# 浏览器 SSO OIDC 浏览器 SSO OIDC 是一个可与 Amazon IAM Identity Center 配合使用的身份验证插件。有关启用和使用 IAM Identity Center 的信息,请参阅《*Amazon IAM Identity Center 用户指南*》中的[步骤 1:启用 IAM Identity Center](https://docs.amazonaws.cn/singlesignon/latest/userguide/get-started-enable-identity-center.html)。 **注意** **v2.1.0.0 安全更新:**从版本 2.1.0.0 开始,BrowserSSOOIDC 插件使用 PKCE 授权码而不是设备代码授权,以提高安全性。此更改取消了设备代码显示步骤,并提供更快的身份验证。有一个新参数 `listen_port`(默认值为 7890)用于 OAuth 2.0 回调服务器。您可能需要将此端口添加到您的网络允许列表中。默认范围已更改为 `sso:account:access`。 ## 身份验证类型 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | AuthenticationType | 必需 | IAM Credentials | AuthenticationType=BrowserSSOOIDC; | ## IAM Identity Center 启动 URL Amazon 访问门户的 URL。IAM Identity Center [RegisterClient](https://docs.amazonaws.cn/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 操作将此值用于 `issuerUrl` 参数。 **复制 Amazon 访问门户 URL** 1. 登录 Amazon Web Services 管理控制台,打开 Amazon IAM Identity Center 控制台:[https://console.aws.amazon.com/singlesignon/](https://console.amazonaws.cn/singlesignon/)。 1. 在导航窗格中,选择**设置**。 1. 在**设置**页面的**身份源**下,选择 **Amazon 访问门户 URL** 的剪贴板图标。 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | sso\$1oidc\$1start\$1url | 必需 | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; | ## IAM Identity Center 区域 配置 SSO 的 Amazon Web Services 区域。`SSOOIDCClient` 和 `SSOClient` Amazon SDK 客户端将此值用于 `region` 参数。 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | sso\$1oidc\$1region | 必需 | none | sso\$1oidc\$1region=us-east-1; | ## 范围 客户端定义的范围列表。进行授权时,此列表会限制授予访问令牌时的权限。IAM Identity Center [RegisterClient](https://docs.amazonaws.cn/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 操作将此值用于 `scopes` 参数。 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | sso\$1oidc\$1scopes | 可选 | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; | ## 账户 ID 分配给用户的 Amazon Web Services 账户 的标识符。IAM Identity Center [GetRoleCredentials](https://docs.amazonaws.cn/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 将此值用于 `accountId` 参数。 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | sso\$1oidc\$1account\$1id | 必需 | none | sso\$1oidc\$1account\$1id=123456789123; | ## 角色名称 分配给用户的角色的友好名称。您为此权限集指定的名称将作为可用角色出现在 Amazon 访问门户中。IAM Identity Center [GetRoleCredentials](https://docs.amazonaws.cn/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 操作将此值用于 `roleName` 参数。 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | sso\$1oidc\$1role\$1name | 必需 | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; | ## 超时 轮询 SSO API 需要检查是否存在访问令牌的秒数。 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | sso\$1oidc\$1timeout | 可选 | 120 | sso\$1oidc\$1timeout=60; | ## 侦听端口 用于 OAuth 2.0 回调服务器的本地端口号。这用作重定向 URI,您可能需要将此端口添加到您的网络允许列表中。生成的默认重定向 URI 为:`http://localhost:7890/athena`。此参数是在 v2.1.0.0 中添加的,属于从设备代码迁移到 PKCE 授权码的一部分。 **警告** 在 Windows 终端服务器或远程桌面服务等共享环境中,环回端口(默认值:7890)在同一台计算机上的所有用户之间共享。系统管理员可通过以下方式降低潜在的端口劫持风险: 为不同用户组配置不同的端口号 使用 Windows 安全策略限制端口访问权限 在用户会话之间实现网络隔离 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | listen\$1port | 可选 | 7890 | listen\$1port=8080; | ## 启用文件缓存 启用临时凭证缓存。此连接参数允许在多个进程之间缓存和重复使用临时凭证。当您使用 Microsoft Power BI 等 BI 工具时,使用此选项可以减少打开的浏览器窗口数量。 **注意** 从 v2.1.0.0 开始,缓存的凭证以纯文本 JSON 格式存储在 `user-profile/.athena-odbc/` 目录中,文件权限仅限于拥有用户,这与 Amazon CLI 保护本地存储凭证的方式一致。 **** | **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | | --- | --- | --- | --- | | sso\$1oidc\$1cache | 可选 | 1 | sso\$1oidc\$1cache=0; |