View a markdown version of this page

Credenciais do Browser SSO OIDC - Amazon Athena

Credenciais do Browser SSO OIDC

O Browser SSO OIDC é um plug-in de autenticação que funciona com o Centro de Identidade do AWS IAM. O plug-in realiza o registro dinâmico do cliente com o SSO OIDC, abre seu navegador padrão na URL de autorização do SSO, recebe o código de autorização por meio de um servidor de retorno de chamada local, faz a troca por um token de acesso SSO e usa esse token para obter credenciais temporárias da AWS. O plug-in usa o código de autorização com fluxo PKCE.

Para obter informações sobre como habilitar e usar o Centro de Identidade do IAM, consulte Step 1: Enable IAM Identity Center no Guia do usuário do Centro de Identidade do AWS IAM.

nota

Esse plug-in foi projetado para ambientes de área de trabalho de usuário único. Em ambientes compartilhados, como Windows Terminal Servers ou Remote Desktop Services, os administradores do sistema são responsáveis por estabelecer e manter os limites de segurança entre os usuários.

Provedor de credenciais

O provedor de credenciais que será usado para autenticar solicitações à AWS. Defina o valor desse parâmetro como BrowserSSOOIDC.

Nome do parâmetro Alias Tipo de parâmetro Valor padrão Valor a ser usado
CredentialsProvider AWSCredentialsProviderClass (obsoleto) Obrigatório nenhuma BrowserSSOOIDC

URL inicial do Identity Center do IAM

O URL do portal de acesso da AWS. A ação da API RegisterClient do Centro de Identidade do IAM usa esse valor para o parâmetro issuerUrl.

Nome do parâmetro Alias Tipo de parâmetro Valor padrão
SsoStartUrl sso_oidc_start_url Obrigatório nenhuma

Região do Identity Center do IAM

A Região da AWS onde o Identity Center do IAM é configurado. SSOOIDCClient e SSOClient usam esse valor para o parâmetro region.

Nome do parâmetro Alias Tipo de parâmetro Valor padrão
SsoOidcRegion sso_oidc_region Obrigatório nenhuma

ID da conta

O identificador da Conta da AWS que é atribuída ao usuário. A ação da API GetRoleCredentials do Centro de Identidade do IAM usa esse valor para o parâmetro accountId.

Nome do parâmetro Alias Tipo de parâmetro Valor padrão
SsoOidcAccountId sso_oidc_account_id Obrigatório nenhuma

Nome do perfil

O nome amigável do perfil atribuído ao usuário. O nome que você especifica para esse conjunto de permissões é exibido no portal de acesso da AWS como um perfil disponível. A ação da API GetRoleCredentials do Centro de Identidade do IAM usa esse valor para o parâmetro roleName.

Nome do parâmetro Alias Tipo de parâmetro Valor padrão
SsoOidcRoleName sso_oidc_role_name Obrigatório nenhuma

Escutar porta

O número da porta local a ser usada para o servidor de retorno de chamada do OAuth 2.0. É usado como URI de redirecionamento. Talvez seja necessário incluir essa porta na lista de permissões em sua rede. O URI de redirecionamento padrão gerado é http://127.0.0.1:7890/oauth/callback.

Atenção

Em ambientes compartilhados, como Windows Terminal Servers ou Remote Desktop Services, a porta de loopback (padrão: 7890) é compartilhada entre todos os usuários na mesma máquina. Os administradores do sistema podem mitigar possíveis riscos de sequestro de portas por meio de:

  • Configuração de números de porta diferentes para diferentes grupos de usuários

  • Uso de políticas de segurança do Windows para restringir o acesso às portas

  • Implementação do isolamento de rede entre as sessões do usuário

Nome do parâmetro Alias Tipo de parâmetro Valor padrão
ListenPort listen_port Opcional 7890

Tempo limite de resposta do provedor de identidades

O período, em segundos, até o driver parar de esperar a resposta de autorização do SSO. O valor mínimo é 60 segundos.

Nome do parâmetro Alias Tipo de parâmetro Valor padrão
IdpResponseTimeout idp_response_timeout Opcional 120

Habilitar o armazenamento em cache de tokens

Quando habilitado, permite que o mesmo token de acesso do SSO seja usado nas conexões do driver. Isso impede que ferramentas SQL que criam várias conexões de driver iniciem várias janelas do navegador.

Nome do parâmetro Alias Tipo de parâmetro Valor padrão
EnableTokenCaching nenhuma Opcional FALSE