Browser SSO OIDC
O Browser SSO OIDC é um plug-in de autenticação que funciona com o Centro de Identidade do AWS IAM. Para obter informações sobre como habilitar e usar o Centro de Identidade do IAM, consulte Step 1: Enable IAM Identity Center no Guia do usuário do Centro de Identidade do AWS IAM.
nota
Atualização de segurança v2.1.0.0: a partir da versão 2.1.0.0, o plug-in BrowsersSooIDC usa Código de Autorização com PKCE em vez de Autorização de Código de Dispositivo para melhorar a segurança. Essa alteração elimina a etapa de exibição do código do dispositivo e fornece uma autenticação mais rápida. Um novo parâmetro listen_port (padrão 7890) é usado para o servidor de retorno de chamada OAuth 2.0. Talvez seja necessário incluir essa porta na lista de permissões em sua rede. O escopo padrão foi alterado para sso:account:access.
Tipo de autenticação
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| AuthenticationType | Obrigatório | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
URL inicial do Centro de Identidade do IAM
O URL do portal de acesso da AWS. A ação da API RegisterClient do Centro de Identidade do IAM usa esse valor para o parâmetro issuerUrl.
Para copiar o URL do portal de acesso da AWS
Faça login no Console de gerenciamento da AWS e abra o console do Centro de Identidade do AWS IAM em https://console.aws.amazon.com/singlesignon/
. -
No painel de navegação, selecione Configurações.
-
Na página Configurações, em Origem de identidade, escolha o ícone da área de transferência para o URL do portal de acesso da AWS.
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| sso_oidc_start_url | Obrigatório | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
Região do Centro de Identidade do IAM
A Região da AWS em que o SSO está configurado. Os clientes SSOOIDCClient e SSOClient do AWS SDK usam esse valor para o parâmetro region.
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| sso_oidc_region | Obrigatório | none |
sso_oidc_region=us-east-1; |
Escopos
A lista de escopos que são definidos pelo cliente. Após a autorização, a lista restringe as permissões quando um token de acesso é concedido. A ação da API RegisterClient do Centro de Identidade do IAM usa esse valor para o parâmetro scopes.
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| sso_oidc_scopes | Opcional | sso:account:access |
sso_oidc_scopes=sso:account:access; |
ID da conta
O identificador da Conta da AWS que é atribuída ao usuário. A API GetRoleCredentials do Centro de Identidade do IAM usa esse valor para o parâmetro accountId.
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| sso_oidc_account_id | Obrigatório | none |
sso_oidc_account_id=123456789123; |
Nome do perfil
O nome amigável do perfil atribuído ao usuário. O nome que você especifica para esse conjunto de permissões é exibido no portal de acesso da AWS como um perfil disponível. A ação da API GetRoleCredentials do Centro de Identidade do IAM usa esse valor para o parâmetro roleName.
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| sso_oidc_role_name | Obrigatório | none |
sso_oidc_role_name=AthenaReadAccess; |
Tempo limite
O número de segundos em que a API de SSO de sondagem deve verificar o token de acesso.
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| sso_oidc_timeout | Opcional | 120 |
sso_oidc_timeout=60; |
Escutar porta
O número da porta local a ser usada para o servidor de retorno de chamada do OAuth 2.0. Isso é usado como o URI de redirecionamento e talvez seja necessário incluir essa porta na lista de permissões em sua rede. O URI de redirecionamento padrão gerado é: http://localhost:7890/athena. Esse parâmetro foi adicionado na v2.1.0.0 como parte da migração do Código do Dispositivo para o Código de Autorização com o PKCE.
Atenção
Em ambientes compartilhados, como Windows Terminal Servers ou Remote Desktop Services, a porta de loopback (padrão: 7890) é compartilhada entre todos os usuários na mesma máquina. Os administradores do sistema podem mitigar possíveis riscos de sequestro de portas por meio de:
-
Configuração de números de porta diferentes para diferentes grupos de usuários
-
Uso de políticas de segurança do Windows para restringir o acesso às portas
-
Implementação do isolamento de rede entre as sessões do usuário
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| listen_port | Opcional | 7890 |
listen_port=8080; |
Habilitar cache de arquivos
Habilita um cache de credenciais temporárias. Esse parâmetro de conexão permite que as credenciais temporárias sejam armazenadas em cache e reutilizadas entre vários processos. Use essa opção para reduzir o número de janelas do navegador abertas ao usar ferramentas de BI, como o Microsoft Power BI.
nota
A partir da v2.1.0.0, as credenciais em cache são armazenadas como JSON de texto simples no diretório user-profile/.athena-odbc/ com permissões de arquivo restritas ao usuário proprietário, de acordo com a forma como a AWS CLI protege as credenciais armazenadas localmente.
| Nome da string de conexão | Tipo de parâmetro | Valor padrão | Exemplo de string de conexão |
|---|---|---|---|
| sso_oidc_cache | Opcional | 1 |
sso_oidc_cache=0; |
