Browser Azure AD
Browser Azure AD は Azure AD ID プロバイダと連携する SAML ベースの認証プラグインで、多要素認証をサポートします。標準の Azure AD プラグインとは異なり、このプラグインでは接続パラメータにユーザー名、パスワード、クライアントシークレットは不要です。
注記
v2.1.0.0 セキュリティ更新: v2.1.0.0 以降、BrowserAzureAD プラグインには OAuth 2.0 認可フローに PKCE (コード交換の証明キー) が含まれています。これにより、共有システムに対する認可コードの傍受攻撃を防ぐことができます。設定の変更は必要ありません。
認証タイプ
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| AuthenticationType | 必須 | IAM Credentials |
AuthenticationType=BrowserAzureAD; |
優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。指定されたロールが SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「AssumeRole」を参照してください。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| preferred_role | オプションです。 | none |
preferred_role=arn:aws:IAM::123456789012:id/user1; |
セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「AWS Security Token Service API リファレンス」の「AssumeRole」を参照してください。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| duration | オプションです。 | 900 |
duration=900; |
テナント ID
アプリケーションのテナント ID を指定します。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| idp_tenant | 必須 | none |
idp_tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
クライアント ID
アプリケーションのクライアント ID を指定します。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| client_id | 必須 | none |
client_id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
タイムアウト
プラグインが Azure AD からの SAML レスポンスが得られるまで待機するのを停止するまでの時間 (秒単位)。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| タイムアウト | オプションです。 | 120 |
timeout=90; |
Azure ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報を複数のプロセス間でキャッシュおよび再利用できます。Microsoft Power BI などの BI ツールを使用するとき、このオプションを使用して開かれるブラウザーのウィンドウ数を減らすことができます。
注記
v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存された認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として user-profile/.athena-odbc/ ディレクトリに保存されます。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| browser_azure_cache | オプションです。 | 1 |
browser_azure_cache=0; |
