基于浏览器的身份中心集成
通过此身份验证类型,您可以从外部身份提供者处获取新的 JSON Web 令牌(JWT),并使用 Athena 进行身份验证。您可以使用此插件,通过可信身份传播,实现对企业身份的支持。有关如何将可信身份传播与驱动程序结合使用的更多信息,请参阅将可信身份传播与 Amazon Athena 驱动程序结合使用。您还可以使用 CloudFormation 配置和部署资源。
使用可信身份传播,可以向 IAM 角色添加身份上下文,以识别请求访问 AWS 资源的用户身份。有关启用和使用可信身份传播的信息,请参阅 What is trusted identity propagation?。
注意
该插件专为单用户桌面环境而设计。在 Windows Server 等共享环境中,系统管理员负责建立和维护用户之间的安全边界。
凭证提供程序
将用于对 AWS 的请求进行身份验证的凭证提供程序。将此参数的值设置为 BrowserOidcTip。
| 参数名称 | 别名 | 参数类型 | 默认 值 | 要使用的值 |
|---|---|---|---|---|
| CredentialsProvider | AWSCredentialsProviderClass(已弃用) | 必需 | none | BrowserOidcTip |
Idp 公开配置 URL
IDP 公开配置 URL 是为身份提供者提供 OpenID Connect 配置详细信息的端点。此 URL 通常以 .well-known/openid-configuration 结尾,并包含有关身份验证端点、支持的功能和令牌签名密钥的基本元数据。例如,如果您使用的是 Okta,则 URL 可能类似 https://your-domain.okta.com/.well-known/openid-configuration。
故障排除:如果您收到连接错误,请验证是否可以从您的网络访问此 URL 并返回有效的 OpenID Connect 配置 JSON。该 URL 必须能够已安装驱动程序的客户端访问,并且应由您的身份提供者管理员提供。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| IdpWellKnownConfigurationUrl | none | 必需 | none |
客户端标识符
OpenID Connect 提供商向应用程序颁发的客户端标识符。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| OidcClientId | none | 必需 | none |
WorkgroupArn
包含可信身份传播配置标签的 Amazon Athena 工作组的 Amazon 资源名称(ARN)。有关工作组的更多信息,请参阅 WorkGroup。
注意
此参数与指定查询运行位置的 Workgroup 参数不同。必须同时设置两个参数:
-
WorkgroupArn:指向包含可信身份传播配置标签的工作组 -
Workgroup:指定将在其中执行查询的工作组
虽然这两个参数通常指向同一个工作组,但必须显式设置两个参数以确保正常运行。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| WorkGroupArn | none | 必需 | 主 |
JWT 应用程序角色 ARN
JWT 交换时将代入角色的 ARN。此角色用于 JWT 交换、通过工作组标签获取 IAM Identity Center 客户管理的应用程序 ARN,以及获取访问角色 ARN。有关代入角色的信息,请参阅 AssumeRole。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| ApplicationRoleArn | none | 必需 | none |
JWT 角色会话名称
IAM 会话的名称。它可以是任意名称,但通常,人们会填写与使用自身应用程序的用户关联的名称或标识符。这样,您的应用程序使用的临时安全凭证会与该用户相关联。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| JwtRoleSessionName | role_session_name(已弃用) | 必需 | none |
客户端密钥
clientSecret 是您的身份提供者颁发的机密密钥,用于对您的应用程序(客户端)进行身份验证。虽然此参数是可选的,可能并非所有身份验证流程必需,但其使用可提了额外的安全层。如果您的 IDP 配置需要客户端密钥,则必须将此参数与身份提供者管理员提供的值一起包括在内。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| OidcClientSecret | none | 可选 | none |
范围
该范围指定您的应用程序向身份提供者请求的访问级别。要接收包含基本用户身份声明的 ID 令牌,您必须在范围内包含 openid。您的范围可能需要包括 email 或 profile 等其他权限,具体取决于您的身份提供者(例如 Microsoft Entra ID)配置为包含在 ID 令牌中的用户声明。这些声明对于正确的可信身份传播映射至关重要。如果用户身份映射失败,请验证您的范围是否包含所有必需的权限,并且您的身份提供者已配置为在 ID 令牌中包含所需的声明。这些声明必须与 IAM Identity Center 中的可信令牌发布者映射配置相匹配。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| 范围 | none | 可选 | openid email offline_access |
角色会话持续时间
角色会话的持续时间(以秒为单位)。有关更多信息,请参阅 AssumeRoleWithWebIdentity。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| RoleSessionDuration | Duration(已弃用) | 可选 | 3600 |
JWT 访问角色 ARN
Athena 代表您进行调用时所代入角色的 ARN。有关代入角色的更多信息,请参阅 AWS Security Token Service API Reference 中的 AssumeRole。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| AccessRoleArn | none | 可选 | none |
IAM Identity Center 客户管理的应用程序 ARN
IAM Identity Center 客户管理的应用程序 ARN。有关更多信息,请参阅 Customer Managed Application。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| CustomerIdcApplicationArn | none | 可选 | none |
身份提供者端口号
用于 OAuth 2.0 回调服务器的本地端口号。此项用作 redirect_uri,您需要在 IDP 应用程序中将其列入允许列表。默认生成的 redirect_uri 为:http://localhost:7890/athena
警告
在 Windows 终端服务器或远程桌面服务等共享环境中,环回端口(默认值:7890)在同一台计算机上的所有用户之间共享。系统管理员可通过以下方式降低潜在的端口劫持风险:
-
为不同用户组配置不同的端口号
-
使用 Windows 安全策略限制端口访问权限
-
在用户会话之间实现网络隔离
如果无法实现这些安全控制措施,我们建议改用 JWT 可信身份传播插件,该插件不需要环回端口。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| IdpPortNumber | none | 可选 | 7890 |
身份提供者响应超时
等待 OAuth 2.0 回调响应的超时时间(秒)。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| IdpResponseTimeout | none | 可选 | 120 |
启用令牌缓存
EnableTokenCaching 参数决定驱动程序是否在两次连接之间缓存身份验证令牌。将 EnableTokenCaching 设置为 true 可减少身份验证提示并改善用户体验,但应谨慎使用。此设置最适合单用户桌面环境。在 Windows Server 等共享环境中,建议禁用此项,以防止连接字符串相似的用户之间可能共享令牌。
对于使用 Tableau Server 等工具的企业部署,我们建议使用 JWT 可信身份传播插件,而不是这种身份验证方法。
| 参数名称 | 别名 | 参数类型 | 默认 值 |
|---|---|---|---|
| EnableTokenCaching | none | 可选 | FALSE |
