Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kredensi propagasi identitas tepercaya peramban
Jenis otentikasi ini memungkinkan Anda untuk mengambil token web JSON baru (JWT) dari penyedia identitas eksternal dan mengautentikasi dengan Athena. Anda dapat menggunakan plugin ini, untuk mengaktifkan dukungan untuk identitas perusahaan melalui propagasi identitas tepercaya. Untuk informasi selengkapnya tentang cara menggunakan propagasi identitas tepercaya dengan driver, lihatGunakan propagasi identitas Tepercaya dengan driver Amazon Athena. Anda juga dapat mengonfigurasi dan menyebarkan sumber daya menggunakan CloudFormation.
Dengan propagasi identitas tepercaya, konteks identitas ditambahkan ke peran IAM untuk mengidentifikasi pengguna yang meminta akses ke sumber daya. AWS Untuk informasi tentang mengaktifkan dan menggunakan propagasi identitas tepercaya, lihat Apa itu propagasi identitas tepercaya? .
catatan
Plugin ini dirancang khusus untuk lingkungan desktop pengguna tunggal. Dalam lingkungan bersama seperti Windows Server, administrator sistem bertanggung jawab untuk menetapkan dan memelihara batas-batas keamanan antar pengguna.
Jenis autentikasi
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| AuthenticationType | Diperlukan | none |
AuthenticationType=BrowserOidcTip; |
URL konfigurasi IDP terkenal
URL Konfigurasi yang Dikenal IDP adalah titik akhir yang menyediakan detail konfigurasi OpenID Connect untuk penyedia identitas Anda. URL ini biasanya diakhiri dengan .well-known/openid-configuration dan berisi metadata penting tentang titik akhir otentikasi, fitur yang didukung, dan kunci penandatanganan token. Misalnya, jika Anda menggunakan Okta, URL mungkin terlihat sepertihttps://your-domain.okta.com/.well-known/openid-configuration.
Untuk pemecahan masalah: Jika Anda menerima kesalahan koneksi, verifikasi bahwa URL ini dapat diakses dari jaringan Anda dan mengembalikan konfigurasi OpenID Connect JSON yang valid. URL harus dapat dijangkau oleh klien tempat driver diinstal dan harus disediakan oleh administrator penyedia identitas Anda.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| IdpWellKnownConfigurationUrl | Diperlukan | none |
IdpWellKnownConfigurationUrl=https://<your-domain>/.well-known/openid-configuration; |
Pengidentifikasi Klien
Pengenal klien yang dikeluarkan untuk aplikasi oleh penyedia OpenID Connect.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| client_id | Diperlukan | none |
client_id=00001111-aaaa-2222-bbbb-3333cccc4444; |
Kelompok Kerja ARN
Nama Sumber Daya Amazon (ARN) dari workgroup Amazon Athena yang berisi tag konfigurasi propagasi identitas tepercaya. Untuk informasi selengkapnya tentang kelompok kerja, lihat WorkGroup.
catatan
Parameter ini berbeda dari Workgroup parameter yang menentukan di mana query akan berjalan. Anda harus mengatur kedua parameter:
-
WorkgroupArn- Menunjuk ke workgroup yang berisi tag konfigurasi propagasi identitas tepercaya -
Workgroup- Menentukan workgroup di mana query akan mengeksekusi
Meskipun ini biasanya merujuk pada kelompok kerja yang sama, kedua parameter harus ditetapkan secara eksplisit untuk operasi yang benar.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| WorkGroupArn | Diperlukan | none |
WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
Peran aplikasi JWT ARN
ARN dari peran yang akan diasumsikan dalam pertukaran JWT. Peran ini digunakan untuk pertukaran JWT, mendapatkan ARN aplikasi yang dikelola pelanggan IAM Identity Center melalui tag workgroup, dan mendapatkan ARN peran akses. Untuk informasi selengkapnya tentang mengambil peran, lihat AssumeRole.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| ApplicationRoleArn | Diperlukan | none |
ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
Nama sesi peran
Nama untuk sesi IAM. Ini bisa apa saja yang Anda suka, tetapi biasanya Anda melewati nama atau pengenal yang terkait dengan pengguna yang menggunakan aplikasi Anda. Dengan begitu, kredenal keamanan sementara yang akan digunakan aplikasi Anda terkait dengan pengguna tersebut.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| role_session_name | Diperlukan | none |
role_session_name=familiarname; |
Rahasia klien
Rahasia klien adalah kunci rahasia yang dikeluarkan oleh penyedia identitas Anda yang digunakan untuk mengautentikasi aplikasi Anda. Meskipun parameter ini opsional dan mungkin tidak diperlukan untuk semua aliran otentikasi, parameter ini memberikan lapisan keamanan tambahan saat digunakan. Jika konfigurasi IDP Anda memerlukan rahasia klien, Anda harus menyertakan parameter ini dengan nilai yang diberikan oleh administrator penyedia identitas Anda.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| client_secret | Opsional | none |
client_secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;! |
Lingkup
Cakupan menentukan tingkat akses yang diminta aplikasi Anda dari penyedia identitas. Anda harus menyertakan openid dalam ruang lingkup untuk menerima token ID yang berisi klaim identitas pengguna penting. Cakupan Anda mungkin perlu menyertakan izin tambahan seperti email atauprofile, tergantung pada pengguna mana yang mengklaim penyedia identitas Anda (seperti ID Microsoft Entra) yang dikonfigurasi untuk disertakan dalam token ID. Klaim ini penting untuk pemetaan Propagasi Identitas Tepercaya yang tepat. Jika pemetaan identitas pengguna gagal, verifikasi bahwa cakupan Anda mencakup semua izin yang diperlukan dan penyedia identitas Anda dikonfigurasi untuk menyertakan klaim yang diperlukan dalam token ID. Klaim ini harus sesuai dengan konfigurasi pemetaan Penerbit Token Tepercaya Anda di Pusat Identitas IAM.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| Lingkup | Opsional | openid email offline_access |
Scope=openid email; |
Durasi sesi
Durasi, dalam hitungan detik, dari sesi peran. Untuk informasi selengkapnya, lihat AssumeRoleWithWebIdentity.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| durasi | Opsional | 3600 |
duration=900; |
Peran akses JWT ARN
ARN dari peran yang diasumsikan Athena untuk melakukan panggilan atas nama Anda. Untuk informasi selengkapnya tentang mengasumsikan peran, lihat AssumeRoledi Referensi AWS Security Token Service API.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| AccessRoleArn | Opsional | none |
AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
ARN aplikasi terkelola pelanggan IAM Identity Center
Pelanggan ARN IAM Identity Center mengelola aplikasi IDC. Untuk informasi selengkapnya tentang Aplikasi yang Dikelola Pelanggan, lihat aplikasi yang dikelola pelanggan.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| CustomerIdcApplicationArn | Opsional | none |
CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
Nomor port penyedia identitas
Nomor port lokal yang akan digunakan untuk server callback OAuth 2.0. Ini digunakan sebagai redirect_uri dan Anda harus mengizinkan daftar ini di aplikasi IDP Anda. Redirect_uri default yang dihasilkan adalah: http://localhost:7890/athena
Awas
Di lingkungan bersama seperti Server Terminal Windows atau Layanan Desktop Jarak Jauh, port loopback (default: 7890) dibagikan di antara semua pengguna di mesin yang sama. Administrator sistem dapat mengurangi potensi risiko pembajakan port dengan:
-
Mengkonfigurasi nomor port yang berbeda untuk grup pengguna yang berbeda
-
Menggunakan kebijakan keamanan Windows untuk membatasi akses port
-
Menerapkan isolasi jaringan antar sesi pengguna
Jika kontrol keamanan ini tidak dapat diterapkan, sebaiknya gunakan plugin propagasi identitas tepercaya JWT, yang tidak memerlukan port loopback.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| listen_port | Opsional | 7890 |
listen_port=8080; |
Batas waktu respons penyedia identitas
Batas waktu dalam hitungan detik untuk menunggu respons callback OAuth 2.0.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| IdpResponseTimeout | Opsional | 120 |
IdpResponseTimeout=140; |
Aktifkan cache file
JwtTipFileCache Parameter menentukan apakah driver menyimpan token otentikasi antar koneksi. Pengaturan JwtTipFileCache ke true mengurangi permintaan otentikasi dan meningkatkan pengalaman pengguna, tetapi harus digunakan dengan hati-hati. Pengaturan ini paling cocok untuk lingkungan desktop pengguna tunggal. Di lingkungan bersama seperti Windows Server, disarankan untuk menonaktifkan ini untuk mencegah potensi berbagi token antara pengguna dengan string koneksi serupa.
Untuk penerapan perusahaan yang menggunakan alat seperti PowerBI Server, sebaiknya gunakan plugin propagasi identitas tepercaya JWT alih-alih metode otentikasi ini.
| Nama string koneksi | Jenis parameter | Nilai default | Contoh string koneksi |
|---|---|---|---|
| JwtTipFileCache | Opsional | 0 |
JwtTipFileCache=1; |
