View a markdown version of this page

Credenciales de SSO OIDC del navegador - Amazon Athena

Credenciales de SSO OIDC del navegador

Browser SSO OIDC es un complemento de autenticación que funciona con AWS IAM Identity Center. El complemento realiza el registro dinámico de clientes con SSO OIDC, abre el navegador predeterminado en la URL de autorización de SSO, recibe el código de autorización a través de un servidor de devolución de llamada local, lo cambia por un token de acceso de SSO y utiliza ese token para obtener credenciales temporales de AWS. El complemento utiliza el flujo de código de autorización con PKCE.

Para obtener información sobre cómo habilitar y usar IAM Identity Center, consulte Paso 1: habilitar IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

nota

Este complemento está diseñado para entornos de escritorio de un solo usuario. En entornos compartidos como Windows Terminal Servers o Remote Desktop Services, los administradores del sistema son responsables de establecer y mantener límites de seguridad entre los usuarios.

Proveedor de credenciales

El proveedor de credenciales que se utilizará para autenticar las solicitudes de AWS. Establezca el valor del parámetro en BrowserSSOOIDC.

Nombre del parámetro Alias Tipo de parámetro Predeterminado Valor para usar
CredentialsProvider AWSCredentialsProviderClass (obsoleto) Obligatorio none BrowserSSOOIDC

URL de inicio de IAM Identity Center

La URL del portal de acceso de AWS. La acción de la API RegisterClient de IAM Identity Center utiliza este valor para el parámetro issuerUrl.

Nombre del parámetro Alias Tipo de parámetro Predeterminado
SsoStartUrl sso_oidc_start_url Obligatorio none

Región de IAM Identity Center

La Región de AWS donde está configurado IAM Identity Center. El SSOOIDCClient y el SSOClient utilizan este valor para el parámetro region.

Nombre del parámetro Alias Tipo de parámetro Predeterminado
SsoOidcRegion sso_oidc_region Obligatorio none

ID de cuenta

El identificador de la Cuenta de AWS que se asigna al usuario. La acción de la API GetRoleCredentials de IAM Identity Center utiliza este valor para el parámetro accountId.

Nombre del parámetro Alias Tipo de parámetro Predeterminado
SsoOidcAccountId sso_oidc_account_id Obligatorio none

Nombre de rol

El nombre descriptivo del rol que se asigna al usuario. El nombre que especifique para este conjunto de permisos aparece en el portal de acceso de AWS como un rol disponible. La acción de la API GetRoleCredentials de IAM Identity Center utiliza este valor para el parámetro roleName.

Nombre del parámetro Alias Tipo de parámetro Predeterminado
SsoOidcRoleName sso_oidc_role_name Obligatorio none

Puerto de escucha

El número de puerto local que se utilizará para el servidor de devolución de llamadas de OAuth 2.0. Se usa como URI de redireccionamiento. Es posible que tenga que incluir este puerto en la lista de permitidos de su red. El URI de redireccionamiento generado por defecto es http://127.0.0.1:7890/oauth/callback.

aviso

En entornos compartidos, como servidores de terminales Windows o servicios de escritorio remoto, el puerto de bucle invertido (valor predeterminado: 7890) se comparte entre todos los usuarios de la misma máquina. Los administradores de sistemas pueden mitigar los posibles riesgos de secuestro de puertos de la siguiente manera:

  • Configuración de diferentes números de puerto para diferentes grupos de usuarios

  • Uso de las políticas de seguridad de Windows para restringir el acceso a los puertos

  • Implementación del aislamiento de la red entre las sesiones de usuario

Nombre del parámetro Alias Tipo de parámetro Predeterminado
ListenPort listen_port Opcional 7890

Tiempo de respuesta del proveedor de identidad

La duración, en segundos, antes de que el controlador deje de esperar la respuesta de autorización de SSO. El valor mínimo es de 60 segundos.

Nombre del parámetro Alias Tipo de parámetro Predeterminado
IdpResponseTimeout Idp_response_timeout Opcional 120

Activar el almacenamiento en caché de tokens

Cuando está activado, permite que el mismo token de acceso de SSO se utilice en las conexiones del controlador. Esto impide que las herramientas de SQL que crean múltiples conexiones de controladores abran varias ventanas del navegador.

Nombre del parámetro Alias Tipo de parámetro Predeterminado
EnableTokenCaching none Opcional FALSO