CREATE IDENTITY PROVIDER - Amazon Redshift
SintassiParametriEsempio

Amazon Redshift non supporterà più la creazione di nuove UDF Python a partire dal 1º novembre 2025. Se desideri utilizzare le UDF Python, creale prima di tale data. Le UDF Python esistenti continueranno a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

CREATE IDENTITY PROVIDER

Definisce un nuovo provider di identità. Solo un utente con privilegi avanzati può modificare un provider di identità.

Sintassi

CREATE IDENTITY PROVIDER identity_provider_name TYPE type_name
NAMESPACE namespace_name
[PARAMETERS parameter_string]
[APPLICATION_ARN arn]
[IAM_ROLE iam_role]
[AUTO_CREATE_ROLES
    [ TRUE [ { INCLUDE | EXCLUDE } GROUPS LIKE filter_pattern] |
      FALSE
    ]
  ];

Parametri

identity_provider_name

Il nome del nuovo provider di identità. Per ulteriori informazioni sui nomi validi, consultare Nomi e identificatori.

type_name

Il provider di identità con cui interfacciarsi. Attualmente Azure e AWSIDC sono gli unici provider di identità supportati.

namespace_name

Lo spazio dei nomi. Si tratta di un identificatore univoco e in formato abbreviato per la directory del provider di identità.

parameter_string

Stringa contenente un oggetto JSON formattato correttamente che contiene i parametri e i valori richiesti per il provider di identità.

arn

Il nome della risorsa Amazon (ARN) per un’applicazione gestita da Centro identità IAM. Questo parametro è applicabile solo quando il tipo di provider di identità è AWSIDC.

iam_role

Il ruolo IAM che fornisce le autorizzazioni per effettuare la connessione a Centro identità IAM. Questo parametro è applicabile solo quando il tipo di provider di identità è AWSIDC.

auto_create_roles

Attiva o disattiva la funzionalità di creazione automatica del ruolo. Se il valore è TRUE, Amazon Redshift abilita la funzionalità di creazione automatica del ruolo. Se il valore è FALSE, Amazon Redshift disabilita la funzionalità di creazione automatica del ruolo. Se il valore di questo parametro non è specificato, Amazon Redshift determina il valore utilizzando la seguente logica:

  • Se AUTO_CREATE_ROLES viene fornito ma il valore non è specificato, il valore viene impostato su TRUE.

  • Se AUTO_CREATE_ROLES non viene fornito e il provider di identità è AWSIDC, il valore viene impostato su FALSE.

  • Se AUTO_CREATE_ROLES non viene fornito e il provider di identità è Azure, il valore viene impostato su TRUE.

Per includere i gruppi, specifica INCLUDE. L’impostazione predefinita è vuota, il che significa che devi includere tutti i gruppi se AUTO_CREATE_ROLES è attivo.

Per escludere i gruppi, specifica EXCLUDE. L’impostazione predefinita è vuota, il che significa che non devi escludere alcun gruppo se AUTO_CREATE_ROLES è attivo.

filter_pattern

Un’espressione di caratteri UTF-8 valida con il modello da associare ai nomi dei gruppi. L'opzione LIKE esegue una corrispondenza con distinzione tra maiuscole e minuscole e supporta i seguenti metacaratteri che corrispondono ai modelli:

Metacaratteri Descrizione
% Abbina qualsiasi sequenza di zero o più caratteri.
_ Abbina qualsiasi carattere singolo.

Se il filter_pattern non contiene metacaratteri, allora il modello rappresenta solo la stringa stessa; in questo caso LIKE agisce come l'operatore di uguaglianza.

filter_pattern supporta i seguenti caratteri:

  • Caratteri alfabetici maiuscoli e minuscoli (A-Z e a-z)

  • Numeri (0-9)

  • I seguenti caratteri speciali: 

    _ % ^ * + ? { } , $

Esempi

Nell'esempio seguente viene creato un provider di identità denominato oauth_standard, con TYPE azure, per stabilire una comunicazione con Microsoft Azure Active Directory (AD).

CREATE IDENTITY PROVIDER oauth_standard TYPE azure
NAMESPACE 'aad'
PARAMETERS '{"issuer":"https://sts.windows.net/2sdfdsf-d475-420d-b5ac-667adad7c702/",
"client_id":"87f4aa26-78b7-410e-bf29-57b39929ef9a",
"client_secret":"BUAH~ewrqewrqwerUUY^%tHe1oNZShoiU7",
"audience":["https://analysis.windows.net/powerbi/connector/AmazonRedshift"]
}'

Puoi connettere un’applicazione gestita da Centro identità IAM a un cluster con provisioning o un gruppo di lavoro Amazon Redshift serverless esistente. In questo modo hai la possibilità di gestire l’accesso a un database Redshift tramite Centro identità IAM. A tale scopo esegui un comando SQL come l’esempio seguente. L’utente deve essere un Database Administrator.

CREATE IDENTITY PROVIDER "redshift-idc-app" TYPE AWSIDC
NAMESPACE 'awsidc'
APPLICATION_ARN 'arn:aws:sso::123456789012:application/ssoins-12345f67fe123d4/apl-a0b0a12dc123b1a4'
IAM_ROLE 'arn:aws:iam::123456789012:role/MyRedshiftRole';

L’ARN dell’applicazione in questo caso identifica l’applicazione gestita a cui connettersi. Per trovarlo, esegui SELECT * FROM SVV_IDENTITY_PROVIDERS;.

Per ulteriori informazioni sull'utilizzo di CREATE IDENTITY PROVIDER, inclusi esempi aggiuntivi, consulta la Native identity provider (IdP) federation for Amazon Redshift (Federazione di gestori dell'identità digitale nativi (IdP) per Amazon Redshift). Per ulteriori informazioni sulla configurazione di una connessione a Centro identità IAM di Redshift, consulta Connessione di Redshift a Centro identità IAM per offrire agli utenti un’esperienza di single sign-on.