Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Browser basato su integrazione con Identity Center
<a name="jdbc-v3-driver-browser-oidc-tip-credentials"></a>

Questo tipo di autenticazione consente di recuperare un nuovo token web JSON (JWT) da un provider di identità esterno e di autenticarsi con Athena. È possibile utilizzare questo plug-in per abilitare il supporto per le identità aziendali tramite la propagazione attendibile delle identità. Per ulteriori informazioni su come utilizzare la propagazione attendibile delle identità con Athena, consultare [Usare la propagazione attendibile delle identità tramite i driver Amazon Athena](using-trusted-identity-propagation.md). È inoltre possibile [configurare](using-trusted-identity-propagation-cloudformation.md) e distribuire risorse utilizzando. CloudFormation

Con la propagazione affidabile delle identità, il contesto dell'identità viene aggiunto a un ruolo IAM per identificare l'utente che richiede l'accesso alle risorse. AWS Per informazioni sull’attivazione e l’utilizzo della propagazione attendibile delle identità, consultare [What is trusted identity propagation?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html).

**Nota**  
Il plug-in è progettato specificamente per ambienti desktop a utente singolo. In ambienti condivisi come Windows Server, gli amministratori di sistema sono responsabili della definizione e del mantenimento dei limiti di sicurezza tra gli utenti.

## Provider di credenziali
<a name="jdbc-v3-driver-browser-oidc-tip-credentials-provider"></a>

Il provider di credenziali che sarà utilizzato per autenticare le richieste a AWS. Imposta il valore di questo parametro su `BrowserOidcTip`.


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | Valore da utilizzare | 
| --- | --- | --- | --- | --- | 
| CredentialsProvider | AWSCredentialsProviderClass (obsoleto) | Richiesto | nessuno | BrowserOidcTip | 

## URL di configurazione Idp ben noto
<a name="jdbc-v3-driver-browser-oidc-tip-idp-well-known-config"></a>

L'IDP Well Known Configuration URL è l'endpoint che fornisce i dettagli di configurazione di OpenID Connect per il tuo provider di identità. Questo URL in genere termina `.well-known/openid-configuration` e contiene metadati essenziali sugli endpoint di autenticazione, sulle funzionalità supportate e sulle chiavi di firma dei token. Ad esempio, se utilizzi *Okta*, l'URL potrebbe essere simile a. `https://your-domain.okta.com/.well-known/openid-configuration`

Per la risoluzione dei problemi: se ricevi errori di connessione, verifica che questo URL sia accessibile dalla tua rete e restituisca una configurazione JSON di configurazione *OpenID Connect* valida. L'URL deve essere raggiungibile dal client su cui è installato il driver e deve essere fornito dall'amministratore del provider di identità.


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| IdpWellKnownConfigurationUrl | nessuno | Richiesto | nessuno | 

## Identificatore del client
<a name="jdbc-v3-driver-browser-oidc-tip-client-id"></a>

L'identificatore del client rilasciato all'applicazione dal provider OpenID Connect.


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| OidcClientId | nessuno | Richiesto | nessuno | 

## WorkgroupArn
<a name="jdbc-v3-driver-browser-oidc-tip-workgroup-arn"></a>

L'Amazon Resource Name (ARN) del gruppo di lavoro Amazon Athena che contiene i tag di configurazione di propagazione delle identità affidabili. Per ulteriori informazioni sui gruppi di lavoro, consulta [WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html). 

**Nota**  
Questo parametro è diverso dal `Workgroup` parametro che specifica dove verranno eseguite le query. È necessario impostare entrambi i parametri:  
`WorkgroupArn`- Indica il gruppo di lavoro contenente i tag di configurazione affidabili per la propagazione dell'identità
`Workgroup`- Speciifica il gruppo di lavoro in cui verranno eseguite le query
Sebbene in genere facciano riferimento allo stesso gruppo di lavoro, entrambi i parametri devono essere impostati in modo esplicito per il corretto funzionamento.


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| WorkGroupArn | nessuno | Richiesto | principale | 

## ARN del ruolo dell’applicazione JWT
<a name="jdbc-v3-driver-browser-oidc-tip-application-role-arn"></a>

L'ARN del ruolo che verrà assunto nella borsa JWT. Questo ruolo viene utilizzato per JWT Exchange, per ottenere l’ARN dell’applicazione gestita dal cliente IAM Identity Center tramite i tag del gruppo di lavoro e per ottenere l’ARN del ruolo di accesso. Per ulteriori informazioni sull'assunzione di ruoli, vedere. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| ApplicationRoleArn | nessuno | Richiesto | nessuno | 

## Nome della sessione del ruolo JWT
<a name="jdbc-v3-driver-browser-oidc-tip-role-session-name"></a>

Un nome per la sessione IAM. In genere, si passa il nome o l’identificatore associato all’utente che sta utilizzando l’applicazione. Le credenziali di sicurezza temporanee utilizzate dall’applicazione sono associate a tale utente. 


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| JwtRoleSessionName | role\_session\_name (obsoleto) | Richiesto | nessuno | 

## Client secret
<a name="jdbc-v3-driver-browser-oidc-tip-client-secret"></a>

ClientSecret è una chiave riservata emessa dal tuo provider di identità che viene utilizzata per autenticare l'applicazione (client). Sebbene questo parametro sia facoltativo e possa non essere richiesto per tutti i flussi di autenticazione, fornisce un ulteriore livello di sicurezza quando viene utilizzato. Se la configurazione IDP richiede un segreto client, è necessario includere questo parametro con il valore fornito dall'amministratore del provider di identità.


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| OidcClientSecret | nessuno | Facoltativo | nessuno | 

## Scope
<a name="jdbc-v3-driver-browser-oidc-tip-scope"></a>

L'ambito specifica il livello di accesso richiesto dall'applicazione al provider di identità. È necessario includere `openid` nell'ambito per ricevere un token ID contenente le affermazioni essenziali sull'identità dell'utente. L'ambito potrebbe dover includere autorizzazioni aggiuntive come `email` o`profile`, a seconda dell'utente che dichiara che il provider di identità (ad esempio *Microsoft Entra ID*) è configurato per l'inclusione nel token ID. Queste attestazioni sono essenziali per una corretta mappatura della *Trusted Identity Propagation.* Se la mappatura dell'identità degli utenti fallisce, verifica che l'ambito includa tutte le autorizzazioni necessarie e che il provider di identità sia configurato per includere le attestazioni richieste nel token ID. Queste attestazioni devono corrispondere alla configurazione di mappatura *Trusted Token Issuer* in IAM Identity Center. 


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| Scope | nessuno | Facoltativo | email openid offline\_access | 

## Durata della sessione del ruolo
<a name="jdbc-v3-driver-browser-oidc-tip-role-session-duration"></a>

La durata, in secondi, della sessione dei ruoli. Per ulteriori informazioni, consulta [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html).


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| RoleSessionDuration | Duration (obsoleto) | Facoltativo | 3600 | 

## ARN del ruolo di accesso JWT
<a name="jdbc-v3-driver-browser-oidc-tip-access-role-arn"></a>

L'ARN del ruolo che Athena assume per effettuare chiamate per conto dell'utente. *Per ulteriori informazioni sull'assunzione di ruoli, consulta l'API Reference [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html).AWS Security Token Service * 


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| AccessRoleArn | nessuno | Facoltativo | nessuno | 

## ARN dell’applicazione gestita dal cliente IAM Identity Center
<a name="jdbc-v3-driver-browser-oidc-tip-customer-idc-application-arn"></a>

L’ARN dell’applicazione gestita dal cliente IAM Identity Center. Per ulteriori informazioni, consulta [Applicazioni gestite dal cliente](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html).


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| CustomerIdcApplicationArn | nessuno | Facoltativo | nessuno | 

## Numero di porta del provider di identità
<a name="jdbc-v3-driver-browser-oidc-tip-idp-port-number"></a>

Il numero di porta locale da utilizzare per il server di callback OAuth 2.0. Viene utilizzato come redirect\_uri e dovrai consentirlo nella tua applicazione IDP. Il redirect\_uri generato di default è: http://localhost:7890/athena

**avvertimento**  
In ambienti condivisi come Windows Terminal Server o Remote Desktop Services, la porta di loopback (impostazione predefinita: 7890) è condivisa tra tutti gli utenti sullo stesso computer. Gli amministratori di sistema possono mitigare i potenziali rischi di dirottamento delle porte mediante:  
Configurazione di numeri di porta diversi per gruppi di utenti diversi
Utilizzo delle politiche di sicurezza di Windows per limitare l'accesso alle porte
Implementazione dell'isolamento della rete tra le sessioni utente
Se questi controlli di sicurezza non possono essere implementati, consigliamo di utilizzare invece il plugin [JWT Trusted Identity Propagation](jdbc-v3-driver-jwt-tip-credentials.md), che non richiede una porta di loopback.


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| IdpPortNumber | nessuno | Facoltativo | 7890 | 

## Timeout di risposta del gestore dell'identità
<a name="jdbc-v3-driver-browser-oidc-tip-idp-response-timeout"></a>

Il timeout in secondi per attendere la risposta di callback OAuth 2.0.


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| IdpResponseTimeout | nessuno | Facoltativo | 120 | 

## Abilitare il caching dei token
<a name="jdbc-v3-driver-browser-oidc-tip-enable-token-caching"></a>

Il EnableTokenCaching parametro determina se il driver memorizza nella cache il token di autenticazione tra le connessioni. L'impostazione EnableTokenCaching su true riduce le richieste di autenticazione e migliora l'esperienza utente, ma deve essere utilizzata con cautela. Questa impostazione è più adatta per ambienti desktop con utente singolo. In ambienti condivisi come Windows Server, si consiglia di mantenerla disattivata per evitare la potenziale condivisione di token tra utenti con stringhe di connessione simili. 

Per le distribuzioni aziendali che utilizzano strumenti come Tableau Server, consigliamo di utilizzare il plug-in [JWT Trusted Identity Propagation](jdbc-v3-driver-jwt-tip-credentials.md) anziché questo metodo di autenticazione. 


****  

| Nome del parametro | Alias | Tipo parametro | Valore predefinito | 
| --- | --- | --- | --- | 
| EnableTokenCaching | nessuno | Facoltativo | FALSE |