Abilitazione dell’autenticazione SSO di Redshift con AWS IAM Identity Center (Multi-Account)

In questa guida passo-passo, impareremo come configurare l’autenticazione SSO con Redshift e AWS IAM Identity Center per aumentare la sicurezza e facilitare l’accesso degli utenti.

Fonti utilizzate:

• https://aws.amazon.com/blogs/big-data/federated-authentication-to-amazon-redshift-using-aws-single-sign-on/
• https://aws.amazon.com/blogs/big-data/amazon-redshift-identity-federation-with-multi-factor-authentication/

Dizionario dei termini:

Termine	Significato
Account Identity Center	L’account in cui è configurato l’IAM Identity Center.
Account Redshift	L’account figlio dell’account Identity Center che contiene il cluster Redshift a cui vogliamo connetterci.
IDP	Identity Provider

Cos’è Redshift?

AWS Redshift è un servizio di data warehousing completamente gestito fornito da Amazon Web Services (AWS).
È progettato per gestire carichi di lavoro di analisi dei dati su larga scala e consente alle organizzazioni di analizzare grandi quantità di dati rapidamente e in modo conveniente.

Cos’è IAM Identity Center?

IAM Identity Center fornisce un unico luogo in cui è possibile creare o connettere utenti della forza lavoro e gestire centralmente il loro accesso a tutti i loro account e applicazioni AWS.
Puoi utilizzare le autorizzazioni multi-account per assegnare agli utenti della tua forza lavoro l’accesso agli account AWS.

Perché SSO?

SSO riduce il numero di superfici di attacco perché gli utenti effettuano il login solo una volta al giorno e utilizzano un solo set di credenziali.
Ridurre il login a un solo set di credenziali migliora la sicurezza dell’azienda. Quando i dipendenti devono utilizzare password separate per ogni app, di solito non lo fanno.

Prerequisiti

1. IAM Identity Center preconfigurato → Iniziare – AWS IAM Identity Center.
2. Cluster Redshift preconfigurato con accesso amministrativo.
3. Utente e password della fonte di identità (Okta, PingOne, ecc.).
4. JetBrains DataGrip installato (può essere il livello gratuito).

Passo dopo passo:

Configurare l’applicazione Identity Center

Il nostro primo passo sarà creare una nuova applicazione AWS Identity Center nell’account Identity Center da utilizzare come canale principale tra gli utenti e il cluster Redshift.

1. Nel pannello laterale di IAM Identity Center, clicca su “Applicazioni”.
   
   
2. Nell’angolo in alto a destra, clicca su “Aggiungi applicazione”.
   
3. Seleziona “aggiungi applicazione SAML 2.0 personalizzata” e clicca su “Avanti”.
   
4. Imposta un nome di visualizzazione appropriato, chiameremo la nostra applicazione “Redshift-ReadOnly”, poiché questa applicazione sarà utilizzata per ottenere l’accesso in sola lettura ai dati del cluster.
   
5. Scarica il file di metadati SAML di Identity Center, lo useremo più tardi per configurare la nostra applicazione dell’account Redshift.
   
   
6. Copia l’URL di accesso dell’applicazione URL poiché ne avremo bisogno più tardi.
   
7. Successivamente, configureremo l’ACS dell’applicazione SAML SAML application ACS (aka Assertion Consumer Service).
   In breve, ACS è la posizione in cui verrà inviata la risposta dell’applicazione SAML.
   
   Poiché utilizzeremo il driver JDBC di AWS Redshift per connetterci al nostro cluster Redshift, dovremo impostare l’ACS dell’applicazione su http://localhost:7890/redshift/ – poiché il driver JDBC avvia un server in ascolto sulla porta 7890 per impostazione predefinita.
   
8. Per limitare l’asserzione dell’applicazione SAML solo a Redshift, configureremo il campo “Audience SAML dell’applicazione” su urn:amazon:webservices:redshift.
   

Creare Identity Provider

Dopo aver creato la nostra applicazione Redshift-ReadOnly nell’account Identity Center, dobbiamo configurare un identity provider da utilizzare dall’applicazione Redshift-ReadOnly per connettersi al cluster Redshift dell’account Redshift.

1. Nel pannello laterale della Dashboard IAM del tuo account Redshift, clicca su Identity Providers.
   
2. Nell’angolo in alto a destra, clicca su “Aggiungi provider”.
   
   
3. Compila i dettagli per il nuovo IDP:
   1. Imposta il “Nome del provider” su Redshift-ReadOnly (lo stesso della nostra applicazione configurata in precedenza).
   2. Carica il file di metadati che abbiamo scaricato durante il processo di configurazione della nostra applicazione IAM Identity Center. Clicca su “Aggiungi provider” e termina.
      
4. Vai alla pagina di descrizione dell’IDP e copia l’ARN dell’IDP IDP ARN, lo useremo più tardi .
   

Creare Ruolo IAM & Policy

Ora che abbiamo creato l’Identity Provider da utilizzare dalla nostra applicazione IAM Identity Center, possiamo creare il ruolo che verrà utilizzato per connettersi al cluster Redshift stesso.

1. Nel pannello laterale della Dashboard IAM del tuo account Redshift, clicca su Ruoli.
   
2. Nell’angolo in alto a destra, clicca su “Crea Ruolo”.
   
   
3. Crea un’entità attendibile di tipo federazione SAML 2.0 e imposta quanto segue:
   1. Imposta l’IDP sul “Redshift-ReadOnly” IDP che abbiamo creato in precedenza.
   2. Seleziona il pulsante di opzione “Consenti solo accesso programmatico” e imposta:
      Attributo: “SAML:aud” → impostando quale audience può assumere questo ruolo.
      Valore: “http://localhost:7890/redshift/” → Impostando l’audience sul nostro server locale del driver JDBC di Redshift (come spiegato nella prima sezione).
      
      Clicca su “Avanti”.
      
4. Clicca su “Crea policy” e si aprirà una nuova scheda.
5. Seleziona “JSON”.
6. Nel pannello dell’editor delle policy, incolla la seguente dichiarazione di policy e modifica i seguenti valori nell’ambito “Resource” per adattarli ai tuoi: <region>, <account>, <clusterName>.
   

   				
   					{
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "redshift:CreateClusterUser",
                   "redshift:JoinGroup",
                   "redshift:GetClusterCredentials",
                   "redshift:ListSchemas",
                   "redshift:ListTables",
                   "redshift:ListDatabases",
                   "redshift:ExecuteQuery",
                   "redshift:FetchResults",
                   "redshift:CancelQuery",
                   "redshift:DescribeClusters",
                   "redshift:DescribeQuery",
                   "redshift:DescribeTable"
               ],
               "Resource": [
                   "arn:aws:redshift:<region>:<account>:cluster:<clusterName>",
                   "arn:aws:redshift:<region>:<account>:dbuser:<clusterName>/${redshift:DbUser}",
                   "arn:aws:redshift:<region>:<account>:dbname:<clusterName>/${redshift:DbName}",
                   "arn:aws:redshift:<region>:<account>:dbgroup:<clusterName>/bi_users_group",
               ]
           }
       ]
   }
   				
   			

   
   
7. Assegna il nome alla policy “Redshift-ReadOnly-policy” e clicca su “Create policy”.
   
8. Torna alla scheda di origine dove abbiamo iniziato a creare il nostro ruolo IAM
   → clicca su refresh → digita “Redshift-ReadOnly-policy” nella barra di ricerca → seleziona la policy “Redshift-ReadOnly-policy” → clicca su “Next”.
   
9. Assegna il nome al ruolo “Redshift-ReadOnly-role” e clicca su “Create role” nell’angolo in basso a destra.
   
10. Ora che abbiamo creato il ruolo IAM, vai alla sua pagina di descrizione e copia l’ ARN del ruolo, lo useremo più tardi.
    

Configura gli attributi dell’applicazione IAM Identity Center

Per configurare la nostra applicazione per funzionare con Redshift, dobbiamo configurare alcuni attributi dell’applicazione che la guideranno su “come connettersi” ad essa.

1. Nel IAM Identity Center, vai al pannello delle Applicazioni e scegli l’applicazione che abbiamo creato in precedenza.
   
   
2. Assegna utenti e gruppi a cui desideri concedere permessi per questa applicazione → Assegna l’accesso degli utenti alle applicazioni nella console IAM Identity Center – AWS IAM Identity Center (successore di AWS Single Sign-On).
   
   
3. Clicca su “attribute mappings”.
   
4. Imposta gli attributi secondo la seguente tabella e sostituisci i segnaposto <role_arn> & <idp_arn> con gli ARN che hai copiato nei passaggi precedenti:

Attributo	Valore	Spiegazione
Soggetto (attributo predefinito)	${user:email}	Il soggetto utilizzato.
https://aws.amazon.com/SAML/Attributes/RoleSessionName	${user:email}	Il nome della sessione creato contro il cluster.
https://redshift.amazon.com/SAML/Attributes/AutoCreate	true	Configura l’applicazione per creare automaticamente l’utente Redshift all’autenticazione.
https://aws.amazon.com/SAML/Attributes/Role	,	Il ruolo IAM e l’IDP da utilizzare per connettersi a Redshift.
https://redshift.amazon.com/SAML/Attributes/DbUser	${user:email}	Il nome dell’utente DB da creare.
https://redshift.amazon.com/SAML/Attributes/DbGroups	readonly	Il gruppo DB a cui assegnare il nuovo utente creato.

Clicca su “Save changes”.

Crea gruppo Redshift & Concedi permessi

In questa fase, configureremo il gruppo readonly Redshift (come definito negli attributi dell’applicazione nella fase precedente) a cui ogni utente sarà assegnato quando si connette tramite l’applicazione.

1. Connettiti al tuo cluster Redshift con un utente privilegiato (superuser).
2. Esegui il seguente script SQL per creare il gruppo readonly e assegnargli i permessi read allo schema pubblico (lo schema predefinito).
   

   				
   					create group readonly;
   grant usage on schema public to group readonly;
   grant select on all tables in schema public to group readonly;
   				
   			

Configura la fonte dati del client DataGrip

Siamo pronti e finalmente stiamo per raccogliere i nostri frutti!
In questo passaggio, configureremo una fonte dati DataGrip che sarà utilizzata come connessione tra noi e il cluster Redshift.

1. Apri DataGrip e crea una nuova fonte dati Redshift.
   
2. Si aprirà una procedura guidata per la configurazione della connessione, imposta i seguenti attributi:
   1. Nome: Redshift ReadOnly SSO.
   2. Host: il tuo endpoint del server Redshift.
   3. Utente: il tuo identificatore email (sarà utilizzato come utente DB Redshift).
   4. Password: la password che hai configurato nella tua fonte di identità (Okta, PingOne, ecc.)
   5. Database: il database a cui vuoi connetterti.
   6. URL: l’url sarà per lo più configurato a questo punto (grazie all’auto-compilazione di DataGrip), tutto ciò che resta da fare è cambiare il prefisso dell’url JDBC da jdbc:redshift:// a jdbc:redshift:iam://.
      
3. Vai alla scheda e configura questi 3 attributi:plugin_name: – già definito, quindi modificalo.idp_reponse_timeout: 60 – crea un nuovo valore.login_url: il tuo url di login dell’applicazione SAML precedentemente copiato – crea un nuovo valore. width: 547px;width: 547px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.10.07.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.10.07.pngIn the bottom of the data source configuration wizard, click “test connection”.In fondo alla procedura guidata di configurazione della fonte dati, clicca su “test connection”.width: 549px;width: 549px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.11.44.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.11.44.pngblob:https://elementor.atlassian.net/938ff2bb-46c7-4cd9-9020-aa00b134d7b5#media-blob-url=trueid=ec78f4d0-c3c0-4743-8a1d-e5568685c9e7collection=contentId-664896059contextId=664896059height=88width=549alt=blob:https://elementor.atlassian.net/938ff2bb-46c7-4cd9-9020-aa00b134d7b5#media-blob-url=trueid=ec78f4d0-c3c0-4743-8a1d-e5568685c9e7collection=contentId-664896059contextId=664896059height=88width=549alt=Once clicked, your browser will open and display the following screen:Una volta cliccato, il tuo browser si aprirà e mostrerà la seguente schermata:width: 1156px;width: 1156px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.29.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.29.pngIf everything is configured properly, you should see the following pop up in DataGrip:Se tutto è configurato correttamente, dovresti vedere il seguente popup in DataGrip:width: 467px;width: 467px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.34.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.34.pngblob:https://elementor.atlassian.net/8b152b94-3cbd-465a-a56f-6cfc8cec2c19#media-blob-url=trueid=ac42272d-34e4-46b6-9ec4-57583deb1983collection=contentId-664896059contextId=664896059height=215width=467alt=blob:https://elementor.atlassian.net/8b152b94-3cbd-465a-a56f-6cfc8cec2c19#media-blob-url=trueid=ac42272d-34e4-46b6-9ec4-57583deb1983collection=contentId-664896059contextId=664896059height=215width=467alt=Click OK.Clicca OK.That’s it! Thank you for reading :)È tutto! Grazie per aver letto 🙂
   1. plugin_name: – già definito, quindi modificalo.idp_reponse_timeout: 60 – crea un nuovo valore.login_url: il tuo url di login dell’applicazione SAML precedentemente copiato – crea un nuovo valore. width: 547px;width: 547px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.10.07.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.10.07.pngIn the bottom of the data source configuration wizard, click “test connection”.In fondo alla procedura guidata di configurazione della fonte dati, clicca su “test connection”.width: 549px;width: 549px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.11.44.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.11.44.pngblob:https://elementor.atlassian.net/938ff2bb-46c7-4cd9-9020-aa00b134d7b5#media-blob-url=trueid=ec78f4d0-c3c0-4743-8a1d-e5568685c9e7collection=contentId-664896059contextId=664896059height=88width=549alt=blob:https://elementor.atlassian.net/938ff2bb-46c7-4cd9-9020-aa00b134d7b5#media-blob-url=trueid=ec78f4d0-c3c0-4743-8a1d-e5568685c9e7collection=contentId-664896059contextId=664896059height=88width=549alt=Once clicked, your browser will open and display the following screen:Una volta cliccato, il tuo browser si aprirà e mostrerà la seguente schermata:width: 1156px;width: 1156px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.29.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.29.pngIf everything is configured properly, you should see the following pop up in DataGrip:Se tutto è configurato correttamente, dovresti vedere il seguente popup in DataGrip:width: 467px;width: 467px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.34.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.34.pngblob:https://elementor.atlassian.net/8b152b94-3cbd-465a-a56f-6cfc8cec2c19#media-blob-url=trueid=ac42272d-34e4-46b6-9ec4-57583deb1983collection=contentId-664896059contextId=664896059height=215width=467alt=blob:https://elementor.atlassian.net/8b152b94-3cbd-465a-a56f-6cfc8cec2c19#media-blob-url=trueid=ac42272d-34e4-46b6-9ec4-57583deb1983collection=contentId-664896059contextId=664896059height=215width=467alt=Click OK.Clicca OK.That’s it! Thank you for reading :)È tutto! Grazie per aver letto 🙂
   2. idp_reponse_timeout: 60 – crea un nuovo valore.
   3. login_url: il tuo url di login dell’applicazione SAML precedentemente copiato – crea un nuovo valore. width: 547px;width: 547px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.10.07.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.10.07.pngIn the bottom of the data source configuration wizard, click “test connection”.In fondo alla procedura guidata di configurazione della fonte dati, clicca su “test connection”.width: 549px;width: 549px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.11.44.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.11.44.pngblob:https://elementor.atlassian.net/938ff2bb-46c7-4cd9-9020-aa00b134d7b5#media-blob-url=trueid=ec78f4d0-c3c0-4743-8a1d-e5568685c9e7collection=contentId-664896059contextId=664896059height=88width=549alt=blob:https://elementor.atlassian.net/938ff2bb-46c7-4cd9-9020-aa00b134d7b5#media-blob-url=trueid=ec78f4d0-c3c0-4743-8a1d-e5568685c9e7collection=contentId-664896059contextId=664896059height=88width=549alt=Once clicked, your browser will open and display the following screen:Una volta cliccato, il tuo browser si aprirà e mostrerà la seguente schermata:width: 1156px;width: 1156px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.29.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.29.pngIf everything is configured properly, you should see the following pop up in DataGrip:Se tutto è configurato correttamente, dovresti vedere il seguente popup in DataGrip:width: 467px;width: 467px;https://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.34.pnghttps://elementor.com/blog/wp-content/uploads/2023/08/Screenshot-2566-07-02-at-18.14.34.pngblob:https://elementor.atlassian.net/8b152b94-3cbd-465a-a56f-6cfc8cec2c19#media-blob-url=trueid=ac42272d-34e4-46b6-9ec4-57583deb1983collection=contentId-664896059contextId=664896059height=215width=467alt=blob:https://elementor.atlassian.net/8b152b94-3cbd-465a-a56f-6cfc8cec2c19#media-blob-url=trueid=ac42272d-34e4-46b6-9ec4-57583deb1983collection=contentId-664896059contextId=664896059height=215width=467alt=Click OK.Clicca OK.That’s it! Thank you for reading :)È tutto! Grazie per aver letto 🙂
      
4. In fondo alla procedura guidata di configurazione della fonte dati, clicca su “test connection”.
   
   Una volta cliccato, il tuo browser si aprirà e mostrerà la seguente schermata:
   
   Se tutto è configurato correttamente, dovresti vedere il seguente popup in DataGrip:
   
   Clicca OK.
   
   È tutto! Grazie per aver letto 🙂