Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le [ billet de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Configuration de l’authentification unique JDBC ou ODBC Vous pouvez utiliser des fournisseurs d'identité externes (IdPs) pour authentifier et autoriser les utilisateurs à accéder à votre cluster Amazon Redshift, en simplifiant la gestion des utilisateurs et en renforçant la sécurité. Cela permet une gestion centralisée des utilisateurs, un contrôle d’accès basé sur les rôles et des fonctionnalités d’audit sur plusieurs services. Les cas d’utilisation courants incluent la rationalisation de l’authentification pour différents groupes d’utilisateurs, l’application de stratégies d’accès cohérentes et le respect des exigences réglementaires. Les pages suivantes vous guident dans la configuration de l’intégration d’IdP avec votre cluster Redshift. *Pour plus d'informations sur la configuration AWS en tant que fournisseur de services pour l'IdP, consultez les sections [Configuration de votre IdP SAML 2.0 en toute confiance et ajout de réclamations dans le](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html#saml_relying-party) guide de l'utilisateur IAM.* # AD FS Ce didacticiel vous montre comment vous pouvez utiliser AD FS en tant que fournisseur d’identité (IdP) pour accéder à votre cluster Amazon Redshift. ## Étape 1 : configurer AD FS et votre AWS compte pour qu'ils se fassent mutuellement confiance La procédure suivante explique comment configurer une relation d’approbation. 1. Créez ou utilisez un cluster Amazon Redshift existant pour que vos utilisateurs AD FS puissent se connecter. Pour configurer la connexion, certaines propriétés de ce cluster sont nécessaires, telles que l’identifiant de cluster. Pour de plus amples informations, veuillez consulter [Création d'un cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html). 1. Configurez AD FS pour contrôler l'accès à Amazon Redshift sur la Console de gestion Microsoft : 1. Choisissez **ADFS 2.0**, puis choisissez **Ajouter l'approbation de partie de confiance**. Dans la page **Assistant Ajout d'approbation de partie de confiance**, choisissez **Démarrer**. 1. Sur la page **Sélectionner une source de données**, choisissez **Importer des données sur la partie de confiance publiées en ligne ou sur un réseau local**. 1. Pour **Adresse de métadonnées de fédération (nom d'hôte ou URL)**, entrez **https://signin.aws.amazon.com/saml-metadata.xml**. Le fichier XML de métadonnées est un document de métadonnées SAML standard décrit AWS comme une partie utilisatrice. 1. Dans la page **Spécifier un nom d'affichage**, entrez une valeur pour **Nom d'affichage**. 1. Sur la page **Choisir des règles d'autorisation** d'émission, choisissez une règle d'autorisation d'émission pour autoriser ou refuser à tous les utilisateurs l'accès à cette partie de confiance. 1. Dans la page **Prêt à ajouter l'approbation**, vérifiez vos paramètres. 1. Sur la page **Terminer**, choisissez **Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance lorsque l'Assistant se ferme**. 1. Dans le menu contextuel (clic droit), choisissez **Parties de confiance**. 1. Pour votre partie de confiance, ouvrez le menu contextuel (clic droit) et choisissez **Modifier les règles de réclamation**. Dans la page **Modifier les règles de réclamation**, choisissez **Ajouter une règle**. 1. Pour le **modèle de règle de réclamation**, choisissez **Transformer une réclamation entrante**, puis sur la NameId page **Modifier la règle**, procédez comme suit : + Dans **Nom de la règle de réclamation**, entrez **NameId**. + Pour **Nom de la réclamation entrante**, choisissez **Nom du compte Windows**. + Pour **Nom de la réclamation sortante**, choisissez **ID nom**. + Pour **Format d'ID de nom sortant**, choisissez **Identifiant persistant**. + Choisissez **Transférer toutes les valeurs de réclamation**. 1. Dans la page **Modifier les règles de réclamation**, choisissez **Ajouter une règle**. Dans la page **Sélectionner un modèle de règle**, pour le **Modèle de règle de réclamation**, choisissez **Envoyer les attributs LDAP en tant que réclamations**. 1. Sur la page **Configurer une règle**, exécutez les opérations suivantes : + Pour **Claim rule name** (Nom de la règle de revendication), saisissez **RoleSessionName**. + Pour **Attribute store (Magasin d'attributs)**, choisissez **Active Directory**. + Dans **Attribut LDAP**, sélectionnez **Adresses e-mail**. + Pour **Outgoing Claim Type** (Type de demande sortante), sélectionnez **https://aws.amazon.com/SAML/Attributes/RoleSessionName**. 1. Dans la page **Modifier les règles de réclamation**, choisissez **Ajouter une règle**. Dans la page **Sélectionner un modèle de règle**, pour le **Modèle de règle de réclamation**, choisissez **Envoyer des réclamations à l’aide d’une règle personnalisée**. 1. Dans la page **Modifier la règle — Obtenir les groupes AD** pour le **Nom de la règle de réclamation**, entrez **Obtenir les groupes AD**. 1. Pour **Règle personnalisée**, entrez ce qui suit. ``` c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value); ``` 1. Dans la page **Modifier les règles de réclamation**, choisissez **Ajouter une règle**. Dans la page **Sélectionner un modèle de règle**, pour le **Modèle de règle de réclamation**, choisissez **Envoyer des réclamations à l’aide d’une règle personnalisée**. 1. Dans la page **Modifier une règle — Rôles** pour **Nom de la règle de réclamation**, entrez **Rôles**. 1. Pour **Règle personnalisée**, entrez ce qui suit. ``` c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-")); ``` Notez le ARNs fournisseur SAML et le rôle à assumer. Dans cet exemple, `arn:aws:iam:123456789012:saml-provider/ADFS` est l'ARN du fournisseur SAML et `arn:aws:iam:123456789012:role/ADFS-` est l'ARN du rôle. 1. Assurez-vous que vous avez téléchargé le fichier `federationmetadata.xml`. Vérifiez que le contenu du document n'a pas de caractères non valides. Il s'agit du fichier de métadonnées que vous utilisez lors de la configuration de la relation d'approbation avec AWS. 1. Créez un fournisseur d’identité SAML IAM sur la console IAM. Le document de métadonnées que vous fournissez est le fichier XML de métadonnées de fédération que vous avez enregistré lorsque vous avez configuré Azure Enterprise Application. Pour des étapes détaillées, veuillez consulter la rubrique [Création et gestion d'un fournisseur d'identité IAM (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) dans le *Guide de l'utilisateur IAM*. 1. Créez un rôle IAM pour la fédération SAML 2.0 sur la console IAM. Pour des étapes détaillées, voir [Création d'un rôle pour SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) dans le *Guide de l'utilisateur IAM*. 1. Créez une politique IAM que vous pouvez attacher au rôle IAM que vous avez créé pour la fédération SAML 2.0 sur la console IAM. Pour connaître la marche à suivre en détail, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*. Pour obtenir un exemple Azure AD, consultez [Configuration de l’authentification unique JDBC ou ODBC](setup-azure-ad-identity-provider.md). ## Étape 2 : pour configurer JDBC ou ODBC pour l’authentification aux services AD FS ------ #### [ JDBC ] La procédure suivante explique comment configurer une relation JDBC avec AD FS. + Configurez votre client de base de données pour qu'il se connecte à votre cluster via JDBC à l'aide de l'authentification unique AD FS. Vous pouvez utiliser n'importe quel client qui utilise un pilote JDBC pour vous connecter à l'aide de l'authentification unique AD FS ou utiliser un langage comme Java pour vous connecter à l'aide d'un script. Pour plus d’informations sur l’installation et la configuration, consultez [Configuration d’une connexion pour la version 2.x du pilote JDBC pour Amazon Redshift](jdbc20-install.md). Par exemple, vous pouvez utiliser SQLWorkbench/J en tant que client. Lorsque vous configurez SQLWorkbench /J, l'URL de votre base de données utilise le format suivant. ``` jdbc:redshift:iam://cluster-identifier:us-west-1/dev ``` Si vous l'utilisez SQLWorkbench/J en tant que client, suivez les étapes suivantes : 1. Démarrez SQL Workbench/J. Dans la page **Sélectionner un profil de connexion**, ajoutez un **Groupe de profils**, par exemple **ADFS**. 1. Dans **Profil de connexion**, entrez le nom de votre profil de connexion, par exemple **ADFS**. 1. Choisissez **Manage Drivers (Gérer les pilotes)**, puis **Amazon Redshift**. Choisissez l’icône **Open Folder (Ouvrir le dossier)** en regard de **Library (Bibliothèque)**, puis choisissez le fichier JDBC .jar approprié. 1. Dans la page **Select Connection Profile (Sélectionner un profil de connexion)** ajoutez les informations suivantes au profil de connexion : + Pour **Utilisateur**, entrez votre nom d'utilisateur AD FS. Il s'agit du nom d'utilisateur du compte que vous utilisez pour l'authentification unique et qui a la permission du cluster que vous essayez d'utiliser pour vous authentifier. + Pour **Mot de passe**, entrez votre mot de passe AD FS. + Pour **Drivers (Pilotes)**, choisissez **Amazon Redshift (com.amazon.redshift.jdbc.Driver)**. + Pour **URL**, entrez **jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name***. 1. Sélectionnez **Extended Properties** (Propriétés étendues). Pour **plugin\$1name**, entrez **com.amazon.redshift.plugin.AdfsCredentialsProvider**. Cette valeur spécifie au pilote d'utiliser l'authentification unique Azure AD comme méthode d'authentification. ------ #### [ ODBC ] **Pour configurer ODBC pour l'authentification aux services AD FS** + Configurez votre client de base de données pour qu'il se connecte à votre cluster via ODBC à l'aide de l'authentification unique AD FS. Amazon Redshift fournit des pilotes ODBC pour les systèmes d’exploitation Linux, Windows et macOS. Avant d’installer un pilote ODBC, déterminez si votre outil client SQL est en 32 bits ou en 64 bits. Installez le pilote ODBC qui correspond aux exigences de votre outil client SQL. Sous Windows, dans la page **Amazon Redshift ODBC Driver DSN Setup (Configuration DSN du pilote ODBC Amazon Redshift)**, sous **Connection Settings (Paramètres de connexion)**, entrez les informations suivantes : + Pour **Data Source Name (Nom de la source de données)**, entrez ***your-DSN***. Cela indique le nom de la source de données utilisé comme nom de profil ODBC. + Pour **Auth type** (Type d'authentification), sélectionnez **Identity Provider: SAML** (Fournisseur d'identité : SAML). Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier par authentification unique AD FS. + Pour **Cluster ID (ID de cluster)**, entrez ***your-cluster-identifier***. + Pour **Region (Région)**, entrez ***your-cluster-region***. + Pour **Database (Base de données)**, entrez ***your-database-name***. + Pour **Utilisateur**, entrez ***your-adfs-username***. Il s'agit du nom d'utilisateur du compte AD FS que vous utilisez pour l'authentification unique, qui a l'autorisation d'accéder au cluster que vous essayez d'utiliser pour vous authentifier. Utilisez cette option uniquement si le **Type d’authentification** est **Fournisseur d’identité : SAML**. + Pour **Mot de passe**, entrez ***your-adfs-password***. Utilisez cette option uniquement si le **Type d’authentification** est **Fournisseur d’identité : SAML**. Sous macOS et Linux, modifiez le fichier `odbc.ini` comme suit : **Note** Toutes les entrées sont insensibles à la casse. + Pour **clusterid**, entrez ***your-cluster-identifier***. Il s'agit du nom du cluster Amazon Redshift qui a été créé. + Pour **region (région)**, entrez ***your-cluster-region***. Il s'agit de la AWS région du cluster Amazon Redshift créé. + Pour **database (base de données)**, entrez ***your-database-name***. Il s'agit du nom de la base de données à laquelle vous essayez d'accéder sur le cluster Amazon Redshift. + Pour **locale (paramètres régionaux)**, entrez **en-us**. Il s’agit de la langue dans laquelle les messages d’erreur s’affichent. + Pour **iam**, entrez **1**. Cette valeur spécifie au pilote de s’authentifier à l’aide des informations d’identification IAM. + Pour **plugin\$1name**, effectuez l’une des opérations suivantes : + Pour la configuration de l'authentification unique AD FS avec MFA, entrez **BrowserSAML**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier auprès des services AD FS. + Pour la configuration de l'authentification unique AD FS, entrez **ADFS**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Azure AD. + Pour **uid**, entrez ***your-adfs-username***. Il s'agit du nom d'utilisateur du compte Microsoft Azure que vous utilisez pour l'authentification unique qui a l'autorisation sur le cluster sur lequel vous essayez de vous authentifier. Utilisez ceci uniquement lorsque **plugin\$1name** est **ADFS**. + Pour **pwd**, entrez ***your-adfs-password***. Utilisez ceci uniquement lorsque **plugin\$1name** est **ADFS**. Sous mac OS et Linux, modifiez également les paramètres de profil pour ajouter les exportations suivantes. ``` export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini ``` ``` export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini ``` ------ # Azure Vous pouvez utiliser Microsoft Azure AD en tant que fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift. Ce didacticiel vous montre comment vous pouvez utiliser Azure en tant que fournisseur d’identité (IdP) pour accéder à votre cluster Amazon Redshift. Pour savoir comment fédérer l'accès à Amazon Redshift avec l'authentification unique Microsoft Azure AD, regardez la vidéo suivante. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/aXs9hEgJCss/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/aXs9hEgJCss) ## Étape 1 : configurer Azure et votre AWS compte pour qu'ils se fassent mutuellement confiance La procédure suivante explique comment configurer une relation d’approbation. **Pour configurer Azure AD et votre AWS compte de manière à ce qu'ils se fassent mutuellement confiance** 1. Créez ou utilisez un cluster Amazon Redshift existant pour que vos utilisateurs Azure AD puissent se connecter. Pour configurer la connexion, certaines propriétés de ce cluster sont nécessaires, telles que l’identifiant de cluster. Pour de plus amples informations, veuillez consulter [Création d’un cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html). 1. Configurez un Azure Active Directory, des groupes et des utilisateurs utilisés AWS sur le portail Microsoft Azure. 1. Ajoutez Amazon Redshift en tant qu'application d'entreprise sur le portail Microsoft Azure à utiliser pour l'authentification unique à la AWS console et la connexion fédérée à Amazon Redshift. Choisissez **Application Entreprise**. 1. Choisissez **\$1Nouvelle application**. La page Ajouter une application apparaît. 1. Recherchez **AWS** dans le champ de recherche. 1. Choisissez **Amazon Web Services (AWS)** et choisissez **Ajouter**. Cela crée l'application AWS . 1. Sous **Gérer**, choisissez **Single Sign-On**. 1. Choisissez **SAML**. La page d'authentification basée sur Amazon Web Services (AWS) \$1 SAML apparaît. 1. Choisissez **Oui** pour passer à la page Configurer l'authentification unique avec SAML. Cette page affiche la liste des attributs préconfigurés associés à l'authentification unique. 1. Pour **Configuration SAML de base**, choisissez l'icône Modifier et choisissez **Enregistrer**. 1. Lorsque vous configurez plusieurs applications, indiquez une valeur d'identificateur. Par exemple, saisissez ***https://signin.aws.amazon.com/saml\$12***. Notez qu'à partir de la deuxième application, utilisez ce format avec un signe \$1 pour spécifier une valeur SPN unique. 1. Dans la section **Attributs utilisateur et réclamations** sélectionnez l'icône Modifier. Par défaut, l'identifiant utilisateur unique (UID) RoleSessionName, le rôle et les SessionDuration revendications sont préconfigurés. 1. Choisissez **\$1 Ajouter une nouvelle réclamation** pour ajouter une revendication pour les utilisateurs de la base de données. Pour **Nom**, saisissez **DbUser**. Pour **Espace de noms**, saisissez **https://redshift.amazon.com/SAML/Attributes**. Pour **Source**, choisissez **Attribut**. Pour **Attribut source**, choisissez **user.userprincipalname**. Ensuite, choisissez **Enregistrer**. 1. Choisissez **\$1 Ajouter une nouvelle réclamation** pour laquelle ajouter une réclamation AutoCreate. Pour **Nom**, saisissez **AutoCreate**. Pour **Espace de noms**, saisissez **https://redshift.amazon.com/SAML/Attributes**. Pour **Source**, choisissez **Attribut**. Pour **Attribut source**, choisissez **« true »**. Ensuite, choisissez **Enregistrer**. Ici, `123456789012` correspond à votre compte AWS , *`AzureSSO`* correspond à un rôle IAM que vous avez créé et *`AzureADProvider`* correspond au fournisseur IAM. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/redshift/latest/mgmt/setup-identity-provider-azure.html) 1. Sous **Enregistrement de l'application > ***your-application-name*** > Authentification**, ajoutez **Application mobile et de bureau**. Spécifiez l'URL sous la forme http://localhost/redshift/. 1. Dans la section **Certificat de signature SAML**, choisissez **Télécharger** pour télécharger et enregistrer le fichier XML de métadonnées de fédération à utiliser lorsque vous créez un fournisseur d'identité SAML IAM. Ce fichier est utilisé pour créer l'identité fédérée d'authentification unique. 1. Créez un fournisseur d’identité SAML IAM sur la console IAM. Le document de métadonnées que vous fournissez est le fichier XML de métadonnées de fédération que vous avez enregistré lorsque vous avez configuré Azure Enterprise Application. Pour des étapes détaillées, veuillez consulter la rubrique [Création et gestion d'un fournisseur d'identité IAM (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) dans le *Guide de l'utilisateur IAM*. 1. Créez un rôle IAM pour la fédération SAML 2.0 sur la console IAM. Pour des étapes détaillées, voir [Création d'un rôle pour SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) dans le *Guide de l'utilisateur IAM*. 1. Créez une politique IAM que vous pouvez attacher au rôle IAM que vous avez créé pour la fédération SAML 2.0 sur la console IAM. Pour connaître la marche à suivre en détail, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*. Modifiez la politique suivante (au format JSON) pour votre environnement : + Remplacez la AWS région de votre cluster par`us-west-1`. + Remplacez votre AWS compte par*`123456789012`*. + Remplacez votre identifiant de cluster (ou `*` pour tous les clusters) par *`cluster-identifier`*. + Remplacez votre base de données (ou `*` pour toutes les bases de données) par *`dev`*. + Remplacez *`AROAJ2UCCR6DPCEXAMPLE`* par l'identifiant unique de votre rôle IAM. + Remplacez `example.com` par le domaine de messagerie de votre locataire ou de votre entreprise. + Remplacez *`my_dbgroup`* par le groupe de base de données auquel vous comptez affecter l'utilisateur ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev", "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}", "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier" ], "Condition": { "StringEquals": { "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com" } } }, { "Effect": "Allow", "Action": "redshift:CreateClusterUser", "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}" }, { "Effect": "Allow", "Action": "redshift:JoinGroup", "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup" }, { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "iam:ListRoles" ], "Resource": "*" } ] } ``` Cette politique accorde les autorisations suivantes : + La première section accorde à l'opération d'API `GetClusterCredentials` l'autorisation d'obtenir des informations d'identification temporaires pour le cluster spécifié. Dans cet exemple, la ressource est `cluster-identifier` avec la base de données *`dev`*, dans le compte *`123456789012`* et la région AWS *`us-west-1`*. La clause `${redshift:DbUser}` autorise uniquement les utilisateurs qui correspondent à la valeur `DbUser` spécifiée dans Azure AD à se connecter. + La clause de condition impose que seuls certains utilisateurs obtiennent des informations d'identification temporaires. Il s'agit des utilisateurs sous le rôle spécifié par l'ID unique de rôle *`AROAJ2UCCR6DPCEXAMPLE`* dans le compte IAM identifié par une adresse e-mail dans le domaine de messagerie de votre entreprise. Pour plus d'informations sur le caractère unique IDs, consultez la section [Unique IDs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) dans le *guide de l'utilisateur d'IAM*. Votre configuration avec votre IdP (dans ce cas, Azure AD) détermine la manière dont la clause de condition est écrite. Si l'adresse e-mail de votre employé est `johndoe@example.com`, commencez par définir `${redshift:DbUser}` dans le champ correspondant au nom d'utilisateur de l'employé `johndoe`. Ensuite, pour que cette condition fonctionne, définissez ensuite le champ AWS SAML `RoleSessionName` sur le champ correspondant à l'e-mail de l'employé `johndoe@example.com`. Lorsque vous adoptez cette approche, tenez compte des éléments suivants : + Si vous définissez `${redshift:DbUser}` comme étant l'e-mail de l'employé, supprimez `@example.com` dans l'exemple de fichier JSON pour correspondre à `RoleSessionName`. + Si vous définissez `RoleSessionId` comme étant uniquement le nom d'utilisateur de l'employé, supprimez `@example.com` dans l'exemple pour correspondre à `RoleSessionName`. + Dans l'exemple de fichier JSON, `${redshift:DbUser}` et `RoleSessionName` sont tous deux définis sur l'e-mail de l'employé. Cet exemple de fichier JSON utilise le nom d'utilisateur de base de données Amazon Redshift avec `@example.com` pour connecter l'utilisateur en vue d'accéder au cluster. + La deuxième section accorde l'autorisation de créer un nom `dbuser` dans le cluster spécifié. Dans cet exemple de fichier JSON, la création est limitée à `${redshift:DbUser}`. + La troisième section accorde l'autorisation de spécifier le `dbgroup` qu'un utilisateur peut rejoindre. Dans cet exemple de fichier JSON, un utilisateur peut rejoindre le groupe `my_dbgroup` dans le cluster spécifié. + La quatrième section accorde l'autorisation pour des actions que l'utilisateur peut effectuer sur toutes les ressources. Dans cet exemple JSON, il permet aux utilisateurs d'appeler pour `redshift:DescribeClusters` obtenir des informations sur le cluster, telles que le point de terminaison, AWS la région et le port du cluster. Il permet également aux utilisateurs d'appeler `iam:ListRoles` pour vérifier les rôles qu'un utilisateur peut assumer. ## Étape 2 : configurer JDBC ou ODBC pour l’authentification aux services Azure ------ #### [ JDBC ] **Pour configurer JDBC pour l'authentification à Microsoft Azure AD** + Configurez votre client de base de données pour qu'il se connecte à votre cluster via JDBC à l'aide de votre authentification unique Azure AD. Vous pouvez utiliser n'importe quel client qui utilise un pilote JDBC pour vous connecter à l'aide de l'authentification unique Azure AD ou utiliser un langage comme Java pour vous connecter à l'aide d'un script. Pour plus d'informations sur l'installation et la configuration, consultez [Configuration d’une connexion pour la version 2.x du pilote JDBC pour Amazon Redshift](jdbc20-install.md). Par exemple, vous pouvez utiliser SQLWorkbench/J en tant que client. Lorsque vous configurez SQLWorkbench /J, l'URL de votre base de données utilise le format suivant. ``` jdbc:redshift:iam://cluster-identifier:us-west-1/dev ``` Si vous l'utilisez SQLWorkbench/J en tant que client, suivez les étapes suivantes : 1. Démarrez SQL Workbench/J. Sur la page **Select Connection Profile (Sélectionner un profil de connexion)**, ajoutez un **Profile group (Groupe de profils)** appelé **AzureAuth**. 1. Pour **Connection Profil (Profil de connexion)**, entrez **Azure**. 1. Choisissez **Manage Drivers (Gérer les pilotes)**, puis **Amazon Redshift**. Choisissez l’icône **Open Folder (Ouvrir le dossier)** en regard de **Library (Bibliothèque)**, puis choisissez le fichier JDBC .jar approprié. 1. Dans la page **Select Connection Profile (Sélectionner un profil de connexion)** ajoutez les informations suivantes au profil de connexion : + Pour **User (Utilisateur)**, entrez votre nom d'utilisateur Microsoft Azure. Il s'agit du nom d'utilisateur du compte Microsoft Azure que vous utilisez pour l'authentification unique et qui a la permission du cluster que vous essayez d'utiliser pour vous authentifier. + Pour **Password (Mot de passe)**, entrez votre mot de passe Microsoft Azure. + Pour **Drivers (Pilotes)**, choisissez **Amazon Redshift (com.amazon.redshift.jdbc.Driver)**. + Pour **URL**, entrez **jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name***. 1. Choisissez **Extended Properties (Propriétés étendues)** pour ajouter des informations supplémentaires aux propriétés de connexion comme suit. Pour la configuration de l'authentification unique Azure AD, ajoutez des informations supplémentaires, comme suit : + Pour **plugin\$1name**, entrez **com.amazon.redshift.plugin.AzureCredentialsProvider**. Cette valeur spécifie au pilote d'utiliser l'authentification unique Azure AD comme méthode d'authentification. + Pour **idp\$1tenant**, entrez ***your-idp-tenant***. Utilisé uniquement pour Microsoft Azure AD. Il s’agit du nom du locataire de votre entreprise configuré sur Azure AD. Cette valeur peut être le nom du locataire ou l’ID unique du locataire avec des traits d’union. + Pour **client\$1secret**, entrez ***your-azure-redshift-application-client-secret***. Utilisé uniquement pour Microsoft Azure AD. Il s'agit du secret client de l'application Amazon Redshift que vous avez créé lors de la définition de votre configuration d'authentification unique Azure. Cela ne s'applique qu'au com.amazon.redshift.plugin. AzureCredentialsProviderplugin. + Pour **client\$1id**, entrez ***your-azure-redshift-application-client-id***. Utilisé uniquement pour Microsoft Azure AD. Il s'agit de l'ID client (avec des traits d'union) de l'application Amazon Redshift que vous avez créé lors de la définition de votre configuration d'authentification unique Azure. Pour la configuration de l'authentification unique Azure AD avec MFA, ajoutez des informations supplémentaires aux propriétés de connexion, comme suit : + Pour **plugin\$1name**, entrez **com.amazon.redshift.plugin.BrowserAzureCredentialsProvider**. Cette valeur spécifie au pilote d'utiliser l'authentification unique Azure AD avec MFA comme méthode d'authentification. + Pour **idp\$1tenant**, entrez ***your-idp-tenant***. Utilisé uniquement pour Microsoft Azure AD. Il s’agit du nom du locataire de votre entreprise configuré sur Azure AD. Cette valeur peut être le nom du locataire ou l’ID unique du locataire avec des traits d’union. + Pour **client\$1id**, entrez ***your-azure-redshift-application-client-id***. This option is used only for Microsoft Azure AD. Il s'agit de l'ID client (avec des traits d'union) de l'application Amazon Redshift que vous avez créé lors de la définition de votre configuration d'authentification unique Azure AD avec MFA. + Pour **listen\$1port**, entrez ***your-listen-port***. C’est le port que le serveur local écoute. La valeur par défaut est 7890. + Pour **idp\$1response\$1timeout**, entrez ***the-number-of-seconds***. Il s’agit du nombre de secondes à attendre avant l’expiration lorsque le serveur IdP renvoie une réponse. Le nombre minimum de secondes doit être de 10. Si l’établissement de la connexion dépasse ce seuil, la connexion est abandonnée. ------ #### [ ODBC ] **Pour configurer ODBC pour l'authentification à Microsoft Azure AD** + Configurez votre client de base de données pour qu'il se connecte à votre cluster via ODBC à l'aide de votre authentification unique Azure AD. Amazon Redshift fournit des pilotes ODBC pour les systèmes d'exploitation Linux, Windows et macOS. Avant d’installer un pilote ODBC, déterminez si votre outil client SQL est en 32 bits ou en 64 bits. Installez le pilote ODBC qui correspond aux exigences de votre outil client SQL. Sous Windows, dans la page **Amazon Redshift ODBC Driver DSN Setup (Configuration DSN du pilote ODBC Amazon Redshift)**, sous **Connection Settings (Paramètres de connexion)**, entrez les informations suivantes : + Pour **Data Source Name (Nom de la source de données)**, entrez ***your-DSN***. Cela indique le nom de la source de données utilisé comme nom de profil ODBC. + Pour **Auth type** (Type d'authentification) de la configuration d'authentification unique Azure AD, choisissez **Identity Provider: Azure AD**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Azure. + Pour **Auth type** (Type d'authentification) de la configuration d'authentification unique Azure AD avec MFA, choisissez **Identity Provider: Browser Azure AD**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Azure avec MFA. + Pour **Cluster ID (ID de cluster)**, entrez ***your-cluster-identifier***. + Pour **Region (Région)**, entrez ***your-cluster-region***. + Pour **Database (Base de données)**, entrez ***your-database-name***. + Pour **Utilisateur**, entrez ***your-azure-username***. Il s'agit du nom d'utilisateur du compte Microsoft Azure que vous utilisez pour l'authentification unique et qui a la permission du cluster que vous essayez d'utiliser pour vous authentifier. Utiliser cette option uniquement lorsque **Type d’authentification** est **Fournisseur d’identité : Azure AD**. + Pour **Mot de passe**, entrez ***your-azure-password***. Utiliser cette option uniquement lorsque **Type d’authentification** est **Fournisseur d’identité : Azure AD**. + Pour **IdP Tenant (Locataire IdP)**, entrez ***your-idp-tenant***. Il s’agit du nom du locataire de votre entreprise configuré sur votre IdP (Azure). Cette valeur peut être le nom du locataire ou l’ID unique du locataire avec des traits d’union. + Pour **Azure Client Secret (Secret client Azure)**, entrez ***your-azure-redshift-application-client-secret***. Il s'agit du secret client de l'application Amazon Redshift que vous avez créé lors de la définition de votre configuration d'authentification unique Azure. + Pour **Azure Client ID (ID client Azure)**, entrez ***your-azure-redshift-application-client-id***. Il s'agit de l'ID client (avec des traits d'union) de l'application Amazon Redshift que vous avez créé lors de la définition de votre configuration d'authentification unique Azure. + Pour **Port d’écoute**, entrez ***your-listen-port***. Il s'agit du port d'écoute par défaut que le serveur local écoute. La valeur par défaut est 7890. Cela s'applique uniquement au plugin Navigateur Azure AD. + Pour **Délai de réponse**, entrez ***the-number-of-seconds***. Il s’agit du nombre de secondes à attendre avant l’expiration lorsque le serveur IdP renvoie une réponse. Le nombre minimum de secondes doit être de 10. Si l’établissement de la connexion dépasse ce seuil, la connexion est abandonnée. Cette option s'applique uniquement au plugin du navigateur Azure AD. Sous macOS et Linux, modifiez le fichier `odbc.ini` comme suit : **Note** Toutes les entrées sont insensibles à la casse. + Pour **clusterid**, entrez ***your-cluster-identifier***. Il s'agit du nom du cluster Amazon Redshift qui a été créé. + Pour **region (région)**, entrez ***your-cluster-region***. Il s'agit de la AWS région du cluster Amazon Redshift créé. + Pour **database (base de données)**, entrez ***your-database-name***. Il s'agit du nom de la base de données à laquelle vous essayez d'accéder sur le cluster Amazon Redshift. + Pour **locale (paramètres régionaux)**, entrez **en-us**. Il s’agit de la langue dans laquelle les messages d’erreur s’affichent. + Pour **iam**, entrez **1**. Cette valeur spécifie au pilote de s’authentifier à l’aide des informations d’identification IAM. + Pour **plugin\$1name** de la configuration d'authentification unique Azure AD, entrez **AzureAD**. Cela spécifie au pilote d'utiliser l'authentification unique Azure comme méthode d'authentification. + Pour **plugin\$1name** de la configuration d'authentification unique Azure AD avec MFA, entrez **BrowserAzureAD**. Cela spécifie au pilote d'utiliser l'authentification unique Azure avec MFA comme méthode d'authentification. + Pour **uid**, entrez ***your-azure-username***. Il s'agit du nom d'utilisateur du compte Microsoft Azure que vous utilisez pour l'authentification unique qui a l'autorisation sur le cluster sur lequel vous essayez de vous authentifier. Utilisez ceci uniquement lorsque **plugin\$1name** est **AzureAD**. + Pour **pwd**, entrez ***your-azure-password***. Utilisez ceci uniquement lorsque **plugin\$1name** est **AzureAD**. + Pour **idp\$1tenant**, entrez ***your-idp-tenant***. Il s’agit du nom du locataire de votre entreprise configuré sur votre IdP (Azure). Cette valeur peut être le nom du locataire ou l’ID unique du locataire avec des traits d’union. + Pour **client\$1secret**, entrez ***your-azure-redshift-application-client-secret***. Il s'agit du secret client de l'application Amazon Redshift que vous avez créé lors de la définition de votre configuration d'authentification unique Azure. + Pour **client\$1id**, entrez ***your-azure-redshift-application-client-id***. Il s'agit de l'ID client (avec des traits d'union) de l'application Amazon Redshift que vous avez créé lors de la définition de votre configuration d'authentification unique Azure. + Pour **listen\$1port**, entrez ***your-listen-port***. C’est le port que le serveur local écoute. La valeur par défaut est 7890. Cela s'applique au plugin Navigateur Azure AD. + Pour **idp\$1response\$1timeout**, entrez ***the-number-of-seconds***. Il s'agit de la période spécifiée en secondes pour attendre la réponse d'Azure. Cette option s'applique au plugin du navigateur Azure AD. Sous mac OS et Linux, modifiez également les paramètres de profil pour ajouter les exportations suivantes. ``` export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini ``` ``` export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini ``` ------ ## Résolution des problèmes Pour résoudre les problèmes liés au plugin Browser Azure AD, tenez compte de ce qui suit. + Pour utiliser le plugin Browser Azure AD, vous devez définir l'URL de réponse spécifiée dans la demande pour qu'elle corresponde à l'URL de réponse configurée pour votre application. Accédez à la page **Configurer l'authentification unique avec SAML** sur le portail Microsoft Azure. Ensuite, vérifiez que l'**URL de réponse** est définie sur http://localhost/redshift/. + Si vous obtenez une erreur de locataire IdP, vérifiez que le nom du **Locataire IdP** correspond au nom de domaine que vous avez utilisé initialement pour configurer Active Directory dans Microsoft Azure. Sous Windows, accédez à la section **Paramètres de connexion** de la page **Configuration du DSN ODBC d'Amazon Redshift**. Vérifiez ensuite que le nom de locataire de votre société configurée sur votre IdP (Azure) correspond au nom de domaine que vous avez initialement utilisé pour configurer Active Directory dans Microsoft Azure. Sous macOS et Linux, recherchez le fichier *odbc.ini*. Vérifiez ensuite que le nom de locataire de votre société configurée sur votre IdP (Azure) correspond au nom de domaine que vous avez initialement utilisé pour configurer Active Directory dans Microsoft Azure. + Si vous recevez un message d'erreur indiquant que l'URL de réponse spécifiée dans la demande ne correspond pas à la réponse URLs configurée pour votre application, vérifiez que l'URL de **redirection URIs** est identique à l'URL de réponse. Accédez à la page **Enregistrement de l'application** de votre application sur le portail Microsoft Azure. Vérifiez ensuite que la redirection URIs correspond à l'URL de réponse. + Si vous obtenez la réponse inattendue : erreur non autorisée, vérifiez que vous avez terminé la configuration des **Applications mobiles et de bureau**. Accédez à la page **Enregistrement de l'application** de votre application sur le portail Microsoft Azure. Accédez ensuite à **Authentification** et vérifiez que vous avez configuré les **applications mobiles et de bureau** pour utiliser http://localhost/redshift/ comme redirection URIs. # Ping Identity Vous pouvez utiliser Ping Identity comme fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift. Ce didacticiel vous montre comment vous pouvez utiliser Ping Identity en tant que fournisseur d’identité (IdP) pour accéder à votre cluster Amazon Redshift. ## Étape 1 : Configurez Ping Identity et votre AWS compte pour qu'ils se fassent mutuellement confiance La procédure suivante décrit comment configurer une relation de confiance à l'aide du PingOne portail. **Pour configurer Ping Identity et votre AWS compte de manière à ce qu'ils se fassent mutuellement confiance** 1. Créez ou utilisez un cluster Amazon Redshift existant pour que vos utilisateurs Ping Identity puissent se connecter. Pour configurer la connexion, certaines propriétés de ce cluster sont nécessaires, telles que l’identifiant de cluster. Pour de plus amples informations, veuillez consulter [Création d’un cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html). 1. Ajoutez Amazon Redshift en tant que nouvelle application SAML sur le portail. PingOne Pour obtenir des étapes détaillées, consultez la [documentation Ping Identity](https://docs.pingidentity.com/). 1. Accédez à **Mes applications**. 1. Sous **Ajouter une application**, choisissez **Nouvelle application SAML**. 1. Dans **Application Name (Nom de l'application)**, saisissez **Amazon Redshift**. 1. Pour **Version de protocole**, choisissez **SAML v2.0**. 1. Pour **Catégorie**, choisissez ***your-application-category***. 1. Pour **Assertion Consumer Service (ACS)**, tapez ***your-redshift-local-host-url***. Il s'agit de l'hôte local et du port vers lesquels l'assertion SAML redirige. 1. Pour **Entity ID (ID d'entité)**, saisissez `urn:amazon:webservices`. 1. Pour **Signature**, choisissez **Signer l’assertion**. 1. Dans la section **Mappage d'attributs SSO**, créez les réclamations comme indiqué dans le tableau suivant. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/redshift/latest/mgmt/setup-identity-provider-ping.html) 1. Pour **Accès au groupe**, configurez l'accès au groupe suivant, si nécessaire : + **https://aws.amazon.com/SAML/Attributes/Role** + **https://aws.amazon.com/SAML/Attributes/RoleSessionName** + **https://redshift.amazon.com/SAML/Attributes/AutoCreate** + **https://redshift.amazon.com/SAML/Attributes/DbUser** 1. Passez en revue votre configuration et apportez des modifications, si nécessaire. 1. Utilisez **Lancer l'URL d'authentification unique (SSO)** comme URL de connexion pour le plugin du navigateur SAML. 1. Créez un fournisseur d’identité SAML IAM sur la console IAM. Le document de métadonnées que vous fournissez est le fichier XML de métadonnées de fédération que vous avez enregistré lorsque vous avez configuré Ping Identity. Pour des étapes détaillées, veuillez consulter la rubrique [Création et gestion d'un fournisseur d'identité IAM (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) dans le *Guide de l'utilisateur IAM*. 1. Créez un rôle IAM pour la fédération SAML 2.0 sur la console IAM. Pour des étapes détaillées, voir [Création d'un rôle pour SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) dans le *Guide de l'utilisateur IAM*. 1. Créez une politique IAM que vous pouvez attacher au rôle IAM que vous avez créé pour la fédération SAML 2.0 sur la console IAM. Pour connaître la marche à suivre en détail, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*. Pour obtenir un exemple Azure AD, consultez [Configuration de l’authentification unique JDBC ou ODBC](setup-azure-ad-identity-provider.md). ## Étape 2 : configurer JDBC ou ODBC pour l’authentification aux services Ping Identity ------ #### [ JDBC ] **Pour configurer JDBC pour l'authentification auprès de Ping Identity** + Configurez votre client de base de données pour vous connecter à votre cluster via JDBC à l'aide de l'authentification unique Ping Identity. Vous pouvez utiliser n'importe quel client qui utilise un pilote JDBC pour vous connecter à l'aide de l'authentification unique Ping Identity ou utiliser un langage comme Java pour vous connecter à l'aide d'un script. Pour plus d’informations sur l’installation et la configuration, consultez [Configuration d’une connexion pour la version 2.x du pilote JDBC pour Amazon Redshift](jdbc20-install.md). Par exemple, vous pouvez utiliser SQLWorkbench/J en tant que client. Lorsque vous configurez SQLWorkbench /J, l'URL de votre base de données utilise le format suivant. ``` jdbc:redshift:iam://cluster-identifier:us-west-1/dev ``` Si vous l'utilisez SQLWorkbench/J en tant que client, suivez les étapes suivantes : 1. Démarrez SQL Workbench/J. Dans la page **Sélectionner un profil de connexion**, ajoutez un **Groupe de profils**, par exemple **Ping**. 1. Pour **Profil de connexion**, entrez ***your-connection-profile-name***, par exemple **Ping**. 1. Choisissez **Manage Drivers (Gérer les pilotes)**, puis **Amazon Redshift**. Choisissez l’icône **Open Folder (Ouvrir le dossier)** en regard de **Library (Bibliothèque)**, puis choisissez le fichier JDBC .jar approprié. 1. Dans la page **Select Connection Profile (Sélectionner un profil de connexion)** ajoutez les informations suivantes au profil de connexion : + Dans **Utilisateur**, entrez votre nom PingOne d'utilisateur. Il s'agit du nom d'utilisateur du compte PingOne que vous utilisez pour l'authentification unique et qui a la permission du cluster que vous essayez d'utiliser pour vous authentifier. + Dans le **champ Mot de passe**, entrez votre PingOne mot de passe. + Pour **Drivers (Pilotes)**, choisissez **Amazon Redshift (com.amazon.redshift.jdbc.Driver)**. + Pour **URL**, entrez **jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name***. 1. Choisissez **Propriétés étendues** et effectuez l’une des opérations suivantes : + Pour **login\$1url**, entrez ***your-ping-sso-login-url***. Cette valeur indique à l'URL d'utiliser l'authentification unique comme authentification pour se connecter. + Pour Ping Identity, pour **plugin\$1name**, entrez **com.amazon.redshift.plugin.PingCredentialsProvider**. Cette valeur spécifie au pilote d'utiliser l'authentification unique Ping Identity comme méthode d'authentification. + Pour Ping Identity avec l'authentification unique, pour **plugin\$1name**, entrez **com.amazon.redshift.plugin.BrowserSamlCredentialsProvider**. Cette valeur indique au pilote d'utiliser Ping Identity PingOne avec authentification unique comme méthode d'authentification. ------ #### [ ODBC ] **Pour configurer ODBC pour l'authentification à Ping Identity** + Configurez votre client de base de données pour qu'il se connecte à votre cluster via ODBC à l'aide de l'authentification PingOne unique Ping Identity. Amazon Redshift fournit des pilotes ODBC pour les systèmes d’exploitation Linux, Windows et macOS. Avant d’installer un pilote ODBC, déterminez si votre outil client SQL est en 32 bits ou en 64 bits. Installez le pilote ODBC qui correspond aux exigences de votre outil client SQL. Sous Windows, dans la page **Amazon Redshift ODBC Driver DSN Setup (Configuration DSN du pilote ODBC Amazon Redshift)**, sous **Connection Settings (Paramètres de connexion)**, entrez les informations suivantes : + Pour **Data Source Name (Nom de la source de données)**, entrez ***your-DSN***. Cela indique le nom de la source de données utilisé comme nom de profil ODBC. + Pour **Type d’authentification**, effectuez l’une des actions suivantes : + Pour la configuration de Ping Identity, choisissez **Fournisseur d'identité : Ping Federate**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Ping Identity. + Pour la configuration de Ping Identity avec l'authentification unique, choisissez **Identity Provider: Browser SAML** (Fournisseur d'identité : navigateur SAML). Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de Ping Identity avec l'authentification unique. + Pour **Cluster ID (ID de cluster)**, entrez ***your-cluster-identifier***. + Pour **Region (Région)**, entrez ***your-cluster-region***. + Pour **Database (Base de données)**, entrez ***your-database-name***. + Pour **Utilisateur**, entrez ***your-ping-username***. Il s'agit du nom d'utilisateur du PingOne compte que vous utilisez pour l'authentification unique qui est autorisé à accéder au cluster à l'aide duquel vous essayez de vous authentifier. Utilisez-le uniquement pour le **type d'authentification** est le **fournisseur d'identité : PingFederate**. + Pour **Mot de passe**, entrez ***your-ping-password***. Utilisez-le uniquement pour le **type d'authentification** est le **fournisseur d'identité : PingFederate**. + Pour **Port d’écoute**, entrez ***your-listen-port***. C’est le port que le serveur local écoute. La valeur par défaut est 7890. Ceci s'applique uniquement au plugin du navigateur SAML. + Pour **Délai de réponse**, entrez ***the-number-of-seconds***. Il s’agit du nombre de secondes à attendre avant l’expiration lorsque le serveur IdP renvoie une réponse. Le nombre minimum de secondes doit être de 10. Si l’établissement de la connexion dépasse ce seuil, la connexion est abandonnée. Ceci s'applique uniquement au plugin du navigateur SAML. + Pour **URL de connexion**, entrez ***your-login-url***. Ceci s'applique uniquement au plugin du navigateur SAML. Sous macOS et Linux, modifiez le fichier `odbc.ini` comme suit : **Note** Toutes les entrées sont insensibles à la casse. + Pour **clusterid**, entrez ***your-cluster-identifier***. Il s'agit du nom du cluster Amazon Redshift qui a été créé. + Pour **region (région)**, entrez ***your-cluster-region***. Il s'agit de la AWS région du cluster Amazon Redshift créé. + Pour **database (base de données)**, entrez ***your-database-name***. Il s'agit du nom de la base de données à laquelle vous essayez d'accéder sur le cluster Amazon Redshift. + Pour **locale (paramètres régionaux)**, entrez **en-us**. Il s’agit de la langue dans laquelle les messages d’erreur s’affichent. + Pour **iam**, entrez **1**. Cette valeur spécifie au pilote de s’authentifier à l’aide des informations d’identification IAM. + Pour **plugin\$1name**, effectuez l’une des opérations suivantes : + Pour la configuration de Ping Identity, entrez **BrowserSAML**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier auprès de Ping Identity. + Pour la configuration de Ping Identity avec l'authentification unique, entrez **Ping**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de Ping Identity avec l'authentification unique. + Pour **uid**, entrez ***your-ping-username***. Il s’agit du nom d’utilisateur du compte Microsoft Azure que vous utilisez pour l’authentification unique qui a l’autorisation sur le cluster sur lequel vous essayez de vous authentifier. Utilisez ceci uniquement lorsque **plugin\$1name** est **Ping**. + Pour **pwd**, entrez ***your-ping-password***. Utilisez ceci uniquement lorsque **plugin\$1name** est **Ping**. + Pour **login\$1url**, entrez ***your-login-url***. Il s'agit de l'URL de lancement de l'authentification unique qui renvoie la réponse SAML. Ceci s’applique uniquement au plugin du navigateur SAML. + Pour **idp\$1response\$1timeout**, entrez ***the-number-of-seconds***. Il s'agit du délai spécifié en secondes pour attendre la réponse d' PingOne Identity. Ceci s’applique uniquement au plugin du navigateur SAML. + Pour **listen\$1port**, entrez ***your-listen-port***. C’est le port que le serveur local écoute. La valeur par défaut est 7890. Ceci s'applique uniquement au plugin du navigateur SAML. Sous mac OS et Linux, modifiez également les paramètres de profil pour ajouter les exportations suivantes. ``` export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini ``` ``` export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini ``` ------ # Okta Vous pouvez utiliser Okta comme fournisseur d'identité (IdP) pour accéder à votre cluster Amazon Redshift. Ce didacticiel vous montre comment vous pouvez utiliser Okta en tant que fournisseur d’identité (IdP) pour accéder à votre cluster Amazon Redshift. ## Étape 1 : configurez Okta et votre AWS compte pour qu'ils se fassent mutuellement confiance La procédure suivante explique comment configurer une relation d’approbation. **Pour configurer Okta et votre AWS compte de manière à ce qu'ils se fassent mutuellement confiance** 1. Créez ou utilisez un cluster Amazon Redshift existant pour que vos utilisateurs Okta puissent se connecter. Pour configurer la connexion, certaines propriétés de ce cluster sont nécessaires, telles que l’identifiant de cluster. Pour de plus amples informations, veuillez consulter [Création d'un cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html). 1. Ajoutez Amazon Redshift comme nouvelle application sur le portail Okta. Pour les étapes détaillées, consultez la [documentation Okta](https://developer.okta.com/docs/). + Choisissez **Ajouter une application**. + Sous **Ajouter une application**, choisissez **Créer une nouvelle application**. + Dans la page **Créer une nouvelle intégration d'applications**, pour **Plateforme**, choisissez **Web**. + Pour **Méthode de connexion**, choisissez **SAML v2.0**. + Dans la page **Paramètres généraux**, pour **Nom de l'application**, entrez ***your-redshift-saml-sso-name***. Il s'agit du nom de votre application. + Dans la page **Paramètres SAML**, pour **URL d'authentification unique**, entrez ***your-redshift-local-host-url***. Il s'agit de l'hôte local et du port vers lequel l'assertion SAML redirige, par exemple`http://localhost:7890/redshift/` . 1. Utilisez la valeur de l'**URL de connexion unique** comme **URL du destinataire** et **URL de destination**. 1. Pour **Signature**, choisissez **Signer l’assertion**. 1. Pour **URI d'audience (ID d'entité SP)**, entrez **urn:amazon:webservices** pour les réclamations, comme indiqué dans le tableau suivant. 1. Dans la section **Paramètres avancés**, pour **ID d’émetteur SAML**, saisissez ***your-Identity-Provider-Issuer-ID***, que vous pouvez trouver dans la section **Afficher les instructions de configuration**. 1. Dans la section **Instructions d'attribut**, créez les réclamations comme indiqué dans le tableau suivant. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/redshift/latest/mgmt/setup-identity-provider-okta.html) 1. Dans la section **Lien intégré de l'application**, recherchez l'URL que vous pouvez utiliser comme URL de connexion pour le plugin SAML du navigateur. 1. Créez un fournisseur d’identité SAML IAM sur la console IAM. Le document de métadonnées que vous fournissez est le fichier XML de métadonnées de fédération que vous avez enregistré lorsque vous avez configuré Okta. Pour des étapes détaillées, veuillez consulter la rubrique [Création et gestion d'un fournisseur d'identité IAM (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) dans le *Guide de l'utilisateur IAM*. 1. Créez un rôle IAM pour la fédération SAML 2.0 sur la console IAM. Pour des étapes détaillées, voir [Création d'un rôle pour SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) dans le *Guide de l'utilisateur IAM*. 1. Créez une politique IAM que vous pouvez attacher au rôle IAM que vous avez créé pour la fédération SAML 2.0 sur la console IAM. Pour connaître la marche à suivre en détail, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*. Pour obtenir un exemple Azure AD, consultez [Configuration de l’authentification unique JDBC ou ODBC](setup-azure-ad-identity-provider.md). ## Étape 2 : configurer JDBC ou ODBC pour l’authentification aux services Otka ------ #### [ JDBC ] **Pour configurer JDBC pour l'authentification auprès d'Okta** + Configurez votre client de base de données pour qu'il se connecte à votre cluster via JDBC à l'aide de l'authentification unique Okta. Vous pouvez utiliser n'importe quel client qui utilise un pilote JDBC pour vous connecter à l'aide de l'authentification unique Okta ou utiliser un langage comme Java pour vous connecter à l'aide d'un script. Pour plus d’informations sur l’installation et la configuration, consultez [Configuration d’une connexion pour la version 2.x du pilote JDBC pour Amazon Redshift](jdbc20-install.md). Par exemple, vous pouvez utiliser SQLWorkbench/J en tant que client. Lorsque vous configurez SQLWorkbench /J, l'URL de votre base de données utilise le format suivant. ``` jdbc:redshift:iam://cluster-identifier:us-west-1/dev ``` Si vous l'utilisez SQLWorkbench/J en tant que client, suivez les étapes suivantes : 1. Démarrez SQL Workbench/J. Dans la page **Sélectionner un profil de connexion**, ajoutez un **Groupe de profils**, par exemple **Okta**. 1. Pour **Profil de connexion**, entrez ***your-connection-profile-name***, par exemple **Okta**. 1. Choisissez **Manage Drivers (Gérer les pilotes)**, puis **Amazon Redshift**. Choisissez l’icône **Open Folder (Ouvrir le dossier)** en regard de **Library (Bibliothèque)**, puis choisissez le fichier JDBC .jar approprié. 1. Dans la page **Select Connection Profile (Sélectionner un profil de connexion)** ajoutez les informations suivantes au profil de connexion : + Pour **Utilisateur**, entrez votre nom d'utilisateur Okta. Il s'agit du nom d'utilisateur du compte Okta que vous utilisez pour l'authentification unique et qui a la permission du cluster que vous essayez d'utiliser pour vous authentifier. + Pour **Mot de passe**, entrez votre mot de passe Okta. + Pour **Drivers (Pilotes)**, choisissez **Amazon Redshift (com.amazon.redshift.jdbc.Driver)**. + Pour **URL**, entrez **jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name***. 1. Choisissez **Propriétés étendues** et effectuez l’une des opérations suivantes : + Pour **login\$1url**, entrez ***your-okta-sso-login-url***. Cette valeur indique à l'URL d'utiliser l'authentification unique comme authentification pour se connecter à Okta. + Pour l'authentification unique Okta, pour **plugin\$1name**, entrez **com.amazon.redshift.plugin.OktaCredentialsProvider**. Cette valeur spécifie au pilote d'utiliser l'authentification unique Okta comme méthode d'authentification. + Pour l'authentification unique Okta avec MFA, pour **plugin\$1name**, entrez **com.amazon.redshift.plugin.BrowserSamlCredentialsProvider**. Cette valeur spécifie au pilote d'utiliser l'authentification unique Okta avec MFA comme méthode d'authentification. ------ #### [ ODBC ] **Pour configurer ODBC pour l'authentification auprès d'Okta** + Configurez votre client de base de données pour qu'il se connecte à votre cluster via ODBC à l'aide de l'authentification unique Okta. Amazon Redshift fournit des pilotes ODBC pour les systèmes d’exploitation Linux, Windows et macOS. Avant d’installer un pilote ODBC, déterminez si votre outil client SQL est en 32 bits ou en 64 bits. Installez le pilote ODBC qui correspond aux exigences de votre outil client SQL. Sous Windows, dans la page **Amazon Redshift ODBC Driver DSN Setup (Configuration DSN du pilote ODBC Amazon Redshift)**, sous **Connection Settings (Paramètres de connexion)**, entrez les informations suivantes : + Pour **Data Source Name (Nom de la source de données)**, entrez ***your-DSN***. Cela indique le nom de la source de données utilisé comme nom de profil ODBC. + Pour **Type d’authentification**, effectuez l’une des actions suivantes : + Pour la configuration de l'authentification unique Okta, choisissez **Identity Provider: Okta**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Okta. + Pour la configuration de l'authentification unique Okta avec MFA, choisissez **Identity Provider: Browser SAML**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Okta avec MFA. + Pour **Cluster ID (ID de cluster)**, entrez ***your-cluster-identifier***. + Pour **Region (Région)**, entrez ***your-cluster-region***. + Pour **Database (Base de données)**, entrez ***your-database-name***. + Pour **Utilisateur**, entrez ***your-okta-username***. Il s'agit du nom d'utilisateur du compte Okta que vous utilisez pour l'authentification unique et qui a la permission d'accéder au cluster que vous essayez d'utiliser pour vous authentifier. Utilisez cette option uniquement si le **Type d’authentification** est **Fournisseur d’identité : Okta**. + Pour **Mot de passe**, entrez ***your-okta-password***. Utilisez cette option uniquement si le **Type d’authentification** est **Fournisseur d’identité : Okta**. Sous macOS et Linux, modifiez le fichier `odbc.ini` comme suit : **Note** Toutes les entrées sont insensibles à la casse. + Pour **clusterid**, entrez ***your-cluster-identifier***. Il s'agit du nom du cluster Amazon Redshift qui a été créé. + Pour **region (région)**, entrez ***your-cluster-region***. Il s'agit de la AWS région du cluster Amazon Redshift créé. + Pour **database (base de données)**, entrez ***your-database-name***. Il s'agit du nom de la base de données à laquelle vous essayez d'accéder sur le cluster Amazon Redshift. + Pour **locale (paramètres régionaux)**, entrez **en-us**. Il s’agit de la langue dans laquelle les messages d’erreur s’affichent. + Pour **iam**, entrez **1**. Cette valeur spécifie au pilote de s’authentifier à l’aide des informations d’identification IAM. + Pour **plugin\$1name**, effectuez l’une des opérations suivantes : + Pour la configuration de l'authentification unique Okta avec MFA, entrez **BrowserSAML**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier via l'authentification unique Okta avec MFA. + Pour la configuration de l'authentification unique Okta, entrez **Okta**. Il s'agit de la méthode d'authentification utilisée par le pilote ODBC pour s'authentifier à l'aide de l'authentification unique Okta. + Pour **uid**, entrez ***your-okta-username***. Il s'agit du nom d'utilisateur du compte Okta que vous utilisez pour l'authentification unique qui a l'autorisation d'accéder au cluster sur lequel vous essayez de vous authentifier. Utilisez ceci uniquement lorsque **plugin\$1name** est **Okta**. + Pour **pwd**, entrez ***your-okta-password***. Utilisez ceci uniquement lorsque **plugin\$1name** est **Okta**. + Pour **login\$1url**, entrez ***your-login-url***. Il s'agit de l'URL de lancement de l'authentification unique qui renvoie la réponse SAML. Ceci s’applique uniquement au plugin du navigateur SAML. + Pour **idp\$1response\$1timeout**, entrez ***the-number-of-seconds***. Il s'agit de la durée spécifiée en secondes pour attendre une réponse PingOne. Ceci s’applique uniquement au plugin du navigateur SAML. + Pour **listen\$1port**, entrez ***your-listen-port***. C’est le port que le serveur local écoute. La valeur par défaut est 7890. Ceci s'applique uniquement au plugin du navigateur SAML. Sous mac OS et Linux, modifiez également les paramètres de profil pour ajouter les exportations suivantes. ``` export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini ``` ``` export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini ``` ------