Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anmeldeinformationen für die vertrauenswürdige Identitätsverbreitung im Browser
Mit diesem Authentifizierungstyp können Sie ein neues JSON-Webtoken (JWT) von einem externen Identitätsanbieter abrufen und sich bei Athena authentifizieren. Sie können dieses Plugin verwenden, um die Unterstützung von Unternehmensidentitäten durch Weitergabe von vertrauenswürdigen Identitäten zu aktivieren. Weitere Informationen zur Weitergabe von vertrauenswürdigen Identitäten mit Treibern, finden Sie unter Weitergabe von vertrauenswürdigen Identitäten mit Amazon Athena-Treibern verwenden. Sie können Ressourcen auch mithilfe von konfigurieren und bereitstellen. CloudFormation
Bei der Verbreitung vertrauenswürdiger Identitäten wird einer IAM-Rolle ein Identitätskontext hinzugefügt, um den Benutzer zu identifizieren, der Zugriff auf AWS Ressourcen anfordert. Informationen zur Aktivierung und Verwendung der Weitergabe von vertrauenswürdiger Identitäten finden Sie unter Was ist Weitergabe von vertrauenswürdiger Identitäten?.
Anmerkung
Das Plugin wurde speziell für Desktop-Umgebungen mit Einzelbenutzern entwickelt. In gemeinsam genutzten Umgebungen wie Windows Server sind Systemadministratoren dafür verantwortlich, Sicherheitsgrenzen zwischen Benutzern festzulegen und aufrechtzuerhalten.
Authentifizierungstyp
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| AuthenticationType | Erforderlich | none |
AuthenticationType=BrowserOidcTip; |
Bekannte IDP-Konfigurations-URL
Die IDP Well Known Configuration URL ist der Endpunkt, der OpenID Connect-Konfigurationsdetails für Ihren Identitätsanbieter bereitstellt. Diese URL endet in der Regel mit .well-known/openid-configuration wichtigen Metadaten zu den Authentifizierungsendpunkten, unterstützten Funktionen und Tokensignaturschlüsseln und enthält diese. Wenn Sie beispielsweise Okta verwenden, könnte die URL wie folgt aussehen. https://your-domain.okta.com/.well-known/openid-configuration
Zur Problembehandlung: Wenn Sie Verbindungsfehler erhalten, stellen Sie sicher, dass diese URL von Ihrem Netzwerk aus zugänglich ist und eine gültige OpenID Connect-Konfigurations-JSON zurückgibt. Die URL muss für den Client, auf dem der Treiber installiert ist, erreichbar sein und sollte von Ihrem Identity Provider-Administrator bereitgestellt werden.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| IdpWellKnownConfigurationUrl | Erforderlich | none |
IdpWellKnownConfigurationUrl=https://<your-domain>/.well-known/openid-configuration; |
Client-ID
Die Client-ID, die der Anwendung vom OpenID Connect-Anbieter zugewiesen wurde.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| Client-ID | Erforderlich | none |
client_id=00001111-aaaa-2222-bbbb-3333cccc4444; |
Arbeitsgruppe ARN
Der Amazon-Ressourcenname (ARN) der Amazon Athena-Arbeitsgruppe, die die Trusted Identity Propagation-Konfigurations-Tags enthält. Weitere Informationen zu Arbeitsgruppen finden Sie unter WorkGroup.
Anmerkung
Dieser Parameter unterscheidet sich von dem Workgroup Parameter, der angibt, wo Abfragen ausgeführt werden. Sie müssen beide Parameter festlegen:
-
WorkgroupArn- Verweist auf die Arbeitsgruppe, die die Konfigurations-Tags für die Weitergabe vertrauenswürdiger Identitäten enthält -
Workgroup- Gibt die Arbeitsgruppe an, in der Abfragen ausgeführt werden
Diese verweisen zwar in der Regel auf dieselbe Arbeitsgruppe, beide Parameter müssen jedoch explizit gesetzt werden, damit sie ordnungsgemäß funktionieren.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| WorkGroupArn | Erforderlich | none |
WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
JWT-Anwendungsrollen-ARN
Der ARN der Rolle, die im JWT-Austausch übernommen wird. Diese Rolle wird für den JWT-Austausch, das Abrufen des ARN der vom Kunden verwalteten Anwendung des IAM Identity Center über Arbeitsgruppen-Tags und das Abrufen der ARN für die Zugriffsrolle verwendet. Weitere Informationen zur Übernahme von Rollen finden Sie unter AssumeRole.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| ApplicationRoleArn | Erforderlich | none |
ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
Rollensitzungsname
Ein Name für die IAM-Sitzung. Es kann alles sein, was Sie möchten, aber normalerweise übergeben Sie den Namen oder den Bezeichner, der dem Benutzer Ihrer Anwendung zugeordnet ist. Auf diese Weise werden die temporären Sicherheitsanmeldeinformationen, die Ihre Anwendung verwendet, diesem Benutzer zugeordnet.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| role_session_name | Erforderlich | none |
role_session_name=familiarname; |
Clientschlüssel
Das Client-Geheimnis ist ein vertraulicher Schlüssel, der von Ihrem Identitätsanbieter ausgegeben wird und zur Authentifizierung Ihrer Anwendung verwendet wird. Dieser Parameter ist zwar optional und möglicherweise nicht für alle Authentifizierungsabläufe erforderlich, bietet jedoch eine zusätzliche Sicherheitsebene, wenn er verwendet wird. Wenn Ihre IDP-Konfiguration einen geheimen Clientschlüssel erfordert, müssen Sie diesen Parameter zusammen mit dem von Ihrem Identity Provider-Administrator bereitgestellten Wert angeben.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| client_secret | Optional | none |
client_secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;! |
Scope
Der Bereich gibt an, welche Zugriffsebene Ihre Anwendung vom Identitätsanbieter anfordert. openidIn den Gültigkeitsbereich müssen Sie ein ID-Token aufnehmen, das wichtige Angaben zur Benutzeridentität enthält. Ihr Geltungsbereich muss möglicherweise zusätzliche Berechtigungen wie email oder enthaltenprofile, je nachdem, welcher Benutzer behauptet, dass Ihr Identitätsanbieter (z. B. Microsoft Entra ID) so konfiguriert ist, dass er in das ID-Token aufgenommen wird. Diese Angaben sind für die korrekte Zuordnung von Trusted Identity Propagation unerlässlich. Wenn die Zuordnung der Benutzeridentität fehlschlägt, stellen Sie sicher, dass Ihr Geltungsbereich alle erforderlichen Berechtigungen umfasst und Ihr Identitätsanbieter so konfiguriert ist, dass er die erforderlichen Ansprüche in das ID-Token aufnimmt. Diese Ansprüche müssen mit Ihrer Zuordnungskonfiguration für Trusted Token Issuer im IAM Identity Center übereinstimmen.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| Scope | Optional | openid email offline_access |
Scope=openid email; |
Sitzungsdauer
Die Dauer der Rollen-Sitzung in Sekunden. Weitere Informationen finden Sie unter AssumeRoleWithWebIdentity.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| duration | Optional | 3600 |
duration=900; |
JWT-Zugriffsrollen-ARN
Der ARN der Rolle, die Athena übernimmt, um in Ihrem Namen Anrufe zu tätigen. Weitere Informationen zur Übernahme von Rollen finden Sie AssumeRolein der AWS Security Token ServiceAPI-Referenz.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| AccessRoleArn | Optional | none |
AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
ARN der vom Kunden verwalteten Anwendung des IAM Identity Center
Der ARN der vom Kunden verwalteten IDC-Anwendung des IAM Identity Center. Weitere Informationen zu vom Kunden verwalteten Anwendungen finden Sie unter Vom Kunden verwaltete Anwendungen.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| CustomerIdcApplicationArn | Optional | none |
CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
Portnummer des Identitätsanbieters
Die lokale Portnummer, die für den OAuth 2.0-Callback-Server verwendet werden soll. Dies wird als redirect_uri verwendet und Sie müssen dies in Ihrer IDP-Anwendung zulassen. Die standardmäßig generierte Redirect_URI ist: http://localhost:7890/athena
Warnung
In gemeinsam genutzten Umgebungen wie Windows Terminal Servern oder Remote Desktop Services wird der Loopback-Port (Standard: 7890) von allen Benutzern auf demselben Computer gemeinsam genutzt. Systemadministratoren können potenzielle Risiken durch Port-Hijacking minimieren, indem sie:
-
Konfiguration verschiedener Portnummern für verschiedene Benutzergruppen
-
Verwendung von Windows-Sicherheitsrichtlinien zur Beschränkung des Portzugriffs
-
Implementierung der Netzwerkisolierung zwischen Benutzersitzungen
Wenn diese Sicherheitskontrollen nicht implementiert werden können, empfehlen wir, stattdessen das JWT Trusted Identity Propagation Plugin zu verwenden, für das kein Loopback-Port erforderlich ist.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| listen_port | Optional | 7890 |
listen_port=8080; |
Identitätsanbieter-Reaktions-Timeout
Das Timeout in Sekunden für das Warten auf die 2.0-Callback-Antwort. OAuth
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| IdpResponseTimeout | Optional | 120 |
IdpResponseTimeout=140; |
Dateicache aktivieren
Der JwtTipFileCache Parameter bestimmt, ob der Treiber das Authentifizierungstoken zwischen Verbindungen zwischenspeichert. Die Einstellung JwtTipFileCache auf true reduziert die Anzahl der Authentifizierungsaufforderungen und verbessert die Benutzererfahrung, sollte jedoch mit Vorsicht verwendet werden. Diese Einstellung eignet sich am besten für Desktop-Umgebungen mit Einzelbenutzern. In gemeinsam genutzten Umgebungen wie Windows Server wird empfohlen, diese Option deaktiviert zu lassen, um eine mögliche gemeinsame Nutzung von Token zwischen Benutzern mit ähnlichen Verbindungszeichenfolgen zu verhindern.
Für Unternehmensbereitstellungen, die Tools wie PowerBI Server verwenden, empfehlen wir, anstelle dieser Authentifizierungsmethode das JWT Trusted Identity Propagation Plugin zu verwenden.
| Name der Verbindungszeichenfolge | Parametertyp | Standardwert | Beispiel für Verbindungszeichenfolgen |
|---|---|---|---|
| JwtTipFileCache | Optional | 0 |
JwtTipFileCache=1; |
