Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Identifiants de propagation d'identité fiables du navigateur
Ce type d'authentification vous permet de récupérer un nouveau jeton Web JSON (JWT) auprès d'un fournisseur d'identité externe et de vous authentifier auprès d'Athena. Vous pouvez utiliser ce plug-in pour que les identités d’entreprise soient prises en charge via une propagation d’identité de confiance. Pour plus d’informations sur l’utilisation de la propagation d’identité de confiance avec des pilotes, consultez Utilisation de la propagation d’identité de confiance avec les pilotes Amazon Athena. Vous pouvez également configurer et déployer des ressources à l'aide de CloudFormation.
Avec la propagation d'identité sécurisée, le contexte d'identité est ajouté à un rôle IAM pour identifier l'utilisateur demandant l'accès aux AWS ressources. Pour plus d’informations sur l’activation et l’utilisation de la propagation d’identité de confiance, consultez What is trusted identity propagation?
Note
Le plugin est spécialement conçu pour les environnements de bureau mono-utilisateur. Dans les environnements partagés tels que Windows Server, les administrateurs système sont chargés d'établir et de maintenir les limites de sécurité entre les utilisateurs.
Type d’authentification
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| AuthenticationType | Obligatoire | none |
AuthenticationType=BrowserOidcTip; |
URL de configuration IDP bien connue
L'URL de configuration bien connue de l'IDP est le point de terminaison qui fournit les détails de configuration d'OpenID Connect à votre fournisseur d'identité. Cette URL se termine généralement par .well-known/openid-configuration et contient des métadonnées essentielles concernant les points de terminaison d'authentification, les fonctionnalités prises en charge et les clés de signature des jetons. Par exemple, si vous utilisez Okta, l'URL peut ressembler https://your-domain.okta.com/.well-known/openid-configuration à.
Pour résoudre les problèmes : si vous recevez des erreurs de connexion, vérifiez que cette URL est accessible depuis votre réseau et renvoie un fichier JSON de configuration OpenID Connect valide. L'URL doit être accessible par le client sur lequel le pilote est installé et doit être fournie par l'administrateur de votre fournisseur d'identité.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| IdpWellKnownConfigurationUrl | Obligatoire | none |
IdpWellKnownConfigurationUrl=https://<your-domain>/.well-known/openid-configuration; |
Identifiant du client
L'identifiant du client délivré à l'application par le fournisseur OpenID Connect.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| client_id | Obligatoire | none |
client_id=00001111-aaaa-2222-bbbb-3333cccc4444; |
ARN du groupe de travail
Le nom de ressource Amazon (ARN) du groupe de travail Amazon Athena qui contient les balises de configuration de propagation d'identité fiables. Pour plus d'informations sur les groupes de travail, consultez WorkGroup.
Note
Ce paramètre est différent du Workgroup paramètre qui indique où les requêtes seront exécutées. Vous devez définir les deux paramètres :
-
WorkgroupArn- Pointe vers le groupe de travail contenant les balises de configuration de propagation des identités fiables -
Workgroup- Spécifie le groupe de travail dans lequel les requêtes seront exécutées
Bien que ceux-ci fassent généralement référence au même groupe de travail, les deux paramètres doivent être définis explicitement pour un fonctionnement correct.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| WorkGroupArn | Obligatoire | none |
WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
ARN du rôle d’application JWT
L'ARN du rôle qui sera assumé dans l'échange JWT. Ce rôle est utilisé dans le cadre de l’échange de JWT, pour obtenir l’ARN de l’application gérée par le client IAM Identity Center via des balises de groupe de travail et l’ARN du rôle d’accès. Pour plus d'informations sur la prise de rôles, consultez AssumeRole.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| ApplicationRoleArn | Obligatoire | none |
ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
Nom de la session de rôle
Nom de la session IAM. Vous pouvez utiliser le nom de votre choix, mais il s’agit généralement du nom ou de l’identifiant de l’utilisateur de votre application. Cela permet d’associer à cet utilisateur les informations d’identification de sécurité temporaires utilisées par votre application.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| role_session_name | Obligatoire | none |
role_session_name=familiarname; |
Secret client
Le secret client est une clé confidentielle émise par votre fournisseur d'identité qui est utilisée pour authentifier votre application. Bien que ce paramètre soit facultatif et ne soit pas obligatoire pour tous les flux d'authentification, il fournit un niveau de sécurité supplémentaire lorsqu'il est utilisé. Si la configuration de votre IDP nécessite un secret client, vous devez inclure ce paramètre dans la valeur fournie par l'administrateur de votre fournisseur d'identité.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| client_secret | Facultatif | none |
client_secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;! |
Scope
Le champ d'application indique le niveau d'accès que votre application demande au fournisseur d'identité. Vous devez inclure openid dans le champ d'application pour recevoir un jeton d'identification contenant les principales demandes d'identité des utilisateurs. Votre champ d'application devra peut-être inclure des autorisations supplémentaires, telles que email ouprofile, selon l'utilisateur qui affirme que votre fournisseur d'identité (tel que l'identifiant Microsoft Entra) est configuré pour inclure dans le jeton d'identification. Ces affirmations sont essentielles pour un mappage correct de la propagation des identités fiables. Si le mappage de l'identité utilisateur échoue, vérifiez que votre champ d'application inclut toutes les autorisations nécessaires et que votre fournisseur d'identité est configuré pour inclure les demandes requises dans le jeton d'identification. Ces demandes doivent correspondre à la configuration de mappage de votre émetteur de jetons fiables dans IAM Identity Center.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| Scope | Facultatif | openid email offline_access |
Scope=openid email; |
Durée de la session
La durée de la session de rôle en secondes. Pour de plus amples informations, veuillez consulter AssumeRoleWithWebIdentity.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| duration | Facultatif | 3600 |
duration=900; |
ARN du rôle d’accès JWT
L'ARN du rôle qu'Athéna assume pour passer des appels en votre nom. Pour plus d'informations sur l'attribution de rôles, consultez AssumeRolela référence des AWS Security Token Service API.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| AccessRoleArn | Facultatif | none |
AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
ARN de l’application gérée par le client IAM Identity Center
Il s’agit de l’ARN de l’application IDC gérée par le client IAM Identity Center. Pour plus d’informations sur les applications gérées par le client, consultez Customer managed applications.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| CustomerIdcApplicationArn | Facultatif | none |
CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
Numéro de port du fournisseur d'identité
Le numéro de port local à utiliser pour le serveur de rappel OAuth 2.0. Il est utilisé comme redirect_uri et vous devrez l'autoriser dans votre application IDP. Le redirect_uri généré par défaut est : http://localhost:7890/athena
Avertissement
Dans les environnements partagés tels que Windows Terminal Server ou Remote Desktop Services, le port de boucle (par défaut : 7890) est partagé entre tous les utilisateurs d'une même machine. Les administrateurs système peuvent atténuer les risques potentiels de piratage de ports en :
-
Configuration de différents numéros de port pour différents groupes d'utilisateurs
-
Utilisation des politiques de sécurité Windows pour restreindre l'accès aux ports
-
Implémentation de l'isolation réseau entre les sessions utilisateur
Si ces contrôles de sécurité ne peuvent pas être mis en œuvre, nous vous recommandons d'utiliser plutôt le plugin de propagation d'identité sécurisé JWT, qui ne nécessite pas de port de boucle.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| listen_port | Facultatif | 7890 |
listen_port=8080; |
Délai d'expiration de la réponse du fournisseur d'identité
Le délai d'attente en secondes de la réponse de rappel OAuth 2.0.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| IdpResponseTimeout | Facultatif | 120 |
IdpResponseTimeout=140; |
Activation du cache de fichiers
Le JwtTipFileCache paramètre détermine si le pilote met en cache le jeton d'authentification entre les connexions. Le réglage JwtTipFileCache sur true réduit les demandes d'authentification et améliore l'expérience utilisateur, mais doit être utilisé avec prudence. Ce paramètre convient parfaitement aux environnements de bureau mono-utilisateur. Dans les environnements partagés tels que Windows Server, il est recommandé de garder cette option désactivée pour empêcher le partage potentiel de jetons entre des utilisateurs ayant des chaînes de connexion similaires.
Pour les déploiements en entreprise utilisant des outils tels que PowerBI Server, nous recommandons d'utiliser le plugin de propagation d'identité fiable JWT au lieu de cette méthode d'authentification.
| Nom de chaîne de connexion | Type de paramètre | Valeur par défaut | Exemple de chaîne de connexion |
|---|---|---|---|
| JwtTipFileCache | Facultatif | 0 |
JwtTipFileCache=1; |
