Amazon Redshift dejará de admitir la creación de nuevas UDF de Python a partir del parche 198. Las UDF de Python existentes seguirán funcionando hasta el 30 de junio de 2026. Para obtener más información, consulte la [publicación del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

# Opciones para proporcionar credenciales de IAM
<a name="options-for-providing-iam-credentials"></a>

Para proporcionar credenciales de IAM para una conexión JDBC u ODBC, elija una de las siguientes opciones.
+ **AWS Perfil de** 

  Como alternativa a proporcionar valores de credenciales en forma de opciones de JDBC u ODBC, puede incluir los valores en un perfil con nombre. Para obtener más información, consulte [Uso de un perfil de configuración](#using-configuration-profile).
+ **Credenciales de IAM**

  Proporcione valores para AccessKeyID, SecretAccessKey y, opcionalmente, SessionToken en forma de opciones de JDBC u ODBC. SessionToken es obligatorio únicamente para un rol de IAM con credenciales temporales. Para obtener más información, consulte [Opciones de JDBC y ODBC para proporcionar credenciales de IAM](#jdbc-options-for-providing-iam-credentials).
+ **Federación de proveedores de identidades** 

  Cuando utilice la federación de proveedores de identidades para permitir que los usuarios de un proveedor de identidades se autentiquen en Amazon Redshift, especifique el nombre de un complemento del proveedor de credenciales. Para obtener más información, consulte [Complementos de proveedores de credenciales](#using-credentials-provider-plugin).

  Los controladores JDBC y ODBC de Amazon Redshift incluyen complementos para los siguientes proveedores de credenciales de identidad federada basados en SAML: 
  + Servicios de identidad federada de Microsoft Active (AD FS)
  + PingOne
  + Okta
  + Microsoft Azure Active Directory (Azure AD)

  Puede proporcionar el nombre del complemento y los valores relacionados en forma de opciones de JDBC u ODBC o mediante un perfil. Para obtener más información, consulte [Opciones de configuración del controlador JDBC versión 2.x](jdbc20-configuration-options.md). 

Para obtener más información, consulte [Paso 5: Configurar una conexión JDBC u ODBC para usar credenciales de IAM](generating-iam-credentials-steps.md#generating-iam-credentials-configure-jdbc-odbc).

## Uso de un perfil de configuración
<a name="using-configuration-profile"></a>

Puede proporcionar las opciones de credenciales de IAM y las opciones de `GetClusterCredentials` como configuraciones en perfiles con nombre en su archivo de configuración de AWS. Para proporcionar el nombre del perfil, utilice la opción Profile JDBC. La configuración se almacena en un archivo denominado `config` o en uno denominado `credentials` en la carpeta denominada `.aws` en su directorio principal.

Para un complemento de proveedor de credenciales basado en SAML incluido con un controlador JDBC u ODBC de Amazon Redshift, puede utilizar la configuración descrita anteriormente en [Complementos de proveedores de credenciales](#using-credentials-provider-plugin). Si no se utiliza `plugin_name`, se ignoran las demás opciones.

En el siguiente ejemplo, se muestra el archivo \$1/.aws/credentials con dos perfiles.

```
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user2]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
session_token=AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQWLWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
+scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==
```

Para usar las credenciales para el ejemplo `user2`, especifique `Profile=user2` en la URL de JDBC.

Para obtener más información sobre el uso de perfiles, consulte [Opciones de los archivos de configuración y credenciales](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) en la *Guía del usuario de AWS Command Line Interface*. 

Para obtener más información acerca del uso de perfiles para el controlador JDBC, consulte [Especificación de perfiles](jdbc20-configure-authentication-ssl.md#jdbc20-aws-credentials-profiles). 

Para obtener más información acerca del uso de perfiles para el controlador ODBC, consulte [Métodos de autenticación](odbc20-authentication-ssl.md). 

## Opciones de JDBC y ODBC para proporcionar credenciales de IAM
<a name="jdbc-options-for-providing-iam-credentials"></a>

En la tabla siguiente se indican las opciones de JDBC y ODBC para proporcionar credenciales de IAM.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/redshift/latest/mgmt/options-for-providing-iam-credentials.html)

## Opciones de JDBC y ODBC para crear credenciales de usuario de base de datos
<a name="jdbc-and-odbc-options-for-database-credentials"></a>

Para usar el controlador JDBC u ODBC de Amazon Redshift para crear credenciales de usuario de base de datos, proporcione el nombre de usuario de base de datos como una opción de JDBC u ODBC. Si lo desea, puede hacer que el controlador cree un nuevo usuario de base de datos si no existe ninguno y puede especificar una lista de grupos de usuarios de base de datos a los que se une el usuario cuando inicia sesión. 

Si usa un proveedor de identidad (IdP), póngase en contacto con el administrador de su IdP para determinar los valores correctos para estas opciones. El administrador de su IdP también puede configurar su IdP para proporcionar estas opciones, en cuyo caso no necesita proporcionarlas como opciones de JDBC u ODBC. Para obtener más información, consulte [Paso 2: Configurar aserciones SAML para su IdP](generating-iam-credentials-steps.md#configuring-saml-assertions). 

**nota**  
Si utiliza una variable de política de IAM `${redshift:DbUser}`, como se describe en [Políticas de recursos de GetClusterCredentials](redshift-iam-access-control-identity-based.md#redshift-policy-resources.getclustercredentials-resources), el valor de `DbUser` se sustituye por el valor obtenido por el contexto de la solicitud de la operación de la API. Los controladores de Amazon Redshift utilizan el valor de la variable `DbUser` proporcionado por la URL de conexión en lugar del valor proporcionado como atributo SAML.   
Para ayudar a proteger esta configuración, recomendamos que utilice una condición en una política de IAM para validar el valor de `DbUser` con el `RoleSessionName`. Puede encontrar ejemplos de cómo establecer una condición utilizando una política de IAM en [Ejemplo 8: Política de IAM para usar GetClusterCredentials](redshift-iam-access-control-identity-based.md#redshift-policy-examples-getclustercredentials).

En la tabla siguiente se indican las opciones para crear credenciales de usuario de base de datos. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/redshift/latest/mgmt/options-for-providing-iam-credentials.html)

## Complementos de proveedores de credenciales
<a name="using-credentials-provider-plugin"></a>

Amazon Redshift utiliza complementos de proveedor de credenciales para la autenticación de inicio de sesión único.

Para admitir la autenticación de inicio de sesión único, Amazon Redshift proporciona el complemento de Azure AD para Microsoft Azure Active Directory. Para obtener información sobre cómo configurar este complemento, consulte [Configuración de la autenticación de inicio de sesión único de JDBC u ODBC](setup-azure-ad-identity-provider.md).

### Autenticación multifactor
<a name="setting_mfa"></a>

Para admitir la autenticación multifactor (MFA), Amazon Redshift proporciona complementos basados en navegador. Utilice el complemento SAML del navegador para Okta y PingOne, y el complemento de Azure AD del navegador para Microsoft Azure Active Directory.

Con el complemento SAML del navegador, la autenticación OAuth sigue este flujo:

![\[Flujos de trabajo de OAuth sobre cómo el complemento, el servidor local, el navegador web y el punto de conexión trabajan juntos para autenticar a un usuario con autenticación SAML.\]](http://docs.aws.amazon.com/es_es/redshift/latest/mgmt/images/BrowserSAML_plugin.png)


1. Un usuario intenta iniciar sesión.

1. El complemento lanza un servidor local para escuchar las conexiones entrantes en el localhost.

1. El complemento lanza un navegador web para solicitar una respuesta SAML a través de HTTPS desde el punto de conexión del proveedor de identidad federada de la URL de inicio de sesión único especificado.

1. El navegador web sigue el enlace y pide al usuario que escriba las credenciales.

1. Una vez que el usuario autentica y otorga su consentimiento, el punto de conexión del proveedor de identidad federadas devuelve una respuesta SAML a través de HTTPS al URI indicado por `redirect_uri`.

1. El navegador web traslada el mensaje de respuesta con la respuesta SAML a la indicada `redirect_uri`.

1. El servidor local acepta la conexión entrante y el complemento recupera la respuesta SAML y la transfiere a Amazon Redshift.

Con el complemento de Azure AD del navegador, la autenticación SAML sigue este flujo:

![\[Flujos de trabajo de Azure sobre cómo el complemento, el servidor local, el navegador web y el punto de conexión trabajan juntos para autenticar a un usuario con autenticación SAML.\]](http://docs.aws.amazon.com/es_es/redshift/latest/mgmt/images/BrowserAzure_plugin.png)


1. Un usuario intenta iniciar sesión.

1. El complemento lanza un servidor local para escuchar las conexiones entrantes en el localhost.

1. El complemento lanza un explorador web para solicitar un código de autorización desde el punto de conexión `oauth2/authorize` de Azure AD.

1. El navegador web sigue el enlace generado a través de HTTPS y solicita al usuario que escriba las credenciales. El enlace se genera utilizando propiedades de configuración, como tenant y client\$1id.

1. Una vez que el usuario se autentica y otorga su consentimiento, el punto de conexión `oauth2/authorize` de Azure AD devuelve y envía una respuesta a través de HTTPS con el código de autorización al `redirect_uri` indicado.

1. El navegador web traslada el mensaje de respuesta con la respuesta SAML a la indicada `redirect_uri`.

1. El servidor local acepta la conexión entrante y las solicitudes del complemento, recupera el código de autorización y envía una solicitud POST al punto de conexión `oauth2/token` de Azure AD.

1. El punto de conexión `oauth2/token` de Azure AD devuelve una respuesta con un token de acceso al `redirect_uri` indicado.

1. El complemento recupera la respuesta SAML y la transfiere a Amazon Redshift.

Consulte las siguientes secciones:
+ Active Directory Federation Services (AD FS)

  Para obtener más información, consulte [Configuración de la autenticación de inicio de sesión único de JDBC u ODBC](setup-azure-ad-identity-provider.md).
+ PingOne (Ping) 

  Ping solo puede usarse con el adaptador de IdP PingOne mediante la autenticación de formularios. 

  Para obtener más información, consulte [Configuración de la autenticación de inicio de sesión único de JDBC u ODBC](setup-azure-ad-identity-provider.md).
+ Okta 

  Okta solo es compatible con la aplicación suministrada por Okta que se utiliza con la Consola de administración de AWS. 

  Para obtener más información, consulte [Configuración de la autenticación de inicio de sesión único de JDBC u ODBC](setup-azure-ad-identity-provider.md).
+ Microsoft Azure Active Directory

  Para obtener más información, consulte [Configuración de la autenticación de inicio de sesión único de JDBC u ODBC](setup-azure-ad-identity-provider.md).

### Opciones de complementos
<a name="configuring_plugin_options"></a>

Para usar un complemento de proveedor de credenciales basado en SAML, especifique las siguientes opciones utilizando las opciones de JDBC u ODBC o en un perfil con nombre. Si no se especifica `plugin_name`, se omiten las demás opciones.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/redshift/latest/mgmt/options-for-providing-iam-credentials.html)