Browser SSO OIDC
Browser SSO OIDC は AWS IAM アイデンティティセンター で動作する認証プラグインです。IAM Identity Center を有効にして使用するための情報については、「AWS IAM アイデンティティセンター ユーザーガイド」の「ステップ 1: IAM Identity Center を有効にする」を参照してください。
注記
v2.1.0.0 セキュリティ更新: バージョン 2.1.0.0 以降、BrowserSSOOIDC プラグインは、セキュリティを向上させるために、デバイスコード認可ではなく PKCE で認可コードを使用します。この変更により、デバイスコードの表示ステップがなくなり、認証が高速化されます。OAuth 2.0 コールバックサーバーには、新しい listen_port パラメータ (デフォルトは 7890) が使用されます。このポートをネットワークで許可リストに登録する必要がある場合があります。デフォルトのスコープが sso:account:access に変更されました。
認証タイプ
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| AuthenticationType | 必須 | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
IAM Identity Center の開始 URL
AWS アクセスポータルの URL。IAM Identity Center の RegisterClient API アクションは、この値を issuerUrl パラメータに使用します。
AWS アクセスポータル URL をコピーする方法
AWS マネジメントコンソール にサインインし、AWS IAM アイデンティティセンター コンソールを https://console.aws.amazon.com/singlesignon/
で開きます。 -
ナビゲーションペインで [設定] を選択します。
-
[設定] ページにある [ID ソース] で、AWS アクセスポータル URL のクリップボードアイコンを選択します。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| sso_oidc_start_url | 必須 | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
IAM Identity Center リージョン
SSO が設定されている AWS リージョン。SSOOIDCClient および SSOClient AWS SDK クライアントは、この値を region パラメータに使用します。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| sso_oidc_region | 必須 | none |
sso_oidc_region=us-east-1; |
スコープ
クライアントによって定義されるスコープのリスト。承認されると、このリストはアクセストークンが付与されたときの権限を制限します。IAM Identity Center の RegisterClient API アクションは、この値を scopes パラメータに使用します。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| sso_oidc_scopes | オプションです。 | sso:account:access |
sso_oidc_scopes=sso:account:access; |
アカウント ID
ユーザーに割り当てられる AWS アカウント の識別子。IAM Identity Center の GetRoleCredentials API は、この値を accountId パラメータに使用します。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| sso_oidc_account_id | 必須 | none |
sso_oidc_account_id=123456789123; |
ロール名
ユーザーに割り当てられているロールのわかりやすい名前。このアクセス許可セットに指定した名前は、使用可能なロールとして AWS アクセスポータルに表示されます。IAM Identity Center の GetRoleCredentials API アクションは、この値を roleName パラメータに使用します。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| sso_oidc_role_name | 必須 | none |
sso_oidc_role_name=AthenaReadAccess; |
タイムアウト
ポーリング SSO API がアクセストークンをチェックする秒数。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| sso_oidc_timeout | オプションです。 | 120 |
sso_oidc_timeout=60; |
リッスンポート
OAuth 2.0 コールバックサーバーに使用するローカルポート番号。これはリダイレクト URI として使用され、ネットワークでこのポートを許可リストに追加する必要がある場合があります。デフォルトで生成されるリダイレクト URI は http://localhost:7890/athena です。このパラメータは、PKCE を使用したデバイスコードから認可コードへの移行の一環として v2.1.0.0 に追加されました。
警告
Windows ターミナルサーバーやリモートデスクトップサービスなどの共有環境では、ループバックポート(デフォルト:7890)は同一マシン上のすべてのユーザー間で共有されます。システム管理者は、潜在的なポートハイジャックリスクを以下の方法で軽減できます。
-
ユーザーグループごとに異なるポート番号を設定する
-
Windows セキュリティポリシーを使用してポートアクセスを制限する
-
ユーザーセッション間のネットワーク分離を実装する
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| listen_port | オプションです。 | 7890 |
listen_port=8080; |
ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報を複数のプロセス間でキャッシュおよび再利用できます。Microsoft Power BI などの BI ツールを使用するとき、このオプションを使用して開かれるブラウザーのウィンドウ数を減らすことができます。
注記
v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存された認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として user-profile/.athena-odbc/ ディレクトリに保存されます。
| 接続文字列名 | パラメータタイプ | デフォルト値: | 接続文字列の例 |
|---|---|---|---|
| sso_oidc_cache | オプションです。 | 1 |
sso_oidc_cache=0; |
