浏览器 SSO OIDC
浏览器 SSO OIDC 是一个可与 Amazon IAM Identity Center 配合使用的身份验证插件。有关启用和使用 IAM Identity Center 的信息,请参阅《Amazon IAM Identity Center 用户指南》中的步骤 1:启用 IAM Identity Center。
注意
v2.1.0.0 安全更新:从版本 2.1.0.0 开始,BrowserSSOOIDC 插件使用 PKCE 授权码而不是设备代码授权,以提高安全性。此更改取消了设备代码显示步骤,并提供更快的身份验证。有一个新参数 listen_port(默认值为 7890)用于 OAuth 2.0 回调服务器。您可能需要将此端口添加到您的网络允许列表中。默认范围已更改为 sso:account:access。
身份验证类型
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| AuthenticationType | 必需 | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
IAM Identity Center 启动 URL
Amazon 访问门户的 URL。IAM Identity Center RegisterClient API 操作将此值用于 issuerUrl 参数。
复制 Amazon 访问门户 URL
登录 Amazon Web Services 管理控制台,打开 Amazon IAM Identity Center 控制台:https://console.aws.amazon.com/singlesignon/
。 -
在导航窗格中,选择设置。
-
在设置页面的身份源下,选择 Amazon 访问门户 URL 的剪贴板图标。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| sso_oidc_start_url | 必需 | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
IAM Identity Center 区域
配置 SSO 的 Amazon Web Services 区域。SSOOIDCClient 和 SSOClient Amazon SDK 客户端将此值用于 region 参数。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| sso_oidc_region | 必需 | none |
sso_oidc_region=us-east-1; |
范围
客户端定义的范围列表。进行授权时,此列表会限制授予访问令牌时的权限。IAM Identity Center RegisterClient API 操作将此值用于 scopes 参数。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| sso_oidc_scopes | 可选 | sso:account:access |
sso_oidc_scopes=sso:account:access; |
账户 ID
分配给用户的 Amazon Web Services 账户 的标识符。IAM Identity Center GetRoleCredentials API 将此值用于 accountId 参数。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| sso_oidc_account_id | 必需 | none |
sso_oidc_account_id=123456789123; |
角色名称
分配给用户的角色的友好名称。您为此权限集指定的名称将作为可用角色出现在 Amazon 访问门户中。IAM Identity Center GetRoleCredentials API 操作将此值用于 roleName 参数。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| sso_oidc_role_name | 必需 | none |
sso_oidc_role_name=AthenaReadAccess; |
超时
轮询 SSO API 需要检查是否存在访问令牌的秒数。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| sso_oidc_timeout | 可选 | 120 |
sso_oidc_timeout=60; |
侦听端口
用于 OAuth 2.0 回调服务器的本地端口号。这用作重定向 URI,您可能需要将此端口添加到您的网络允许列表中。生成的默认重定向 URI 为:http://localhost:7890/athena。此参数是在 v2.1.0.0 中添加的,属于从设备代码迁移到 PKCE 授权码的一部分。
警告
在 Windows 终端服务器或远程桌面服务等共享环境中,环回端口(默认值:7890)在同一台计算机上的所有用户之间共享。系统管理员可通过以下方式降低潜在的端口劫持风险:
-
为不同用户组配置不同的端口号
-
使用 Windows 安全策略限制端口访问权限
-
在用户会话之间实现网络隔离
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| listen_port | 可选 | 7890 |
listen_port=8080; |
启用文件缓存
启用临时凭证缓存。此连接参数允许在多个进程之间缓存和重复使用临时凭证。当您使用 Microsoft Power BI 等 BI 工具时,使用此选项可以减少打开的浏览器窗口数量。
注意
从 v2.1.0.0 开始,缓存的凭证以纯文本 JSON 格式存储在 user-profile/.athena-odbc/ 目录中,文件权限仅限于拥有用户,这与 Amazon CLI 保护本地存储凭证的方式一致。
| 连接字符串名称 | 参数类型 | 默认值 | 连接字符串示例 |
|---|---|---|---|
| sso_oidc_cache | 可选 | 1 |
sso_oidc_cache=0; |