瀏覽器 SSO OIDC
瀏覽器 SSO OIDC 是身分驗證外掛程式,可與 AWS IAM Identity Center 搭配使用。如需有關啟用和使用 IAM Identity Center 的資訊,請參閱《AWS IAM Identity Center 使用者指南》中的步驟 1:啟用 IAM Identity Center
身分驗證類型
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| AuthenticationType | 必要 | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
IAM Identity Center 啟動 URL
AWS 存取入口網站的 URL。IAM Identity Center StartDeviceAuthorization API 動作會將此值用於 startUrl 參數。
若要複製 AWS 存取入口網站 URL
登入 AWS 管理主控台,並在 https://console.aws.amazon.com/singlesignon/
開啟 AWS IAM Identity Center 主控台。 -
在導覽窗格中,選擇設定。
-
在設定頁面的身分來源下,選擇 AWS 存取入口網站 URL 的剪貼簿圖示。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_start_url | 必要 | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
IAM Identity Center 區域
設定 SSO 的 AWS 區域。SSOOIDCClient 和 SSOClient AWS SDK 用戶端會使用此值做為 region 參數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_region | 必要 | none |
sso_oidc_region=us-east-1; |
範圍
用戶端所定義的範圍清單。授權後,此清單會在授予存取字符時限制許可。IAM Identity Center RegisterClient API 動作會將此值用於 scopes 參數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_scopes | 選用 | none |
sso_oidc_scopes=scope1,scope2,scope3; |
帳戶 ID
指派給使用者的 AWS 帳戶 的識別碼。IAM Identity Center GetRoleCredentials API 使用此值做為 accountId 參數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_account_id | 必要 | none |
sso_oidc_account_id=123456789123; |
角色名稱
指派給使用者的角色的易記名稱。您為此許可集指定的名稱將做為可用角色顯示在 AWS 存取入口網站中。IAM Identity Center GetRoleCredentials API 使用此值做為 roleName 參數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_role_name | 必要 | none |
sso_oidc_role_name=AthenaReadAccess; |
逾時
輪詢 SSO API 應檢查存取字符的秒數。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_timeout | 選用 | 120 |
sso_oidc_timeout=60; |
啟用檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取,及重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,開啟瀏覽器視窗的數目。
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
|---|---|---|---|
| sso_oidc_cache | 選用 | 1 |
sso_oidc_cache=0; |
