Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AD FS
Dieses Tutorial zeigt Ihnen, wie Sie AD FS als Identitätsanbieter (IdP) verwenden können, um auf Ihren Amazon-Redshift-Cluster zuzugreifen.
## Schritt 1: Richten Sie AD FS und Ihr AWS Konto so ein, dass sie einander vertrauen
Im folgenden Verfahren wird beschrieben, wie Sie eine Vertrauensstellung einrichten.
1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem sich Ihre AD-FS-Benutzer verbinden können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter [Erstellen eines Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/create-cluster.html).
1. Richten Sie AD FS ein, um den Amazon-Redshift-Zugriff auf die Microsoft Management Console zu steuern:
1. Wählen Sie **ADFS 2.0** und dann **Add relying Party Trust (Vertrauensstellung von vertrauender Partei hinzufügen)**. Wählen Sie auf der Seite **Add Relying Party Trust Wizard (Assistent zum Hinzufügen vertrauender Parteien)** die Option **Start**.
1. Wählen Sie auf der Seite **Select Data Source (Datenquelle auswählen)** die Option **Import data about the relying party published online or on a local network (Online oder im lokalen Netzwerk veröffentlichte Daten über die vertrauende Partei importieren)**.
1. Geben Sie für **Federation metadata address (host name or URL) (Verbundmetadatenadresse (Hostname oder URL))** **https://signin.aws.amazon.com/saml-metadata.xml** ein. Bei der XML-Metadatendatei handelt es sich um ein standardmäßiges SAML-Metadatendokument, in dem AWS beschrieben wird, dass es sich um eine vertrauende Partei handelt.
1. Geben Sie auf der Seite **Specify Display Name (Anzeigename angeben)** einen Wert für **Display name (Anzeigename)** ein.
1. Wählen Sie auf der Seite **Choose Issuance Authorization Rules (Ausgabeautorisierungsregeln auswählen)**eine Ausgabeautorisierungsregel aus, um allen Benutzern den Zugriff auf diese vertrauende Partei zu erlauben oder zu verweigern.
1. Überprüfen Sie auf der Seite **Ready to Add trust (Bereit zum Hinzufügen von Vertrauensstellungen)** Ihre Einstellungen.
1. Wählen Sie auf der Seite **Finish (Fertig stellen)** die Option **Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Nach Abschluss des Assistenten das Dialogfeld „Antragsregeln bearbeiten“ für diese Vertrauensstellung der vertrauenden Seite öffnen)**.
1. Wählen Sie im Kontextmenü (Rechtsklick) **Relying Party Trusts (Vertrauensstellungen von vertrauenden Parteien)**.
1. Öffnen Sie für Ihre vertrauende Partei das Kontextmenü (Rechtsklick), und wählen Sie **Edit Claim Rules (Antragsregeln bearbeiten)**. Wählen Sie auf der Seite **Edit Claim Rules (Antragsregeln bearbeiten)** die Option **Add Rule (Regel hinzufügen)**.
1. Wählen Sie als **Vorlage für eine Anspruchsregel** **die Option Eingehenden Anspruch transformieren** aus, und gehen Sie dann auf der NameId Seite **Regel bearbeiten —** wie folgt vor:
+ Geben Sie als **Namen der Anspruchsregel** Folgendes ein **NameId**.
+ Wählen Sie unter **Incoming claim name (Name des eingehenden Antrags)** die Option **Windows Account Name (Windows-Kontoname)**.
+ Wählen Sie unter **Outgoing claim name (Name des ausgehenden Antrags)** die Option **Name ID**.
+ Wählen Sie unter **Outgoing name ID format (Format der ausgehenden Namens-ID)** die Option **Persistent identifier (Persistente ID)**.
+ Wählen Sie **Pass through all claim values (Alle Antragswerte durchleiten)**.
1. Wählen Sie auf der Seite **Edit Claim Rules (Antragsregeln bearbeiten)** die Option **Add Rule (Regel hinzufügen)**. Wählen Sie auf der Seite **Select Rule Template (Regelvorlage auswählen)** für **Claim rule template (Antragsregelvorlage)** die Option **Send LDAP Attributes as Claims (LDAP-Attribute als Anträge senden)**.
1. Führen Sie auf der Seite **Configure Rule (Regel konfigurieren)** die folgenden Schritte aus:
+ Geben Sie unter **Claim rule name ** (Name der Antragsregel) **RoleSessionName** ein.
+ Wählen Sie unter **Attribute store (Attributspeicher)** **Active Directory**.
+ Wählen Sie für **LDAP Attribute (LDAP-Attribut)** **Email Addresses (E-Mail-Adressen)**.
+ Wählen Sie bei **Outgoing Claim Type (Art des ausgehenden Anspruchs)** **https://aws.amazon.com/SAML/Attributes/RoleSessionName** aus.
1. Wählen Sie auf der Seite **Edit Claim Rules (Antragsregeln bearbeiten)** die Option **Add Rule (Regel hinzufügen)**. Wählen Sie auf der Seite **Select Rule Template (Regelvorlage auswählen)** für **Claim rule template (Antragsregelvorlage)** die Option **Send Claims Using a Custom Rule (Anträge mit benutzerdefinierter Regel senden)**.
1. Geben Sie auf der Seite **Edit Rule – Get AD Groups (Regel bearbeiten – AD-Gruppen abrufen)** für **Claim rule name (Name der Antragsregel)** **Get AD Groups (AD-Gruppen abrufen)** ein.
1. Geben Sie unter **Custom rule (Benutzerdefinierte Regel)** Folgendes ein.
```
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"] => add(store = "Active Directory",
types = ("http://temp/variable"), query = ";tokenGroups;{0}",
param = c.Value);
```
1. Wählen Sie auf der Seite **Edit Claim Rules (Antragsregeln bearbeiten)** die Option **Add Rule (Regel hinzufügen)**. Wählen Sie auf der Seite **Select Rule Template (Regelvorlage auswählen)** für **Claim rule template (Antragsregelvorlage)** die Option **Send Claims Using a Custom Rule (Anträge mit benutzerdefinierter Regel senden)**.
1. Geben Sie auf der Seite **Edit Rule - Roles (Regel bearbeiten — Rollen)** für **Claim rule name Namen der Antragsregel** **Roles (Rollen)** ein.
1. Geben Sie unter **Custom rule (Benutzerdefinierte Regel)** Folgendes ein.
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));
```
Notieren Sie sich ARNs den SAML-Anbieter und die Rolle, die Sie übernehmen möchten. In diesem Beispiel ist `arn:aws:iam:123456789012:saml-provider/ADFS` der ARN des SAML-Providers und `arn:aws:iam:123456789012:role/ADFS-` der ARN der Rolle.
1. Stellen Sie sicher, dass Sie die `federationmetadata.xml`-Datei heruntergeladen haben. Überprüfen Sie, dass der Dokumentinhalt keine ungültigen Zeichen enthält. Dies ist die Metadatendatei, die Sie beim Konfigurieren der Vertrauensstellung mit verwenden AWS.
1. Erstellen Sie auf der IAM-Konsole einen IAM SAML-Identitätsanbieter. Das Metadatendokument, das Sie bereitstellen, ist die XML-Datei mit Verbundmetadaten, die Sie beim Einrichten der Azure Enterprise-Anwendung gespeichert haben. Ausführliche Schritte finden Sie unter [Erstellen und Verwalten eines IAM-Identitätsanbieters (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) im *IAM-Benutzerhandbuch*.
1. Erstellen Sie auf der IAM-Konsole eine IAM-Rolle für SAML 2.0-Verbund. Detaillierte Schritte finden Sie unter [Erstellen einer Rolle für SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html#idp_saml_Create) im *IAM-Benutzerhandbuch*.
1. Erstellen Sie eine IAM-Richtlinie, die Sie an die IAM-Rolle anhängen können, die Sie für den SAML 2.0-Verbund auf der IAM-Konsole erstellt haben. Ausführliche Schritte finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*. Ein Azure AD-Beispiel finden Sie unter [Einrichten der Single-Sign-On-Authentifizierung über JDBC oder ODBC](setup-azure-ad-identity-provider.md).
## Schritt 2: Einrichten von JDBC oder ODBC für die Authentifizierung bei AD FS
------
#### [ JDBC ]
Im folgenden Verfahren wird beschrieben, wie Sie eine JDBC-Vertrauensstellung zu AD FS einrichten.
+ Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über JDBC mithilfe von AD FS Single Sign-On.
Sie können jeden Client verwenden, der mithilfe eines JDBC-Treibers eine Verbindung mit AD FS Single Sign-On herstellt oder eine Sprache wie Java verwendet, um über ein Skript eine Verbindung herzustellen. Informationen zur Installation und Konfiguration finden Sie unter [Konfiguration einer Verbindung für JDBC-Treiberversion 2.x für Amazon Redshift](jdbc20-install.md).
Sie können es beispielsweise SQLWorkbench/J als Client verwenden. Wenn Sie SQLWorkbench /J konfigurieren, verwendet die URL Ihrer Datenbank das folgende Format.
```
jdbc:redshift:iam://{{cluster-identifier}}:{{us-west-1}}/{{dev}}
```
Wenn Sie SQLWorkbench/J als Client verwenden, gehen Sie wie folgt vor:
1. Starten Sie SQL Workbench/J. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** eine **Profile Group (Profilgruppe)** hinzu, z. B. **ADFS**.
1. Geben Sie unter **Connection Profile (Verbindungsprofil)** Ihren Verbindungsprofilnamen ein, z. B. **ADFS**.
1. Wählen Sie **Manage Drivers (Treiber verwalten)** und dann **Amazon Redshift** aus. Wählen Sie das Symbol **Open Folder (Ordner öffnen)** neben **Library (Bibliothek)** und dann die entsprechende JDBC-JAR-Datei aus.
1. Fügen Sie auf der Seite **Select Connection Profile (Verbindungsprofil auswählen)** dem Verbindungsprofil Informationen wie folgt hinzu:
+ Geben Sie unter **User (Benutzer)** Ihren AD FS-Benutzernamen ein. Dies ist der Benutzername des -Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden, und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten.
+ Geben Sie unter **Password (Passwort)** Ihr AD FS-Passwort ein.
+ Wählen Sie für **Driver (Treiber)** die Option **Amazon Redshift (com.amazon.redshift.jdbc.Driver)** aus.
+ Geben Sie für **URL** **jdbc:redshift:iam://{{your-cluster-identifier}}:{{your-cluster-region}}/{{your-database-name}}** ein.
1. Wählen Sie **Extended Properties (Erweiterte Eigenschaften)** aus. Geben Sie für **plugin\_name** **com.amazon.redshift.plugin.AdfsCredentialsProvider** ein. Dieser Wert gibt an, dass der Treiber AD FS Single Sign-On als Authentifizierungsmethode verwenden soll.
------
#### [ ODBC ]
**So richten Sie ODBC für die Authentifizierung bei AD FS ein:**
+ Konfigurieren Sie Ihren Datenbank-Client für die Verbindung mit Ihrem Cluster über ODBC mithilfe von AD FS Single Sign-On.
Amazon Redshift stellt ODBC-Treiber für Linux-, Windows- und macOS-Betriebssysteme bereit. Stellen Sie vor der Installation eines ODBC-Treibers fest, ob Ihr SQL-Client-Tool 32-Bit oder 64-Bit ist. Installieren Sie den ODBC-Treiber, der den Anforderungen Ihres SQL-Clienttools entspricht.
Geben Sie unter Windows auf der Seite **Amazon Redshift ODBC Driver DSN Setup (DSN-Setup für Amazon Redshift ODBC-Treiber)** unter **Connection Settings (Verbindungseinstellungen)** die folgenden Informationen ein:
+ Geben Sie für **Data Source Name (Datenquellenname)** **{{your-DSN}}** ein. Dies gibt den Datenquellennamen an, der als ODBC-Profilname verwendet wird.
+ Wählen Sie bei **Auth type (Authentifizierungstyp)** **Identity Provider: SAML (Identitätsanbieter: SAML)** aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit AD FS Single Sign-On verwendet.
+ Geben Sie für **Cluster ID (Cluster-ID)** **{{your-cluster-identifier}}** ein.
+ Geben Sie für **Region** **{{your-cluster-region}}** ein.
+ Geben Sie für **Database (Datenbank)** **{{your-database-name}}** ein.
+ Geben Sie für **User (Benutzer)** **{{your-adfs-username}}** ein. Dies ist der Benutzername des AD-FS-Kontos, das Sie für Single Sign-On verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn **Auth type (Authentifizierungstyp)** **Identity Provider: SAML (Identitätsanbieter: SAML)** ist.
+ Geben Sie unter **Password (Passwort)** **{{your-adfs-password}}** ein. Verwenden Sie dies nur, wenn **Auth type (Authentifizierungstyp)** **Identity Provider: SAML (Identitätsanbieter: SAML)** ist.
Bearbeiten Sie die `odbc.ini`-Datei unter Mac OS und Linux wie folgt:
**Anmerkung**
Bei allen Eingaben wird zwischen Groß- und Kleinschreibung unterschieden.
+ Geben Sie für **clusterid** **{{your-cluster-identifier}}** ein. Dies ist der Name des erstellten Amazon-Redshift-Clusters.
+ Geben Sie für **Region** **{{your-cluster-region}}** ein. Dies ist die AWS Region des erstellten Amazon Redshift Redshift-Clusters.
+ Geben Sie für die **database** **{{your-database-name}}** ein. Dies ist der Name der Datenbank, auf die Sie im Amazon-Redshift-Cluster zugreifen möchten.
+ Geben Sie für **locale** **en-us** ein. Dies ist die Sprache, in der Fehlermeldungen angezeigt werden.
+ Geben Sie für **iam** **1** ein. Dieser Wert signalisiert dem Treiber, dass mit IAM-Anmeldeinformationen authentifiziert werden soll.
+ Führen Sie für **plugin\_name** einen der folgenden Schritte aus:
+ Geben Sie für Single Sign-On von AD FS mit MFA-Konfiguration **BrowserSAML** ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung bei AD FS verwendet.
+ Geben Sie für die Single-Sign-On-Konfiguration von AD FS **ADFS** ein. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Azure AD Single Sign-On verwendet.
+ Geben Sie für **uid** **{{your-adfs-username}}** ein. Dies ist der Benutzername des Microsoft-Azure-Kontos, das Sie für Single-Sign-On verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn der **plugin\_name (Plug-In-Name)** **ADFS** ist.
+ Geben Sie für **pwd** **{{your-adfs-password}}** ein. Verwenden Sie dies nur, wenn der **plugin\_name (Plug-In-Name)** **ADFS** ist.
Bearbeiten Sie unter macOS und Linux auch die Profileinstellungen, um folgende Exporte hinzuzufügen:
```
export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
```
```
export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini
```
------