Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Browser basato su integrazione con Identity Center
Questo tipo di autenticazione consente di recuperare un nuovo token web JSON (JWT) da un provider di identità esterno e di autenticarsi con Athena. È possibile utilizzare questo plug-in per abilitare il supporto per le identità aziendali tramite la propagazione attendibile delle identità. Per ulteriori informazioni su come utilizzare la propagazione attendibile delle identità con Athena, consultare Usare la propagazione attendibile delle identità tramite i driver Amazon Athena. È inoltre possibile configurare e distribuire risorse utilizzando. CloudFormation
Con la propagazione affidabile delle identità, il contesto dell'identità viene aggiunto a un ruolo IAM per identificare l'utente che richiede l'accesso alle risorse. AWS Per informazioni sull’attivazione e l’utilizzo della propagazione attendibile delle identità, consultare What is trusted identity propagation?.
Nota
Il plug-in è progettato specificamente per ambienti desktop a utente singolo. In ambienti condivisi come Windows Server, gli amministratori di sistema sono responsabili della definizione e del mantenimento dei limiti di sicurezza tra gli utenti.
Provider di credenziali
Il provider di credenziali che sarà utilizzato per autenticare le richieste a AWS. Imposta il valore di questo parametro su BrowserOidcTip.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito | Valore da utilizzare |
|---|---|---|---|---|
| CredentialsProvider | AWSCredentialsProviderClass (obsoleto) | Richiesto | nessuno | BrowserOidcTip |
URL di configurazione Idp ben noto
L'IDP Well Known Configuration URL è l'endpoint che fornisce i dettagli di configurazione di OpenID Connect per il tuo provider di identità. Questo URL in genere termina .well-known/openid-configuration e contiene metadati essenziali sugli endpoint di autenticazione, sulle funzionalità supportate e sulle chiavi di firma dei token. Ad esempio, se utilizzi Okta, l'URL potrebbe essere simile a. https://your-domain.okta.com/.well-known/openid-configuration
Per la risoluzione dei problemi: se ricevi errori di connessione, verifica che questo URL sia accessibile dalla tua rete e restituisca una configurazione JSON di configurazione OpenID Connect valida. L'URL deve essere raggiungibile dal client su cui è installato il driver e deve essere fornito dall'amministratore del provider di identità.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| IdpWellKnownConfigurationUrl | nessuno | Richiesto | nessuno |
Identificatore del client
L'identificatore del client rilasciato all'applicazione dal provider OpenID Connect.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| OidcClientId | nessuno | Richiesto | nessuno |
WorkgroupArn
L'Amazon Resource Name (ARN) del gruppo di lavoro Amazon Athena che contiene i tag di configurazione di propagazione delle identità affidabili. Per ulteriori informazioni sui gruppi di lavoro, consulta WorkGroup.
Nota
Questo parametro è diverso dal Workgroup parametro che specifica dove verranno eseguite le query. È necessario impostare entrambi i parametri:
-
WorkgroupArn- Indica il gruppo di lavoro contenente i tag di configurazione affidabili per la propagazione dell'identità -
Workgroup- Speciifica il gruppo di lavoro in cui verranno eseguite le query
Sebbene in genere facciano riferimento allo stesso gruppo di lavoro, entrambi i parametri devono essere impostati in modo esplicito per il corretto funzionamento.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| WorkGroupArn | nessuno | Richiesto | principale |
ARN del ruolo dell’applicazione JWT
L'ARN del ruolo che verrà assunto nella borsa JWT. Questo ruolo viene utilizzato per JWT Exchange, per ottenere l’ARN dell’applicazione gestita dal cliente IAM Identity Center tramite i tag del gruppo di lavoro e per ottenere l’ARN del ruolo di accesso. Per ulteriori informazioni sull'assunzione di ruoli, vedere. AssumeRole
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| ApplicationRoleArn | nessuno | Richiesto | nessuno |
Nome della sessione del ruolo JWT
Un nome per la sessione IAM. In genere, si passa il nome o l’identificatore associato all’utente che sta utilizzando l’applicazione. Le credenziali di sicurezza temporanee utilizzate dall’applicazione sono associate a tale utente.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| JwtRoleSessionName | role_session_name (obsoleto) | Richiesto | nessuno |
Client secret
ClientSecret è una chiave riservata emessa dal tuo provider di identità che viene utilizzata per autenticare l'applicazione (client). Sebbene questo parametro sia facoltativo e possa non essere richiesto per tutti i flussi di autenticazione, fornisce un ulteriore livello di sicurezza quando viene utilizzato. Se la configurazione IDP richiede un segreto client, è necessario includere questo parametro con il valore fornito dall'amministratore del provider di identità.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| OidcClientSecret | nessuno | Facoltativo | nessuno |
Scope
L'ambito specifica il livello di accesso richiesto dall'applicazione al provider di identità. È necessario includere openid nell'ambito per ricevere un token ID contenente le affermazioni essenziali sull'identità dell'utente. L'ambito potrebbe dover includere autorizzazioni aggiuntive come email oprofile, a seconda dell'utente che dichiara che il provider di identità (ad esempio Microsoft Entra ID) è configurato per l'inclusione nel token ID. Queste attestazioni sono essenziali per una corretta mappatura della Trusted Identity Propagation. Se la mappatura dell'identità degli utenti fallisce, verifica che l'ambito includa tutte le autorizzazioni necessarie e che il provider di identità sia configurato per includere le attestazioni richieste nel token ID. Queste attestazioni devono corrispondere alla configurazione di mappatura Trusted Token Issuer in IAM Identity Center.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| Scope | nessuno | Facoltativo | email openid offline_access |
Durata della sessione del ruolo
La durata, in secondi, della sessione dei ruoli. Per ulteriori informazioni, consulta AssumeRoleWithWebIdentity.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| RoleSessionDuration | Duration (obsoleto) | Facoltativo | 3600 |
ARN del ruolo di accesso JWT
L'ARN del ruolo che Athena assume per effettuare chiamate per conto dell'utente. Per ulteriori informazioni sull'assunzione di ruoli, consulta l'API Reference AssumeRole.AWS Security Token Service
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| AccessRoleArn | nessuno | Facoltativo | nessuno |
ARN dell’applicazione gestita dal cliente IAM Identity Center
L’ARN dell’applicazione gestita dal cliente IAM Identity Center. Per ulteriori informazioni, consulta Applicazioni gestite dal cliente.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| CustomerIdcApplicationArn | nessuno | Facoltativo | nessuno |
Numero di porta del provider di identità
Il numero di porta locale da utilizzare per il server di callback OAuth 2.0. Viene utilizzato come redirect_uri e dovrai consentirlo nella tua applicazione IDP. Il redirect_uri generato di default è: http://localhost:7890/athena
avvertimento
In ambienti condivisi come Windows Terminal Server o Remote Desktop Services, la porta di loopback (impostazione predefinita: 7890) è condivisa tra tutti gli utenti sullo stesso computer. Gli amministratori di sistema possono mitigare i potenziali rischi di dirottamento delle porte mediante:
-
Configurazione di numeri di porta diversi per gruppi di utenti diversi
-
Utilizzo delle politiche di sicurezza di Windows per limitare l'accesso alle porte
-
Implementazione dell'isolamento della rete tra le sessioni utente
Se questi controlli di sicurezza non possono essere implementati, consigliamo di utilizzare invece il plugin JWT Trusted Identity Propagation, che non richiede una porta di loopback.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| IdpPortNumber | nessuno | Facoltativo | 7890 |
Timeout di risposta del gestore dell'identità
Il timeout in secondi per attendere la risposta di callback OAuth 2.0.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| IdpResponseTimeout | nessuno | Facoltativo | 120 |
Abilitare il caching dei token
Il EnableTokenCaching parametro determina se il driver memorizza nella cache il token di autenticazione tra le connessioni. L'impostazione EnableTokenCaching su true riduce le richieste di autenticazione e migliora l'esperienza utente, ma deve essere utilizzata con cautela. Questa impostazione è più adatta per ambienti desktop con utente singolo. In ambienti condivisi come Windows Server, si consiglia di mantenerla disattivata per evitare la potenziale condivisione di token tra utenti con stringhe di connessione simili.
Per le distribuzioni aziendali che utilizzano strumenti come Tableau Server, consigliamo di utilizzare il plug-in JWT Trusted Identity Propagation anziché questo metodo di autenticazione.
| Nome del parametro | Alias | Tipo parametro | Valore predefinito |
|---|---|---|---|
| EnableTokenCaching | nessuno | Facoltativo | FALSE |
