本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 瀏覽器 SSO OIDC
瀏覽器 SSO OIDC 是可與 搭配使用的身分驗證外掛程式 AWS IAM Identity Center。如需有關啟用和使用 IAM Identity Center 的資訊,請參閱《*AWS IAM Identity Center 使用者指南*》中的[步驟 1:啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)
**注意**
**v2.1.0.0 安全更新:**從 2.1.0.0 版開始,BrowserSSOOIDC 外掛程式使用授權碼搭配 PKCE 而非裝置碼授權,以提高安全性。此變更會消除裝置程式碼顯示步驟,並提供更快速的身分驗證。OAuth 2.0 回呼伺服器會使用新`listen_port`參數 (預設 7890)。您可能需要允許列出您網路上的此連接埠。預設範圍已變更為 `sso:account:access`。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=BrowserSSOOIDC; |
## IAM Identity Center 啟動 URL
AWS 存取入口網站的 URL。IAM Identity Center [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 動作會將此值用於 `issuerUrl` 參數。
**複製 AWS 存取入口網站 URL**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) 開啟 AWS IAM Identity Center 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**設定**頁面的**身分來源**下,選擇 **AWS 存取入口網站 URL** 的剪貼簿圖示。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1start\$1url | 必要 | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; |
## IAM Identity Center 區域
設定 SSO AWS 區域 的 。`SSOOIDCClient` 和 `SSOClient` AWS SDK 用戶端會針對 `region` 參數使用此值。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1region | 必要 | none | sso\$1oidc\$1region=us-east-1; |
## 範圍
用戶端所定義的範圍清單。授權後,此清單會在授予存取字符時限制許可。IAM Identity Center [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 動作會將此值用於 `scopes` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1scopes | 選用 | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; |
## 帳戶 ID
AWS 帳戶 指派給使用者的 識別符。IAM Identity Center [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 使用此值做為 `accountId` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1account\$1id | 必要 | none | sso\$1oidc\$1account\$1id=123456789123; |
## 角色名稱
指派給使用者的角色的易記名稱。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。IAM Identity Center [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 使用此值做為 `roleName` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1role\$1name | 必要 | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; |
## Timeout (逾時)
輪詢 SSO API 應檢查存取字符的秒數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1timeout | 選用 | 120 | sso\$1oidc\$1timeout=60; |
## 接聽連接埠
用於 OAuth 2.0 回呼伺服器的本機連接埠號碼。這用作重新導向 URI,您可能需要允許列出網路上的此連接埠。預設產生的重新導向 URI 為:`http://localhost:7890/athena`。此參數已在 v2.1.0.0 中新增,做為從 Device Code 遷移至 Authorization Code with PKCE 的一部分。
**警告**
在 Windows Terminal Server 或遠端桌面服務等共用環境中,循環連接埠 (預設值:7890) 會在相同機器上的所有使用者之間共用。系統管理員可以透過下列方式降低潛在的連接埠劫持風險:
為不同的使用者群組設定不同的連接埠號碼
使用 Windows 安全政策來限制連接埠存取
在使用者工作階段之間實作網路隔離
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| listen\$1port | 選用 | 7890 | listen\$1port=8080; |
## 啟用檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取,及重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,開啟瀏覽器視窗的數目。
**注意**
從 v2.1.0.0 開始,快取的憑證會以純文字 JSON 形式存放在 `user-profile/.athena-odbc/`目錄中,檔案許可僅限於擁有的使用者,與 AWS CLI 保護本機儲存憑證的方式一致。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1cache | 選用 | 1 | sso\$1oidc\$1cache=0; |