# Browser SSO OIDC
<a name="odbc-v2-driver-browser-sso-oidc"></a>

O Browser SSO OIDC é um plug-in de autenticação que funciona com o Centro de Identidade do AWS IAM. Para obter informações sobre como habilitar e usar o Centro de Identidade do IAM, consulte [Step 1: Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.

**nota**  
**Atualização de segurança v2.1.0.0:** a partir da versão 2.1.0.0, o plug-in BrowsersSooIDC usa Código de Autorização com PKCE em vez de Autorização de Código de Dispositivo para melhorar a segurança. Essa alteração elimina a etapa de exibição do código do dispositivo e fornece uma autenticação mais rápida. Um novo parâmetro `listen_port` (padrão 7890) é usado para o servidor de retorno de chamada OAuth 2.0. Talvez seja necessário incluir essa porta na lista de permissões em sua rede. O escopo padrão foi alterado para `sso:account:access`.

## Tipo de autenticação
<a name="odbc-v2-driver-browser-sso-oidc-authentication-type"></a>


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| AuthenticationType | Obrigatório | IAM Credentials | AuthenticationType=BrowserSSOOIDC; | 

## URL inicial do Centro de Identidade do IAM
<a name="odbc-v2-driver-browser-sso-oidc-sso-start-url"></a>

O URL do portal de acesso da AWS. A ação da API [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) do Centro de Identidade do IAM usa esse valor para o parâmetro `issuerUrl`.

**Para copiar o URL do portal de acesso da AWS**

1. Faça login no Console de gerenciamento da AWS e abra o console do Centro de Identidade do AWS IAM em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. No painel de navegação, selecione **Configurações**.

1. Na página **Configurações**, em **Origem de identidade**, escolha o ícone da área de transferência para o **URL do portal de acesso da AWS**.


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1start\$1url | Obrigatório | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; | 

## Região do Centro de Identidade do IAM
<a name="odbc-v2-driver-browser-sso-oidc-sso-region"></a>

A Região da AWS em que o SSO está configurado. Os clientes `SSOOIDCClient` e `SSOClient` do AWS SDK usam esse valor para o parâmetro `region`.


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1region | Obrigatório | none | sso\$1oidc\$1region=us-east-1; | 

## Escopos
<a name="odbc-v2-driver-browser-sso-oidc-scopes"></a>

A lista de escopos que são definidos pelo cliente. Após a autorização, a lista restringe as permissões quando um token de acesso é concedido. A ação da API [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) do Centro de Identidade do IAM usa esse valor para o parâmetro `scopes`.


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1scopes | Opcional | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; | 

## ID da conta
<a name="odbc-v2-driver-browser-sso-oidc-account-id"></a>

O identificador da Conta da AWS que é atribuída ao usuário. A API [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) do Centro de Identidade do IAM usa esse valor para o parâmetro `accountId`.


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1account\$1id | Obrigatório | none | sso\$1oidc\$1account\$1id=123456789123; | 

## Nome do perfil
<a name="odbc-v2-driver-browser-sso-oidc-role-name"></a>

O nome amigável do perfil atribuído ao usuário. O nome que você especifica para esse conjunto de permissões é exibido no portal de acesso da AWS como um perfil disponível. A ação da API [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) do Centro de Identidade do IAM usa esse valor para o parâmetro `roleName`.


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1role\$1name | Obrigatório | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; | 

## Tempo limite
<a name="odbc-v2-driver-browser-sso-oidc-timeout"></a>

O número de segundos em que a API de SSO de sondagem deve verificar o token de acesso.


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1timeout | Opcional | 120 | sso\$1oidc\$1timeout=60; | 

## Escutar porta
<a name="odbc-v2-driver-browser-sso-oidc-listen-port"></a>

O número da porta local a ser usada para o servidor de retorno de chamada do OAuth 2.0. Isso é usado como o URI de redirecionamento e talvez seja necessário incluir essa porta na lista de permissões em sua rede. O URI de redirecionamento padrão gerado é: `http://localhost:7890/athena`. Esse parâmetro foi adicionado na v2.1.0.0 como parte da migração do Código do Dispositivo para o Código de Autorização com o PKCE.

**Atenção**  
Em ambientes compartilhados, como Windows Terminal Servers ou Remote Desktop Services, a porta de loopback (padrão: 7890) é compartilhada entre todos os usuários na mesma máquina. Os administradores do sistema podem mitigar possíveis riscos de sequestro de portas por meio de:  
Configuração de números de porta diferentes para diferentes grupos de usuários
Uso de políticas de segurança do Windows para restringir o acesso às portas
Implementação do isolamento de rede entre as sessões do usuário


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| listen\$1port | Opcional | 7890 | listen\$1port=8080; | 

## Habilitar cache de arquivos
<a name="odbc-v2-driver-browser-sso-oidc-file-cache"></a>

Habilita um cache de credenciais temporárias. Esse parâmetro de conexão permite que as credenciais temporárias sejam armazenadas em cache e reutilizadas entre vários processos. Use essa opção para reduzir o número de janelas do navegador abertas ao usar ferramentas de BI, como o Microsoft Power BI.

**nota**  
A partir da v2.1.0.0, as credenciais em cache são armazenadas como JSON de texto simples no diretório `user-profile/.athena-odbc/` com permissões de arquivo restritas ao usuário proprietário, de acordo com a forma como a AWS CLI protege as credenciais armazenadas localmente.


****  

| **Nome da string de conexão** | **Tipo de parâmetro** | **Valor padrão** | **Exemplo de string de conexão** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1cache | Opcional | 1 | sso\$1oidc\$1cache=0; |