Amazon Redshift non supporterà più la creazione di nuove UDF Python a partire dal 1º novembre 2025. Se desideri utilizzare le UDF Python, creale prima di tale data. Le UDF Python esistenti continueranno a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog
Native identity provider (IdP) federation for Amazon Redshift (Federazione di provider di identità nativi (IdP) per Amazon Redshift)
La gestione delle identità e delle autorizzazioni per Amazon Redshift è semplificata con la federazione dei provider di identità nativi perché sfrutta il provider di identità esistente per semplificare l'autenticazione e la gestione delle autorizzazioni. Ciò consente di condividere i metadati di identità con Redshift dal proprio provider di identità. Per la prima iterazione di questa caratteristica, il provider di identità supportato è Microsoft Azure Active Directory (Azure AD)
Per configurare Amazon Redshift in modo che possa autenticare le identità dal provider di identità di terze parti, è necessario registrare il provider di identità con Amazon Redshift. Ciò consente a Redshift di autenticare utenti e ruoli definiti dal provider di identità. In questo modo è possibile evitare di eseguire una gestione granulare delle identità sia nel proprio provider di identità di terze parti che in Amazon Redshift, poiché le informazioni sull'identità sono condivise.
Per informazioni sull'utilizzo dei ruoli di sessione trasferiti dai gruppi di gestori dell'identità digitale, consulta PG_GET_SESSION_ROLES nella Guida per gli sviluppatori di database di Amazon Redshift.
Federazione dei gestori dell’identità digitale (IdP) nativi
Per completare la configurazione preliminare tra il provider di identità e Amazon Redshift, eseguire un paio di passaggi: innanzitutto, registrare Amazon Redshift come applicazione di terze parti presso il proprio provider di identità, richiedendo le autorizzazioni API necessarie. Quindi creare utenti e gruppi nel provider di identità. Infine, registrare il provider di identità con Amazon Redshift, utilizzando istruzioni SQL, che impostano parametri di autenticazione univoci per il provider di identità. Come parte della registrazione del provider di identità con Redshift, si assegna uno spazio dei nomi per assicurarsi che utenti e ruoli siano raggruppati correttamente.
Con il provider di identità registrato con Amazon Redshift, viene impostata la comunicazione tra Redshift e il provider di identità. Un client può quindi passare token e autenticarsi con Redshift come entità provider di identità. Amazon Redshift utilizza le informazioni sull'appartenenza al gruppo IdP per mappare i ruoli di Redshift. Se l'utente non esiste in precedenza in Redshift, viene creato. Vengono creati ruoli che mappano ai gruppi di provider di identità, se non esistono. L'amministratore di Amazon Redshift concede l'autorizzazione per i ruoli e gli utenti possono eseguire query e altre attività di database.
La procedura seguente illustra il funzionamento della federazione di provider di identità nativi quando un utente accede:
-
Quando un utente accede utilizzando l'opzione IdP nativi dal client, il token del provider di identità viene inviato dal client al driver.
-
L'utente è autenticato. Se l'utente non esiste già in Amazon Redshift, viene creato un nuovo utente. Redshift mappa i gruppi del provider di identità dell'utente ai ruoli Redshift.
-
Le autorizzazioni vengono assegnate in base ai ruoli Redshift dell'utente. Questi sono concessi agli utenti e ai ruoli da parte di un amministratore.
-
L'utente può eseguire query su Redshift.
Strumenti client desktop
Per istruzioni su come utilizzare la federazione dei provider di identità nativi per connettersi ad Amazon Redshift con Power BI, consultare il post del blog Integrate Amazon Redshift native IdP federation with Microsoft Azure Active Directory (AD) and Power BI
Per informazioni su come integrare la federazione IdP nativa di Amazon Redshift con Azure AD, utilizzando Power BI Desktop e JDBC Client-SQL Workbench/J, guarda il seguente video:
Per istruzioni su come utilizzare la federazione dei provider di identità nativi per connettersi ad Amazon Redshift con un client SQL, in particolare DBeaver o SQL Workbench/J, consultare il post del blog Integrate Amazon Redshift native IdP federation with Microsoft Azure AD using a SQL client
Limitazioni
Si applicano le limitazioni indicate di seguito:
-
I driver Amazon Redshift supportano
BrowserIdcAuthPlugina partire dalle seguenti versioni:-
Driver JDBC v2.1.0.30 Amazon Redshift
-
Driver ODBC v2.1.3 Amazon Redshift
-
Driver Python v2.1.3 Amazon Redshift
-
-
I driver Amazon Redshift supportano
IdpTokenAuthPlugina partire dalle seguenti versioni:-
Driver JDBC v2.1.0.19 Amazon Redshift
-
Driver ODBC v2.0.0.9 Amazon Redshift
-
Driver Python v2.0.914 Amazon Redshift
-
-
Nessun supporto per VPC avanzato: il VPC avanzato non è supportato quando configuri la propagazione affidabile delle identità di Redshift con Centro identità AWS IAM. Per ulteriori informazioni sul VPC avanzato, consulta Routing VPC avanzato in Amazon Redshift.
-
Memorizzazione nella cache di Centro identità AWS IAM: Centro identità AWS IAM memorizza nella cache le informazioni sulla sessione. Ciò potrebbe causare problemi di accesso imprevedibili quando tenti di connetterti al database Redshift tramite Redshift Query Editor V2. Questo perché la sessione di Centro identità AWS IAM associata in Editor Query V2 rimane valida, anche nel caso in cui l’utente del database sia disconnesso dalla console AWS. La cache scade dopo un’ora, il che in genere risolve eventuali problemi.
