浏览器 Azure AD
浏览器 Azure AD 是一个基于 SAML 的身份验证插件,可与 Azure AD 身份提供商配合使用并支持多重身份验证。与标准 Azure AD 插件不同,该插件不需要在连接参数中输入用户名、密码或客户端密钥。
注意
v2.1.0.0 安全更新:从 v2.1.0.0 开始,BrowserAzureAD 插件在 OAuth 2.0 授权流程中包含 PKCE(代码交换的证明密钥)。这样可以防止对共享系统进行授权码截取攻击。无需更改任何配置。
身份验证类型
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| AuthenticationType | 必需 | IAM Credentials |
AuthenticationType=BrowserAzureAD; |
Preferred role
要代入的角色的 Amazon 资源名称(ARN)。如果您的 SAML 断言具有多个角色,则可以指定此参数来选择要担任的角色。指定的角色应存在于 SAML 断言中。有关 ARN 角色的更多信息,请参阅 AWS Security Token Service API 参考中的 AssumeRole。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| preferred_role | 可选 | none |
preferred_role=arn:aws:IAM::123456789012:id/user1; |
会话持续时间
角色会话的持续时间(以秒为单位)。有关会话持续时间的更多信息,请参阅 AWS Security Token Service API 参考中的 AssumeRole。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| duration | 可选 | 900 |
duration=900; |
租户 ID
指定应用程序租户 ID。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| idp_tenant | 必需 | none |
idp_tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
客户端 ID
指定应用程序客户端 ID。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| client_id | 必需 | none |
client_id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
超时
插件停止等待 Azure AD 发出 SAML 响应之前的持续时间,以秒为单位。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| timeout | 可选 | 120 |
timeout=90; |
启用 Azure 文件缓存
启用临时凭证缓存。此连接参数允许在多个进程之间缓存和重复使用临时凭证。当您使用 Microsoft Power BI 等 BI 工具时,使用此选项可以减少打开的浏览器窗口数量。
注意
从 v2.1.0.0 开始,缓存的凭证以纯文本 JSON 格式存储在 user-profile/.athena-odbc/ 目录中,文件权限仅限于拥有用户,这与 AWS CLI 保护本地存储凭证的方式一致。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| browser_azure_cache | 可选 | 1 |
browser_azure_cache=0; |
