Azure - Amazon Redshift
Schritt 1: Richten Sie Azure und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauenSchritt 2: Einrichten von JDBC oder ODBC für die Authentifizierung bei AzureFehlerbehebung

Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Azure

Sie können Microsoft Azure AD als Identitätsanbieter verwenden, um auf Ihren Amazon-Redshift-Cluster zuzugreifen. Dieses Tutorial zeigt Ihnen, wie Sie Azure als Identitätsanbieter (IdP) verwenden können, um auf Ihren Amazon-Redshift-Cluster zuzugreifen.

Weitere Informationen zum Verbinden des Amazon-Redshift-Zugriffs mit Microsoft-Azure-AD-Single-Sign-On finden Sie im folgenden Video.

Schritt 1: Richten Sie Azure und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen

Im folgenden Verfahren wird beschrieben, wie Sie eine Vertrauensstellung einrichten.

So richten Sie Azure AD und Ihr AWS Konto so ein, dass sie sich gegenseitig vertrauen

  1. Erstellen oder verwenden Sie einen vorhandenen Amazon-Redshift-Cluster, mit dem sich Ihre Azure-AD-Benutzer verbinden können. Um die Verbindung zu konfigurieren, werden bestimmte Eigenschaften dieses Clusters benötigt, z. B. die Clusterkennung. Weitere Informationen finden Sie unter Erstellen eines Clusters.

  2. Richten Sie ein Azure Active Directory, Gruppen und Benutzer ein, die AWS im Microsoft Azure-Portal verwendet werden.

  3. Fügen Sie Amazon Redshift als Unternehmensanwendung auf dem Microsoft Azure-Portal hinzu, um es für Single Sign-On an der AWS Konsole und die Verbundanmeldung bei Amazon Redshift zu verwenden. Wählen Sie Enterprise application (Unternehmensanwendung).

  4. Wählen Sie +New Application (+Neue Anwendung). Die Seite „Add an application (Anwendung hinzufügen)“ wird angezeigt.

  5. Suchen Sie im Suchfeld nach AWS.

  6. Wählen Sie Amazon Web Services (AWS) und dann Add (Hinzufügen) aus. Dadurch wird die AWS -Anwendung erstellt.

  7. Wählen Sie unter Manage (Verwalten) die Option Single Sign-onaus.

  8. Wählen Sie SAML. Die Seite „Amazon Web Services (AWS) | SAML-based Sign-on“ wird angezeigt.

  9. Wählen Sie Yes (Ja) um zur Seite „Setup Single-Sign-On with SAML (Single-Sign-On mit SAML einrichten)“ fortzufahren. Auf dieser Seite wird die Liste vorkonfigurierter Attribute angezeigt, die sich auf Single Sign-On beziehen.

  10. Wählen Sie für Basic SAML Configuration (Grundlegende SAML-Konfiguration) das Bearbeitungssymbol und dann Save (Speichern).

  11. Wenn Sie für mehrere Anwendungen konfigurieren, geben Sie einen ID-Wert ein. Geben Sie z. B. ei https://signin.aws.amazon.com/saml#2. Beachten Sie, dass ab der zweiten Anwendung dieses Format mit einem # -Zeichen verwendet werden muss, um einen eindeutigen SPN-Wert anzugeben.

  12. Wählen Sie im Abschnitt User Attributes and Claims (Benutzerattribute und Anträge) das Bearbeitungssymbol aus.

    Standardmäßig sind der Unique User Identifier (UID), die Rolle und die Ansprüche vorkonfiguriert RoleSessionName. SessionDuration

  13. Wählen Sie + Add new claim (+ Neuen Antrag hinzufügen), um einen Antrag für Datenbankbenutzer hinzuzufügen.

    Geben Sie unter Name DbUser ein.

    Geben Sie für Namespace https://redshift.amazon.com/SAML/Attributes ein.

    Wählen Sie unter Source (Quelle) die Option Attribute (Attribut) aus.

    Wählen Sie für Source attribute (Quellattribut) user.userprincipalname aus. Wählen Sie dann Save (Speichern) aus.

  14. Wählen Sie + Neuen Anspruch hinzufügen, um einen Anspruch hinzuzufügen. AutoCreate

    Geben Sie unter Name AutoCreate ein.

    Geben Sie für Namespace https://redshift.amazon.com/SAML/Attributes ein.

    Wählen Sie unter Source (Quelle) die Option Attribute (Attribut) aus.

    Wählen Sie für Source attribute (Quellattribut) „true“. Wählen Sie dann Save (Speichern) aus.

    Hier ist 123456789012 Ihr AWS -Konto, AzureSSO ist eine von Ihnen erstellte IAM-Rolle und AzureADProvider ist der IAM-Anbieter.

    Name des Antrags Wert

    Eindeutige Benutzer-ID (Namens-ID)

    user.userprincipalname

    https://aws.amazon.com/SAML/Attributes/SessionDuration

    „900“

    https://aws.amazon.com/SAML/Attributes/Role

    arn:aws:iam: :role/, arn:aws:iam: :saml-provider/ 123456789012 AzureSSO 123456789012 AzureADProvider

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    user.userprincipalname

    https://redshift.amazon.com/SAML/Attributes/AutoCreate

    „true“

    https://redshift.amazon.com/SAML/Attributes/DbGroups

    user.assignedroles

    https://redshift.amazon.com/SAML/Attributes/DbUser

    user.userprincipalname

  15. Fügen Sie unter App Registration (App-Registrierung) > your-application-name > Authentication (Authentifizierung) die Option Mobile And Desktop Application (Mobile und Desktop-Anwendung) hinzu. Geben Sie die URL als „http://localhost/redshift/“ an.

  16. Wählen Sie im Abschnitt SAML Signing Certificate (SAML-Signaturzertifikat) die Option Download (Herunterladen) aus, um die XML-Datei für die Verbundmetadaten herunterzuladen und zu speichern, die beim Erstellen eines IAM-SAML-Identitätsanbieters verwendet werden soll. Diese Datei wird verwendet, um die Single-Sign-On-Verbundidentität zu erstellen.

  17. Erstellen Sie auf der IAM-Konsole einen IAM SAML-Identitätsanbieter. Das Metadatendokument, das Sie bereitstellen, ist die XML-Datei für Verbundmetadaten, die Sie beim Einrichten der Azure Enterprise-Anwendung gespeichert haben. Ausführliche Schritte finden Sie unter Erstellen und Verwalten eines IAM-Identitätsanbieters (Konsole) im IAM-Benutzerhandbuch.

  18. Erstellen Sie auf der IAM-Konsole eine IAM-Rolle für SAML 2.0-Verbund. Detaillierte Schritte finden Sie unter Erstellen einer Rolle für SAML im IAM-Benutzerhandbuch.

  19. Erstellen Sie eine IAM-Richtlinie, die Sie an die IAM-Rolle anhängen können, die Sie für den SAML 2.0-Verbund auf der IAM-Konsole erstellt haben. Ausführliche Schritte finden Sie unter Erstellen von IAM-Richtlinien (Konsole) im IAM-Benutzerhandbuch.

    Ändern Sie die folgende Richtlinie (im JSON-Format) für Ihre Umgebung:

    • Ersetzen Sie die AWS Region Ihres Clusters durch. us-west-1

    • Ersetzen Sie Ihr AWS Konto durch123456789012.

    • Ersetzen Sie cluster-identifier durch Ihre Cluster-ID (oder * für alle Cluster).

    • Ersetzen Sie Ihre Datenbank (oder * alle Datenbanken) durch dev.

    • Ersetzen Sie den eindeutigen Bezeichner Ihrer IAM-Rolle durch AROAJ2UCCR6DPCEXAMPLE.

    • Geben Sie anstelle von Ihre Mandanten- oder Unternehmens-E-Mail-Domäne ein example.com.

    • Geben Sie anstelle von die Datenbankgruppe ein, der Sie den Benutzer zuweisen möchten my_dbgroup. 

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentials",
            "Resource": [
                "arn:aws:redshift:us-west-1:123456789012:dbname:cluster-identifier/dev",
                "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}",
                "arn:aws:redshift:us-west-1:123456789012:cluster:cluster-identifier"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:userid": "AROAJ2UCCR6DPCEXAMPLE:${redshift:DbUser}@example.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "redshift:CreateClusterUser",
            "Resource": "arn:aws:redshift:us-west-1:123456789012:dbuser:cluster-identifier/${redshift:DbUser}"
        },
        {
            "Effect": "Allow",
            "Action": "redshift:JoinGroup",
            "Resource": "arn:aws:redshift:us-west-1:123456789012:dbgroup:cluster-identifier/my_dbgroup"
        },
        {
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeClusters",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    Diese Richtlinie gewährt Berechtigungen wie folgt:

    • Der erste Abschnitt erteilt der API-Operation GetClusterCredentials die Berechtigung, temporäre Anmeldeinformationen für den angegebenen Cluster abzurufen. In diesem Beispiel ist die Ressource cluster-identifier mit Datenbank dev im Konto 123456789012 und in AWS -Region us-west-1. Die Klausel ${redshift:DbUser} ermöglicht es nur Benutzern, die dem in Azure AD angegebenen DbUser-Wert entsprechen, eine Verbindung herzustellen.

    • Die Bedingungsklausel erzwingt, dass nur bestimmte Benutzer temporäre Anmeldeinformationen erhalten. Dies sind Benutzer unter der Rolle, die durch die eindeutige ID der Rolle AROAJ2UCCR6DPCEXAMPLE im IAM-Konto angegeben wird, das durch eine E-Mail-Adresse in der E-Mail-Domäne Ihres Unternehmens identifiziert wird. Weitere Informationen zu Unique IDs finden Sie unter Unique IDs im IAM-Benutzerhandbuch.

      Ihr Setup mit Ihrem IdP (in diesem Fall Azure AD) bestimmt, wie die Bedingungsklausel geschrieben wird. Wenn die E-Mail Ihres Mitarbeiters johndoe@example.com lautet, stellen Sie ${redshift:DbUser} zuerst auf das Superfeld ein, das dem Benutzernamen johndoe des Mitarbeiters entspricht. Stellen Sie dann das AWS -SAML-Feld RoleSessionName auf das Superfeld ein, das mit der Mitarbeiter-E-Mail-Adresse johndoe@example.com übereinstimmt, damit diese Bedingung funktioniert. Berücksichtigen Sie bei diesem Ansatz Folgendes:

      • Wenn Sie ${redshift:DbUser} als E-Mail des Mitarbeiters festlegen, entfernen Sie das @example.com im JSON-Beispiel,um dem RoleSessionName zu entsprechen.

      • Wenn Sie die RoleSessionId auf nur den Benutzernamen des Mitarbeiters eingestellt haben, entfernen Sie die @example.com im Beispiel, um dem RoleSessionName zu entsprechen.

      • Im JSON-Beispiel sind ${redshift:DbUser} und RoleSessionName beide auf die E-Mail des Mitarbeiters festgelegt. In diesem JSON-Beispiel wird der Amazon-Redshift-Datenbankbenutzername mit @example.com verwendet, um den Benutzer für den Zugriff auf den Cluster anzumelden.

    • Der zweite Abschnitt erteilt die Berechtigung zum Erstellen eines dbuser-Namens im angegebenen Cluster. In diesem Beispiel beschränkt JSON die Erstellung auf ${redshift:DbUser}.

    • Der dritte Abschnitt erteilt die Berechtigung zur Angabe, welcher dbgroup ein Benutzer beitreten kann. In diesem JSON-Beispiel kann ein Benutzer der Gruppe my_dbgroup im angegebenen Cluster beitreten.

    • Der vierte Abschnitt berechtigt Aktionen, die der Benutzer für alle Ressourcen ausführen kann. In diesem JSON-Beispiel können Benutzer anrufen, redshift:DescribeClusters um Clusterinformationen wie den Cluster-Endpunkt, die AWS Region und den Port abzurufen. Auch ermöglicht es Benutzern, iam:ListRoles aufzurufen, um zu überprüfen, welche Rollen ein Benutzer übernehmen kann.

Schritt 2: Einrichten von JDBC oder ODBC für die Authentifizierung bei Azure

JDBC
So richten Sie JDBC für die Authentifizierung bei Microsoft Azure AD ein:

  • Konfigurieren Sie Ihren Datenbankclient für die Verbindung mit Ihrem Cluster über JDBC mithilfe von Azure AD Single Sign-On.

    Sie können jeden Client verwenden, der mithilfe eines JDBC-Treibers eine Verbindung mit Azure AD Single Sign-On herstellt oder eine Sprache wie Java verwendet, um über ein Skript eine Verbindung herzustellen. Informationen zur Installation und Konfiguration finden Sie unter Konfiguration einer Verbindung für JDBC-Treiberversion 2.x für Amazon Redshift.

    Sie können es beispielsweise SQLWorkbench/J als Client verwenden. Wenn Sie SQLWorkbench /J konfigurieren, verwendet die URL Ihrer Datenbank das folgende Format.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Wenn Sie SQLWorkbench/J als Client verwenden, gehen Sie wie folgt vor:

    1. Starten Sie SQL Workbench/J. Fügen Sie auf der Seite Select Connection Profile (Verbindungsprofil auswählen) eine Profile Group (Profilgruppe) namens AzureAuth hinzu.

    2. Geben Sie für Connection Profile (Verbindungsprofil) Azure ein.

    3. Wählen Sie Manage Drivers (Treiber verwalten) und dann Amazon Redshift aus. Wählen Sie das Symbol Open Folder (Ordner öffnen) neben Library (Bibliothek) und dann die entsprechende JDBC-JAR-Datei aus.

    4. Fügen Sie auf der Seite Select Connection Profile (Verbindungsprofil auswählen) dem Verbindungsprofil Informationen wie folgt hinzu:

      • Geben Sie für User (Benutzer) Ihren Microsoft Azure-Benutzernamen ein. Dies ist der Benutzername des Microsoft Azure-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten.

      • Geben Sie für Password (Passwort) Ihr Microsoft Azure-Passwort ein.

      • Wählen Sie für Driver (Treiber) die Option Amazon Redshift (com.amazon.redshift.jdbc.Driver) aus.

      • Geben Sie für URL jdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name ein.

    5. Wählen Sie Extended Properties (Erweiterte Eigenschaften), um den Verbindungseigenschaften wie folgt zusätzliche Informationen hinzuzufügen:

      Fügen Sie für die Single-Sign-On-Konfiguration von Azure AD zusätzliche Informationen wie folgt hinzu:

      • Geben Sie für plugin_name com.amazon.redshift.plugin.AzureCredentialsProvider ein. Dieser Wert gibt an, dass der Treiber Azure AD Single Sign-On als Authentifizierungsmethode verwenden soll.

      • Geben Sie für idp_tenant your-idp-tenant ein. Wird nur für Microsoft Azure AD verwendet. Dies ist der Mandantenname Ihres Unternehmens, der auf Ihrem Azure AD konfiguriert ist. Dieser Wert kann entweder der Mandantenname oder die eindeutige ID des Mandanten mit Bindestrichen sein.

      • Geben Sie für client_secret your-azure-redshift-application-client-secret ein. Wird nur für Microsoft Azure AD verwendet. Dies ist Ihr Client-Secret der Amazon-Redshift-Anwendung, das Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben. Dies gilt nur für das com.amazon.redshift.plugin. AzureCredentialsProviderPlugin.

      • Geben Sie für client_id your-azure-redshift-application-client-id ein. Wird nur für Microsoft Azure AD verwendet. Dies ist die Client-ID (mit Bindestrichen) der Amazon-Redshift-Anwendung, die Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben.

      Fügen Sie für Single Sign-On von Azure AD mit MFA-Konfiguration den Verbindungseigenschaften wie folgt zusätzliche Informationen hinzu:

      • Geben Sie für plugin_name com.amazon.redshift.plugin.BrowserAzureCredentialsProvider ein. Dies signalisiert dem Treiber, dass Single Sign-On für Azure AD mit MFA als Authentifizierungsmethode verwendet werden soll.

      • Geben Sie für idp_tenant your-idp-tenant ein. Wird nur für Microsoft Azure AD verwendet. Dies ist der Mandantenname Ihres Unternehmens, der auf Ihrem Azure AD konfiguriert ist. Dieser Wert kann entweder der Mandantenname oder die eindeutige ID des Mandanten mit Bindestrichen sein.

      • Geben Sie für client_id your-azure-redshift-application-client-id ein. Diese Option wird nur für Microsoft Azure AD verwendet. Dies ist die Client-ID (mit Bindestrichen) der Amazon-Redshift-Anwendung, die Sie beim Einrichten von Single Sign-On für Azure AD mit MFA-Konfiguration erstellt haben.

      • Geben Sie bei listen_portyour-listen-port“ ein. Dies ist der Port, den der lokale Server überwacht. Der Standardwert ist 7890.

      • Geben Sie für idp_response_timeout the-number-of-seconds ein. Dies ist die Anzahl der Sekunden, für die vor dem Timeout gewartet werden muss, wenn der IdP-Server eine Antwort zurücksendet. Die Mindestanzahl von Sekunden muss 10 sein. Wenn es länger dauert, eine Verbindung mit dem Server herzustellen, als durch diesen Schwellenwert angegeben, wird die Verbindung abgebrochen.

ODBC
So richten Sie ODBC für die Authentifizierung bei Microsoft Azure AD ein:

  • Konfigurieren Sie Ihren Datenbankclient für die Verbindung mit Ihrem Cluster über ODBC mithilfe von Azure AD Single Sign-On.

    Amazon Redshift stellt ODBC-Treiber für Linux-, Windows- und macOS-Betriebssysteme bereit. Stellen Sie vor der Installation eines ODBC-Treibers fest, ob Ihr SQL-Client-Tool 32-Bit oder 64-Bit ist. Installieren Sie den ODBC-Treiber, der den Anforderungen Ihres SQL-Clienttools entspricht.

    Geben Sie unter Windows auf der Seite Amazon Redshift ODBC Driver DSN Setup (DSN-Setup für Amazon Redshift ODBC-Treiber) unter Connection Settings (Verbindungseinstellungen) die folgenden Informationen ein:

    • Geben Sie für Data Source Name (Datenquellenname) your-DSN ein. Dies gibt den Datenquellennamen an, der als ODBC-Profilname verwendet wird.

    • Wählen Sie für die Single-Sign-On-Konfiguration von Azure AD unter Auth type (Authentifizierungstyp) Identity Provider: Azure AD aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Azure Single Sign-On verwendet.

    • Wählen Sie für die Single-Sign-On-Konfiguration von Azure AD mit MFA-Konfiguration unter Auth type (Authentifizierungstyp) Identity Provider: Browser Azure AD aus. Dies ist die Authentifizierungsmethode, die der ODBC-Treiber zur Authentifizierung mit Azure Single Sign-On mit MFA verwendet.

    • Geben Sie für Cluster ID (Cluster-ID) your-cluster-identifier ein.

    • Geben Sie für Region your-cluster-region ein.

    • Geben Sie für Database (Datenbank) your-database-name ein.

    • Geben Sie für User (Benutzer) your-azure-username ein. Dies ist der Benutzername des Microsoft Azure-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn Auth Type (Authentifizierungstyp) Identity Provider: Azure AD (Identitätsanbieter: Azure AD) ist.

    • Geben Sie unter Password (Passwort) your-azure-password ein. Verwenden Sie dies nur, wenn Auth Type (Authentifizierungstyp) Identity Provider: Azure AD (Identitätsanbieter: Azure AD) ist.

    • Geben Sie für IdP Tenant (IdP-Mandant) your-idp-tenant ein. Dies ist der Mandantenname Ihres Unternehmens, der auf Ihrem IdP (Azure) konfiguriert ist. Dieser Wert kann entweder der Mandantenname oder die eindeutige ID des Mandanten mit Bindestrichen sein.

    • Geben Sie für Azure Client Secret (Azure-Clientgeheimnis) your-azure-redshift-application-client-secret ein. Dies ist das Client-Secret der Amazon-Redshift-Anwendung, das Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben.

    • Geben Sie für Azure Client ID (Azure-Client-ID) your-azure-redshift-application-client-id ein. Dies ist die Client-ID (mit Bindestrichen) der Amazon-Redshift-Anwendung, die Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben.

    • Geben Sie als Listen Portyour-listen-port“ ein. Dies ist der standardmäßige Listening-Port, den der lokale Server überwacht. Der Standardwert ist 7890. Dies gilt nur für das Browser Azure AD-Plug-in.

    • Geben Sie für Response Timeout (Antwortzeitüberschreitung) the-number-of-seconds ein. Dies ist die Anzahl der Sekunden, für die vor dem Timeout gewartet werden muss, wenn der IdP-Server eine Antwort zurücksendet. Die Mindestanzahl von Sekunden muss 10 sein. Wenn es länger dauert, eine Verbindung mit dem Server herzustellen, als durch diesen Schwellenwert angegeben, wird die Verbindung abgebrochen. Dies gilt nur für das Browser-Azure-AD-Plug-In.

    Bearbeiten Sie die odbc.ini-Datei unter Mac OS und Linux wie folgt:

    Anmerkung

    Bei allen Eingaben wird zwischen Groß- und Kleinschreibung unterschieden.

    • Geben Sie für clusterid your-cluster-identifier ein. Dies ist der Name des erstellten Amazon-Redshift-Clusters.

    • Geben Sie für Region your-cluster-region ein. Dies ist die AWS Region des erstellten Amazon Redshift Redshift-Clusters.

    • Geben Sie für die database your-database-name ein. Dies ist der Name der Datenbank, auf die Sie im Amazon-Redshift-Cluster zugreifen möchten.

    • Geben Sie für locale en-us ein. Dies ist die Sprache, in der Fehlermeldungen angezeigt werden.

    • Geben Sie für iam 1 ein. Dieser Wert signalisiert dem Treiber, dass mit IAM-Anmeldeinformationen authentifiziert werden soll.

    • Geben Sie für die Single-Sign-On-Konfiguration von Azure AD im Feld plugin_name AzureAD ein. Dies signalisiert dem Treiber, Azure Single Sign-On als Authentifizierungsmethode zu verwenden.

    • Geben Sie für Single Sign-On von Azure AD mit MFA-Konfiguration im Feld plugin_name BrowserAzureAD ein. Dies signalisiert dem Treiber, dass Azure Single Sign-On mit MFA als Authentifizierungsmethode verwendet werden soll.

    • Geben Sie für uid your-azure-username ein. Dies ist der Benutzername des Microsoft Azure-Kontos, das Sie für die einmalige Anmeldung (Single-Sign-On) verwenden und das über die Berechtigung für den Cluster verfügt, für den Sie sich authentifizieren möchten. Verwenden Sie dies nur, wenn der plugin_name AzureAd ist.

    • Geben Sie für pwd your-azure-password ein. Verwenden Sie dies nur, wenn der plugin_name AzureAd ist.

    • Geben Sie für idp_tenant your-idp-tenant ein. Dies ist der Mandantenname Ihres Unternehmens, der auf Ihrem IdP (Azure) konfiguriert ist. Dieser Wert kann entweder der Mandantenname oder die eindeutige ID des Mandanten mit Bindestrichen sein.

    • Geben Sie für client_secret your-azure-redshift-application-client-secret ein. Dies ist das Client-Secret der Amazon-Redshift-Anwendung, das Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben.

    • Geben Sie für client_id your-azure-redshift-application-client-id ein. Dies ist die Client-ID (mit Bindestrichen) der Amazon-Redshift-Anwendung, die Sie beim Einrichten der Azure-Single-Sign-On-Konfiguration erstellt haben.

    • Geben Sie bei listen_portyour-listen-port“ ein. Dies ist der Port, den der lokale Server überwacht. Der Standardwert ist 7890. Dies gilt für das Browser Azure AD-Plug-in.

    • Geben Sie für idp_response_timeout the-number-of-seconds ein. Dies ist der angegebene Zeitraum in Sekunden, für den auf die Antwort von Azure gewartet werden soll. Diese Option gilt für das Browser-Azure-AD-Plug-In.

    Bearbeiten Sie unter macOS und Linux auch die Profileinstellungen, um folgende Exporte hinzuzufügen:

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini

Fehlerbehebung

Beachten Sie zur Behebung von Problemen mit dem Browser-Azure-AD-Plugin Folgendes.

  • Zur Verwendung des Browser-Azure AD-Plug-ins müssen Sie die in der Anforderung angegebene Antwort-URL so festlegen, dass sie mit der für Ihre Anwendung konfigurierten Antwort-URL übereinstimmt. Navigieren Sie im Microsoft Azure-Portal zur Seite Set up Single Sign-On with SAML (Single Sign-On mit SAML einrichten). Überprüfen Sie dann, ob der Wert unter Reply URL (Antwort-URL) auf „http://localhost/redshift/“ festgelegt ist.

  • Wenn Sie einen IdP-Mandantenfehler erhalten, überprüfen Sie, ob der Name unter IdP Tenant (IdP-Mandant mit dem Domänennamen übereinstimmt, den Sie ursprünglich zum Einrichten von Active Directory in Microsoft Azure verwendet haben.

    Navigieren Sie unter Windows zum Bereich Connection Settings (Verbindungseinstellungen) der Seite Amazon Redshift ODBC DSN Setup (DSN-Einrichtung von Amazon-Redshift-ODBC). Überprüfen Sie dann, ob der für den IdP (Azure) konfigurierte Mandantenname Ihres Unternehmens mit dem Domänennamen übereinstimmt, den Sie ursprünglich zum Einrichten von Active Directory in Microsoft Azure verwendet haben.

    Suchen Sie unter macOS und Linux die Datei odbc.ini. Überprüfen Sie dann, ob der für den IdP (Azure) konfigurierte Mandantenname Ihres Unternehmens mit dem Domänennamen übereinstimmt, den Sie ursprünglich zum Einrichten von Active Directory in Microsoft Azure verwendet haben.

  • Wenn Sie eine Fehlermeldung erhalten, dass die in der Anfrage angegebene Antwort-URL nicht mit der für Ihre Anwendung URLs konfigurierten Antwort übereinstimmt, überprüfen Sie, ob die Weiterleitung URIs mit der Antwort-URL übereinstimmt.

    Navigieren Sie im Microsoft Azure-Portal zur Seite App registration (App-Registrierung) Ihrer Anwendung. Überprüfen Sie dann, ob die Weiterleitung URIs mit der Antwort-URL übereinstimmt.

  • Wenn Sie einen unerwarteten Fehler wegen fehlender Autorisierung erhalten, überprüfen Sie, ob Sie die Konfiguration der Mobil- und Desktopanwendungen abgeschlossen haben.

    Navigieren Sie im Microsoft Azure-Portal zur Seite App registration (App-Registrierung) Ihrer Anwendung. Gehen Sie dann zu Authentifizierung und überprüfen Sie, ob Sie die Mobil- und Desktop-Anwendungen so konfiguriert haben, dass sie http://localhost/redshift/ als Umleitung verwenden URIs.