Group** (Ajouter un groupe).
Maintenant que vous avez deux utilisateurs et deux groupes, vous pouvez ajouter un utilisateur à chaque groupe.
**Ajout d'utilisateurs à un groupe**
1. Sur la page **Groups** (Groupes), choisissez le groupe **lf-developer** que vous venez de créer. Vous allez ajouter à ce groupe l'un des utilisateurs Okta que vous avez créé en tant que développeur.
![\[Choisissez lf-developer.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4f.png)
1. Choisissez **Manage People** (Gérer personnes).
![\[Choisissez Manage People (Gérer personnes).\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4g.png)
1. Dans la liste des **non-membres**, sélectionnez **athena-okta-user**.
![\[Choisissez un utilisateur à ajouter à la liste des membres.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4h.png)
L'entrée de l'utilisateur passe de la liste **Not Members** (Non membres), à gauche, à la liste **Members** (Membres), à droite.
![\[Utilisateur Okta ajouté à un groupe Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4i.png)
1. Choisissez **Enregistrer**.
1. Choisissez **Back to Group** (Retour au groupe), ou choisissez **Directory** (Répertoire), puis choisissez **Groups** (Groupes).
1. Choisissez le **lf-business-analyst**groupe.
1. Choisissez **Manage People** (Gérer personnes).
1. Ajoutez le **athena-ba-user**à la liste des **membres** du **lf-business-analyst**groupe, puis choisissez **Enregistrer**.
1. Choisissez **Back to Group** (Retour au groupe), ou choisissez **Directory** (Répertoire), **Groups** (Groupes).
La page **Groups** (Groupes) montre maintenant que chaque groupe a un utilisateur Okta.
![\[Un utilisateur a été ajouté à chaque groupe Okta de la console Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4j.png)
## Étape 3 : configurer une application Okta pour l'authentification SAML
Dans cette étape, vous utilisez la console du développeur Okta pour effectuer les tâches suivantes :
+ Ajoutez une application SAML à utiliser avec AWS.
+ Affecter l'application à l'utilisateur Okta.
+ Affecter l'application à un groupe Okta.
+ Téléchargez les métadonnées du fournisseur d'identité résultant pour une utilisation ultérieure avec AWS.
**Ajout d'une application pour l'authentification SAML**
1. Dans le panneau de navigation Okta, choisissez **Applications**, **Applications** afin que vous puissiez configurer une application Okta pour l'authentification SAML à Athena.
1. Cliquez sur **Browse App Catalog** (Parcourir le catalogue d'applications).
1. Dans la zone de recherche, saisissez **Redshift**.
1. Choisissez **Amazon Web Services Redshift**. L'application Okta de ce tutoriel utilise l'intégration SAML existante pour Amazon Redshift.
![\[Choisissez Amazon Web Services Redshift.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-7.png)
1. Sur la page **Amazon Web Services Redshift**, choisissez **Add** (Ajouter) pour créer une application basée sur SAML pour Amazon Redshift.
![\[Choisissez Add (Ajouter) pour créer une application basée sur SAML.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-8.png)
1. Pour **Application label** (Étiquette d'application), saisissez `Athena-LakeFormation-Okta`, puis **Done** (Terminé).
![\[Saisissez un nom pour l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-9.png)
Maintenant que vous avez créé une application Okta, vous pouvez l'affecter aux utilisateurs et aux groupes que vous avez créés.
**Affectation d'une application à des utilisateurs et des groupes**
1. Sur la page **Applications**, choisissez l'application **Athena- LakeFormation -Okta**.
1. Dans l'onglet **Assignments** (Affectations), choisissez **Assign** (Affecter), **Assign to People** (Affecter à des personnes).
![\[Choisissez Assign (Affecter), Assign to People (Affecter à des personnes).\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-10.png)
1. Dans la boîte de dialogue **Affecter Athena-LakeFormation-Okta à des personnes**, recherchez l'**athena-okta-user**utilisateur que vous avez créé précédemment.
1. Choisissez **Assign** (Affecter) pour affecter l'utilisateur à l'application.
![\[Choisissez Attribuer.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-11.png)
1. Choisissez **Save and Go Back** (Sauvegarder et revenir).
1. Sélectionnez **Exécuté**.
1. **Dans l'onglet **Attributions** de l'application **Athena- LakeFormation -Okta**, choisissez **Attribuer, Attribuer aux groupes**.**
1. **Pour **lf-business-analyst**, choisissez **Affecter** pour attribuer l'application **Athena- LakeFormation -Okta au **lf-business-analyst****groupe, puis cliquez sur Terminé.**
![\[Affectation d'une application Okta à un groupe d'utilisateurs Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12b.png)
Le groupe s'affiche dans la liste des groupes pour l'application.
![\[L'application Okta est affectée au groupe Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12c.png)
Vous pouvez maintenant télécharger les métadonnées de l'application du fournisseur d'identité à utiliser avec AWS.
**Téléchargement des métadonnées de l'application**
1. Choisissez l'onglet **Sign On** (Authentification) de l'application Okta, puis cliquez à droite sur **Identity Provider metadata** (Métadonnées du fournisseur d'identité).
![\[Faites un clic droit sur Identity Provider metadata (Métadonnées du fournisseur d'identité).\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-13.png)
1. Choisissez **Save Link As** (Enregistrer le lien sous) pour enregistrer les métadonnées du fournisseur d'identité, qui sont au format XML, dans un fichier. Donnez-lui un nom que vous reconnaissez (par exemple, `Athena-LakeFormation-idp-metadata.xml`).
![\[Enregistrement des métadonnées du fournisseur d'identité.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-14.png)
## Étape 4 : Création d'un fournisseur d'identité AWS SAML et d'un rôle IAM d'accès à Lake Formation
Au cours de cette étape, vous utilisez la console AWS Identity and Access Management (IAM) pour effectuer les tâches suivantes :
+ Créer un fournisseur d'identité pour AWS.
+ Créer un rôle IAM pour l'accès à Lake Formation.
+ Ajoutez la politique AmazonAthenaFullAccess gérée au rôle.
+ Ajoutez une politique pour Lake Formation et AWS Glue au rôle.
+ Ajouter une politique pour les résultats des requêtes Athena au rôle.
**Pour créer un fournisseur d'identité AWS SAML**
1. Connectez-vous à la **console** du **compte Amazon Web Services** en tant qu'**administrateur du compte Amazon Web Services** et accédez à la console **IAM** ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)).
1. Dans le panneau de navigation, choisissez **Identity providers** (Fournisseurs d'identité), puis **Add provider** (Ajouter un fournisseur).
1. Sur l'écran **Configure provider** (Configurer le fournisseur), saisissez les informations suivantes :
+ Pour **Provider type** (Type de fournisseur), choisissez **SAML**.
+ Pour **Provider name** (Nom du fournisseur), saisissez `AthenaLakeFormationOkta`.
+ Pour **Metadata document** (Document de métadonnées), utilisez l'option **Choose file** (Choisir un fichier) pour téléverser le fichier XML de métadonnées du fournisseur d'identité (IdP) que vous avez téléchargé.
1. Choisissez **Add provider** (Ajouter un fournisseur).
Ensuite, vous créez un rôle IAM pour AWS Lake Formation y accéder. Vous ajoutez deux politiques en ligne au rôle. Une politique fournit les autorisations d'accès à Lake Formation et au AWS Glue APIs. L'autre politique donne accès à Athena et à l'emplacement des résultats des requêtes Athena dans Simple Storage Service (Amazon S3).
**Pour créer un rôle IAM à des fins d'accès AWS Lake Formation**
1. Dans le panneau de navigation de la console IAM, choisissez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Sur la page **Create role** (Créer un rôle), suivez les étapes ci-dessous :
![\[Configuration d'un rôle IAM pour utiliser SAML 2.0.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-20.png)
1. Pour **Select type of trusted entity** (Sélectionner le type d'entité de confiance), choisissez **SAML 2.0 Federation**.
1. Pour le **fournisseur SAML**, sélectionnez **AthenaLakeFormationOkta**.
1. Pour le **fournisseur SAML**, sélectionnez l'option **Autoriser la programmation et AWS Management Console ** l'accès.
1. Choisissez **Suivant : Autorisations**.
1. Sur la page **Attach Permissions policies** (Attacher les politiques d'autorisations), pour **Filter policies** (Politiques de filtrage), saisissez **Athena**.
1. Sélectionnez la politique **AmazonAthenaFullAccess**gérée, puis choisissez **Next : Tags**.
![\[Associer la politique AmazonAthenaFullAccessgérée au rôle IAM.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-21.png)
1. Sur la page **Add tags** (Ajouter des identifications), choisissez **Next: Review** (Suivant : Révision).
1. Sur la page **Révision**, pour **Nom du rôle**, entrez un nom pour le rôle (par exemple,*Athena-LakeFormation-OktaRole*), puis choisissez **Créer un rôle**.
![\[Saisissez un nom pour le rôle IAM.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-22.png)
Ensuite, vous ajoutez des politiques intégrées qui autorisent l'accès aux résultats des requêtes Lake Formation et Athena dans Amazon S3. AWS Glue APIs
Chaque fois que vous utilisez des politiques IAM, veillez à respecter les bonnes pratiques IAM. Pour plus d'informations, consultez la rubrique [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) du *Guide de l'utilisateur IAM*.
**Pour ajouter une politique intégrée au rôle de Lake Formation et AWS Glue**
1. Dans la liste des rôles de la console IAM, choisissez le rôle `Athena-LakeFormation-OktaRole` nouvellement créé.
1. Sur la page **Summary** (Résumé) du rôle, dans l'onglet **Permissions** (Autorisations), choisissez **Add inline policy** (Ajouter une politique en ligne).
1. Sur la page **Créer une politique**, choisissez **JSON**.
1. Ajoutez une politique en ligne comme la suivante qui donne accès à Lake Formation et au AWS Glue APIs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateDatabase",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Resource": "*"
}
}
```
------
1. Choisissez **Review policy** (Examiner une politique).
1. Dans le champ **Name** (Nom), saisissez un nom pour la politique (par exemple, **LakeFormationGlueInlinePolicy**).
1. Choisissez **Create Policy** (Créer une politique).
**Ajout d'une politique en ligne au rôle pour l'emplacement des résultats des requêtes Athena**
1. Sur la page **Summary** (Résumé) du rôle `Athena-LakeFormation-OktaRole`, dans l'onglet **Permissions** (Autorisations), choisissez **Add inline policy** (Ajouter une politique en ligne).
1. Sur la page **Créer une politique**, choisissez **JSON**.
1. Ajoutez une politique en ligne comme la suivante qui autorise le rôle à accéder à l'emplacement des résultats des requêtes Athena. **Remplacez les espaces réservés dans l'exemple par le nom de votre compartiment Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AthenaQueryResultsPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
```
------
1. Choisissez **Review policy** (Examiner une politique).
1. Dans le champ **Name** (Nom), saisissez un nom pour la politique (par exemple, **AthenaQueryResultsInlinePolicy**).
1. Choisissez **Create Policy** (Créer une politique).
Ensuite, vous copiez l'ARN du rôle d'accès de Lake Formation et l'ARN du fournisseur SAML que vous avez créé. Ils sont nécessaires lorsque vous configurez l'application Okta SAML dans la section suivante du tutoriel.
**Copier le rôle ARN et ARN du fournisseur d'identité SAML**
1. Dans la console IAM, sur la page **Summary** (Résumé) pour le rôle `Athena-LakeFormation-OktaRole`, cliquez sur l'icône **Copy to clipboard** (Copier dans le presse-papiers) à côté de **Role ARN** (ARN de rôle). L'ARN a le format suivant :
```
arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
1. Enregistrez l'ARN complet en toute sécurité pour référence ultérieure.
1. Dans le panneau de navigation de la console IAM, choisissez **Identity providers** (Fournisseurs d'identité).
1. Choisissez le **AthenaLakeFormationOkta**fournisseur.
1. Sur la page **Summary** (Résumé), cliquez sur l'icône **Copy to clipboard** (Copier dans le presse-papiers) à côté de **Provider ARN** (ARN du fournisseur). L'ARN doit ressembler à l'exemple suivant :
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta
```
1. Enregistrez l'ARN complet en toute sécurité pour référence ultérieure.
## Étape 5 : ajouter le rôle IAM et le fournisseur d'identité SAML à l'application Okta
Dans cette étape, vous revenez à la console du développeur Okta et effectuez les tâches suivantes :
+ Ajouter les attributs URL Lake Formation de l'utilisateur et du groupe à l'application Okta.
+ Ajouter l'ARN pour le fournisseur d'identité et l'ARN pour le rôle IAM à l'application Okta.
+ Copier l'ID de l'application Okta. L'ID de l'application Okta est requis dans le profil JDBC qui se connecte à Athena.
**Ajout d'attributs d'URL Lake Formation de l'utilisateur et du groupe à l'application Okta**
1. Connectez-vous à la console de développement Okta.
1. Choisissez l'onglet **Applications**, puis choisissez l'application `Athena-LakeFormation-Okta`.
1. Choisissez l'onglet **Sign On** (Authentification) de l'application, puis choisissez **Edit** (Modifier).
![\[Modifiez l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-24.png)
1. Choisissez **Attributes (optional)** (Attributs [facultatif]) pour les développer.
![\[Ajout d'un attribut URL Lake Formation d'utilisateur à l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25.png)
1. Pour **Attribute Statements (optional)** (Instructions d'attribut [facultatif]), ajoutez l'attribut suivant :
+ Pour **Nom**, saisissez **https://lakeformation.amazon.com/SAML/Attributes/Username**.
+ Pour le champ **Value (Valeur)**, saisissez **user.login**.
1. Sous **Group Attribute Statements (optional)** (Instructions d'attribut de groupe [facultatif]), ajoutez l'attribut suivant :
+ Pour **Nom**, saisissez **https://lakeformation.amazon.com/SAML/Attributes/Groups**.
+ Pour **Name format** (Format du nom), saisissez **Basic**
+ Pour **Filter** (Filtre), choisissez **Matches regex** (Correspond à regex), puis saisissez **.\$1** dans la zone de filtre.
![\[Ajout d'un attribut URL Lake Formation de groupe à l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25a.png)
1. Faites défiler la page jusqu'à la section **Paramètres de connexion avancés**, où vous ajouterez le fournisseur d'identité et le rôle IAM ARNs à l'application Okta.
**Pour ajouter le rôle ARNs pour le fournisseur d'identité et le rôle IAM à l'application Okta**
1. Pour l'ARN **Idp et l'ARN du rôle, entrez l'ARN** du fournisseur AWS d'identité et l'ARN du rôle sous forme de valeurs séparées par des virgules au format**,. ** La chaîne combinée devrait ressembler à ce qui suit :
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta,arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
![\[Saisie de l'ARN du fournisseur d'identité et de l'ARN du rôle IAM dans l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-26.png)
1. Choisissez **Enregistrer**.
Ensuite, copiez l'ID de l'application Okta. Vous en aurez besoin plus tard pour la chaîne JDBC qui se connecte à Athena.
**Recherche et copie de l'ID de l'application Okta**
1. Choisissez l'onglet **General** (Général) de l'application Okta.
![\[Choisissez l'onglet General (Général) de l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-27.png)
1. Faites défiler la page jusqu'à la section **App Embed Link** (Intégrer lien d'application).
1. À partir de **Embed Link** (Intégrer lien), copiez et enregistrez de manière sécurisée la partie de l'URL contenant l'ID de l'application Okta. L'ID de l'application Okta est la partie de l'URL après `amazon_aws_redshift/`, mais avant la prochaine barre oblique. Par exemple, si l'URL contient `amazon_aws_redshift/aaa/bbb`, l'ID de l'application est `aaa`.
![\[Copie de l'ID de l'application Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-28.png)
**Note**
Le lien intégré ne peut pas être utilisé dans le but de se connecter directement à la console Athena pour afficher les bases de données. Les autorisations Lake Formation pour les utilisateurs et les groupes SAML sont reconnues uniquement lorsque vous utilisez le pilote JDBC ou ODBC pour envoyer des requêtes à Athena. Pour consulter les bases de données, vous pouvez utiliser l' Workbench/J outil SQL, qui utilise le pilote JDBC pour se connecter à Athena. L' Workbench/J outil SQL est décrit dans[Étape 7 : Vérifier l'accès via le client JDBC d'Athena](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client).
## Étape 6 : Accorder des autorisations aux utilisateurs et aux groupes via AWS Lake Formation
Dans cette étape, vous utilisez la console Lake Formation pour accorder des autorisations sur une table à l'utilisateur et au groupe SAML. Vous devez effectuer les tâches suivantes :
+ Spécifier l'ARN de l'utilisateur Okta SAML et les autorisations d'utilisateur associées sur la table.
+ Spécifier l'ARN du groupe Okta SAML et les autorisations de groupe associées sur la table.
+ Vérifiez les autorisations que vous avez accordées.
**Octroi d'autorisations dans Lake Formation à l'utilisateur Okta**
1. Connectez-vous à la AWS Management Console en tant qu'administrateur du lac de données.
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Dans le panneau de navigation, choisissez **Tables**, puis sélectionnez la table pour laquelle vous souhaitez accorder des autorisations. Ce tutoriel utilise la table `nyctaxi` de la base de données `tripdb`.
![\[Choisissez la table pour laquelle vous voulez accorder des autorisations.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-29.png)
1. Dans **Actions**, choisissez **Grant** (Accorder).
![\[Choisissez Grant (Accorder).\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-30.png)
1. Dans la boîte de dialogue **Grant permissions** (Accorder des autorisations), saisissez les informations suivantes :
1. Sous **Utilisateurs et groupes SAML et Amazon Quick**, entrez l'ARN de l'utilisateur Okta SAML au format suivant :
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:user/@
```
1. Pour **Columns** (Colonnes), pour **Choose filter type** (Choisir un type de filtre), choisissez **Include columns** (Inclure des colonnes) ou **Exclude columns** (Exclure des colonnes).
1. Utilisez la liste déroulante **Choose one or more columns** (Choisir une ou plusieurs colonnes) sous le filtre pour spécifier les colonnes que vous voulez inclure ou exclure pour ou de l'utilisateur.
1. Pour **Table permissions** (Autorisations de table), choisissez **Select** (Sélectionner). Ce tutoriel n'accorde que l'autorisation `SELECT` ; vos besoins peuvent varier.
![\[Octroi d'autorisations de niveau table et colonne à un utilisateur Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31.png)
1. Choisissez **Grant** (Accorder).
Vous devez maintenant effectuer des étapes similaires pour le groupe Okta.
**Octroi d'autorisations dans Lake Formation au groupe Okta**
1. Sur la page **Tables** de la console Lake Formation, assurez-vous que la table **nyctaxi** est toujours sélectionnée.
1. Dans **Actions**, choisissez **Grant** (Accorder).
1. Dans la boîte de dialogue **Grant permissions** (Accorder des autorisations), saisissez les informations suivantes :
1. Sous **Utilisateurs et groupes SAML et Amazon Quick**, entrez l'ARN du groupe Okta SAML au format suivant :
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:group/lf-business-analyst
```
1. Pour **Columns** (Colonnes), **Choose filter type** (Choisir un type de filtre), choisissez **Include columns** (Inclure des colonnes).
1. Pour **Choose one or more columns** (Choisir une ou plusieurs colonnes), choisissez les trois premières colonnes de la table.
1. Pour **Table permissions** (Autorisations de table), choisissez les autorisations d'accès spécifiques à accorder. Ce tutoriel n'accorde que l'autorisation `SELECT` ; vos besoins peuvent varier.
![\[Octroi d'autorisations de table à un groupe Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31b.png)
1. Choisissez **Grant** (Accorder).
1. Pour vérifier les autorisations que vous avez accordées, choisissez **Actions**, **View permissions** (Afficher les autorisations).
![\[Choisissez View permissions (Afficher les autorisations) pour vérifier les autorisations que vous avez accordées.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-32.png)
La page **Autorisations relatives aux données** du `nyctaxi` tableau indique les autorisations pour **athena-okta-user**et le **lf-business-analyst**groupe.
![\[Affichage des autorisations accordées à l'utilisateur et au groupe Okta.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-33.png)
## Étape 7 : Vérifier l'accès via le client JDBC d'Athena
Vous pouvez maintenant utiliser un client JDBC pour effectuer une connexion de test à Athena en tant qu'utilisateur Okta SAML.
Dans cette section, vous effectuez les tâches suivantes :
+ Préparer le client de test : téléchargez le pilote JDBC d'Athena, installez SQL Workbench et ajoutez le pilote à Workbench. Ce tutoriel utilise SQL Workbench pour accéder à Athena via l'authentification Okta et pour vérifier les autorisations Lake Formation.
+ Dans SQL Workbench :
+ Créez une connexion pour l'utilisateur Okta Athena.
+ Exécutez des requêtes de test en tant qu'utilisateur Okta Athena.
+ Créez et testez une connexion pour l'utilisateur analyste commercial.
+ Dans la console Okta, ajoutez l'utilisateur analyste commercial au groupe développeur.
+ Dans la console Lake Formation, configurez les autorisations de table pour le groupe développeur.
+ Dans SQL Workbench, exécutez des requêtes de test en tant qu'utilisateur analyste commercial et vérifiez comment la modification des autorisations affecte les résultats.
**Préparation du client de test**
1. Téléchargez et extrayez le pilote JDBC Athena compatible Lake Formation (version 2.0.14 ou ultérieure) à partir de [Connexion à Amazon Athena avec JDBC](connect-with-jdbc.md).
1. Téléchargez et installez l'outil d'interrogation SQL gratuit [SQL Workbench/J](https://www.sql-workbench.eu/index.html), disponible sous une licence Apache 2.0 modifiée.
1. Dans SQL Workbench/J, choisissez **File** (Fichier), puis **Manage Drivers** (Gérer les pilotes).
![\[Choisissez Manage Drivers (Gérer les pilotes).\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-1.png)
1. Dans la boîte de dialogue **Manage Drivers** (Gérer les pilotes), effectuez les étapes suivantes :
1. Choisissez l'icône du nouveau pilote.
1. Pour **Nom**, saisissez **Athena**.
1. Pour **Library** (Bibliothèque), recherchez et choisissez le fichier Simba Athena JDBC `.jar` que vous venez de télécharger.
1. Choisissez **OK**.
![\[Ajout du pilote JDBC Athena à SQL Workbench.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-2.png)
Vous pouvez maintenant créer et tester une connexion pour l'utilisateur Okta Athena.
**Création d'une connexion pour l'utilisateur Okta Athena**
1. Choisissez **File** (Fichier), **Connect window** (Fenêtre de connexion).
![\[Choisissez Connect window (Fenêtre de connexion).\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-3.png)
1. Dans la boîte de dialogue **Connection profile** (Profil de connexion), créez une connexion en saisissant les informations suivantes :
+ Dans le champ du nom, saisissez **Athena\$1Okta\$1User\$1Connection**.
+ Pour **Driver** (Pilote), choisissez le pilote JDBC Simba Athena.
+ Pour **URL**, effectuez l'une des actions suivantes :
+ Pour utiliser une URL de connexion, saisissez une chaîne de connexion d'une seule ligne. L'exemple suivant ajoute des sauts de ligne pour plus de lisibilité.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-okta-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-app-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ Pour utiliser une URL AWS basée sur un profil, effectuez les opérations suivantes :
1. Configurez un [AWS profil](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html) doté d'un fichier AWS d'informations d'identification, comme dans l'exemple suivant.
```
[athena_lf_dev]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-app-id
uid=athena-okta-user@anycompany.com
pwd=password
```
1. Pour **URL**, saisissez une chaîne de connexion d'une seule ligne comme dans l'exemple suivant. L'exemple ajoute des sauts de ligne pour plus de lisibilité.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_dev;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
Notez que ces exemples sont des représentations de base de l'URL nécessaire pour se connecter à Athena. Pour obtenir la liste complète des paramètres pris en charge dans l'URL, veuillez consulter la [documentation JDBC](connect-with-jdbc.md).
L'image suivante montre un profil de connexion SQL Workbench qui utilise une URL de connexion.
![\[Profil de connexion dans SQL Workbench.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-4.png)
Maintenant que vous avez établi une connexion pour l'utilisateur Okta, vous pouvez la tester en récupérant certaines données.
**Test de la connexion de l'utilisateur Okta**
1. Choisissez **Test**, puis vérifiez que la connexion réussit.
1. Dans la fenêtre **Statement** (Instruction) de SQL Workbench, exécutez la commande SQL `DESCRIBE` suivante. Vérifiez que toutes les colonnes sont affichées.
```
DESCRIBE "tripdb"."nyctaxi"
```
![\[Toutes les colonnes sont affichées.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-5.png)
1. Dans la fenêtre **Statement** (Instruction) de SQL Workbench, exécutez la commande SQL `SELECT` suivante. Vérifiez que toutes les colonnes sont affichées.
```
SELECT * FROM tripdb.nyctaxi LIMIT 5
```
![\[Vérifiez que toutes les colonnes sont affichées.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-6.png)
Ensuite, vous devez vérifier qu'en tant que membre du **lf-business-analyst**groupe, il n'a accès qu'aux trois premières colonnes du tableau que vous avez spécifié précédemment dans Lake Formation. **athena-ba-user**
**Pour vérifier l'accès au **athena-ba-user****
1. Dans SQL Workbench, dans la boîte de dialogue **Connection profile** (Profil de connexion), créez un autre profil de connexion.
+ Pour le nom du profil de connexion, saisissez ** Athena\$1Okta\$1Group\$1Connection**.
+ Pour **Driver** (Pilote), choisissez le pilote JDBC Simba Athena.
+ Pour **URL**, effectuez l'une des actions suivantes :
+ Pour utiliser une URL de connexion, saisissez une chaîne de connexion d'une seule ligne. L'exemple suivant ajoute des sauts de ligne pour plus de lisibilité.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-ba-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-application-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ Pour utiliser une URL AWS basée sur un profil, effectuez les opérations suivantes :
1. Configurez un AWS profil doté d'un fichier d'informations d'identification, comme dans l'exemple suivant.
```
[athena_lf_ba]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-application-id
uid=athena-ba-user@anycompany.com
pwd=password
```
1. Pour **URL**, saisissez une chaîne de connexion d'une seule ligne comme la suivante. L'exemple ajoute des sauts de ligne pour plus de lisibilité.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_ba;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
1. Choisissez **Test** pour confirmer que la connexion est réussie.
1. Dans la fenêtre **SQL Statement** (Instruction SQL), exécutez les mêmes commandes SQL `DESCRIBE` et `SELECT` que précédemment et vérifiez les résultats.
Comme **athena-ba-user**il est membre du **lf-business-analyst**groupe, seules les trois premières colonnes que vous avez spécifiées dans la console Lake Formation sont renvoyées.
![\[Seules les trois premières colonnes sont renvoyées.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-7.png)
![\[Données des trois premières colonnes.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-8.png)
Revenez ensuite à la console Okta pour ajouter l'utilisateur `athena-ba-user` au groupe Okta `lf-developer`.
**Pour ajouter le athena-ba-user au groupe lf-developer**
1. Connectez-vous à la console Okta en tant qu'utilisateur administratif du domaine Okta attribué.
1. Choisissez **Directory** (Répertoire), puis choisissez **Groups** (Groupes).
1. Sur la page Groups (Groupes), choisissez le groupe **lf-developer**.
![\[Choisissez le groupe lf-developer.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-9.png)
1. Choisissez **Manage People** (Gérer personnes).
1. Dans la liste des **non-membres**, choisissez le **athena-ba-user**pour l'ajouter au groupe **lf-developer**.
1. Choisissez **Enregistrer**.
Revenez maintenant à la console Lake Formation pour configurer les autorisations de table pour le groupe **lf-developer**.
**Pour configurer les autorisations de table pour lf-developer-group**
1. Connectez-vous à la console Lake Formation en tant qu'administrateur de lac de données.
1. Dans le volet de navigation, choisissez **Tables**.
1. Sélectionnez la table **nyctaxi**.
1. Choisissez **Actions**, **Grant** (Accorder).
1. Dans la boîte de dialogue **Grant permissions** (Accorder des autorisations), saisissez les informations suivantes :
+ Pour les **utilisateurs et les groupes SAML et Amazon Quick**, entrez l'ARN du groupe Okta SAML lf-developer au format suivant :
+ Pour **Columns** (Colonnes), **Choose filter type** (Choisir un type de filtre), choisissez **Include columns** (Inclure des colonnes).
+ Choisissez la colonne **trip\$1type**.
+ Pour **Table permissions** (Autorisations de table), choisissez **SELECT** (Sélectionner).
1. Choisissez **Grant** (Accorder).
Vous pouvez maintenant utiliser SQL Workbench pour vérifier la modification des autorisations pour le groupe **lf-developer**. Le changement devrait se refléter dans les données disponibles pour **athena-ba-user**, qui est désormais membre du groupe **lf-developer**.
**Pour vérifier la modification des autorisations pour athena-ba-user**
1. Fermez le programme SQL Workbench, puis rouvrez-le.
1. Connectez-vous au profil pour **athena-ba-user**.
1. À partir de la fenêtre **Statement** (Instruction), exécutez les mêmes instructions SQL que précédemment :
Cette fois, la colonne **trip\$1type** s'affiche.
![\[La quatrième colonne est disponible pour la requête.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-10.png)
Étant donné qu'**athena-ba-user**il est désormais membre à la fois du **lf-developer** et **lf-business-analyst**des groupes, la combinaison des autorisations Lake Formation pour ces groupes détermine les colonnes renvoyées.
![\[La quatrième colonne des résultats des données.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-11.png)
## Conclusion
Dans ce didacticiel, vous avez configuré l'intégration d'Athena en AWS Lake Formation utilisant Okta comme fournisseur SAML. Vous avez utilisé Lake Formation et IAM pour contrôler les ressources mises à la disposition de l'utilisateur SAML dans votre catalogue de données de lacs de AWS Glue données.
## Ressources connexes
Pour plus d'informations, consultez les ressources suivantes.
+ [Connexion à Amazon Athena avec JDBC](connect-with-jdbc.md)
+ [Activation de l’accès fédéré à l’API Athena](access-federation-saml.md)
+ [AWS Lake Formation Manuel du développeur](https://docs.aws.amazon.com/lake-formation/latest/dg/)
+ [Octroi et révocation des autorisations du catalogue de données](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html) dans le *Guide du développeur AWS Lake Formation *.
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) dans le *Guide de l'utilisateur IAM*.
+ [Création de fournisseurs d'identité IAM SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) dans le *Guide de l'utilisateur IAM*.
+ [Activation de la fédération à AWS l'aide de Windows Active Directory, ADFS et SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) sur le blog de *AWS sécurité*.