Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Credenziali di propagazione dell'identità attendibili del browser
Questo tipo di autenticazione consente di recuperare un nuovo token web JSON (JWT) da un provider di identità esterno e di autenticarsi con Athena. È possibile utilizzare questo plug-in per abilitare il supporto per le identità aziendali tramite la propagazione attendibile delle identità. Per ulteriori informazioni su come utilizzare la propagazione attendibile delle identità con Athena, consultare [Usare la propagazione attendibile delle identità tramite i driver Amazon Athena](using-trusted-identity-propagation.md). È inoltre possibile [configurare](using-trusted-identity-propagation-cloudformation.md) e distribuire risorse utilizzando. CloudFormation
Con la propagazione affidabile delle identità, il contesto dell'identità viene aggiunto a un ruolo IAM per identificare l'utente che richiede l'accesso alle risorse. AWS Per informazioni sull’attivazione e l’utilizzo della propagazione attendibile delle identità, consultare [What is trusted identity propagation?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html).
**Nota**
Il plug-in è progettato specificamente per ambienti desktop a utente singolo. In ambienti condivisi come Windows Server, gli amministratori di sistema sono responsabili della definizione e del mantenimento dei limiti di sicurezza tra gli utenti.
## Tipo di autenticazione
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| AuthenticationType | Richiesto | none | AuthenticationType=BrowserOidcTip; |
## URL di configurazione IDP ben noto
L'IDP Well Known Configuration URL è l'endpoint che fornisce i dettagli di configurazione di OpenID Connect per il tuo provider di identità. Questo URL in genere termina `.well-known/openid-configuration` e contiene metadati essenziali sugli endpoint di autenticazione, sulle funzionalità supportate e sulle chiavi di firma dei token. Ad esempio, se utilizzi *Okta*, l'URL potrebbe essere simile a. `https://your-domain.okta.com/.well-known/openid-configuration`
Per la risoluzione dei problemi: se ricevi errori di connessione, verifica che questo URL sia accessibile dalla tua rete e restituisca una configurazione JSON di configurazione *OpenID Connect* valida. L'URL deve essere raggiungibile dal client su cui è installato il driver e deve essere fornito dall'amministratore del provider di identità.
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| IdpWellKnownConfigurationUrl | Richiesto | none | IdpWellKnownConfigurationUrl=https:///.well-known/openid-configuration; |
## Identificatore del client
L'identificatore del client rilasciato all'applicazione dal provider OpenID Connect.
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| client\$1id | Richiesto | none | client\$1id=00001111-aaaa-2222-bbbb-3333cccc4444; |
## ARN del gruppo di lavoro
L'Amazon Resource Name (ARN) del gruppo di lavoro Amazon Athena che contiene i tag di configurazione di propagazione delle identità affidabili. Per ulteriori informazioni sui gruppi di lavoro, consulta [WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html).
**Nota**
Questo parametro è diverso dal `Workgroup` parametro che specifica dove verranno eseguite le query. È necessario impostare entrambi i parametri:
`WorkgroupArn`- Indica il gruppo di lavoro contenente i tag di configurazione attendibili per la propagazione dell'identità
`Workgroup`- Speciifica il gruppo di lavoro in cui verranno eseguite le query
Sebbene in genere facciano riferimento allo stesso gruppo di lavoro, entrambi i parametri devono essere impostati esplicitamente per il corretto funzionamento.
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| WorkGroupArn | Richiesto | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## ARN del ruolo dell’applicazione JWT
L'ARN del ruolo che verrà assunto nella borsa JWT. Questo ruolo viene utilizzato per JWT Exchange, per ottenere l’ARN dell’applicazione gestita dal cliente IAM Identity Center tramite i tag del gruppo di lavoro e per ottenere l’ARN del ruolo di accesso. Per ulteriori informazioni sull'assunzione di ruoli, vedere. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| ApplicationRoleArn | Richiesto | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## Nome della sessione del ruolo
Un nome per la sessione IAM. In genere, si passa il nome o l’identificatore associato all’utente che sta utilizzando l’applicazione. Le credenziali di sicurezza temporanee utilizzate dall’applicazione sono associate a tale utente.
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| role\$1session\$1name | Richiesto | none | role\$1session\$1name=familiarname; |
## Client secret
Il client secret è una chiave riservata emessa dal tuo provider di identità che viene utilizzata per autenticare l'applicazione. Sebbene questo parametro sia facoltativo e potrebbe non essere richiesto per tutti i flussi di autenticazione, fornisce un ulteriore livello di sicurezza quando viene utilizzato. Se la configurazione IDP richiede un segreto client, è necessario includere questo parametro con il valore fornito dall'amministratore del provider di identità.
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| client\$1secret | Facoltativo | none | client\$1secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;\$1 |
## Scope
L'ambito specifica il livello di accesso richiesto dall'applicazione al provider di identità. È necessario includere `openid` nell'ambito per ricevere un token ID contenente le affermazioni essenziali sull'identità dell'utente. L'ambito potrebbe dover includere autorizzazioni aggiuntive come `email` o`profile`, a seconda dell'utente che dichiara che il provider di identità (ad esempio *Microsoft Entra ID*) è configurato per l'inclusione nel token ID. Queste attestazioni sono essenziali per una corretta mappatura della *Trusted Identity Propagation.* Se la mappatura dell'identità degli utenti fallisce, verifica che l'ambito includa tutte le autorizzazioni necessarie e che il provider di identità sia configurato per includere le attestazioni richieste nel token ID. Queste attestazioni devono corrispondere alla configurazione di mappatura *Trusted Token Issuer* in IAM Identity Center.
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| Scope | Facoltativo | openid email offline\$1access | Scope=openid email; |
## Durata della sessione
La durata, in secondi, della sessione dei ruoli. Per ulteriori informazioni, consulta [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html).
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| durata | Facoltativo | 3600 | duration=900; |
## ARN del ruolo di accesso JWT
L'ARN del ruolo che Athena assume per effettuare chiamate per conto dell'utente. *Per ulteriori informazioni sull'assunzione di ruoli, consulta l'API Reference [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html).AWS Security Token Service *
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| AccessRoleArn | Facoltativo | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## ARN dell’applicazione gestita dal cliente IAM Identity Center
L’ARN dell’applicazione IDC gestita dal cliente di IAM Identity Center. Per ulteriori informazioni sulle applicazioni gestite dai clienti, consulta [Customer Managed Applications](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html).
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | Facoltativo | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
## Numero di porta del provider di identità
Il numero di porta locale da utilizzare per il server di callback OAuth 2.0. Viene utilizzato come redirect\$1uri e dovrai consentirlo nella tua applicazione IDP. Il redirect\$1uri generato di default è: http://localhost:7890/athena
**avvertimento**
In ambienti condivisi come Windows Terminal Server o Remote Desktop Services, la porta di loopback (impostazione predefinita: 7890) è condivisa tra tutti gli utenti sullo stesso computer. Gli amministratori di sistema possono mitigare i potenziali rischi di dirottamento delle porte mediante:
Configurazione di numeri di porta diversi per gruppi di utenti diversi
Utilizzo delle politiche di sicurezza di Windows per limitare l'accesso alle porte
Implementazione dell'isolamento della rete tra le sessioni utente
Se questi controlli di sicurezza non possono essere implementati, consigliamo di utilizzare invece il plugin [JWT Trusted Identity Propagation](odbc-v2-driver-jwt-tip.md), che non richiede una porta di loopback.
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| listen\$1port | Facoltativo | 7890 | listen\$1port=8080; |
## Timeout di risposta del gestore dell'identità
Il timeout in secondi per attendere la risposta di callback 2.0. OAuth
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| IdpResponseTimeout | Facoltativo | 120 | IdpResponseTimeout=140; |
## Abilitazione della cache di file
Il JwtTipFileCache parametro determina se il driver memorizza nella cache il token di autenticazione tra le connessioni. L'impostazione JwtTipFileCache su true riduce le richieste di autenticazione e migliora l'esperienza utente, ma deve essere utilizzata con cautela. Questa impostazione è più adatta per ambienti desktop con utente singolo. In ambienti condivisi come Windows Server, si consiglia di mantenerla disattivata per evitare la potenziale condivisione di token tra utenti con stringhe di connessione simili.
Per le implementazioni aziendali che utilizzano strumenti come PowerBI Server, consigliamo di utilizzare il plug-in [JWT Trusted Identity Propagation](odbc-v2-driver-jwt-tip.md) anziché questo metodo di autenticazione.
****
| **Nome stringa connessione** | **Tipo parametro** | **Valore predefinito** | **Esempio stringa connessione** |
| --- | --- | --- | --- |
| JwtTipFileCache | Facoltativo | 0 | JwtTipFileCache=1; |