Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Browser SSO OIDC
Browser SSO OIDC è un plug-in di autenticazione che funziona con. AWS IAM Identity Center Per informazioni sull'attivazione e l'utilizzo di IAM Identity Center, consulta Fase 1: Abilita IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .
Nota
Aggiornamento di sicurezza v2.1.0.0: a partire dalla versione 2.1.0.0, il plug-in BrowserSSOOIDC utilizza il codice di autorizzazione con PKCE anziché l'autorizzazione del codice del dispositivo per una maggiore sicurezza. Questa modifica elimina la fase di visualizzazione del codice del dispositivo e fornisce un'autenticazione più rapida. Un nuovo listen_port parametro (predefinito 7890) viene utilizzato per il server di callback OAuth 2.0. Potrebbe essere necessario inserire questa porta nella propria rete nell'elenco delle autorizzazioni consentite. L'ambito predefinito è cambiato in. sso:account:access
Tipo di autenticazione
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| AuthenticationType | Richiesto | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
URL di avvio di IAM Identity Center
L'URL del portale di AWS accesso. L'azione dell'RegisterClientAPI IAM Identity Center utilizza questo valore per il issuerUrl parametro.
Per copiare l'URL del portale di AWS accesso
Accedi a Console di gestione AWS e apri la AWS IAM Identity Center console all'indirizzo https://console.aws.amazon.com/singlesignon/
. -
Nel pannello di navigazione scegli Impostazioni.
-
Nella pagina Impostazioni, sotto la voce Origine identità, scegli l'icona degli appunti per l'accesso AWS all'URL del portale.
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| sso_oidc_start_url | Richiesto | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
Regione IAM Identity Center
Regione AWS Dove è configurato il tuo SSO. I client SSOOIDCClient e SSOClient AWS SDK utilizzano questo valore per il region parametro.
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| sso_oidc_region | Richiesto | none |
sso_oidc_region=us-east-1; |
Ambiti
L'elenco di ambiti definiti dal client. Una volta autorizzato, questo elenco limita le autorizzazioni quando viene concesso un token di accesso. L'azione dell'RegisterClientAPI IAM Identity Center utilizza questo valore per il scopes parametro.
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| sso_oidc_scopes | Facoltativo | sso:account:access |
sso_oidc_scopes=sso:account:access; |
ID account
L'identificatore del Account AWS che viene assegnato all'utente. L'GetRoleCredentialsAPI IAM Identity Center utilizza questo valore per il accountId parametro.
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| sso_oidc_account_id | Richiesto | none |
sso_oidc_account_id=123456789123; |
Nome ruolo
Il nome descrittivo del ruolo assegnato all'utente. Il nome specificato per questo set di autorizzazioni viene visualizzato nel portale di AWS accesso come ruolo disponibile. L'azione GetRoleCredentialsAPI IAM Identity Center utilizza questo valore per il roleName parametro.
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| sso_oidc_role_name | Richiesto | none |
sso_oidc_role_name=AthenaReadAccess; |
Timeout
Il numero di secondi in cui l'API SSO di polling verifica la presenza del token di accesso.
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| sso_oidc_timeout | Facoltativo | 120 |
sso_oidc_timeout=60; |
Porta dell'ascoltatore
Il numero di porta locale da utilizzare per il server di callback OAuth 2.0. Viene utilizzato come URI di reindirizzamento e potrebbe essere necessario inserire questa porta nell'elenco dei permessi sulla rete. L'URI di reindirizzamento generato di default è:. http://localhost:7890/athena Questo parametro è stato aggiunto nella versione 2.1.0.0 come parte della migrazione da Device Code a Authorization Code con PKCE.
avvertimento
In ambienti condivisi come Windows Terminal Servers o Remote Desktop Services, la porta di loopback (impostazione predefinita: 7890) è condivisa tra tutti gli utenti sullo stesso computer. Gli amministratori di sistema possono mitigare i potenziali rischi di dirottamento delle porte mediante:
-
Configurazione di numeri di porta diversi per gruppi di utenti diversi
-
Utilizzo delle politiche di sicurezza di Windows per limitare l'accesso alle porte
-
Implementazione dell'isolamento della rete tra le sessioni utente
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| listen_port | Facoltativo | 7890 |
listen_port=8080; |
Abilitazione della cache di file
Abilita una cache delle credenziali temporanee. Questo parametro di connessione consente di memorizzare nella cache le credenziali temporanee e di riutilizzarle tra più processi. Utilizza questa opzione per ridurre il numero di finestre del browser aperte quando utilizzi strumenti di BI come Microsoft Power BI.
Nota
A partire dalla versione 2.1.0.0, le credenziali memorizzate nella cache vengono archiviate come JSON in testo semplice nella user-profile/.athena-odbc/ directory con autorizzazioni di file limitate all'utente proprietario, coerentemente con il modo in cui la CLI protegge le credenziali archiviate localmente. AWS
| Nome stringa connessione | Tipo parametro | Valore predefinito | Esempio stringa connessione |
|---|---|---|---|
| sso_oidc_cache | Facoltativo | 1 |
sso_oidc_cache=0; |
