使用可信令牌发布者将应用程序或工具与 OAuth 集成 - Amazon Redshift
用于使用 Amazon IAM Identity Center 连接到 Redshift 的身份验证插件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用可信令牌发布者将应用程序或工具与 OAuth 集成

您可以向所创建的客户端工具中添加功能,以通过 Amazon IAM Identity Center 连接来连接到 Redshift。如果您已经配置了 Redshift 与 Amazon IAM Identity Center 的集成,请使用此部分中详述的属性来设置连接。

用于使用 Amazon IAM Identity Center 连接到 Redshift 的身份验证插件

您可以使用以下驱动程序插件,通过 Amazon IAM Identity Center 连接到 Amazon Redshift:

  • BrowserIdcAuthPlugin – 此插件促进实现与 Amazon IAM Identity Center 的无缝单点登录集成。插件会创建一个浏览器窗口,供用户使用其企业身份提供者中定义的用户凭证进行登录。

  • IdpTokenAuthPlugin – 此插件应由想要自行管理身份验证流程,而不是让 Amazon Redshift 驱动程序打开浏览器窗口进行 Amazon IAM Identity Center 身份验证的应用程序使用。插件接受 Amazon IAM Identity Center 提供的访问令牌,或 OpenID Connect(OIDC)JSON Web 令牌(JWT),该令牌由与 Amazon IAM Identity Center 关联的任意 Web 身份提供者提供,例如 Okta、PingOne 和 Microsoft Entra ID(Azure AD)。客户端应用程序负责生成此必需的访问令牌/JWT。

使用 BrowserIdcAuthPlugin 进行身份验证

根据您的 Amazon Redshift 驱动程序,使用以下插件名称,通过 BrowserIdcAuthPlugin 进行连接。

驱动程序 连接选项键 备注

JDBC

plugin_name

com.amazon.redshift.plugin.BrowserIdcAuthPlugin

在连接时,您必须输入插件的完全限定类名。

ODBC

plugin_name

BrowserIdcAuthPlugin

Python

credentials_provider

BrowserIdcAuthPlugin

Python 驱动程序没有 plugin_name 选项可用。请改用credentials_provider

BrowserIdcAuthPlugin 插件具有以下额外的连接选项:

选项名称 必填? 描述 示例

idc_region

必需

Amazon IAM Identity Center 实例所在的 Amazon Web Services 区域。

us-east-1

issuer_url

必需

Amazon IAM Identity Center 服务器的实例端点。您可以使用 Amazon IAM Identity Center 控制台查找此值。

https://identitycenter.amazonaws.com/ssoins-g5j2k70sn4yc5nsc

listen_port

可选

Amazon Redshift 驱动程序用来通过浏览器重定向接收来自 Amazon IAM Identity Center 的 auth_code 响应的端口。

7890

idc_client_display_name

可选

在 Amazon IAM Identity Center 的单点登录同意弹出窗口中,Amazon IAM Identity Center 客户端为应用程序使用的名称。

Amazon Redshift 驱动程序

idp_response_timeout

可选

Redshift 驱动程序等待身份验证流程完成的时间,以秒为单位。

60

您必须输入自己创建并用于连接的工具的这些连接属性值。有关更多信息,请参阅相应的各个驱动程序的连接选项文档:

使用 IdpTokenAuthPlugin 进行身份验证

根据您的 Amazon Redshift 驱动程序,使用以下插件名称,通过 IdpTokenAuthPlugin 进行连接。

驱动程序 连接选项键 备注

JDBC

plugin_name

com.amazon.redshift.plugin.IdpTokenAuthPlugin

在连接时,您必须输入插件的完全限定类名。

ODBC

plugin_name

IdpTokenAuthPlugin

Python

credentials_provider

IdpTokenAuthPlugin

Python 驱动程序没有 plugin_name 选项可用。请改用credentials_provider

IdpTokenAuthPlugin 插件具有以下额外的连接选项:

选项名称 必填? 描述

token

必需

Amazon IAM Identity Center 提供的访问令牌,或 OpenID Connect(OIDC)JSON Web 令牌(JWT,JSON Web Token),该令牌由与 Amazon IAM Identity Center 连接的 Web 身份提供者提供。您的应用程序必须通过 Amazon IAM Identity Center 或与 Amazon IAM Identity Center 连接的身份提供者,对您的应用程序用户进行身份验证,从而生成此令牌。

token_type

必需

用于 IdpTokenAuthPlugin 的令牌类型。可能的值包括:

  • ACCESS_TOKEN – 如果您使用 Amazon IAM Identity Center 提供的访问令牌,请输入此项。

  • EXT_JWT – 如果您使用 OpenID Connect(OIDC)JSON Web 令牌(JWT,JSON Web Token)(该令牌由与 Amazon IAM Identity Center 关联的基于 Web 的身份提供者提供),请输入此项。

您必须输入自己创建并用于连接的工具的这些连接属性值。有关更多信息,请参阅相应的各个驱动程序的连接选项文档: