Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Browserbasiert mit Identity Center-Integration
<a name="jdbc-v3-driver-browser-oidc-tip-credentials"></a>

Mit diesem Authentifizierungstyp können Sie ein neues JSON-Webtoken (JWT) von einem externen Identitätsanbieter abrufen und sich bei Athena authentifizieren. Sie können dieses Plugin verwenden, um die Unterstützung von Unternehmensidentitäten durch Weitergabe von vertrauenswürdigen Identitäten zu aktivieren. Weitere Informationen zur Weitergabe von vertrauenswürdigen Identitäten mit Treibern, finden Sie unter [Weitergabe von vertrauenswürdigen Identitäten mit Amazon Athena-Treibern verwenden](using-trusted-identity-propagation.md). Sie können Ressourcen auch mithilfe [von konfigurieren und bereitstellen](using-trusted-identity-propagation-cloudformation.md). CloudFormation

Bei der Verbreitung vertrauenswürdiger Identitäten wird einer IAM-Rolle ein Identitätskontext hinzugefügt, um den Benutzer zu identifizieren, der Zugriff auf AWS Ressourcen anfordert. Informationen zur Aktivierung und Verwendung der Weitergabe von vertrauenswürdiger Identitäten finden Sie unter [Was ist Weitergabe von vertrauenswürdiger Identitäten?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html).

**Anmerkung**  
Das Plugin wurde speziell für Desktop-Umgebungen mit Einzelbenutzern entwickelt. In gemeinsam genutzten Umgebungen wie Windows Server sind Systemadministratoren dafür verantwortlich, Sicherheitsgrenzen zwischen Benutzern festzulegen und aufrechtzuerhalten.

## Anmeldeinformationsanbieter
<a name="jdbc-v3-driver-browser-oidc-tip-credentials-provider"></a>

Der Anbieter für Anmeldeinformationen, der zur Authentifizierung von Anforderungen an AWS verwendet wird. Stellen Sie den Wert dieses Parameters auf `BrowserOidcTip` ein.


****  

| Parametername | Alias | Parametertyp | Standardwert | Zu verwendender Wert | 
| --- | --- | --- | --- | --- | 
| CredentialsProvider | AWSCredentialsProviderClass (veraltet) | Erforderlich | Keine | BrowserOidcTip | 

## Bekannte Idp-Konfigurations-URL
<a name="jdbc-v3-driver-browser-oidc-tip-idp-well-known-config"></a>

Die IDP Well Known Configuration URL ist der Endpunkt, der OpenID Connect-Konfigurationsdetails für Ihren Identitätsanbieter bereitstellt. Diese URL endet in der Regel mit `.well-known/openid-configuration` wichtigen Metadaten zu den Authentifizierungsendpunkten, unterstützten Funktionen und Tokensignaturschlüsseln und enthält diese. Wenn Sie beispielsweise *Okta* verwenden, könnte die URL wie folgt aussehen. `https://your-domain.okta.com/.well-known/openid-configuration`

Zur Problembehandlung: Wenn Sie Verbindungsfehler erhalten, stellen Sie sicher, dass diese URL von Ihrem Netzwerk aus zugänglich ist und eine gültige *OpenID Connect-Konfigurations-JSON* zurückgibt. Die URL muss für den Client, auf dem der Treiber installiert ist, erreichbar sein und sollte von Ihrem Identity Provider-Administrator bereitgestellt werden.


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| IdpWellKnownConfigurationUrl | Keine | Erforderlich | Keine | 

## Client-ID
<a name="jdbc-v3-driver-browser-oidc-tip-client-id"></a>

Die Client-ID, die der Anwendung vom OpenID Connect-Anbieter zugewiesen wurde.


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| OidcClientId | Keine | Erforderlich | Keine | 

## WorkgroupArn
<a name="jdbc-v3-driver-browser-oidc-tip-workgroup-arn"></a>

Der Amazon-Ressourcenname (ARN) der Amazon Athena-Arbeitsgruppe, die die Trusted Identity Propagation-Konfigurations-Tags enthält. Weitere Informationen zu Arbeitsgruppen finden Sie unter [WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html). 

**Anmerkung**  
Dieser Parameter unterscheidet sich von dem `Workgroup` Parameter, der angibt, wo Abfragen ausgeführt werden. Sie müssen beide Parameter festlegen:  
`WorkgroupArn`- Verweist auf die Arbeitsgruppe, die die Konfigurations-Tags für die Weitergabe vertrauenswürdiger Identitäten enthält
`Workgroup`- Gibt die Arbeitsgruppe an, in der Abfragen ausgeführt werden
Diese verweisen zwar in der Regel auf dieselbe Arbeitsgruppe, aber beide Parameter müssen explizit gesetzt werden, damit sie ordnungsgemäß funktionieren.


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| WorkGroupArn | Keine | Erforderlich | primary | 

## JWT-Anwendungsrollen-ARN
<a name="jdbc-v3-driver-browser-oidc-tip-application-role-arn"></a>

Der ARN der Rolle, die im JWT-Austausch übernommen wird. Diese Rolle wird für den JWT-Austausch, das Abrufen des ARN der vom Kunden verwalteten Anwendung des IAM Identity Center über Arbeitsgruppen-Tags und das Abrufen der ARN für die Zugriffsrolle verwendet. Weitere Informationen zur Übernahme von Rollen finden Sie unter [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html). 


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| ApplicationRoleArn | Keine | Erforderlich | Keine | 

## JWT-Rollensitzungsname
<a name="jdbc-v3-driver-browser-oidc-tip-role-session-name"></a>

Ein Name für die IAM-Sitzung. Es kann alles sein, was Sie möchten, aber normalerweise übergeben Sie den Namen oder den Bezeichner, der dem Benutzer Ihrer Anwendung zugeordnet ist. Auf diese Weise werden die temporären Sicherheitsanmeldeinformationen, die Ihre Anwendung verwendet, diesem Benutzer zugeordnet. 


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| JwtRoleSessionName | role\_session\_name (veraltet) | Erforderlich | Keine | 

## Clientschlüssel
<a name="jdbc-v3-driver-browser-oidc-tip-client-secret"></a>

Der ClientSecret ist ein vertraulicher Schlüssel, der von Ihrem Identitätsanbieter ausgegeben wird und zur Authentifizierung Ihrer Anwendung (Client) verwendet wird. Dieser Parameter ist zwar optional und möglicherweise nicht für alle Authentifizierungsabläufe erforderlich, bietet jedoch eine zusätzliche Sicherheitsebene, wenn er verwendet wird. Wenn Ihre IDP-Konfiguration einen geheimen Clientschlüssel erfordert, müssen Sie diesen Parameter zusammen mit dem Wert angeben, den Sie von Ihrem Identity Provider-Administrator erhalten haben.


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| OidcClientSecret | Keine | Optional | Keine | 

## Scope
<a name="jdbc-v3-driver-browser-oidc-tip-scope"></a>

Der Bereich gibt an, welche Zugriffsebene Ihre Anwendung vom Identitätsanbieter anfordert. `openid`In den Gültigkeitsbereich müssen Sie ein ID-Token aufnehmen, das wichtige Angaben zur Benutzeridentität enthält. Ihr Geltungsbereich muss möglicherweise zusätzliche Berechtigungen wie `email` oder enthalten`profile`, je nachdem, welcher Benutzer behauptet, dass Ihr Identitätsanbieter (z. B. *Microsoft Entra ID*) so konfiguriert ist, dass er in das ID-Token aufgenommen wird. Diese Angaben sind für die korrekte Zuordnung von *Trusted Identity Propagation* unerlässlich. Wenn die Zuordnung der Benutzeridentität fehlschlägt, stellen Sie sicher, dass Ihr Geltungsbereich alle erforderlichen Berechtigungen umfasst und Ihr Identitätsanbieter so konfiguriert ist, dass er die erforderlichen Ansprüche in das ID-Token aufnimmt. Diese Ansprüche müssen mit Ihrer Zuordnungskonfiguration für *Trusted Token Issuer* im IAM Identity Center übereinstimmen. 


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| Scope | Keine | Optional | OpenID-E-Mail offline\_access | 

## Rollensitzungsdauer
<a name="jdbc-v3-driver-browser-oidc-tip-role-session-duration"></a>

Die Dauer der Rollen-Sitzung in Sekunden. Weitere Informationen finden Sie unter [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html).


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| RoleSessionDuration | Duration (veraltet) | Optional | 3600 | 

## JWT-Zugriffsrollen-ARN
<a name="jdbc-v3-driver-browser-oidc-tip-access-role-arn"></a>

Der ARN der Rolle, die Athena übernimmt, um in Ihrem Namen Anrufe zu tätigen. Weitere Informationen zur Übernahme von Rollen finden Sie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)in der *AWS -Security-Token-Service API-Referenz.* 


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| AccessRoleArn | Keine | Optional | Keine | 

## ARN der vom Kunden verwalteten Anwendung des IAM Identity Center
<a name="jdbc-v3-driver-browser-oidc-tip-customer-idc-application-arn"></a>

Der ARN der vom Kunden verwalteten Anwendung des IAM Identity Center. Weitere Informationen finden Sie unter [vom Kunden verwaltete Anwendungen](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html).


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| CustomerIdcApplicationArn | Keine | Optional | Keine | 

## Portnummer des Identitätsanbieters
<a name="jdbc-v3-driver-browser-oidc-tip-idp-port-number"></a>

Die lokale Portnummer, die für den OAuth 2.0-Callback-Server verwendet werden soll. Dies wird als redirect\_uri verwendet und Sie müssen dies in Ihrer IDP-Anwendung auf eine Zulassungsliste setzen. Die standardmäßig generierte Redirect\_URI ist: http://localhost:7890/athena

**Warnung**  
In gemeinsam genutzten Umgebungen wie Windows Terminal Servern oder Remote Desktop Services wird der Loopback-Port (Standard: 7890) von allen Benutzern auf demselben Computer gemeinsam genutzt. Systemadministratoren können potenzielle Risiken durch Port-Hijacking minimieren, indem sie:  
Konfiguration verschiedener Portnummern für verschiedene Benutzergruppen
Verwendung von Windows-Sicherheitsrichtlinien zur Beschränkung des Portzugriffs
Implementierung der Netzwerkisolierung zwischen Benutzersitzungen
Wenn diese Sicherheitskontrollen nicht implementiert werden können, empfehlen wir, stattdessen das [JWT Trusted Identity Propagation](jdbc-v3-driver-jwt-tip-credentials.md) Plugin zu verwenden, für das kein Loopback-Port erforderlich ist.


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| IdpPortNumber | Keine | Optional | 7890 | 

## Identitätsanbieter-Reaktions-Timeout
<a name="jdbc-v3-driver-browser-oidc-tip-idp-response-timeout"></a>

Das Timeout in Sekunden für das Warten auf die OAuth 2.0-Callback-Antwort.


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| IdpResponseTimeout | Keine | Optional | 120 | 

## Token-Caching aktivieren
<a name="jdbc-v3-driver-browser-oidc-tip-enable-token-caching"></a>

Der EnableTokenCaching Parameter bestimmt, ob der Treiber das Authentifizierungstoken zwischen Verbindungen zwischenspeichert. Die Einstellung EnableTokenCaching auf true reduziert die Anzahl der Authentifizierungsaufforderungen und verbessert die Benutzererfahrung, sollte jedoch mit Vorsicht verwendet werden. Diese Einstellung eignet sich am besten für Desktop-Umgebungen mit Einzelbenutzern. In gemeinsam genutzten Umgebungen wie Windows Server wird empfohlen, diese Option deaktiviert zu lassen, um eine mögliche gemeinsame Nutzung von Token zwischen Benutzern mit ähnlichen Verbindungszeichenfolgen zu verhindern. 

Für Unternehmensbereitstellungen, die Tools wie Tableau Server verwenden, empfehlen wir die Verwendung des [JWT-Plug-ins zur vertrauenswürdigen Identitätsverbreitung](jdbc-v3-driver-jwt-tip-credentials.md) anstelle dieser Authentifizierungsmethode. 


****  

| Parametername | Alias | Parametertyp | Standardwert | 
| --- | --- | --- | --- | 
| EnableTokenCaching | Keine | Optional | FALSE |