配置身份验证 - Amazon Redshift
使用外部凭证服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

配置身份验证

为了防止数据遭到未经授权的访问,Amazon Redshift 数据存储要求所有连接都使用用户凭据进行身份验证。

下表说明了可用于连接到 Amazon Redshift ODBC 驱动程序版本 2.x 的每种身份验证方法的必需和可选连接选项:

ODBC 身份验证方法的必需和可选连接选项
身份验证方法 必需 可选
Standard

  • 主机

  • 端口

  • 数据库

  • UID

  • 密码
IAM 配置文件

  • 主机

  • 端口

  • 数据库

  • IAM

  • 配置文件

  • ClusterID

  • 区域

  • AutoCreate

  • EndpointURL

  • StsEndpointURL

  • InstanceProfile

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。
IAM 凭证

  • 主机

  • 端口

  • 数据库

  • IAM

  • AccessKeyID

  • SecretAccessKey

  • ClusterID

  • 区域

  • AutoCreate

  • EndpointURL

  • StsEndpointURL

  • SessionToken

  • UID

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。
AD FS

  • 主机

  • 端口

  • 数据库

  • IAM

  • plugin_name

  • UID

  • 密码

  • IdP_Host

  • IdP_Port

  • ClusterID

  • 区域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • loginToRp

  • SSL_Insecure

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。
Azure AD

  • 主机

  • 端口

  • 数据库

  • IAM

  • plugin_name

  • UID

  • 密码

  • IdP_Tenant

  • Client_ID

  • Client_Secret

  • ClusterID

  • 区域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。
JWT

  • 主机

  • 端口

  • 数据库

  • IAM

  • plugin_name

  • web_identity_token

  • provider_name
Okta

  • 主机

  • 端口

  • 数据库

  • IAM

  • plugin_name

  • UID

  • 密码

  • IdP_Host

  • App_Name

  • App_ID

  • ClusterID

  • 区域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。

Ping Federate

  • 主机

  • 端口

  • 数据库

  • IAM

  • plugin_name

  • UID

  • 密码

  • IdP_Host

  • IdP_Port

  • ClusterID

  • 区域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • SSL_Insecure

  • partner_spid

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。
浏览器 Azure AD

  • 主机

  • 端口

  • 数据库

  • IAM

  • plugin_name

  • IdP_Tenant

  • Client_ID

  • UID

  • ClusterID

  • 区域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

  • IdP_Response_Timeout

  • listen_port

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。
浏览器 SAML

  • 主机

  • 端口

  • 数据库

  • IAM

  • plugin_name

  • login_url

  • UID

  • ClusterID

  • 区域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

  • IdP_Response_Timeout

  • listen_port

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。
身份验证配置文件

  • 主机

  • 端口

  • 数据库

  • AccessKeyID

  • SecretAccessKey
浏览器 Azure AD OAUTH2

  • 主机

  • 端口

  • 数据库

  • IAM

  • plugin_name

  • IdP_Tenant

  • Client_ID

  • UID

  • ClusterID

  • 区域

  • EndpointUrl

  • IdP_Response_Timeout

  • listen_port

  • 范围

  • provider_name

注意

如果没有单独设置 ClusterID区域,则必须在主机中设置它们。

使用外部凭证服务

除了对 AD FS、Azure AD 和 Okta 的内置支持外,Amazon Redshift ODBC 驱动程序的 Windows 版本还提供了对其他凭证服务的支持。该驱动程序可以使用您选择的任何基于 SAML 的凭证提供程序插件对连接进行身份验证。

要在 Windows 上配置外部凭证服务,请执行以下操作:

  1. 创建一个 IAM 配置文件,根据需要指定凭证提供程序插件和其他身份验证参数。配置文件必须采用 ASCII 编码,并且必须包含以下键值对,其中 PluginPath 是插件应用程序的完整路径:

    plugin_name = PluginPath

    例如:

    plugin_name = C:\Users\kjson\myapp\CredServiceApp.exe

    有关如何创建配置文件的信息,请参阅《Amazon Redshift 集群管理指南》中的使用配置文件

  2. 将驱动程序配置为使用此配置文件。驱动程序将检测并使用配置文件中指定的身份验证设置。