本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 身分驗證選項
您可以使用下列身分驗證類型連線至 Amazon Athena。對於所有類型,連線字串名稱為 `AuthenticationType`,參數類型為 `Required`,預設值為 `IAM Credentials`。如需有關每種身分驗證類型的參數的資訊,請造訪對應的連結。如需常用身分驗證參數,請參閱 [常用身分驗證參數](odbc-v2-driver-common-authentication-parameters.md)。
****
| 身分驗證類型 | 連線字串範例 |
| --- | --- |
| [IAM 憑證](odbc-v2-driver-iam-credentials.md) | AuthenticationType=IAM Credentials; |
| [IAM 設定檔](odbc-v2-driver-iam-profile.md) | AuthenticationType=IAM Profile; |
| [AD FS](odbc-v2-driver-ad-fs.md) | AuthenticationType=ADFS; |
| [Azure AD](odbc-v2-driver-azure-ad.md) | AuthenticationType=AzureAD; |
| [瀏覽器 Azure AD](odbc-v2-driver-browser-azure-ad.md) | AuthenticationType=BrowserAzureAD; |
| [瀏覽器 SAML](odbc-v2-driver-browser-saml.md) | AuthenticationType=BrowserSAML; |
| [瀏覽器 SSO OIDC](odbc-v2-driver-browser-sso-oidc.md) | AuthenticationType=BrowserSSOOIDC; |
| [預設憑證](odbc-v2-driver-default-credentials.md) | AuthenticationType=Default Credentials; |
| [外部憑證](odbc-v2-driver-external-credentials.md) | AuthenticationType=External Credentials; |
| [執行個體設定檔](odbc-v2-driver-instance-profile.md) | AuthenticationType=Instance Profile; |
| [JWT](odbc-v2-driver-jwt.md) | AuthenticationType=JWT; |
| [JWT 可信身分傳播憑證提供者](odbc-v2-driver-jwt-tip.md) | AuthenticationType=JWT\$1TIP; |
| [瀏覽器信任的身分傳播憑證](odbc-v2-driver-browser-oidc-tip.md) | AuthenticationType=BrowserOidcTip; |
| [Okta](odbc-v2-driver-okta.md) | AuthenticationType=Okta; |
| [Ping](odbc-v2-driver-ping.md) | AuthenticationType=Ping; |
# IAM 憑證
您可以使用 IAM 憑證,以使用本節所述的連線字串參數,透過 ODBC 驅動程式連線至 Amazon Athena。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=IAM Credentials; |
## 使用者 ID
您的 AWS 存取金鑰 ID。如需有關存取金鑰的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 必要 | none | UID=AKIAIOSFODNN7EXAMPLE; |
## 密碼
您的 AWS 私密金鑰 ID。如需有關存取金鑰的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 必要 | none | PWD=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKE; |
## 工作階段字符
如果您使用臨時 AWS 登入資料,則必須指定工作階段字符。如需有關暫時憑證的資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的暫時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| SessionToken | 選用 | none | SessionToken=AQoDYXdzEJr...; |
# IAM 設定檔
您可以將具名設定檔設定為使用 ODBC 驅動程式連線到 Amazon Athena。您可以使用具名設定檔搭配下列其中一個登入資料來源:
+ `Ec2InstanceMetadata` – 從 Amazon EC2 執行個體中繼資料服務 (IMDS) 擷取憑證。在 Amazon EC2 執行個體上執行時使用此值。
+ `EcsContainer` – 從 Amazon ECS 任務角色端點擷取登入資料。在 Amazon ECS 容器中執行時使用此值。
+ `Environment` – 從環境變數 (`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、) 擷取登入資料`AWS_SESSION_TOKEN`。
將 AWS 設定檔組態中的 `credential_source` 參數設定為適合您環境的值。如果您要在具名設定檔中使用自訂憑證提供者,請在設定檔組態中指定 `plugin_name` 參數的值。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=IAM Profile; |
## AWS 設定檔
用於 ODBC 連線的設定檔名稱。如需有關描述檔的詳細資訊,請參閱《 *AWS Command Line Interface 使用者指南》*中的[使用具名描述檔](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AWS設定檔 | 必要 | none | AWSProfile=default; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。當設定檔組態中的 `plugin_name` 參數指定自訂憑證提供者時,將使用偏好角色參數。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。當設定檔組態中的 `plugin_name` 參數指定自訂憑證提供者時,將使用工作階段持續時間參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## 外掛程式名稱
指定在具名設定檔中使用的自訂憑證提供者名稱。此參數可以採用與「ODBC 資料來源管理員」的「**驗證類型**」欄位中的值相同,但僅供 `AWSProfile` 組態使用。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| plugin\$1name | 選用 | none | plugin\$1name=AzureAD; |
# AD FS
AD FS 是 SAML 型身分驗證外掛程式,可與 Active Directory Federation Service (AD FS) 身分提供者搭配使用。該外掛程式支援[整合式 Windows 身分驗證](https://learn.microsoft.com/en-us/aspnet/web-api/overview/security/integrated-windows-authentication)和表單型身分驗證。如果您使用整合式 Windows 身分驗證,則可以省略使用者名稱和密碼。如需有關設定 AD FS 和 Athena 的資訊,請參閱 [使用 ODBC 用戶端為 Microsoft AD FS 使用者設定對 Amazon Athena 的聯合存取權](odbc-adfs-saml.md)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=ADFS; |
## 使用者 ID
連線至 AD FS 伺服器的使用者名稱。對於整合式 Windows 身分驗證,您可以省略使用者名稱。如果您的 AD FS 設定需要使用者名稱,您必須在連線參數中予以提供。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 對 Windows 整合式身分驗證為選用 | none | UID=domain\$1username; |
## 密碼
連線至 AD FS 伺服器的密碼。如同使用者名稱欄位,如果您使用整合式 Windows 身分驗證,您可以省略使用者名稱。如果您的 AD FS 設定需要密碼,您必須在連線參數中予以提供。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 對 Windows 整合式身分驗證為選用 | none | PWD=password\$13EXAMPLE; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如果您的 SAML 聲明具有多個角色,您可以指定此參數來選擇要擔任的角色。此角色應出現在 SAML 聲明中。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## IdP 主機
AD FS 服務主機的名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1host | 必要 | none | idp\$1host=.; |
## IdP 連接埠
用於連線至 AD FS 主機的連接埠。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1port | 必要 | none | idp\$1port=443; |
## LoginToRP
可信依賴方。使用此參數來覆寫 AD FS 依賴方端點 URL。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| LoginToRP | 選用 | urn:amazon:webservices | LoginToRP=trustedparty; |
# Azure AD
Azure AD 是 SAML 型身分驗證外掛程式,可與 Azure AD 身分提供者搭配使用。本外掛程式不支援多重要素驗證 (MFA)。如果您需要 MFA 支援,請考慮改用 `BrowserAzureAD` 外掛程式。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=AzureAD; |
## 使用者 ID
連線至 Azure AD 的使用者名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 必要 | none | UID=jane.doe@example.com; |
## 密碼
連線至 Azure AD 的密碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 必要 | none | PWD=password\$13EXAMPLE; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如需有關 ARN 角色的資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## 租用戶 ID
指定您的應用程式租用戶 ID。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必要 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## 用戶端 ID
指定您的應用程式用戶端 ID。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1id | 必要 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## Client secret (用戶端密碼)
指定您的用戶端密碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1secret | 必要 | none | client\$1secret=zG12q\$1.xzG1xxxZ1wX1.\$1ZzXXX1XxkHZizeT1zzZ; |
# 瀏覽器 Azure AD
瀏覽器 Azure AD 是 SAML 型身分驗證外掛程式,可與 Azure AD 身分提供者搭配使用並支援多重因素認證。與標準 Azure AD 外掛程式不同,此外掛程式不需要連線參數中的使用者名稱、密碼或用戶端密碼。
**注意**
**v2.1.0.0 安全更新:**從 v2.1.0.0 開始,BrowserAzureAD 外掛程式在 OAuth 2.0 授權流程中包含 PKCE (程式碼交換的驗證金鑰)。這可防止授權碼攔截對共用系統的攻擊。不需要變更組態。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=BrowserAzureAD; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如果您的 SAML 聲明具有多個角色,您可以指定此參數來選擇要擔任的角色。指定的角色應出現在 SAML 聲明中。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## 租用戶 ID
指定您的應用程式租用戶 ID。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必要 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## 用戶端 ID
指定您的應用程式用戶端 ID。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1id | 必要 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## Timeout (逾時)
外掛程式停止等待來自 Azure AD 之 SAML 回應之前的持續時間 (以秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| timeout | 選用 | 120 | timeout=90; |
## 啟用 Azure 檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取,及重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,開啟瀏覽器視窗的數目。
**注意**
從 v2.1.0.0 開始,快取的憑證會以純文字 JSON 形式存放在 `user-profile/.athena-odbc/`目錄中,檔案許可僅限於擁有的使用者,與 AWS CLI 保護本機儲存憑證的方式一致。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| browser\$1azure\$1cache | 選用 | 1 | browser\$1azure\$1cache=0; |
# 瀏覽器 SAML
瀏覽器 SAML 是一般身分驗證外掛程式,可與 SAML 型身分提供者搭配使用並支援多重因素認證。如需詳細的組態資訊,請參閱 [使用 ODBC、SAML 2.0 和 Okta 身分提供者設定單一登入](okta-saml-sso.md)。
**注意**
**v2.1.0.0 安全性更新:**從 v2.1.0.0 開始,BrowserSAML 外掛程式會透過 RelayState 驗證包含 CSRF 保護。驅動程式會產生隨機狀態字符,將其做為 RelayState 參數包含在登入 URL 中,並在接受 SAML 聲明之前針對收到的回應進行驗證。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=BrowserSAML; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如果您的 SAML 聲明具有多個角色,您可以指定此參數來選擇要擔任的角色。此角色應出現在 SAML 聲明中。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## 登入 URL
為您的應用程式顯示的單一登入 URL。
**重要**
從 v2.1.0.0 開始,登入 URL 必須使用具有有效授權的 HTTP 或 HTTPS 通訊協定。驅動程式會在啟動身分驗證流程之前驗證 URL 格式。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| login\$1url | 必要 | none | login\$1url=https://trial-1234567.okta.com/app/trial-1234567\$1oktabrowsersaml\$11/zzz4izzzAzDFBzZz1234/sso/saml; |
## 接聽連接埠
用來接聽 SAML 回應的連接埠號碼。此值應與您設定 IdP 時使用的 IAM Identity Center URL 相符 (例如,`http://localhost:7890/athena`)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| listen\$1port | 選用 | 7890 | listen\$1port=7890; |
## Timeout (逾時)
外掛程式停止等待來自身分提供者的 SAML 回應之前的持續時間 (以秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| timeout | 選用 | 120 | timeout=90; |
# 瀏覽器 SSO OIDC
瀏覽器 SSO OIDC 是可與 搭配使用的身分驗證外掛程式 AWS IAM Identity Center。如需有關啟用和使用 IAM Identity Center 的資訊,請參閱《*AWS IAM Identity Center 使用者指南*》中的[步驟 1:啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)
**注意**
**v2.1.0.0 安全更新:**從 2.1.0.0 版開始,BrowserSSOOIDC 外掛程式使用授權碼搭配 PKCE 而非裝置碼授權,以提高安全性。此變更會消除裝置程式碼顯示步驟,並提供更快速的身分驗證。OAuth 2.0 回呼伺服器會使用新`listen_port`參數 (預設 7890)。您可能需要允許列出您網路上的此連接埠。預設範圍已變更為 `sso:account:access`。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=BrowserSSOOIDC; |
## IAM Identity Center 啟動 URL
AWS 存取入口網站的 URL。IAM Identity Center [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 動作會將此值用於 `issuerUrl` 參數。
**複製 AWS 存取入口網站 URL**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) 開啟 AWS IAM Identity Center 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**設定**頁面的**身分來源**下,選擇 **AWS 存取入口網站 URL** 的剪貼簿圖示。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1start\$1url | 必要 | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; |
## IAM Identity Center 區域
設定 SSO AWS 區域 的 。`SSOOIDCClient` 和 `SSOClient` AWS SDK 用戶端會針對 `region` 參數使用此值。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1region | 必要 | none | sso\$1oidc\$1region=us-east-1; |
## 範圍
用戶端所定義的範圍清單。授權後,此清單會在授予存取字符時限制許可。IAM Identity Center [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 動作會將此值用於 `scopes` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1scopes | 選用 | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; |
## 帳戶 ID
AWS 帳戶 指派給使用者的 識別符。IAM Identity Center [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 使用此值做為 `accountId` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1account\$1id | 必要 | none | sso\$1oidc\$1account\$1id=123456789123; |
## 角色名稱
指派給使用者的角色的易記名稱。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。IAM Identity Center [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 使用此值做為 `roleName` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1role\$1name | 必要 | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; |
## Timeout (逾時)
輪詢 SSO API 應檢查存取字符的秒數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1timeout | 選用 | 120 | sso\$1oidc\$1timeout=60; |
## 接聽連接埠
用於 OAuth 2.0 回呼伺服器的本機連接埠號碼。這用作重新導向 URI,您可能需要允許列出網路上的此連接埠。預設產生的重新導向 URI 為:`http://localhost:7890/athena`。此參數已在 v2.1.0.0 中新增,做為從 Device Code 遷移至 Authorization Code with PKCE 的一部分。
**警告**
在 Windows Terminal Server 或遠端桌面服務等共用環境中,循環連接埠 (預設值:7890) 會在相同機器上的所有使用者之間共用。系統管理員可以透過下列方式降低潛在的連接埠劫持風險:
為不同的使用者群組設定不同的連接埠號碼
使用 Windows 安全政策來限制連接埠存取
在使用者工作階段之間實作網路隔離
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| listen\$1port | 選用 | 7890 | listen\$1port=8080; |
## 啟用檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取,及重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,開啟瀏覽器視窗的數目。
**注意**
從 v2.1.0.0 開始,快取的憑證會以純文字 JSON 形式存放在 `user-profile/.athena-odbc/`目錄中,檔案許可僅限於擁有的使用者,與 AWS CLI 保護本機儲存憑證的方式一致。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1cache | 選用 | 1 | sso\$1oidc\$1cache=0; |
# 預設憑證
您可以使用在用戶端系統上設定的預設憑證連線至 Amazon Athena。如需有關使用預設憑證的資訊,請參閱《*適用於 Java 的 AWS SDK 開發人員指南*》中的[使用預設憑證提供者鏈結](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html#credentials-default)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=Default Credentials; |
# 外部憑證
外部憑證的一般身分驗證外掛程式,可用來連線至任何外部 SAML 型身分提供者的外掛程式。若要使用外掛程式,您可以傳遞可傳回 SAML 回應的可執行檔。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=External Credentials; |
## 可執行路徑
包含自訂 SAML 型憑證提供者的邏輯的可執行檔路徑。可執行檔的輸出必須是身分提供者所解析的 SAML 回應。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ExecutablePath | 必要 | none | ExecutablePath=C:\$1Users\$1user\$1name\$1external\$1credential.exe |
## 引數清單
您要傳遞至可執行檔的引數清單。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ArgumentList | 選用 | none | ArgumentList=arg1 arg2 arg3 |
# 執行個體設定檔
此身份驗證類型用於 EC2 執行個體,並透過 Amazon EC2 中繼資料服務傳遞。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=Instance Profile; |
# JWT
JWT (JSON Web Token) 外掛程式提供了一個介面,該介面使用 JSON Web Token 來擔任 Amazon IAM 角色。組態取決於身分提供者。如需設定 Google Cloud 聯合的相關資訊 AWS,請參閱 Google Cloud 文件中的[使用 AWS 或 Azure 設定工作負載聯合身分](https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=JWT; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## JSON Web Token
用於使用 [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) AWS STS API 動作擷取 IAM 臨時登入資料的 JSON Web 字符。如需有關為 Google Cloud Platform (GCP) 使用者產生 JSON Web Token 的資訊,請參閱 Google Cloud 文件中的[使用 JWT OAuth 字符](https://cloud.google.com/apigee/docs/api-platform/security/oauth/using-jwt-oauth)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必要 | none | web\$1identity\$1token=eyJhbGc...; |
## 角色工作階段名稱
工作階段的名稱。一種常見技術是將應用程式使用者的名稱或識別符用作角色工作階段名稱。這可方便地將您應用程式使用的暫時安全憑證與對應的使用者建立關聯。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必要 | none | role\$1session\$1name=familiarname; |
# JWT 可信身分傳播憑證提供者
此身分驗證類型允許您使用從外部身分提供者獲得的 JSON Web Token (JWT) 作為連線參數,向 Athena 進行身分驗證。您可以使用此外掛程式,透過可信身分傳播啟用對企業身分的支援。
透過信任的身分傳播,身分內容會新增至 IAM 角色,以識別請求存取 AWS 資源的使用者。如需有關啟用和使用可信身分傳播的資訊,請參閱[什麼是可信身分傳播?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=JWT\$1TIP; |
## JWT web 身分權杖
從外部聯合身分提供者獲得的 JWT 權杖。此權杖將用於向 Athena 進行身分驗證。權杖快取預設為啟用,並允許在不同的驅動器連線之間使用相同的 Identity Center 存取權杖。我們建議在「測試連線」時提供新的 JWT 權杖,因為交換的權杖僅在驅動器執行個體處於作用中狀態期間才會存在。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必要 | none | web\$1identity\$1token=eyJhbGc...; |
## 工作群組 Arn
Amazon Athena 工作群組的 Amazon Resource Name (ARN)。如需有關工作群組的詳細資訊,請參閱[工作群組](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必要 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT 應用程式角色 ARN
要擔任的角色 ARN。此角色可用於 JWT 交換、透過工作群組標籤取得 IAM Identity Center 客戶自管應用程式 ARN,以及取得存取角色 ARN。如需有關擔任角色的詳細資訊,請參閱 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必要 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## 角色工作階段名稱
工作階段的名稱。名稱可隨意指定,但是一般來說,您會傳遞與應用程式使用者相關聯的名稱或識別碼。這樣一來,應用程式使用的臨時安全憑證會與該使用者相關聯。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必要 | none | role\$1session\$1name=familiarname; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 3600 | duration=900; |
## JWT 存取角色 ARN
要擔任的角色 ARN。此為 Athena 擔任的角色,可代表您進行呼叫。如需有關擔任角色的詳細資訊,請參閱 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AccessRoleArn | 選用 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center 客戶自管應用程式 ARN
IAM Identity Center 客戶自管 IDC 應用程式的 ARN。如需有關客戶受管應用程式的詳細資訊,請參閱[客戶自管應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | 選用 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333 |
## 啟用檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取並重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,Web 身分權杖的數目。依預設,驅動器會在 Windows 中使用 `%USERPROFILE%` 和 `HOME` 路徑來寫入檔案快取。請確保您為這兩個環境變數中存在的路徑提供讀取和寫入存取權,以獲得更好的體驗。
**注意**
從 v2.1.0.0 開始,快取的登入資料會以純文字 JSON 形式存放在 `user-profile/.athena-odbc/`目錄中,檔案許可僅限於擁有的使用者,與 AWS CLI 保護本機儲存的登入資料的方式一致。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| JwtTipFileCache | 選用 | 0 | JwtTipFileCache=1; |
# 瀏覽器信任的身分傳播憑證
此身分驗證類型可讓您從外部身分提供者擷取新的 JSON Web 字符 (JWT),並使用 Athena 進行身分驗證。您可以使用此外掛程式,透過可信身分傳播啟用對企業身分的支援。如需有關如何搭配使用可信身分傳播與驅動器的詳細資訊,請參閱 [搭配使用可信身分傳播與 Amazon Athena 驅動器](using-trusted-identity-propagation.md)。您也可以[使用 CloudFormation 設定和部署資源](using-trusted-identity-propagation-cloudformation.md)。
透過信任的身分傳播,身分內容會新增至 IAM 角色,以識別請求存取 AWS 資源的使用者。如需有關啟用和使用可信身分傳播的資訊,請參閱[什麼是可信身分傳播?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)。
**注意**
外掛程式專為單一使用者桌面環境而設計。在 Windows Server 等共用環境中,系統管理員負責建立和維護使用者之間的安全界限。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | none | AuthenticationType=BrowserOidcTip; |
## IDP 已知組態 URL
IDP Well Known 組態 URL 是為您的身分提供者提供 OpenID Connect 組態詳細資訊的端點。此 URL 通常會以 結尾,`.well-known/openid-configuration`並包含有關身分驗證端點、支援的功能和字符簽署金鑰的基本中繼資料。例如,如果您使用的是 *Okta*,URL 可能看起來像 `https://your-domain.okta.com/.well-known/openid-configuration`。
針對疑難排解:如果您收到連線錯誤,請確認此 URL 可從您的網路存取,並傳回有效的 *OpenID Connect* 組態 JSON。此 URL 必須由安裝驅動程式的用戶端連線,且應由您的身分提供者管理員提供。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| IdpWellKnownConfigurationUrl | 必要 | none | IdpWellKnownConfigurationUrl=https:///.well-known/openid-configuration; |
## 用戶端識別符
OpenID Connect 提供者向應用程式發出的用戶端識別符。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1id | 必要 | none | client\$1id=00001111-aaaa-2222-bbbb-3333cccc4444; |
## 工作群組 ARN
Amazon Athena 工作群組的 Amazon Resource Name (ARN),其中包含信任的身分傳播組態標籤。如需有關工作群組的詳細資訊,請參閱[工作群組](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)。
**注意**
此參數與指定查詢執行位置的 `Workgroup` 參數不同。您必須設定這兩個參數:
`WorkgroupArn` - 指向包含信任身分傳播組態標籤的工作群組
`Workgroup` - 指定要執行查詢的工作群組
雖然這些參數通常會參考相同的工作群組,但必須明確設定這兩個參數才能正常運作。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必要 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT 應用程式角色 ARN
將在 JWT 交換中擔任的角色 ARN。此角色可用於 JWT 交換、透過工作群組標籤取得 IAM Identity Center 客戶自管應用程式 ARN,以及取得存取角色 ARN。如需有關擔任角色的詳細資訊,請參閱 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必要 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## 角色工作階段名稱
IAM 工作階段的名稱。名稱可隨意指定,但是一般來說,您會傳遞與應用程式使用者相關聯的名稱或識別碼。這樣一來,應用程式使用的臨時安全憑證會與該使用者相關聯。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必要 | none | role\$1session\$1name=familiarname; |
## Client secret (用戶端密碼)
用戶端秘密是由您的身分提供者發行的機密金鑰,用於驗證您的應用程式。雖然此參數是選用的,而且可能不是所有身分驗證流程的必要項目,但在使用時提供額外的安全層。如果您的 IDP 組態需要用戶端秘密,您必須將此參數包含身分提供者管理員提供的值。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1secret | 選用 | none | client\$1secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;\$1 |
## Scope (範圍)
範圍會指定應用程式向身分提供者請求的存取層級。您必須在 `openid` 範圍內包含 ,才能接收包含基本使用者身分宣告的 ID 字符。您的範圍可能需要包含其他許可,例如 `email`或 `profile`,取決於哪些使用者宣告您的身分提供者 (例如 *Microsoft Entra ID*) 已設定為包含在 ID 字符中。這些宣告對於適當的*受信任身分傳播*映射至關重要。如果使用者身分映射失敗,請確認您的範圍包含所有必要的許可,且您的身分提供者已設定為在 ID 字符中包含必要的宣告。這些宣告必須符合 IAM Identity Center 中的*受信任權杖發行者*映射組態。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| Scope (範圍) | 選用 | openid email offline\$1access | Scope=openid email; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需詳細資訊,請參閱 [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 3600 | duration=900; |
## JWT 存取角色 ARN
Athena 代您呼叫所擔任角色的 ARN。如需有關擔任角色的詳細資訊,請參閱《AWS Security Token Service API 參考**》中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AccessRoleArn | 選用 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center 客戶自管應用程式 ARN
IAM Identity Center 客戶自管 IDC 應用程式的 ARN。如需有關客戶受管應用程式的詳細資訊,請參閱[客戶自管應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | 選用 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
## 身分提供者連接埠號碼
用於 OAuth 2.0 回呼伺服器的本機連接埠號碼。這用作 redirect\$1uri,您需要允許在 IDP 應用程式中將其列出。預設產生的 redirect\$1uri 為:http://localhost:7890/athena
**警告**
在共用環境中,例如 Windows Terminal Server 或遠端桌面服務,循環連接埠 (預設值:7890) 會在相同機器上的所有使用者之間共用。系統管理員可以透過下列方式降低潛在的連接埠劫持風險:
為不同的使用者群組設定不同的連接埠號碼
使用 Windows 安全政策來限制連接埠存取
在使用者工作階段之間實作網路隔離
如果無法實作這些安全控制,建議您改用 [JWT 信任的身分傳播](odbc-v2-driver-jwt-tip.md)外掛程式,這不需要迴路連接埠。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| listen\$1port | 選用 | 7890 | listen\$1port=8080; |
## 識別提供者回應逾時
等待 OAuth 2.0 回呼回應的逾時,以秒為單位。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| IdpResponseTimeout | 選用 | 120 | IdpResponseTimeout=140; |
## 啟用檔案快取
JwtTipFileCache 參數會判斷驅動程式是否在連線之間快取身分驗證字符。將 JwtTipFileCache 設為 true 可減少身分驗證提示並改善使用者體驗,但應謹慎使用。此設定最適合單一使用者桌面環境。在 Windows Server 等共用環境中,建議將其停用,以防止具有類似連線字串的使用者之間進行潛在的字符共用。
對於使用 PowerBI Server 等工具的企業部署,我們建議您使用 [JWT 信任的身分傳播](odbc-v2-driver-jwt-tip.md)外掛程式,而不是此身分驗證方法。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| JwtTipFileCache | 選用 | 0 | JwtTipFileCache=1; |
# Okta
Okta 是 SAML 型身分驗證外掛程式,可與 Okta 身分提供者搭配使用。如需有關設定 Okta 和 Amazon Athena 的聯合的資訊,請參閱 [使用 Okta 外掛程式和 Okta 身分提供者設定 ODBC 的 SSO](odbc-okta-plugin.md)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=Okta; |
## 使用者 ID
您的 Okta 使用者名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 必要 | none | UID=jane.doe@org.com; |
## 密碼
您的 Okta 使用者密碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 必要 | none | PWD=oktauserpasswordexample; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## IdP 主機
您的 Okta 組織的 URL。您可以從 Okta 應用程式中的**內嵌連結** URL 擷取 `idp_host` 參數。如需這些步驟,請參閱 [從 Okta 擷取 ODBC 組態資訊](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)。`https://` 後的第一個區段、直到並包括 `okta.com` 即為您的 IdP 主機 (例如 `http://trial-1234567.okta.com`)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1host | 必要 | None | idp\$1host=dev-99999999.okta.com; |
## IdP 連接埠
用於連線至 IdP 主機的連接埠號碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1port | 必要 | None | idp\$1port=443; |
## Okta 應用程式 ID
您應用程式的兩部分識別符。您可以從 Okta 應用程式中的**內嵌連結** URL 擷取 `app_id` 參數。如需這些步驟,請參閱 [從 Okta 擷取 ODBC 組態資訊](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)。應用程式 ID 是 URL 的最後兩個區段,包括中間的正斜線。這些區段是兩個由 20 個字元組成的字串,其中包含數字和大小寫字母的混合 (例如 `Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4`)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| app\$1id | 必要 | None | app\$1id=0oa25kx8ze9A3example/alnexamplea0piaWa0g7; |
## Okta 應用程式名稱
Okta 應用程式的名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| app\$1name | 必要 | None | app\$1name=amazon\$1aws\$1redshift; |
## Okta 等待時間
指定等待多重要素驗證 (MFA) 程式碼的持續時間 (以秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1wait\$1time | 選用 | 10 | okta\$1mfa\$1wait\$1time=20; |
## Okta MFA 類型
MFA 因素類型。支援的類型包括 Google Authenticator、SMS (Okta)、Okta Verify with Push 和 Okta Verify with TOTP。個別組織安全政策會判斷使用者登入是否需要 MFA。
****
| **連線字串名稱** | **參數類型** | **預設值** | **可能的值** | **連線字串範例** |
| --- | --- | --- | --- | --- |
| okta\$1mfa\$1type | Optional | None | googleauthenticator, smsauthentication, oktaverifywithpush, oktaverifywithtotp | okta\$1mfa\$1type=oktaverifywithpush; |
## Okta 電話號碼
要與 AWS SMS 身分驗證搭配使用的電話號碼。僅多重要素註冊需要此參數。如果您的手機號碼已經註冊,或者安全政策未使用 AWS SMS 身分驗證,則可以忽略此欄位。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1phone\$1number | 需要 MFA 註冊,否則為選用 | None | okta\$1mfa\$1phone\$1number=19991234567; |
## 啟用 Okta 檔案快取
啟用臨時憑證快取。此連線參數可讓您在 BI 應用程式開啟的多個程序之間快取及重複使用臨時憑證。使用此選項可避免 Okta API 限流限制。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| okta\$1cache | 選用 | 0 | okta\$1cache=1; |
# Ping
Ping 是 SAML 型外掛程式,可與 [PingFederate](https://www.pingidentity.com/en/platform/capabilities/authentication-authority/pingfederate.html) 身分提供者搭配使用。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=Ping; |
## 使用者 ID
PingFederate 伺服器的使用者名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 必要 | none | UID=pingusername@domain.com; |
## 密碼
PingFederate 伺服器的密碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 必要 | none | PWD=pingpassword; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如果您的 SAML 聲明具有多個角色,您可以指定此參數來選擇要擔任的角色。此角色應出現在 SAML 聲明中。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## IdP 主機
Ping 伺服器的地址。若要尋找您的地址,請造訪下列 URL 並檢視 **SSO 應用程式端點**欄位。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1host | 必要 | none | idp\$1host=ec2-1-83-65-12.compute-1.amazonaws.com; |
## IdP 連接埠
用於連線至 IdP 主機的連接埠號碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1port | 必要 | None | idp\$1port=443; |
## 合作夥伴 SPID
服務提供者地址。若要尋找服務提供者地址,請造訪下列 URL 並檢視 **SSO 應用程式端點**欄位。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| partner\$1spid | 必要 | None | partner\$1spid=https://us-east-1.signin.aws.amazon.com/platform/saml/<...>; |
## Ping URI 參數
將身分驗證請求的 URI 引數傳遞給 Ping。使用此參數可繞過 Lake Formation 的單一角色限制。設定 Ping 以識別傳遞的參數,並驗證傳遞的角色存在於分配給使用者的角色清單中。然後,在 SAML 聲明中傳送單個角色。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ping\$1uri\$1param | 選用 | None | ping\$1uri\$1param=role=my\$1iam\$1role; |
# 常用身分驗證參數
如上所述,本節中的參數對於驗證類型而言非常常見。
## 將代理用於 IdP
透過代理 Proxy 啟用驅動程式與 IdP 之間的通訊。此選項適用於下列身分驗證外掛程式:
+ AD FS
+ Azure AD
+ 瀏覽器 Azure AD
+ 瀏覽器 SSO OIDC
+ JWT 可信身分傳播
+ JWT
+ JWT 可信身分傳播
+ 瀏覽器信任的身分傳播
+ Okta
+ Ping
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UseProxyForIdP | 選用 | 0 | UseProxyForIdP=1; |
## 使用 Lake Formation
使用 [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API 動作來擷取臨時 IAM 登入資料,而不是 [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API 動作。此選項適用於 Azure AD、瀏覽器 Azure AD、瀏覽器 SAML、Okta、Ping 和 AD FS 身分驗證外掛程式。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| LakeformationEnabled | 選用 | 0 | LakeformationEnabled=1; |
## SSL 不安全 (IdP)
與 IdP 通訊時停用 SSL。此選項適用於 Azure AD、瀏覽器 Azure AD、Okta、Ping 和 AD FS 身分驗證外掛程式。
**重要**
v**2.1.0.0 中的重大變更:**連線至身分提供者時 SSL 憑證驗證的預設行為已變更。在 2.1.0.0 之前的版本中,預設為停用 SSL 驗證。從 v2.1.0.0 開始,所有 IdP 連線預設都會啟用 SSL 驗證。驅動程式也會強制執行 TLS 1.2 作為最低 TLS 版本。如果您使用沒有有效 SSL 憑證的本機身分提供者 (僅用於測試),請在連線字串`SSL_Insecure=1`中設定 。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| SSL\$1Insecure | 選用 | 0 | SSL\$1Insecure=1; |