Credenciais do Browser SSO OIDC
O Browser SSO OIDC é um plug-in de autenticação que funciona com o Centro de Identidade do AWS IAM. O plug-in realiza o registro dinâmico do cliente com o SSO OIDC, abre seu navegador padrão na URL de autorização do SSO, recebe o código de autorização por meio de um servidor de retorno de chamada local, faz a troca por um token de acesso SSO e usa esse token para obter credenciais temporárias da AWS. O plug-in usa o código de autorização com fluxo PKCE.
Para obter informações sobre como habilitar e usar o Centro de Identidade do IAM, consulte Step 1: Enable IAM Identity Center no Guia do usuário do Centro de Identidade do AWS IAM.
nota
Esse plug-in foi projetado para ambientes de área de trabalho de usuário único. Em ambientes compartilhados, como Windows Terminal Servers ou Remote Desktop Services, os administradores do sistema são responsáveis por estabelecer e manter os limites de segurança entre os usuários.
Provedor de credenciais
O provedor de credenciais que será usado para autenticar solicitações à AWS. Defina o valor desse parâmetro como BrowserSSOOIDC.
| Nome do parâmetro | Alias | Tipo de parâmetro | Valor padrão | Valor a ser usado |
|---|---|---|---|---|
| CredentialsProvider | AWSCredentialsProviderClass (obsoleto) | Obrigatório | nenhuma | BrowserSSOOIDC |
URL inicial do Identity Center do IAM
O URL do portal de acesso da AWS. A ação da API RegisterClient do Centro de Identidade do IAM usa esse valor para o parâmetro issuerUrl.
| Nome do parâmetro | Alias | Tipo de parâmetro | Valor padrão |
|---|---|---|---|
| SsoStartUrl | sso_oidc_start_url | Obrigatório | nenhuma |
Região do Identity Center do IAM
A Região da AWS onde o Identity Center do IAM é configurado. SSOOIDCClient e SSOClient usam esse valor para o parâmetro region.
| Nome do parâmetro | Alias | Tipo de parâmetro | Valor padrão |
|---|---|---|---|
| SsoOidcRegion | sso_oidc_region | Obrigatório | nenhuma |
ID da conta
O identificador da Conta da AWS que é atribuída ao usuário. A ação da API GetRoleCredentials do Centro de Identidade do IAM usa esse valor para o parâmetro accountId.
| Nome do parâmetro | Alias | Tipo de parâmetro | Valor padrão |
|---|---|---|---|
| SsoOidcAccountId | sso_oidc_account_id | Obrigatório | nenhuma |
Nome do perfil
O nome amigável do perfil atribuído ao usuário. O nome que você especifica para esse conjunto de permissões é exibido no portal de acesso da AWS como um perfil disponível. A ação da API GetRoleCredentials do Centro de Identidade do IAM usa esse valor para o parâmetro roleName.
| Nome do parâmetro | Alias | Tipo de parâmetro | Valor padrão |
|---|---|---|---|
| SsoOidcRoleName | sso_oidc_role_name | Obrigatório | nenhuma |
Escutar porta
O número da porta local a ser usada para o servidor de retorno de chamada do OAuth 2.0. É usado como URI de redirecionamento. Talvez seja necessário incluir essa porta na lista de permissões em sua rede. O URI de redirecionamento padrão gerado é http://127.0.0.1:7890/oauth/callback.
Atenção
Em ambientes compartilhados, como Windows Terminal Servers ou Remote Desktop Services, a porta de loopback (padrão: 7890) é compartilhada entre todos os usuários na mesma máquina. Os administradores do sistema podem mitigar possíveis riscos de sequestro de portas por meio de:
-
Configuração de números de porta diferentes para diferentes grupos de usuários
-
Uso de políticas de segurança do Windows para restringir o acesso às portas
-
Implementação do isolamento de rede entre as sessões do usuário
| Nome do parâmetro | Alias | Tipo de parâmetro | Valor padrão |
|---|---|---|---|
| ListenPort | listen_port | Opcional | 7890 |
Tempo limite de resposta do provedor de identidades
O período, em segundos, até o driver parar de esperar a resposta de autorização do SSO. O valor mínimo é 60 segundos.
| Nome do parâmetro | Alias | Tipo de parâmetro | Valor padrão |
|---|---|---|---|
| IdpResponseTimeout | idp_response_timeout | Opcional | 120 |
Habilitar o armazenamento em cache de tokens
Quando habilitado, permite que o mesmo token de acesso do SSO seja usado nas conexões do driver. Isso impede que ferramentas SQL que criam várias conexões de driver iniciem várias janelas do navegador.
| Nome do parâmetro | Alias | Tipo de parâmetro | Valor padrão |
|---|---|---|---|
| EnableTokenCaching | nenhuma | Opcional | FALSE |