本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
瀏覽器 SSO OIDC
瀏覽器 SSO OIDC 是可與 搭配使用的身分驗證外掛程式 AWS IAM Identity Center。如需有關啟用和使用 IAM Identity Center 的資訊,請參閱《AWS IAM Identity Center 使用者指南》中的步驟 1:啟用 IAM Identity Center
注意
v2.1.0.0 安全更新:從 2.1.0.0 版開始,BrowserSSOOIDC 外掛程式使用授權碼搭配 PKCE 而非裝置碼授權,以提高安全性。此變更會消除裝置程式碼顯示步驟,並提供更快速的身分驗證。OAuth 2.0 回呼伺服器會使用新listen_port參數 (預設 7890)。您可能需要允許列出您網路上的此連接埠。預設範圍已變更為 sso:account:access。
身分驗證類型
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| AuthenticationType | 必要 | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
IAM Identity Center 啟動 URL
AWS 存取入口網站的 URL。IAM Identity Center RegisterClient API 動作會將此值用於 issuerUrl 參數。
複製 AWS 存取入口網站 URL
登入 AWS 管理主控台 並在 https://https://console.aws.amazon.com/singlesignon/
開啟 AWS IAM Identity Center 主控台。 -
在導覽窗格中,選擇設定。
-
在設定頁面的身分來源下,選擇 AWS 存取入口網站 URL 的剪貼簿圖示。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_start_url | 必要 | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
IAM Identity Center 區域
設定 SSO AWS 區域 的 。SSOOIDCClient 和 SSOClient AWS SDK 用戶端會針對 region 參數使用此值。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_region | 必要 | none |
sso_oidc_region=us-east-1; |
範圍
用戶端所定義的範圍清單。授權後,此清單會在授予存取字符時限制許可。IAM Identity Center RegisterClient API 動作會將此值用於 scopes 參數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_scopes | 選用 | sso:account:access |
sso_oidc_scopes=sso:account:access; |
帳戶 ID
AWS 帳戶 指派給使用者的 識別符。IAM Identity Center GetRoleCredentials API 使用此值做為 accountId 參數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_account_id | 必要 | none |
sso_oidc_account_id=123456789123; |
角色名稱
指派給使用者的角色的易記名稱。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。IAM Identity Center GetRoleCredentials API 使用此值做為 roleName 參數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_role_name | 必要 | none |
sso_oidc_role_name=AthenaReadAccess; |
Timeout (逾時)
輪詢 SSO API 應檢查存取字符的秒數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_timeout | 選用 | 120 |
sso_oidc_timeout=60; |
接聽連接埠
用於 OAuth 2.0 回呼伺服器的本機連接埠號碼。這用作重新導向 URI,您可能需要允許列出網路上的此連接埠。預設產生的重新導向 URI 為:http://localhost:7890/athena。此參數已在 v2.1.0.0 中新增,做為從 Device Code 遷移至 Authorization Code with PKCE 的一部分。
警告
在 Windows Terminal Server 或遠端桌面服務等共用環境中,循環連接埠 (預設值:7890) 會在相同機器上的所有使用者之間共用。系統管理員可以透過下列方式降低潛在的連接埠劫持風險:
-
為不同的使用者群組設定不同的連接埠號碼
-
使用 Windows 安全政策來限制連接埠存取
-
在使用者工作階段之間實作網路隔離
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| listen_port | 選用 | 7890 |
listen_port=8080; |
啟用檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取,及重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,開啟瀏覽器視窗的數目。
注意
從 v2.1.0.0 開始,快取的憑證會以純文字 JSON 形式存放在 user-profile/.athena-odbc/目錄中,檔案許可僅限於擁有的使用者,與 AWS CLI 保護本機儲存憑證的方式一致。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_cache | 選用 | 1 |
sso_oidc_cache=0; |
