# Browser SSO OIDC
<a name="odbc-v2-driver-browser-sso-oidc"></a>

Browser SSO OIDC es un complemento de autenticación que funciona con AWS IAM Identity Center. Para obtener información sobre cómo habilitar y usar IAM Identity Center, consulte [Paso 1: habilitar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) en la *Guía del usuario de AWS IAM Identity Center*.

**nota**  
**Actualización de seguridad v2.1.0.0:** a partir de la versión 2.1.0.0, el complemento BrowsersSOOIDC utiliza el código de autorización con PKCE en lugar de la autorización del código del dispositivo para mejorar la seguridad. Este cambio elimina el paso de mostrar el código del dispositivo y facilita una autenticación más rápida. Hay un nuevo parámetro `listen_port` (7890 por defecto) que se usa para el servidor de devolución de llamadas OAuth 2.0. Es posible que tenga que incluir este puerto en la lista de permitidos de su red. El ámbito predeterminado ha cambiado a `sso:account:access`.

## Tipo de autenticación
<a name="odbc-v2-driver-browser-sso-oidc-authentication-type"></a>


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| AuthenticationType | Obligatorio | IAM Credentials | AuthenticationType=BrowserSSOOIDC; | 

## URL de inicio de IAM Identity Center
<a name="odbc-v2-driver-browser-sso-oidc-sso-start-url"></a>

La URL del portal de acceso de AWS. La acción de la API [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) de IAM Identity Center utiliza este valor para el parámetro `issuerUrl`.

**Para copiar la URL del portal de acceso de AWS**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS IAM Identity Center en [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. En el panel de navegación, seleccione **Configuración**.

1. En la página **Configuración**, en **Origen de identidad**, elija el icono del portapapeles para la **URL del portal de acceso de AWS**.


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1start\$1url | Obligatorio | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; | 

## Región de IAM Identity Center
<a name="odbc-v2-driver-browser-sso-oidc-sso-region"></a>

La Región de AWS donde está configurado su SSO. Los clientes del SDK de AWS `SSOOIDCClient` y `SSOClient` utilizan este valor para el parámetro `region`.


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1region | Obligatorio | none | sso\$1oidc\$1region=us-east-1; | 

## Ámbitos
<a name="odbc-v2-driver-browser-sso-oidc-scopes"></a>

La lista de ámbitos que define el cliente. Tras la autorización, esta lista restringe los permisos cuando se concede un token de acceso. La acción de la API [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) de IAM Identity Center utiliza este valor para el parámetro `scopes`.


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1scopes | Opcional | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; | 

## ID de cuenta
<a name="odbc-v2-driver-browser-sso-oidc-account-id"></a>

El identificador de la Cuenta de AWS que se asigna al usuario. La API [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) de IAM Identity Center utiliza este valor para el parámetro `accountId`.


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1account\$1id | Obligatorio | none | sso\$1oidc\$1account\$1id=123456789123; | 

## Nombre de rol
<a name="odbc-v2-driver-browser-sso-oidc-role-name"></a>

El nombre descriptivo del rol que se asigna al usuario. El nombre que especifique para este conjunto de permisos aparece en el portal de acceso de AWS como un rol disponible. La acción de la API [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) de IAM Identity Center utiliza este valor para el parámetro `roleName`.


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1role\$1name | Obligatorio | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; | 

## Tiempo de espera
<a name="odbc-v2-driver-browser-sso-oidc-timeout"></a>

El número de segundos que la API de SSO de sondeo debe comprobar si existe el token de acceso.


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1timeout | Opcional | 120 | sso\$1oidc\$1timeout=60; | 

## Puerto de escucha
<a name="odbc-v2-driver-browser-sso-oidc-listen-port"></a>

El número de puerto local que se utilizará para el servidor de devolución de llamadas de OAuth 2.0. Se utiliza como URI de redireccionamiento y es posible que necesite incluir este puerto en la lista de puertos de su red. El URI de redireccionamiento generado por defecto es: `http://localhost:7890/athena`. Este parámetro se agregó en la versión 2.1.0.0 como parte de la migración del código de dispositivo al código de autorización con PKCE.

**aviso**  
En entornos compartidos, como servidores de terminales Windows o servicios de escritorio remoto, el puerto de bucle invertido (valor predeterminado: 7890) se comparte entre todos los usuarios de la misma máquina. Los administradores de sistemas pueden mitigar los posibles riesgos de secuestro de puertos de la siguiente manera:  
Configuración de diferentes números de puerto para diferentes grupos de usuarios
Uso de las políticas de seguridad de Windows para restringir el acceso a los puertos
Implementación del aislamiento de la red entre las sesiones de usuario


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| listen\$1port | Opcional | 7890 | listen\$1port=8080; | 

## Habilitar la caché de los archivos
<a name="odbc-v2-driver-browser-sso-oidc-file-cache"></a>

Activa una caché de credenciales temporal. Este parámetro de conexión a la caché de archivos permite almacenar en caché las credenciales temporales y reutilizarlas entre los múltiples procesos. Utilice esta opción para reducir el número de ventanas del explorador abiertas cuando utilice herramientas de BI como Microsoft Power BI.

**nota**  
A partir de la versión 2.1.0.0, las credenciales almacenadas en caché se almacenan como JSON de texto simple en el directorio `user-profile/.athena-odbc/` con permisos de archivo restringidos al usuario propietario, de forma coherente con la forma en que la CLI AWS protege las credenciales almacenadas de forma local.


****  

| **Nombre de la cadena de conexión** | **Tipo de parámetro** | **Predeterminado** | **Ejemplo de la cadena de conexión** | 
| --- | --- | --- | --- | 
| sso\$1oidc\$1cache | Opcional | 1 | sso\$1oidc\$1cache=0; |