身分驗證方法 - Amazon Redshift
使用外部憑證服務

Amazon Redshift 自 2025 年 11 月 1 日起不再支援建立新的 Python UDF。如果您想要使用 Python UDF,請在該日期之前建立 UDF。現有 Python UDF 將繼續正常運作。如需詳細資訊,請參閱部落格文章

身分驗證方法

為了防止有人未經授權就存取資料,Amazon Redshift 資料存放區會要求所有連線使用使用者憑證進行身分驗證。

下表說明可用來連線至 Amazon Redshift ODBC 驅動程式 2.x 版之每種身分驗證方法的必要和選用連線選項:

身分驗證方法 必要 選用
標準

  • 主機

  • 連線埠

  • 資料庫

  • UID

  • 密碼
IAM 設定檔

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • 描述檔

  • ClusterID (ClusterID)

  • 區域

  • AutoCreate

  • EndpointURL

  • StsEndpointURL

  • InstanceProfile

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。
IAM 登入資料

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • AccessKeyID

  • SecretAccessKey

  • ClusterID (ClusterID)

  • 區域

  • AutoCreate

  • EndpointURL

  • StsEndpointURL

  • SessionToken

  • UID

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。
AD FS

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • plugin_name

  • UID

  • 密碼

  • IdP_Host

  • IdP_Port

  • ClusterID (ClusterID)

  • 區域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • loginToRp

  • SSL_Insecure

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。
Azure AD

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • plugin_name

  • UID

  • 密碼

  • IdP_Tenant

  • Client_ID

  • Client_Secret

  • ClusterID (ClusterID)

  • 區域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。
JWT

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • plugin_name

  • web_identity_token

  • provider_name
Okta

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • plugin_name

  • UID

  • 密碼

  • IdP_Host

  • App_Name

  • App_ID

  • ClusterID (ClusterID)

  • 區域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。

Ping Federate

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • plugin_name

  • UID

  • 密碼

  • IdP_Host

  • IdP_Port

  • ClusterID (ClusterID)

  • 區域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • SSL_Insecure

  • partner_spid

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。
瀏覽器 Azure AD

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • plugin_name

  • IdP_Tenant

  • Client_ID

  • UID

  • ClusterID (ClusterID)

  • 區域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

  • IdP_Response_Timeout

  • listen_port

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。
瀏覽器 SAML

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • plugin_name

  • login_url

  • UID

  • ClusterID (ClusterID)

  • 區域

  • AutoCreate

  • EndpointUrl

  • StsEndpointUrl

  • Preferred_Role

  • dbgroups_filter

  • IdP_Response_Timeout

  • listen_port

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。
Auth Profile

  • 主機

  • 連線埠

  • 資料庫

  • AccessKeyID

  • SecretAccessKey
瀏覽器 Azure AD OAUTH2

  • 主機

  • 連線埠

  • 資料庫

  • IAM

  • plugin_name

  • IdP_Tenant

  • Client_ID

  • UID

  • ClusterID (ClusterID)

  • 區域

  • EndpointUrl

  • IdP_Response_Timeout

  • listen_port

  • scope

  • provider_name

注意

如果 ClusterIDRegion 未單獨設定,則必須在 Host 中加以設定。
AWS IAM Identity Center

  • 主機

  • 資料庫

  • plugin_name

  • idc_region

  • issuer_url

  • idc_client_display_name

  • idp_response_timeout

  • listen_port

使用外部憑證服務

除了內建支援 AD FS、Azure AD 和 Okta 外,Windows 版本的 Amazon Redshift ODBC 驅動程式也支援其他憑證服務。驅動程式可以使用您選擇的任何 SAML 型憑證提供者外掛程式來驗證連線。

若要在 Windows 上設定外部憑證服務:

  1. 建立會指定憑證提供者外掛程式和視需要指定其他身分驗證參數的 IAM 設定檔。設定檔必須採用 ASCII 編碼,且必須包含下列鍵值組,其中 PluginPath 是外掛程式應用程式的完整路徑:

    plugin_name = PluginPath

    例如:

    plugin_name = C:\Users\kjson\myapp\CredServiceApp.exe

    如需有關如何建立設定檔的資訊,請參閱《Amazon Redshift 叢集管理指南》中的使用組態設定檔

  2. 將驅動程式設定為使用此設定檔。驅動程式會偵測並使用設定檔中指定的驗證設定。