Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai Patch 198. Python yang ada UDFs akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat [posting blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Opsi untuk memberikan kredensi IAM
Untuk memberikan kredensyal IAM untuk koneksi JDBC atau ODBC, pilih salah satu opsi berikut.
+ **AWS profil**
Sebagai alternatif untuk memberikan nilai kredensil dalam bentuk pengaturan JDBC atau ODBC, Anda dapat menempatkan nilai dalam profil bernama. Untuk informasi selengkapnya, lihat [Menggunakan profil konfigurasi](#using-configuration-profile).
+ **Kredensi IAM**
Berikan nilai untuk AccessKey ID, SecretAccessKey, dan, secara opsional, SessionToken dalam bentuk pengaturan JDBC atau ODBC. SessionToken diperlukan hanya untuk peran IAM dengan kredensyal sementara. Untuk informasi selengkapnya, lihat [Opsi JDBC dan ODBC untuk menyediakan kredensil IAM](#jdbc-options-for-providing-iam-credentials).
+ **Federasi penyedia identitas**
Saat Anda menggunakan federasi penyedia identitas untuk mengaktifkan pengguna dari penyedia identitas untuk mengautentikasi ke Amazon Redshift, tentukan nama plugin penyedia kredensi. Untuk informasi selengkapnya, lihat [Plugin penyedia kredensial](#using-credentials-provider-plugin).
Driver Amazon Redshift JDBC dan ODBC menyertakan plugin untuk penyedia kredensi federasi identitas berbasis SAMP berikut:
+ Layanan Federasi Identitas Aktif Microsoft (AD FS)
+ PingOne
+ Okta
+ Microsoft Azure Active Directory (Azure AD)
Anda dapat memberikan nama plugin dan nilai terkait dalam bentuk pengaturan JDBC atau ODBC atau dengan menggunakan profil. Untuk informasi selengkapnya, lihat [Opsi untuk konfigurasi driver JDBC versi 2.x](jdbc20-configuration-options.md).
Untuk informasi selengkapnya, lihat [Langkah 5: Konfigurasikan koneksi JDBC atau ODBC untuk menggunakan kredensil IAM](generating-iam-credentials-steps.md#generating-iam-credentials-configure-jdbc-odbc).
## Menggunakan profil konfigurasi
Anda dapat menyediakan opsi dan `GetClusterCredentials` opsi kredensi IAM sebagai pengaturan dalam profil bernama di file konfigurasi Anda AWS . Untuk memberikan nama profil, gunakan opsi Profil JDBC. Konfigurasi disimpan dalam file bernama `config` atau file bernama `credentials` dalam folder bernama `.aws` di direktori home Anda.
Untuk plugin penyedia kredensi berbasis SAMP yang disertakan dengan driver Amazon Redshift JDBC atau ODBC, Anda dapat menggunakan pengaturan yang dijelaskan sebelumnya. [Plugin penyedia kredensial](#using-credentials-provider-plugin) Jika `plugin_name` tidak digunakan, opsi lain diabaikan.
Contoh berikut menunjukkan file \$1/.aws/credentials dengan dua profil.
```
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
[user2]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
session_token=AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQWLWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
+scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==
```
Untuk menggunakan kredensyal `user2` sebagai contoh, tentukan `Profile=user2` di URL JDBC.
Untuk informasi selengkapnya tentang penggunaan profil, lihat [Pengaturan konfigurasi dan file kredensi](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) di *Panduan AWS Command Line Interface Pengguna*.
Untuk informasi selengkapnya tentang penggunaan profil untuk driver JDBC, lihat. [Menentukan profil](jdbc20-configure-authentication-ssl.md#jdbc20-aws-credentials-profiles)
Untuk informasi selengkapnya tentang penggunaan profil untuk driver ODBC, lihat[Metode autentikasi](odbc20-authentication-ssl.md).
## Opsi JDBC dan ODBC untuk menyediakan kredensil IAM
Tabel berikut mencantumkan opsi JDBC dan ODBC untuk menyediakan kredensil IAM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/options-for-providing-iam-credentials.html)
## Opsi JDBC dan ODBC untuk membuat kredensi pengguna basis data
Untuk menggunakan driver Amazon Redshift JDBC atau ODBC untuk membuat kredenal pengguna database, berikan nama pengguna database sebagai opsi JDBC atau ODBC. Secara opsional, Anda dapat meminta driver membuat pengguna database baru jika tidak ada, dan Anda dapat menentukan daftar grup pengguna database yang bergabung dengan pengguna saat login.
Jika Anda menggunakan penyedia identitas (iDP), bekerjalah dengan administrator iDP Anda untuk menentukan nilai yang benar untuk opsi ini. Administrator iDP Anda juga dapat mengonfigurasi iDP Anda untuk menyediakan opsi ini, dalam hal ini Anda tidak perlu menyediakannya sebagai opsi JDBC atau ODBC. Untuk informasi selengkapnya, lihat [Langkah 2: Konfigurasikan pernyataan SAMP untuk IDP Anda](generating-iam-credentials-steps.md#configuring-saml-assertions).
**catatan**
Jika Anda menggunakan variabel kebijakan IAM`${redshift:DbUser}`, seperti yang dijelaskan dalam [Kebijakan sumber daya untuk GetClusterCredentials](redshift-iam-access-control-identity-based.md#redshift-policy-resources.getclustercredentials-resources) nilai for `DbUser` diganti dengan nilai yang diambil oleh konteks permintaan operasi API. Driver Amazon Redshift menggunakan nilai untuk `DbUser` variabel yang disediakan oleh URL koneksi, bukan nilai yang diberikan sebagai atribut SAMP.
Untuk membantu mengamankan konfigurasi ini, kami sarankan Anda menggunakan kondisi dalam kebijakan IAM untuk memvalidasi `DbUser` nilai dengan. `RoleSessionName` Anda dapat menemukan contoh cara menyetel kondisi menggunakan kebijakan IAM di[Contoh 8: Kebijakan IAM untuk menggunakan GetClusterCredentials](redshift-iam-access-control-identity-based.md#redshift-policy-examples-getclustercredentials).
Tabel berikut mencantumkan opsi untuk membuat kredensi pengguna database.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/options-for-providing-iam-credentials.html)
## Plugin penyedia kredensial
Amazon Redshift menggunakan plugin penyedia kredensial untuk autentikasi masuk tunggal.
Untuk mendukung otentikasi masuk tunggal, Amazon Redshift menyediakan plugin Azure AD untuk Microsoft Azure Active Directory. Untuk informasi tentang cara mengkonfigurasi plugin ini, lihat[Menyiapkan otentikasi masuk tunggal JDBC atau ODBC](setup-azure-ad-identity-provider.md).
### Otentikasi multi-faktor
Untuk mendukung otentikasi multi-faktor (MFA), Amazon Redshift menyediakan plugin berbasis browser. Gunakan plugin SAMP browser untuk Okta PingOne, dan plugin Azure AD browser untuk Microsoft Azure Active Directory.
Dengan plugin SAMP browser, OAuth otentikasi mengalir seperti ini:
![\[OAuth alur kerja untuk bagaimana plugin, server lokal, browser web, dan titik akhir bekerja sama untuk mengautentikasi pengguna dengan otentikasi SAMP.\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/images/BrowserSAML_plugin.png)
1. Seorang pengguna mencoba masuk.
1. Plugin meluncurkan server lokal untuk mendengarkan koneksi masuk di localhost.
1. Plugin ini meluncurkan browser web untuk meminta respons SAMP melalui HTTPS dari titik akhir penyedia identitas federasi URL login masuk tunggal yang ditentukan.
1. Browser web mengikuti tautan dan meminta pengguna untuk memasukkan kredensyal.
1. Setelah pengguna mengautentikasi dan memberikan persetujuan, titik akhir penyedia identitas federasi mengembalikan respons SAMP melalui HTTPS ke URI yang ditunjukkan oleh. `redirect_uri`
1. Browser web memindahkan pesan respons dengan respons SAMP ke yang ditunjukkan`redirect_uri`.
1. Server lokal menerima koneksi masuk dan plugin mengambil respons SAMP dan meneruskannya ke Amazon Redshift.
Dengan plugin browser Azure AD, otentikasi SAMP mengalir seperti ini:
![\[Alur kerja Azure untuk bagaimana plugin, server lokal, browser web, dan titik akhir bekerja sama untuk mengautentikasi pengguna dengan otentikasi SAMP.\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/images/BrowserAzure_plugin.png)
1. Seorang pengguna mencoba masuk.
1. Plugin meluncurkan server lokal untuk mendengarkan koneksi masuk di localhost.
1. Plugin meluncurkan browser web untuk meminta kode otorisasi dari titik akhir Azure AD. `oauth2/authorize`
1. Browser web mengikuti tautan yang dihasilkan melalui HTTPS dan meminta pengguna untuk memasukkan kredensyal. Tautan dihasilkan menggunakan properti konfigurasi, seperti tenant dan client\$1id.
1. Setelah pengguna mengautentikasi dan memberikan persetujuan, `oauth2/authorize` titik akhir Azure AD mengembalikan dan mengirimkan respons melalui HTTPS dengan kode otorisasi ke yang ditunjukkan. `redirect_uri`
1. Browser web memindahkan pesan respons dengan respons SAMP ke yang ditunjukkan`redirect_uri`.
1. Server lokal menerima koneksi masuk dan permintaan plugin dan mengambil kode otorisasi dan mengirimkan permintaan POST ke titik akhir Azure AD. `oauth2/token`
1. `oauth2/token`Titik akhir Azure AD mengembalikan respons dengan token akses ke yang ditunjukkan. `redirect_uri`
1. Plugin mengambil respons SAMP dan meneruskannya ke Amazon Redshift.
Lihat bagian berikut:
+ Microsoft Active Directory Federation Services (AD FS)
Untuk informasi selengkapnya, lihat [Menyiapkan otentikasi masuk tunggal JDBC atau ODBC](setup-azure-ad-identity-provider.md).
+ PingOne (Ping)
Ping hanya didukung dengan Adaptor PingOne iDP yang telah ditentukan menggunakan otentikasi Formulir.
Untuk informasi selengkapnya, lihat [Menyiapkan otentikasi masuk tunggal JDBC atau ODBC](setup-azure-ad-identity-provider.md).
+ Okta
Okta hanya didukung untuk aplikasi yang disediakan Okta yang digunakan dengan. Konsol Manajemen AWS
Untuk informasi selengkapnya, lihat [Menyiapkan otentikasi masuk tunggal JDBC atau ODBC](setup-azure-ad-identity-provider.md).
+ Direktori Aktif Microsoft Azure
Untuk informasi selengkapnya, lihat [Menyiapkan otentikasi masuk tunggal JDBC atau ODBC](setup-azure-ad-identity-provider.md).
### Opsi plugin
Untuk menggunakan plugin penyedia kredensial berbasis SAML, tentukan opsi berikut menggunakan opsi JDBC atau ODBC atau dalam profil bernama. Jika `plugin_name` tidak ditentukan, opsi lain diabaikan.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/options-for-providing-iam-credentials.html)
# Membuat kredensyal database untuk identitas IAM menggunakan Amazon Redshift CLI atau API
Untuk menghasilkan kredenal pengguna database sementara secara terprogram, Amazon Redshift menyediakan [get-cluster-credentials](https://docs.aws.amazon.com/cli/latest/reference/redshift/get-cluster-credentials.html)perintah untuk AWS Command Line Interface ()AWS CLI dan operasi API. [GetClusterCredentials](https://docs.aws.amazon.com/redshift/latest/APIReference/API_GetClusterCredentials.html) Atau Anda dapat mengonfigurasi klien SQL Anda dengan driver Amazon Redshift JDBC atau ODBC yang mengelola proses pemanggilan `GetClusterCredentials` operasi, mengambil kredensi pengguna database, dan membuat koneksi antara klien SQL Anda dan database Amazon Redshift Anda. Untuk informasi selengkapnya, lihat [Opsi JDBC dan ODBC untuk membuat kredensi pengguna basis data](options-for-providing-iam-credentials.md#jdbc-and-odbc-options-for-database-credentials).
**catatan**
Sebaiknya gunakan driver Amazon Redshift JDBC atau ODBC untuk menghasilkan kredensi pengguna database.
Di bagian ini, Anda dapat menemukan langkah-langkah untuk memanggil `GetClusterCredentials` operasi atau get-cluster-credentials perintah secara terprogram, mengambil kredensi pengguna database, dan terhubung ke database.
**Untuk menghasilkan dan menggunakan kredensil basis data sementara**
1. Membuat atau memodifikasi pengguna atau peran dengan izin yang diperlukan. Untuk informasi selengkapnya tentang izin IAM, lihat. [Langkah 3: Buat peran IAM dengan izin untuk memanggil GetClusterCredentialsWith IAM atau GetClusterCredentials](generating-iam-credentials-steps.md#generating-iam-credentials-role-permissions)
1. Sebagai pengguna atau peran yang Anda otorisasi pada langkah sebelumnya, jalankan perintah get-cluster-credentials CLI atau panggil operasi `GetClusterCredentials` API dan berikan nilai-nilai berikut:
+ **Cluster identifier** — Nama cluster yang berisi database.
+ **Nama pengguna database** — Nama pengguna database yang sudah ada atau baru.
+ Jika pengguna tidak ada dalam database dan AutoCreate benar, pengguna baru dibuat dengan PASSWORD dinonaktifkan.
+ Jika pengguna tidak ada, dan AutoCreate salah, permintaan gagal.
+ Untuk contoh ini, nama pengguna database adalah`temp_creds_user`.
+ **Autocreate** — (Opsional) Buat pengguna baru jika nama pengguna database tidak ada.
+ **Nama basis data** — (Opsional) Nama database yang diizinkan pengguna untuk masuk. Jika nama database tidak ditentukan, pengguna dapat masuk ke database cluster apa pun.
+ **Grup basis data** — (Opsional) Daftar grup pengguna database yang ada. Setelah login berhasil, pengguna database ditambahkan ke grup pengguna yang ditentukan. Jika tidak ada grup yang ditentukan, pengguna hanya memiliki izin PUBLIK. Nama grup pengguna harus cocok dengan sumber daya dbgroup yang ARNs ditentukan dalam kebijakan IAM yang dilampirkan pada pengguna atau peran.
+ **Waktu kedaluwarsa** — (Opsional) Waktu, dalam hitungan detik, hingga kredensil sementara kedaluwarsa. Anda dapat menentukan nilai antara 900 detik (15 menit) dan 3600 detik (60 menit). Defaultnya adalah 900 detik.
1. Amazon Redshift memverifikasi bahwa pengguna memiliki izin untuk memanggil `GetClusterCredentials` operasi dengan sumber daya yang ditentukan.
1. Amazon Redshift mengembalikan kata sandi sementara dan nama pengguna database.
Contoh berikut menggunakan Amazon Redshift CLI untuk menghasilkan kredenal database sementara untuk pengguna yang sudah ada bernama. `temp_creds_user`
```
aws redshift get-cluster-credentials --cluster-identifier examplecluster --db-user temp_creds_user --db-name exampledb --duration-seconds 3600
```
Hasilnya adalah sebagai berikut.
```
{
"DbUser": "IAM:temp_creds_user",
"Expiration": "2016-12-08T21:12:53Z",
"DbPassword": "EXAMPLEjArE3hcnQj8zt4XQj9Xtma8oxYEM8OyxpDHwXVPyJYBDm/gqX2Eeaq6P3DgTzgPg=="
}
```
Contoh berikut menggunakan Amazon Redshift CLI dengan autocreate untuk menghasilkan kredenal database sementara untuk pengguna baru dan menambahkan pengguna ke grup. `example_group`
```
aws redshift get-cluster-credentials --cluster-identifier examplecluster --db-user temp_creds_user --auto-create --db-name exampledb --db-groups example_group --duration-seconds 3600
```
Hasilnya adalah sebagai berikut.
```
{
"DbUser": "IAMA:temp_creds_user:example_group",
"Expiration": "2016-12-08T21:12:53Z",
"DbPassword": "EXAMPLEjArE3hcnQj8zt4XQj9Xtma8oxYEM8OyxpDHwXVPyJYBDm/gqX2Eeaq6P3DgTzgPg=="
}
```
1. Buat koneksi otentikasi Secure Socket Layer (SSL) dengan cluster Amazon Redshift dan kirim permintaan login dengan nama pengguna dan kata sandi dari respons. `GetClusterCredentials` Sertakan `IAMA:` awalan `IAM:` atau dengan nama pengguna, misalnya `IAM:temp_creds_user` atau`IAMA:temp_creds_user`.
**penting**
Konfigurasikan klien SQL Anda untuk memerlukan SSL. Jika tidak, jika klien SQL Anda secara otomatis mencoba terhubung dengan SSL, itu dapat kembali ke non-SSL jika ada jenis kegagalan. Dalam hal ini, upaya koneksi pertama mungkin gagal karena kredensialnya kedaluwarsa atau tidak valid, maka upaya koneksi kedua gagal karena koneksi tidak SSL. Jika itu terjadi, pesan kesalahan pertama mungkin terlewatkan. Untuk informasi selengkapnya tentang menghubungkan ke klaster menggunakan SSL, lihat[Mengkonfigurasi opsi keamanan untuk koneksi](connecting-ssl-support.md).
1. Jika koneksi tidak menggunakan SSL, upaya koneksi gagal.
1. Cluster mengirimkan `authentication` permintaan ke klien SQL.
1. Klien SQL kemudian mengirimkan kata sandi sementara ke cluster.
1. Jika kata sandi valid dan belum kedaluwarsa, cluster menyelesaikan koneksi.
# Menyiapkan otentikasi masuk tunggal JDBC atau ODBC
Anda dapat memanfaatkan penyedia identitas eksternal (IdPs) untuk mengautentikasi dan mengotorisasi pengguna yang mengakses klaster Amazon Redshift Anda, menyederhanakan manajemen pengguna, dan meningkatkan keamanan. Hal ini memungkinkan manajemen pengguna terpusat, kontrol akses berbasis peran, dan kemampuan audit di berbagai layanan. Kasus penggunaan umum termasuk merampingkan otentikasi untuk beragam grup pengguna, menegakkan kebijakan akses yang konsisten, dan memenuhi persyaratan peraturan.
Halaman-halaman berikut memandu Anda melalui konfigurasi integrasi IDP dengan cluster Redshift Anda. *Untuk informasi selengkapnya tentang mengonfigurasi AWS sebagai penyedia layanan untuk iDP, [lihat Mengonfigurasi IDP SAMP 2.0 Anda dengan Kepercayaan Pihak yang Mengandalkan dan Menambahkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html#saml_relying-party) Klaim di Panduan Pengguna IAM.*
# IKLAN FS
Tutorial ini menunjukkan kepada Anda bagaimana Anda dapat menggunakan AD FS sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda.
## Langkah 1: Siapkan AD FS dan AWS akun Anda untuk saling percaya
Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan.
1. Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna AD FS dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat [Membuat Cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html).
1. Siapkan AD FS untuk mengontrol akses Amazon Redshift di Konsol Manajemen Microsoft:
1. Pilih **ADFS 2.0**, lalu pilih **Add Relying Party** Trust. Pada halaman **Add Relying Party Trust Wizard**, pilih **Mulai**.
1. Pada halaman **Pilih Sumber Data**, pilih **Impor data tentang pihak yang mengandalkan yang dipublikasikan secara online atau di jaringan lokal**.
1. Untuk **alamat metadata Federasi (nama host atau URL), masukkan**. **https://signin.aws.amazon.com/saml-metadata.xml** File XHTML metadata adalah dokumen metadata SAMP standar yang menggambarkan sebagai pihak yang mengandalkan. AWS
1. Pada halaman **Tentukan Nama Tampilan**, masukkan nilai untuk **Nama tampilan**.
1. Pada halaman **Pilih Aturan Otorisasi Penerbitan, pilih aturan** otorisasi penerbitan untuk mengizinkan atau menolak semua pengguna mengakses pihak yang bergantung ini.
1. Pada halaman **Siap Tambah Kepercayaan**, tinjau pengaturan Anda.
1. Pada halaman **Selesai**, pilih **Buka dialog Edit Aturan Klaim untuk kepercayaan pihak yang mengandalkan ini saat wizard ditutup**.
1. Pada menu konteks (klik kanan), pilih **Mengandalkan Perwalian Partai**.
1. Untuk pihak yang Anda andalkan, buka menu konteks (klik kanan) dan pilih **Edit Aturan Klaim**. Pada halaman **Edit Aturan Klaim**, pilih **Tambah Aturan**.
1. Untuk **templat aturan Klaim**, pilih **Ubah Klaim Masuk**, lalu pada NameId halaman **Edit Aturan —**, lakukan hal berikut:
+ Untuk **nama aturan Klaim**, masukkan **NameId**.
+ Untuk **Nama klaim masuk, pilih Nama** **Akun Windows**.
+ Untuk **Nama klaim keluar**, pilih **ID Nama**.
+ Untuk **format ID nama keluar**, pilih **Persistent Identifier**.
+ Pilih **Lewati semua nilai klaim**.
1. Pada halaman **Edit Aturan Klaim**, pilih **Tambah Aturan**. Pada halaman **Pilih Templat Aturan, untuk templat aturan** **Klaim**, pilih **Kirim Atribut LDAP sebagai Klaim**.
1. Pada halaman **Configure Rule**, lakukan hal berikut:
+ Untuk **nama aturan Klaim**, masukkan **RoleSessionName**.
+ Untuk **toko Atribut**, pilih **Active Directory**.
+ Untuk **Atribut LDAP**, pilih **Alamat Email**.
+ Untuk **Jenis Klaim Keluar**, pilih**https://aws.amazon.com/SAML/Attributes/RoleSessionName**.
1. Pada halaman **Edit Aturan Klaim**, pilih **Tambah Aturan**. Pada halaman **Pilih Templat Aturan**, untuk **templat aturan Klaim**, pilih **Kirim Klaim Menggunakan Aturan Kustom**.
1. Pada halaman **Aturan Edit — Dapatkan Grup IKLAN**, untuk **nama aturan Klaim**, masukkan **Dapatkan Grup IKLAN**.
1. Untuk **aturan Kustom**, masukkan yang berikut ini.
```
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"] => add(store = "Active Directory",
types = ("http://temp/variable"), query = ";tokenGroups;{0}",
param = c.Value);
```
1. Pada halaman **Edit Aturan Klaim**, pilih **Tambah Aturan**. Pada halaman **Pilih Templat Aturan**, untuk **templat aturan Klaim**, pilih **Kirim Klaim Menggunakan Aturan Kustom**.
1. Pada halaman **Edit Aturan — Peran**, untuk **nama aturan Klaim**, ketik **Peran**.
1. Untuk **aturan Kustom,** masukkan yang berikut ini.
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
```
Perhatikan penyedia SAFL dan peran yang harus diasumsikan. ARNs Dalam contoh ini, `arn:aws:iam:123456789012:saml-provider/ADFS` adalah ARN dari penyedia SAMP dan merupakan ARN `arn:aws:iam:123456789012:role/ADFS-` dari peran tersebut.
1. Pastikan Anda telah mengunduh `federationmetadata.xml` file tersebut. Periksa apakah isi dokumen tidak memiliki karakter yang tidak valid. Ini adalah file metadata yang Anda gunakan saat mengonfigurasi hubungan kepercayaan. AWS
1. Buat penyedia identitas SALL IAM di konsol IAM. Dokumen metadata. yang Anda berikan adalah file XHTML metadata federasi yang Anda simpan saat Anda menyiapkan Aplikasi Azure Enterprise. Untuk langkah-langkah mendetail, lihat [Membuat dan Mengelola Penyedia Identitas IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) di *Panduan Pengguna IAM*.
1. Buat peran IAM untuk federasi SAMP 2.0 di konsol IAM. Untuk langkah-langkah mendetail, lihat [Membuat Peran untuk SAMP](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) di *Panduan Pengguna IAM*.
1. Buat kebijakan IAM yang dapat Anda lampirkan ke peran IAM yang Anda buat untuk federasi SAMP 2.0 di konsol IAM. Untuk langkah-langkah mendetail, lihat [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*. Untuk contoh Azure AD, lihat[Menyiapkan otentikasi masuk tunggal JDBC atau ODBC](setup-azure-ad-identity-provider.md).
## Langkah 2: Siapkan JDBC atau ODBC untuk otentikasi ke AD FS
------
#### [ JDBC ]
Prosedur berikut menjelaskan cara mengatur hubungan JDBC ke AD FS.
+ Konfigurasikan klien database Anda untuk terhubung ke cluster Anda melalui JDBC menggunakan sistem masuk tunggal AD FS.
Anda dapat menggunakan klien apa pun yang menggunakan driver JDBC untuk terhubung menggunakan sistem masuk tunggal AD FS atau menggunakan bahasa seperti Java untuk terhubung menggunakan skrip. Untuk informasi instalasi dan konfigurasi, lihat[Mengonfigurasi koneksi untuk driver JDBC versi 2.x untuk Amazon Redshift](jdbc20-install.md).
Misalnya, Anda dapat menggunakan SQLWorkbench/J sebagai klien. Ketika Anda mengkonfigurasi SQLWorkbench /J, URL database Anda menggunakan format berikut.
```
jdbc:redshift:iam://cluster-identifier:us-west-1/dev
```
Jika Anda menggunakan SQLWorkbench/J sebagai klien, ambil langkah-langkah berikut:
1. Mulai SQL Workbench/J. Di halaman **Select Connection Profile**, tambahkan **Profil Grup**, misalnya. **ADFS**
1. Untuk **Profil Koneksi**, masukkan nama profil koneksi Anda, misalnya**ADFS**.
1. Pilih **Kelola Driver**, dan pilih **Amazon Redshift**. Pilih ikon **Open Folder** di sebelah **Library**, lalu pilih file JDBC .jar yang sesuai.
1. Pada halaman **Pilih Profil Koneksi**, tambahkan informasi ke profil koneksi sebagai berikut:
+ Untuk **Pengguna**, masukkan nama pengguna AD FS Anda. Ini adalah nama pengguna akun yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi.
+ Untuk **Kata Sandi**, masukkan kata sandi AD FS Anda.
+ Untuk **Driver**, pilih **Amazon Redshift (com.amazon.redshift.jdbc.driver)**.
+ Untuk **URL**, masukkan**jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name***.
1. Pilih **Extended Properties**. Untuk **plugin\$1name**, masukkan. **com.amazon.redshift.plugin.AdfsCredentialsProvider** Nilai ini menentukan driver untuk menggunakan sistem masuk tunggal AD FS sebagai metode otentikasi.
------
#### [ ODBC ]
**Untuk mengatur ODBC untuk otentikasi ke AD FS**
+ Konfigurasikan klien database Anda untuk terhubung ke klaster Anda melalui ODBC menggunakan sistem masuk tunggal AD FS.
Amazon Redshift menyediakan driver ODBC untuk sistem operasi Linux, Windows, dan macOS. Sebelum Anda menginstal driver ODBC, tentukan apakah alat klien SQL Anda 32-bit atau 64-bit. Instal driver ODBC yang sesuai dengan persyaratan alat klien SQL Anda.
Di Windows, di halaman **Pengaturan DSN Driver Amazon Redshift ODBC, di bawah Pengaturan** **Koneksi**, masukkan informasi berikut:
+ Untuk **Nama Sumber Data**, masukkan***your-DSN***. Ini menentukan nama sumber data yang digunakan sebagai nama profil ODBC.
+ Untuk **jenis Auth**, pilih **Penyedia Identitas: SAMP**. Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan sistem masuk tunggal AD FS.
+ Untuk **ID Cluster**, masukkan***your-cluster-identifier***.
+ Untuk **Wilayah**, masukkan***your-cluster-region***.
+ Untuk **Database**, masukkan***your-database-name***.
+ Untuk **Pengguna**, masukkan***your-adfs-username***. Ini adalah nama pengguna untuk akun AD FS yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi. Gunakan ini hanya untuk **jenis Auth** adalah **Penyedia Identitas: SAMP**.
+ Untuk **Kata Sandi**, masukkan***your-adfs-password***. Gunakan ini hanya untuk **jenis Auth** adalah **Penyedia Identitas: SAMP**.
Di macOS dan Linux, edit `odbc.ini` file sebagai berikut:
**catatan**
Semua entri tidak peka huruf besar/kecil.
+ Untuk **clusterid, masukkan**. ***your-cluster-identifier*** Ini adalah nama cluster Amazon Redshift yang dibuat.
+ Untuk **wilayah**, masukkan***your-cluster-region***. Ini adalah AWS Wilayah cluster Amazon Redshift yang dibuat.
+ Untuk **database**, masukkan***your-database-name***. Ini adalah nama database yang Anda coba akses di cluster Amazon Redshift.
+ Untuk **lokal**, masukkan**en-us**. Ini adalah bahasa yang menampilkan pesan kesalahan.
+ Untuk **iam**, masukkan**1**. Nilai ini menentukan driver untuk mengautentikasi menggunakan kredensyal IAM.
+ Untuk **plugin\$1name**, lakukan salah satu hal berikut:
+ Untuk proses masuk tunggal AD FS dengan konfigurasi MFA, masukkan. **BrowserSAML** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi ke AD FS.
+ Untuk konfigurasi masuk tunggal AD FS, masukkan. **ADFS** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan sistem masuk tunggal Azure AD.
+ Untuk **uid**, masukkan***your-adfs-username***. Ini adalah nama pengguna akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. **Gunakan ini hanya untuk **plugin\$1name** adalah ADFS.**
+ Untuk **pwd, masukkan**. ***your-adfs-password*** **Gunakan ini hanya untuk **plugin\$1name** adalah ADFS.**
Di macOS dan Linux, edit juga pengaturan profil untuk menambahkan ekspor berikut.
```
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
```
```
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
```
------
# Biru langit
Anda dapat menggunakan Microsoft Azure AD sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda. Tutorial ini menunjukkan kepada Anda bagaimana Anda dapat menggunakan Azure sebagai penyedia identitas (iDP) untuk mengakses cluster Amazon Redshift Anda.
Untuk mempelajari cara menggabungkan akses Amazon Redshift dengan sistem masuk tunggal Microsoft Azure AD, tonton video berikut.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/aXs9hEgJCss)
## Langkah 1: Siapkan Azure dan AWS akun Anda untuk saling percaya
Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan.
**Untuk mengatur Azure AD dan AWS akun Anda agar saling percaya**
1. Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna Azure AD dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat [Membuat Cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html).
1. Siapkan Direktori Aktif Azure, grup, pengguna yang digunakan AWS di portal Microsoft Azure.
1. Tambahkan Amazon Redshift sebagai aplikasi perusahaan di portal Microsoft Azure untuk digunakan untuk masuk tunggal ke AWS Konsol dan login gabungan ke Amazon Redshift. Pilih **aplikasi Enterprise**.
1. Pilih **\$1Aplikasi baru**. Halaman Tambahkan aplikasi muncul.
1. Cari **AWS** di bidang pencarian.
1. Pilih **Amazon Web Services (AWS)** dan pilih **Tambah**. Ini menciptakan AWS aplikasi.
1. Di bawah **Kelola**, pilih **Single sign-on**.
1. Pilih **SAML**. Halaman Amazon Web Services (AWS) \$1 Masuk berbasis SAML muncul.
1. Pilih **Ya** untuk melanjutkan ke halaman Mengatur Single Sign-On dengan SAFL. Halaman ini menampilkan daftar atribut terkait sistem masuk tunggal yang telah dikonfigurasi sebelumnya.
1. Untuk **Konfigurasi SAMP Dasar**, pilih ikon edit dan pilih **Simpan**.
1. Saat Anda mengonfigurasi lebih dari satu aplikasi, berikan nilai pengenal. Misalnya, masukkan ***https://signin.aws.amazon.com/saml\$12***. Perhatikan bahwa dari aplikasi kedua dan seterusnya, gunakan format ini dengan tanda \$1 untuk menentukan nilai SPN yang unik.
1. Di bagian **Atribut Pengguna dan Klaim**, pilih ikon edit.
Secara default, Unique User Identifier (UID), Peran RoleSessionName, dan SessionDuration klaim sudah dikonfigurasi sebelumnya.
1. Pilih **\$1 Tambahkan klaim baru** untuk menambahkan klaim bagi pengguna database.
Untuk **Nama**, masukkan **DbUser**.
Untuk **Namespace**, masukkan **https://redshift.amazon.com/SAML/Attributes**.
Untuk **Sumber**, pilih **Atribut**.
Untuk **atribut Source**, pilih **user.userprincipalname.** Lalu, pilih **Simpan**.
1. Pilih **\$1 Tambahkan klaim baru** untuk menambahkan klaim AutoCreate.
Untuk **Nama**, masukkan **AutoCreate**.
Untuk **Namespace**, masukkan **https://redshift.amazon.com/SAML/Attributes**.
Untuk **Sumber**, pilih **Atribut**.
Untuk **atribut Source**, pilih **“true”**. Lalu, pilih **Simpan**.
Di sini, `123456789012` adalah AWS akun Anda, *`AzureSSO`* adalah peran IAM yang Anda buat, dan *`AzureADProvider`* merupakan penyedia IAM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/setup-identity-provider-azure.html)
1. Di bawah **Pendaftaran Aplikasi > ***your-application-name*** > Otentikasi**, tambahkan **Aplikasi Seluler Dan Desktop**. Tentukan URL sebagai http://localhost/redshift/.
1. Di bagian **Sertifikat Penandatanganan SAMP**, pilih **Unduh** untuk mengunduh dan menyimpan file XHTML metadata federasi untuk digunakan saat Anda membuat penyedia identitas SAMP IAM. File ini digunakan untuk membuat identitas federasi masuk tunggal.
1. Buat penyedia identitas SALL IAM di konsol IAM. Dokumen metadata yang Anda berikan adalah file XMLmetadata federasi yang Anda simpan saat Anda menyiapkan Aplikasi Azure Enterprise. Untuk langkah-langkah mendetail, lihat [Membuat dan Mengelola Penyedia Identitas IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) di *Panduan Pengguna IAM*.
1. Buat peran IAM untuk federasi SAMP 2.0 di konsol IAM. Untuk langkah-langkah mendetail, lihat [Membuat Peran untuk SAMP](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) di *Panduan Pengguna IAM*.
1. Buat kebijakan IAM yang dapat Anda lampirkan ke peran IAM yang Anda buat untuk federasi SAMP 2.0 di konsol IAM. Untuk langkah-langkah mendetail, lihat [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*.
Ubah kebijakan berikut (dalam format JSON) untuk lingkungan Anda:
+ Gantikan AWS Region cluster Anda untuk`us-west-1`.
+ Ganti AWS akun Anda untuk*`123456789012`*.
+ Gantikan pengenal klaster Anda (atau `*` untuk semua cluster) untuk. *`cluster-identifier`*
+ Gantikan database Anda (atau `*` untuk semua database) untuk*`dev`*.
+ Gantikan pengenal unik peran IAM Anda. *`AROAJ2UCCR6DPCEXAMPLE`*
+ Gantikan domain email penyewa atau perusahaan Anda. `example.com`
+ Gantikan grup database yang Anda rencanakan untuk menetapkan pengguna. *`my_dbgroup`*
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev",
"arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}",
"arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier"
],
"Condition": {
"StringEquals": {
"aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:CreateClusterUser",
"Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}"
},
{
"Effect": "Allow",
"Action": "redshift:JoinGroup",
"Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup"
},
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"iam:ListRoles"
],
"Resource": "*"
}
]
}
```
Kebijakan ini memberikan izin sebagai berikut:
+ Bagian pertama memberikan izin ke operasi `GetClusterCredentials` API untuk mendapatkan kredensil sementara untuk klaster yang ditentukan. Dalam contoh ini, sumber daya adalah `cluster-identifier` dengan database*`dev`*, dalam akun*`123456789012`*, dan di AWS Wilayah*`us-west-1`*. `${redshift:DbUser}`Klausa ini hanya memungkinkan pengguna yang cocok dengan `DbUser` nilai yang ditentukan dalam Azure AD untuk terhubung.
+ Klausul kondisi memberlakukan bahwa hanya pengguna tertentu yang mendapatkan kredensil sementara. Ini adalah pengguna di bawah peran yang ditentukan oleh ID unik peran *`AROAJ2UCCR6DPCEXAMPLE`* di akun IAM yang diidentifikasi oleh alamat email di domain email perusahaan Anda. Untuk informasi selengkapnya tentang unik IDs, lihat [Unik IDs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) di *Panduan Pengguna IAM*.
Penyiapan Anda dengan iDP Anda (dalam hal ini, Azure AD) menentukan bagaimana klausa kondisi ditulis. Jika email karyawan Anda`johndoe@example.com`, atur terlebih dahulu `${redshift:DbUser}` ke bidang super yang cocok dengan nama pengguna karyawan`johndoe`. Kemudian, untuk membuat kondisi ini berfungsi, atur `RoleSessionName` bidang AWS SAMP ke bidang super yang cocok dengan email `johndoe@example.com` karyawan. Saat Anda mengambil pendekatan ini, pertimbangkan hal berikut:
+ Jika Anda mengatur `${redshift:DbUser}` untuk menjadi email karyawan, maka hapus `@example.com` dalam contoh JSON untuk mencocokkan`RoleSessionName`.
+ Jika Anda menetapkan `RoleSessionId` untuk menjadi hanya nama pengguna karyawan, maka hapus `@example.com` dalam contoh untuk mencocokkan`RoleSessionName`.
+ Dalam contoh JSON, `${redshift:DbUser}` dan `RoleSessionName` keduanya diatur ke email karyawan. Contoh ini JSON menggunakan nama `@example.com` pengguna database Amazon Redshift untuk menandatangani pengguna untuk mengakses cluster.
+ Bagian kedua memberikan izin untuk membuat `dbuser` nama di cluster yang ditentukan. Dalam contoh ini JSON, ini membatasi pembuatan untuk. `${redshift:DbUser}`
+ Bagian ketiga memberikan izin untuk menentukan pengguna mana `dbgroup` yang dapat bergabung. Dalam contoh ini JSON, pengguna dapat bergabung dengan `my_dbgroup` grup dalam cluster yang ditentukan.
+ Bagian keempat memberikan izin untuk tindakan yang dapat dilakukan pengguna pada semua sumber daya. Dalam contoh ini JSON, memungkinkan pengguna untuk memanggil `redshift:DescribeClusters` untuk mendapatkan informasi cluster seperti titik akhir cluster, AWS Region, dan port. Ini juga memungkinkan pengguna untuk menelepon `iam:ListRoles` untuk memeriksa peran mana yang dapat diasumsikan pengguna.
## Langkah 2: Siapkan JDBC atau ODBC untuk otentikasi ke Azure
------
#### [ JDBC ]
**Untuk mengatur JDBC untuk otentikasi ke Microsoft Azure AD**
+ Konfigurasikan klien database Anda untuk terhubung ke cluster Anda melalui JDBC menggunakan sistem masuk tunggal Azure AD Anda.
Anda dapat menggunakan klien apa pun yang menggunakan driver JDBC untuk terhubung menggunakan sistem masuk tunggal Azure AD atau menggunakan bahasa seperti Java untuk terhubung menggunakan skrip. Untuk informasi instalasi dan konfigurasi, lihat[Mengonfigurasi koneksi untuk driver JDBC versi 2.x untuk Amazon Redshift](jdbc20-install.md).
Misalnya, Anda dapat menggunakan SQLWorkbench/J sebagai klien. Ketika Anda mengkonfigurasi SQLWorkbench /J, URL database Anda menggunakan format berikut.
```
jdbc:redshift:iam://cluster-identifier:us-west-1/dev
```
Jika Anda menggunakan SQLWorkbench/J sebagai klien, ambil langkah-langkah berikut:
1. **Mulai SQL Workbench/J. Pada halaman **Select Connection Profile, tambahkan Profil** Grup yang disebut.** **AzureAuth**
1. Untuk **Profil Koneksi**, masukkan**Azure**.
1. Pilih **Kelola Driver**, dan pilih **Amazon Redshift**. Pilih ikon **Open Folder** di sebelah **Library**, lalu pilih file JDBC .jar yang sesuai.
1. Pada halaman **Pilih Profil Koneksi**, tambahkan informasi ke profil koneksi sebagai berikut:
+ Untuk **Pengguna**, masukkan nama pengguna Microsoft Azure Anda. Ini adalah nama pengguna akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi.
+ Untuk **Kata Sandi**, masukkan kata sandi Microsoft Azure Anda.
+ Untuk **Driver**, pilih **Amazon Redshift (com.amazon.redshift.jdbc.driver)**.
+ Untuk **URL**, masukkan**jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name***.
1. Pilih **Extended Properties** untuk menambahkan informasi tambahan ke properti koneksi, seperti yang dijelaskan berikut.
Untuk konfigurasi masuk tunggal Azure AD, tambahkan informasi tambahan sebagai berikut:
+ Untuk **plugin\$1name**, masukkan. **com.amazon.redshift.plugin.AzureCredentialsProvider** Nilai ini menentukan driver untuk menggunakan Azure AD Single Sign-On sebagai metode otentikasi.
+ Untuk **idp\$1tenant**, masukkan. ***your-idp-tenant*** Hanya digunakan untuk Microsoft Azure AD. Ini adalah nama penyewa perusahaan Anda yang dikonfigurasi pada Azure AD. Nilai ini dapat berupa nama penyewa atau ID unik penyewa dengan tanda hubung.
+ Untuk **client\$1secret**, masukkan. ***your-azure-redshift-application-client-secret*** Hanya digunakan untuk Microsoft Azure AD. Ini adalah rahasia klien Anda dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi Azure Single Sign-On Anda. Ini hanya berlaku untuk com.amazon.redshift.plugin. AzureCredentialsProviderplugin.
+ Untuk **client\$1id**, masukkan. ***your-azure-redshift-application-client-id*** Hanya digunakan untuk Microsoft Azure AD. Ini adalah ID klien (dengan tanda hubung) dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi Azure Single Sign-On Anda.
Untuk sistem masuk tunggal Azure AD dengan konfigurasi MFA, tambahkan informasi tambahan ke properti koneksi sebagai berikut:
+ Untuk **plugin\$1name**, masukkan. **com.amazon.redshift.plugin.BrowserAzureCredentialsProvider** Nilai ini menentukan driver untuk menggunakan sistem masuk tunggal Azure AD dengan MFA sebagai metode otentikasi.
+ Untuk **idp\$1tenant**, masukkan. ***your-idp-tenant*** Hanya digunakan untuk Microsoft Azure AD. Ini adalah nama penyewa perusahaan Anda yang dikonfigurasi pada Azure AD. Nilai ini dapat berupa nama penyewa atau ID unik penyewa dengan tanda hubung.
+ Untuk **client\$1id**, masukkan. ***your-azure-redshift-application-client-id*** Opsi ini hanya digunakan untuk Microsoft Azure AD. Ini adalah ID klien (dengan tanda hubung) dari aplikasi Amazon Redshift yang Anda buat saat mengatur sistem masuk tunggal Azure AD Anda dengan konfigurasi MFA.
+ Untuk **listen\$1port**, masukkan. ***your-listen-port*** Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890.
+ Untuk **idp\$1response\$1timeout**, masukkan. ***the-number-of-seconds*** Ini adalah jumlah detik untuk menunggu sebelum waktu habis ketika server iDP mengirim kembali respons. Jumlah minimum detik harus 10. Jika membuat koneksi membutuhkan waktu lebih lama dari ambang ini, maka koneksi dibatalkan.
------
#### [ ODBC ]
**Untuk mengatur ODBC untuk otentikasi ke Microsoft Azure AD**
+ Konfigurasikan klien database Anda untuk terhubung ke klaster Anda melalui ODBC menggunakan sistem masuk tunggal Azure AD Anda.
Amazon Redshift menyediakan driver ODBC untuk sistem operasi Linux, Windows, dan macOS. Sebelum Anda menginstal driver ODBC, tentukan apakah alat klien SQL Anda 32-bit atau 64-bit. Instal driver ODBC yang sesuai dengan persyaratan alat klien SQL Anda.
Di Windows, di halaman **Pengaturan DSN Driver Amazon Redshift ODBC, di bawah Pengaturan** **Koneksi**, masukkan informasi berikut:
+ Untuk **Nama Sumber Data**, masukkan***your-DSN***. Ini menentukan nama sumber data yang digunakan sebagai nama profil ODBC.
+ Untuk **tipe Auth** untuk konfigurasi masuk tunggal Azure AD, pilih. **Identity Provider: Azure AD** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan sistem masuk tunggal Azure.
+ Untuk **tipe Auth** untuk sistem masuk tunggal Azure AD dengan konfigurasi MFA, pilih. **Identity Provider: Browser Azure AD** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan Azure single sign-on dengan MFA.
+ Untuk **ID Cluster**, masukkan***your-cluster-identifier***.
+ Untuk **Wilayah**, masukkan***your-cluster-region***.
+ Untuk **Database**, masukkan***your-database-name***.
+ Untuk **Pengguna**, masukkan***your-azure-username***. Ini adalah nama pengguna untuk akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. Gunakan ini hanya untuk **Jenis Auth** adalah **Penyedia Identitas: Azure AD**.
+ Untuk **Kata Sandi**, masukkan***your-azure-password***. Gunakan ini hanya untuk **Jenis Auth** adalah **Penyedia Identitas: Azure AD**.
+ Untuk **IDP Tenant**, masukkan. ***your-idp-tenant*** Ini adalah nama penyewa perusahaan Anda yang dikonfigurasi di IDP (Azure) Anda. Nilai ini dapat berupa nama penyewa atau ID unik penyewa dengan tanda hubung.
+ Untuk **Rahasia Klien Azure**, masukkan***your-azure-redshift-application-client-secret***. Ini adalah rahasia klien dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi masuk tunggal Azure Anda.
+ Untuk **ID Klien Azure**, masukkan***your-azure-redshift-application-client-id***. Ini adalah ID klien (dengan tanda hubung) dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi masuk tunggal Azure Anda.
+ Untuk **Listen Port**, masukkan***your-listen-port***. Ini adalah port mendengarkan default yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini hanya berlaku untuk plugin Browser Azure AD.
+ Untuk **Response Timeout**, masukkan***the-number-of-seconds***. Ini adalah jumlah detik untuk menunggu sebelum waktu habis ketika server iDP mengirim kembali respons. Jumlah minimum detik harus 10. Jika membuat koneksi membutuhkan waktu lebih lama dari ambang ini, maka koneksi dibatalkan. Opsi ini hanya berlaku untuk plugin Browser Azure AD.
Di macOS dan Linux, edit `odbc.ini` file sebagai berikut:
**catatan**
Semua entri tidak peka huruf besar/kecil.
+ Untuk **clusterid, masukkan**. ***your-cluster-identifier*** Ini adalah nama cluster Amazon Redshift yang dibuat.
+ Untuk **wilayah**, masukkan***your-cluster-region***. Ini adalah AWS Wilayah cluster Amazon Redshift yang dibuat.
+ Untuk **database**, masukkan***your-database-name***. Ini adalah nama database yang Anda coba akses di cluster Amazon Redshift.
+ Untuk **lokal**, masukkan**en-us**. Ini adalah bahasa yang menampilkan pesan kesalahan.
+ Untuk **iam**, masukkan**1**. Nilai ini menentukan driver untuk mengautentikasi menggunakan kredensyal IAM.
+ Untuk **plugin\$1name untuk konfigurasi** masuk tunggal Azure AD, masukkan. **AzureAD** Ini menentukan driver untuk menggunakan Azure Single Sign-On sebagai metode otentikasi.
+ Untuk **plugin\$1name untuk sistem** masuk tunggal Azure AD dengan konfigurasi MFA, masukkan. **BrowserAzureAD** Ini menentukan driver untuk menggunakan Azure Single Sign-On dengan MFA sebagai metode otentikasi.
+ Untuk **uid**, masukkan***your-azure-username***. Ini adalah nama pengguna akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. **Gunakan ini hanya untuk **plugin\$1name adalah** AzuRead.**
+ Untuk **pwd, masukkan**. ***your-azure-password*** **Gunakan ini hanya untuk **plugin\$1name adalah** AzuRead.**
+ Untuk **idp\$1tenant**, masukkan. ***your-idp-tenant*** Ini adalah nama penyewa perusahaan Anda yang dikonfigurasi di IDP (Azure) Anda. Nilai ini dapat berupa nama penyewa atau ID unik penyewa dengan tanda hubung.
+ Untuk **client\$1secret**, masukkan. ***your-azure-redshift-application-client-secret*** Ini adalah rahasia klien dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi masuk tunggal Azure Anda.
+ Untuk **client\$1id**, masukkan. ***your-azure-redshift-application-client-id*** Ini adalah ID klien (dengan tanda hubung) dari aplikasi Amazon Redshift yang Anda buat saat mengatur konfigurasi masuk tunggal Azure Anda.
+ Untuk **listen\$1port**, masukkan. ***your-listen-port*** Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini berlaku untuk plugin Browser Azure AD.
+ Untuk **idp\$1response\$1timeout**, masukkan. ***the-number-of-seconds*** Ini adalah periode waktu yang ditentukan dalam hitungan detik untuk menunggu respons dari Azure. Opsi ini berlaku untuk plugin Browser Azure AD.
Di macOS dan Linux, edit juga pengaturan profil untuk menambahkan ekspor berikut.
```
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
```
```
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
```
------
## Pemecahan masalah
Untuk memecahkan masalah dengan plugin Browser Azure AD, pertimbangkan hal berikut.
+ Untuk menggunakan plugin Browser Azure AD, Anda harus menyetel URL balasan yang ditentukan dalam permintaan agar sesuai dengan URL balasan yang dikonfigurasi untuk aplikasi Anda. Arahkan ke halaman **Siapkan Single Sign-On dengan SAMP** di portal Microsoft Azure. Kemudian periksa **URL Balas** diatur ke http://localhost/redshift/.
+ Jika Anda mendapatkan kesalahan penyewa IDP, verifikasi bahwa nama **IDP Tenant** cocok dengan nama domain yang awalnya Anda gunakan untuk mengatur Direktori Aktif di Microsoft Azure.
Di Windows, navigasikan ke bagian **Pengaturan Koneksi** di halaman Pengaturan **Amazon Redshift ODBC DSN**. Kemudian periksa nama penyewa perusahaan Anda yang dikonfigurasi di IDP (Azure) cocok dengan nama domain yang awalnya Anda gunakan untuk mengatur Direktori Aktif di Microsoft Azure.
Di macOS dan Linux, temukan *file odbc.ini*. Kemudian periksa nama penyewa perusahaan Anda yang dikonfigurasi di IDP (Azure) cocok dengan nama domain yang awalnya Anda gunakan untuk mengatur Direktori Aktif di Microsoft Azure.
+ Jika Anda mendapatkan kesalahan bahwa URL balasan yang ditentukan dalam permintaan tidak cocok dengan balasan yang URLs dikonfigurasi untuk aplikasi Anda, verifikasi bahwa **Pengalihan URIs** sama dengan URL balasan.
Arahkan ke halaman **pendaftaran Aplikasi** aplikasi Anda di portal Microsoft Azure. Kemudian periksa Redirect URIs cocok dengan URL balasan.
+ Jika Anda mendapatkan respons tak terduga: kesalahan tidak sah, verifikasi bahwa Anda telah menyelesaikan konfigurasi **aplikasi Seluler dan desktop**.
Arahkan ke halaman **pendaftaran Aplikasi** aplikasi Anda di portal Microsoft Azure. Kemudian navigasikan ke **Otentikasi** dan periksa apakah Anda mengonfigurasi **aplikasi Seluler dan desktop** untuk menggunakan http://localhost/redshift/ sebagai URIs pengalihan.
# Identitas Ping
Anda dapat menggunakan Ping Identity sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda. Tutorial ini menunjukkan kepada Anda bagaimana Anda dapat menggunakan Ping Identity sebagai penyedia identitas (iDP) untuk mengakses cluster Amazon Redshift Anda.
## Langkah 1: Siapkan Identitas Ping dan AWS akun Anda untuk saling percaya
Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan menggunakan PingOne portal.
**Untuk mengatur Identitas Ping dan AWS akun Anda agar saling percaya**
1. Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna Identitas Ping Anda dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat [Membuat Cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html).
1. Tambahkan Amazon Redshift sebagai aplikasi SAMP baru di portal. PingOne Untuk langkah-langkah rinci, lihat [dokumentasi Ping Identity](https://docs.pingidentity.com/).
1. Buka **Aplikasi Saya**.
1. Di bawah **Add Application**, pilih **New SALL Application**.
1. Untuk **Nama Aplikasi**, masukkan**Amazon Redshift**.
1. Untuk **Protocol Version**, pilih **SAMP v2.0**.
1. Untuk **Kategori**, pilih***your-application-category***.
1. Untuk **Assertion Consumer Service (ACS)**, ketik. ***your-redshift-local-host-url*** Ini adalah host dan port lokal yang dialihkan oleh pernyataan SAMP.
1. Untuk **ID Entitas**, masukkan `urn:amazon:webservices`.
1. Untuk **Menandatangani**, pilih **Tanda Pernyataan**.
1. Di bagian **Pemetaan Atribut SSO**, buat klaim seperti yang ditunjukkan pada tabel berikut.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/setup-identity-provider-ping.html)
1. Untuk **Akses Grup**, siapkan akses grup berikut, jika diperlukan:
+ **https://aws.amazon.com/SAML/Attributes/Role**
+ **https://aws.amazon.com/SAML/Attributes/RoleSessionName**
+ **https://redshift.amazon.com/SAML/Attributes/AutoCreate**
+ **https://redshift.amazon.com/SAML/Attributes/DbUser**
1. Tinjau pengaturan Anda dan buat perubahan, jika perlu.
1. Gunakan URL **Initiate Single Sign-On (SSO) sebagai URL** login untuk plugin Browser SAMP.
1. Buat penyedia identitas SALL IAM di konsol IAM. Dokumen metadata yang Anda berikan adalah file XMLmetadata federasi yang Anda simpan saat Anda mengatur Ping Identity. Untuk langkah-langkah mendetail, lihat [Membuat dan Mengelola Penyedia Identitas IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) di *Panduan Pengguna IAM*.
1. Buat peran IAM untuk federasi SAMP 2.0 di konsol IAM. Untuk langkah-langkah mendetail, lihat [Membuat Peran untuk SAMP](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) di *Panduan Pengguna IAM*.
1. Buat kebijakan IAM yang dapat Anda lampirkan ke peran IAM yang Anda buat untuk federasi SAMP 2.0 di konsol IAM. Untuk langkah-langkah mendetail, lihat [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*. Untuk contoh Azure AD, lihat[Menyiapkan otentikasi masuk tunggal JDBC atau ODBC](setup-azure-ad-identity-provider.md).
## Langkah 2: Siapkan JDBC atau ODBC untuk otentikasi ke Ping Identity
------
#### [ JDBC ]
**Untuk mengatur JDBC untuk otentikasi ke Ping Identity**
+ Konfigurasikan klien database Anda untuk terhubung ke cluster Anda melalui JDBC menggunakan sistem masuk tunggal Ping Identity.
Anda dapat menggunakan klien apa pun yang menggunakan driver JDBC untuk terhubung menggunakan sistem masuk tunggal Ping Identity atau menggunakan bahasa seperti Java untuk terhubung menggunakan skrip. Untuk informasi instalasi dan konfigurasi, lihat[Mengonfigurasi koneksi untuk driver JDBC versi 2.x untuk Amazon Redshift](jdbc20-install.md).
Misalnya, Anda dapat menggunakan SQLWorkbench/J sebagai klien. Ketika Anda mengkonfigurasi SQLWorkbench /J, URL database Anda menggunakan format berikut.
```
jdbc:redshift:iam://cluster-identifier:us-west-1/dev
```
Jika Anda menggunakan SQLWorkbench/J sebagai klien, ambil langkah-langkah berikut:
1. Mulai SQL Workbench/J. Di halaman **Select Connection Profile**, tambahkan **Profil Grup**, misalnya. **Ping**
1. Untuk **Profil Koneksi*****your-connection-profile-name***, masukkan, misalnya**Ping**.
1. Pilih **Kelola Driver**, dan pilih **Amazon Redshift**. Pilih ikon **Open Folder** di sebelah **Library**, lalu pilih file JDBC .jar yang sesuai.
1. Pada halaman **Pilih Profil Koneksi**, tambahkan informasi ke profil koneksi sebagai berikut:
+ Untuk **Pengguna**, masukkan nama PingOne pengguna Anda. Ini adalah nama pengguna PingOne akun yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi.
+ Untuk **Kata Sandi**, masukkan PingOne kata sandi Anda.
+ Untuk **Driver**, pilih **Amazon Redshift (com.amazon.redshift.jdbc.driver)**.
+ Untuk **URL**, masukkan**jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name***.
1. Pilih **Extended Properties** dan lakukan salah satu hal berikut:
+ Untuk **login\$1url**, masukkan. ***your-ping-sso-login-url*** Nilai ini menentukan URL untuk menggunakan sistem masuk tunggal sebagai otentikasi untuk masuk.
+ Untuk Ping Identity, untuk **plugin\$1name**, masukkan. **com.amazon.redshift.plugin.PingCredentialsProvider** Nilai ini menentukan driver untuk menggunakan Ping Identity single sign-on sebagai metode otentikasi.
+ Untuk Ping Identity dengan sistem masuk tunggal, untuk **plugin\$1name**, masukkan. **com.amazon.redshift.plugin.BrowserSamlCredentialsProvider** Nilai ini menentukan driver untuk menggunakan Ping Identity PingOne dengan single sign-on sebagai metode otentikasi.
------
#### [ ODBC ]
**Untuk mengatur ODBC untuk otentikasi ke Ping Identity**
+ Konfigurasikan klien database Anda untuk terhubung ke cluster Anda melalui ODBC menggunakan sistem masuk PingOne tunggal Ping Identity.
Amazon Redshift menyediakan driver ODBC untuk sistem operasi Linux, Windows, dan macOS. Sebelum Anda menginstal driver ODBC, tentukan apakah alat klien SQL Anda 32-bit atau 64-bit. Instal driver ODBC yang sesuai dengan persyaratan alat klien SQL Anda.
Di Windows, di halaman **Pengaturan DSN Driver Amazon Redshift ODBC, di bawah Pengaturan** **Koneksi**, masukkan informasi berikut:
+ Untuk **Nama Sumber Data**, masukkan***your-DSN***. Ini menentukan nama sumber data yang digunakan sebagai nama profil ODBC.
+ Untuk **jenis Auth**, lakukan salah satu hal berikut:
+ Untuk konfigurasi Ping Identity, pilih **Identity Provider: Ping Federate.** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan sistem masuk tunggal Ping Identity.
+ Untuk Ping Identity dengan konfigurasi masuk tunggal, pilih **Penyedia Identitas: Browser** SAMP. Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan Ping Identity dengan sistem masuk tunggal.
+ Untuk **ID Cluster**, masukkan***your-cluster-identifier***.
+ Untuk **Wilayah**, masukkan***your-cluster-region***.
+ Untuk **Database**, masukkan***your-database-name***.
+ Untuk **Pengguna**, masukkan***your-ping-username***. Ini adalah nama pengguna untuk PingOne akun yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi. Gunakan ini hanya untuk **jenis Auth** adalah **Penyedia Identitas: PingFederate**.
+ Untuk **Kata Sandi**, masukkan***your-ping-password***. Gunakan ini hanya untuk **jenis Auth** adalah **Penyedia Identitas: PingFederate**.
+ Untuk **Listen Port**, masukkan***your-listen-port***. Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini hanya berlaku untuk plugin Browser SALL.
+ Untuk **Response Timeout**, masukkan***the-number-of-seconds***. Ini adalah jumlah detik untuk menunggu sebelum waktu habis ketika server iDP mengirim kembali respons. Jumlah minimum detik harus 10. Jika membuat koneksi membutuhkan waktu lebih lama dari ambang ini, maka koneksi dibatalkan. Ini hanya berlaku untuk plugin Browser SALL.
+ Untuk **URL Login**, masukkan***your-login-url***. Ini hanya berlaku untuk plugin Browser SALL.
Di macOS dan Linux, edit `odbc.ini` file sebagai berikut:
**catatan**
Semua entri tidak peka huruf besar/kecil.
+ Untuk **clusterid, masukkan**. ***your-cluster-identifier*** Ini adalah nama cluster Amazon Redshift yang dibuat.
+ Untuk **wilayah**, masukkan***your-cluster-region***. Ini adalah AWS Wilayah cluster Amazon Redshift yang dibuat.
+ Untuk **database**, masukkan***your-database-name***. Ini adalah nama database yang Anda coba akses di cluster Amazon Redshift.
+ Untuk **lokal**, masukkan**en-us**. Ini adalah bahasa yang menampilkan pesan kesalahan.
+ Untuk **iam**, masukkan**1**. Nilai ini menentukan driver untuk mengautentikasi menggunakan kredensyal IAM.
+ Untuk **plugin\$1name**, lakukan salah satu hal berikut:
+ Untuk konfigurasi Ping Identity, masukkan**BrowserSAML**. Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi ke Ping Identity.
+ Untuk Ping Identity dengan konfigurasi masuk tunggal, masukkan. **Ping** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan Ping Identity dengan sistem masuk tunggal.
+ Untuk **uid**, masukkan***your-ping-username***. Ini adalah nama pengguna akun Microsoft Azure yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. **Gunakan ini hanya untuk **plugin\$1name** adalah Ping.**
+ Untuk **pwd, masukkan**. ***your-ping-password*** **Gunakan ini hanya untuk **plugin\$1name** adalah Ping.**
+ Untuk **login\$1url**, masukkan. ***your-login-url*** Ini adalah Initiate single sign-on URL yang mengembalikan Saml Response. Ini hanya berlaku untuk plugin Browser SALL.
+ Untuk **idp\$1response\$1timeout**, masukkan. ***the-number-of-seconds*** Ini adalah periode waktu yang ditentukan dalam hitungan detik untuk menunggu respons dari PingOne Identity. Ini hanya berlaku untuk plugin Browser SALL.
+ Untuk **listen\$1port**, masukkan. ***your-listen-port*** Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini hanya berlaku untuk plugin Browser SALL.
Di macOS dan Linux, edit juga pengaturan profil untuk menambahkan ekspor berikut.
```
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
```
```
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
```
------
# Okta
Anda dapat menggunakan Okta sebagai penyedia identitas (iDP) untuk mengakses klaster Amazon Redshift Anda. Tutorial ini menunjukkan kepada Anda bagaimana Anda dapat menggunakan Okta sebagai penyedia identitas (iDP) untuk mengakses cluster Amazon Redshift Anda.
## Langkah 1: Siapkan Okta dan AWS akun Anda untuk saling percaya
Prosedur berikut menjelaskan cara mengatur hubungan kepercayaan.
**Untuk mengatur Okta dan AWS akun Anda agar saling percaya**
1. Buat atau gunakan klaster Amazon Redshift yang ada agar pengguna Okta dapat terhubung. Untuk mengkonfigurasi koneksi, properti tertentu dari cluster ini diperlukan, seperti pengidentifikasi cluster. Untuk informasi selengkapnya, lihat [Membuat Cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html).
1. Tambahkan Amazon Redshift sebagai aplikasi baru di portal Okta. Untuk langkah-langkah rinci, lihat [dokumentasi Okta](https://developer.okta.com/docs/).
+ Pilih **Tambahkan Aplikasi**.
+ Di bawah **Tambahkan Aplikasi**, pilih **Buat Aplikasi Baru**.
+ Pada halaman **Create a New Add Application Integration**, untuk **Platform**, pilih **Web**.
+ Untuk **metode Sign on**, pilih **SAMP v2.0**.
+ Pada halaman **Pengaturan Umum**, untuk **nama Aplikasi**, masukkan***your-redshift-saml-sso-name***. Ini adalah nama aplikasi Anda.
+ Pada halaman **Pengaturan SAMP**, untuk **Single sign on URL**, masukkan***your-redshift-local-host-url***. Ini adalah host dan port lokal yang dialihkan oleh pernyataan SAMP, misalnya. `http://localhost:7890/redshift/`
1. Gunakan **tanda tunggal pada nilai URL** sebagai **URL Penerima** dan **URL Tujuan**.
1. Untuk **Menandatangani**, pilih **Tanda Pernyataan**.
1. Untuk **URI Audiens (SP Entity ID)**, masukkan **urn:amazon:webservices** klaim, seperti yang ditunjukkan pada tabel berikut.
1. Di bagian **Pengaturan Lanjut**, untuk **ID Penerbit SAMP**, masukkan***your-Identity-Provider-Issuer-ID***, yang dapat Anda temukan di bagian **Lihat Petunjuk Pengaturan**.
1. Di bagian **Pernyataan Atribut**, buat klaim seperti yang ditunjukkan pada tabel berikut.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/redshift/latest/mgmt/setup-identity-provider-okta.html)
1. Di bagian **App Embed Link**, temukan URL yang dapat Anda gunakan sebagai URL login untuk plugin Browser SAMP.
1. Buat penyedia identitas SALL IAM di konsol IAM. Dokumen metadata yang Anda berikan adalah file XMLmetadata federasi yang Anda simpan saat Anda mengatur Okta. Untuk langkah-langkah mendetail, lihat [Membuat dan Mengelola Penyedia Identitas IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) di *Panduan Pengguna IAM*.
1. Buat peran IAM untuk federasi SAMP 2.0 di konsol IAM. Untuk langkah-langkah mendetail, lihat [Membuat Peran untuk SAMP](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) di *Panduan Pengguna IAM*.
1. Buat kebijakan IAM yang dapat Anda lampirkan ke peran IAM yang Anda buat untuk federasi SAMP 2.0 di konsol IAM. Untuk langkah-langkah mendetail, lihat [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*. Untuk contoh Azure AD, lihat[Menyiapkan otentikasi masuk tunggal JDBC atau ODBC](setup-azure-ad-identity-provider.md).
## Langkah 2: Siapkan JDBC atau ODBC untuk otentikasi ke Okta
------
#### [ JDBC ]
**Untuk mengatur JDBC untuk otentikasi ke Okta**
+ Konfigurasikan klien database Anda untuk terhubung ke cluster Anda melalui JDBC menggunakan sistem masuk tunggal Okta.
Anda dapat menggunakan klien apa pun yang menggunakan driver JDBC untuk terhubung menggunakan sistem masuk tunggal Okta atau menggunakan bahasa seperti Java untuk terhubung menggunakan skrip. Untuk informasi instalasi dan konfigurasi, lihat[Mengonfigurasi koneksi untuk driver JDBC versi 2.x untuk Amazon Redshift](jdbc20-install.md).
Misalnya, Anda dapat menggunakan SQLWorkbench/J sebagai klien. Ketika Anda mengkonfigurasi SQLWorkbench /J, URL database Anda menggunakan format berikut.
```
jdbc:redshift:iam://cluster-identifier:us-west-1/dev
```
Jika Anda menggunakan SQLWorkbench/J sebagai klien, ambil langkah-langkah berikut:
1. Mulai SQL Workbench/J. Di halaman **Select Connection Profile**, tambahkan **Profil Grup**, misalnya. **Okta**
1. Untuk **Profil Koneksi*****your-connection-profile-name***, masukkan, misalnya**Okta**.
1. Pilih **Kelola Driver**, dan pilih **Amazon Redshift**. Pilih ikon **Open Folder** di sebelah **Library**, lalu pilih file JDBC .jar yang sesuai.
1. Pada halaman **Pilih Profil Koneksi**, tambahkan informasi ke profil koneksi sebagai berikut:
+ Untuk **Pengguna**, masukkan nama pengguna Okta Anda. Ini adalah nama pengguna akun Okta yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke klaster yang Anda coba autentikasi.
+ Untuk **Kata Sandi**, masukkan kata sandi Okta Anda.
+ Untuk **Driver**, pilih **Amazon Redshift (com.amazon.redshift.jdbc.driver)**.
+ Untuk **URL**, masukkan**jdbc:redshift:iam://*your-cluster-identifier*:*your-cluster-region*/*your-database-name***.
1. Pilih **Extended Properties** dan lakukan salah satu hal berikut:
+ Untuk **login\$1url**, masukkan. ***your-okta-sso-login-url*** Nilai ini menentukan URL untuk menggunakan sistem masuk tunggal sebagai otentikasi untuk masuk ke Okta.
+ Untuk sistem masuk tunggal Okta, untuk **plugin\$1name**, masukkan. **com.amazon.redshift.plugin.OktaCredentialsProvider** Nilai ini menentukan driver untuk menggunakan Okta single sign-on sebagai metode otentikasi.
+ **Untuk sistem masuk tunggal Okta dengan MFA, untuk plugin\$1name, masukkan.** **com.amazon.redshift.plugin.BrowserSamlCredentialsProvider** Nilai ini menentukan driver untuk menggunakan Okta single sign-on dengan MFA sebagai metode otentikasi.
------
#### [ ODBC ]
**Untuk mengatur ODBC untuk otentikasi ke Okta**
+ Konfigurasikan klien database Anda untuk terhubung ke cluster Anda melalui ODBC menggunakan sistem masuk tunggal Okta.
Amazon Redshift menyediakan driver ODBC untuk sistem operasi Linux, Windows, dan macOS. Sebelum Anda menginstal driver ODBC, tentukan apakah alat klien SQL Anda 32-bit atau 64-bit. Instal driver ODBC yang sesuai dengan persyaratan alat klien SQL Anda.
Di Windows, di halaman **Pengaturan DSN Driver Amazon Redshift ODBC, di bawah Pengaturan** **Koneksi**, masukkan informasi berikut:
+ Untuk **Nama Sumber Data**, masukkan***your-DSN***. Ini menentukan nama sumber data yang digunakan sebagai nama profil ODBC.
+ Untuk **jenis Auth**, lakukan salah satu hal berikut:
+ Untuk konfigurasi masuk tunggal Okta, pilih. **Identity Provider: Okta** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan Okta single sign-on.
+ Untuk sistem masuk tunggal Okta dengan konfigurasi MFA, pilih. **Identity Provider: Browser SAML** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan Okta single sign-on dengan MFA.
+ Untuk **ID Cluster**, masukkan***your-cluster-identifier***.
+ Untuk **Wilayah**, masukkan***your-cluster-region***.
+ Untuk **Database**, masukkan***your-database-name***.
+ Untuk **Pengguna**, masukkan***your-okta-username***. Ini adalah nama pengguna untuk akun Okta yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. Gunakan ini hanya untuk **jenis Auth** adalah **Penyedia Identitas: Okta**.
+ Untuk **Kata Sandi**, masukkan***your-okta-password***. Gunakan ini hanya untuk **jenis Auth** adalah **Penyedia Identitas: Okta**.
Di macOS dan Linux, edit `odbc.ini` file sebagai berikut:
**catatan**
Semua entri tidak peka huruf besar/kecil.
+ Untuk **clusterid, masukkan**. ***your-cluster-identifier*** Ini adalah nama cluster Amazon Redshift yang dibuat.
+ Untuk **wilayah**, masukkan***your-cluster-region***. Ini adalah AWS Wilayah cluster Amazon Redshift yang dibuat.
+ Untuk **database**, masukkan***your-database-name***. Ini adalah nama database yang Anda coba akses di cluster Amazon Redshift.
+ Untuk **lokal**, masukkan**en-us**. Ini adalah bahasa yang menampilkan pesan kesalahan.
+ Untuk **iam**, masukkan**1**. Nilai ini menentukan driver untuk mengautentikasi menggunakan kredensyal IAM.
+ Untuk **plugin\$1name**, lakukan salah satu hal berikut:
+ Untuk sistem masuk tunggal Okta dengan konfigurasi MFA, masukkan. **BrowserSAML** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi ke Okta single sign-on dengan MFA.
+ Untuk konfigurasi masuk tunggal Okta, masukkan. **Okta** Ini adalah metode otentikasi yang digunakan driver ODBC untuk mengautentikasi menggunakan Okta single sign-on.
+ Untuk **uid**, masukkan***your-okta-username***. Ini adalah nama pengguna akun Okta yang Anda gunakan untuk sistem masuk tunggal yang memiliki izin ke cluster yang Anda coba autentikasi. **Gunakan ini hanya untuk **plugin\$1name** adalah Okta.**
+ Untuk **pwd, masukkan**. ***your-okta-password*** **Gunakan ini hanya untuk **plugin\$1name** adalah Okta.**
+ Untuk **login\$1url**, masukkan. ***your-login-url*** Ini adalah Initiate single sign-on URL yang mengembalikan Saml Response. Ini hanya berlaku untuk plugin Browser SAMP.
+ Untuk **idp\$1response\$1timeout**, masukkan. ***the-number-of-seconds*** Ini adalah periode waktu yang ditentukan dalam hitungan detik untuk menunggu respons dari PingOne. Ini hanya berlaku untuk plugin Browser SAMP.
+ Untuk **listen\$1port**, masukkan. ***your-listen-port*** Ini adalah port yang didengarkan oleh server lokal. Defaultnya adalah 7890. Ini hanya berlaku untuk plugin Browser SAMP.
Di macOS dan Linux, edit juga pengaturan profil untuk menambahkan ekspor berikut.
```
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
```
```
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
```
------