SAS Xpt Verbindungsdetails

Einführung

Connector-Version

Diese Dokumentation basiert auf Version 23.0.9039 des Connectors.

Erste Schritte

SAS Xpt-Versionsunterstützung

Der Connector unterstützt Verbindungen zu v5 SAS Transport Files (.xpt), indem er Daten direkt aus XPT-Dateien analysiert. Der Connector nutzt die SAS Xpt API, um bidirektionalen Zugriff auf SAS Xpt zu ermöglichen.

Herstellen einer Verbindung

Der SAS Xpt Connector ermöglicht die Verbindung zu lokalen und Remote-SAS Xpt Ressourcen. Setzen Sie den URI-Eigenschaft zum SASXpt-Ressourcenstandort, zusätzlich zu allen anderen Eigenschaften, die für die Verbindung mit Ihrer Datenquelle erforderlich sind.

Mit lokalen Dateien verbinden

Setzen Sie die ConnectionType Zu Local. Lokale Dateien unterstützen SELECT.

Setzen Sie die URI in einen Ordner, der SASXpt-Dateien enthält: C:\folder1.

Herstellen einer Verbindung zu in der Cloud gehosteten SAS Xpt Dateien

Während der Connector Daten aus SAS Xpt-Dateien abrufen kann, die in einer Vielzahl von Cloud-Datenspeichern gehostet werden, können INSERT, UPDATE und DELETE are not supported außerhalb lokaler Dateien in diesem Connector.

Wenn Sie Cloud-Dateien zum Einfügen/Aktualisieren/Löschen benötigen, können Sie den entsprechenden Connector für diesen Cloud-Host herunterladen (unterstützt durch gespeicherte Prozeduren), Änderungen mit dem entsprechenden Connector der lokalen Datei vornehmen und die Datei dann mit den gespeicherten Prozeduren der Cloud-Quelle hochladen.

Wenn Sie beispielsweise eine auf SharePoint gespeicherte Datei aktualisieren möchten, können Sie die SAS Xpt Datei mit dem DownloadDocument-Verfahren des SharePoint-Connectors herunterladen, die lokale SAS Xpt Datei mit dem SAS Xpt-Connector aktualisieren und anschließend die geänderte Datei mit dem UploadDocument-Verfahren des SharePoint-Connectors auf SharePoint hochladen.

A unique prefix am Anfang des URI Die Verbindungseigenschaft wird verwendet, um den Cloud-Datenspeicher zu identifizieren, auf den der Connector abzielt. Der Rest des Pfads ist ein relativer Pfad zum gewünschten Ordner (eine Tabelle pro Datei) oder zur einzelnen Datei (eine einzelne Tabelle).

Amazon S3

Legen Sie Folgendes fest, um Ihre auf Amazon S3 gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie die ConnectionType Zu Amazon S3.
• URI: Legen Sie dies für den Bucket und den Ordner fest: s3://bucket1/folder1.

Siehe Herstellen einer Verbindung zu Amazon S3 für weitere Informationen zur Verbindung und Authentifizierung bei auf Amazon S3 gehosteten SASXpt-Dateien.

Azure Blob-Speicher

Legen Sie Folgendes fest, um Ihre in Azure Blob Storage gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf Azure Blob Storage.
• URI: Legen Sie hier den Namen Ihres Containers und den Namen des Blobs fest. Beispiel: azureblob://mycontainer/myblob.

Siehe Herstellen einer Verbindung mit Azure Blob Storage für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei SASXpt-Dateien, die auf Amazon Blob Storage gehostet werden.

Azure Data Lake Storage

Legen Sie Folgendes fest, um Ihre in Azure Data Lake Storage gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf Azure Data Lake Storage Gen1, Azure Data Lake Storage Gen2, oder Azure Data Lake Storage Gen2 SSL.
• URI: Legen Sie hier den Namen des Dateisystems und den Namen des Ordners fest, der Ihre SAS Xpt Dateien enthält. Beispiel:
  • 1. Generation: adl://myfilesystem/folder1
  • 1. Generation: abfs://myfilesystem/folder1
  • Gen 2 SSL: abfss://myfilesystem/folder1

Siehe Herstellen einer Verbindung mit Azure Data Lake Storage für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei SASXpt-Dateien, die auf Azure Data Lake Storage gehostet werden.

Azure Dateispeicher

Legen Sie zum Verbinden die folgenden Eigenschaften fest:

• ConnectionType: Setzen Sie dies auf Azure Files.
• URI: Legen Sie hier den Namen Ihrer Azure-Dateifreigabe und den Namen der Ressource fest. Beispiel: azurefile://fileShare/remotePath.
• AzureStorageAccount (Erforderlich): Legen Sie dies auf das mit der Azure-Datei verknüpfte Konto fest.

Sie können entweder einen Azure Zugriffsschlüssel oder eine Azure Shared Access Signature authentifizieren. Set one von Folgendem:

• AzureAccessKey: Legen Sie dies auf den Zugriffsschlüssel fest, der mit der Azure-Datei verknüpft ist.
• AzureSharedAccessSignature: Legen Sie dies auf die mit der Azure-Datei verknüpfte gemeinsame Zugriffssignatur fest.

Box

Legen Sie Folgendes fest, um Ihre auf Box gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf Box.
• URI: Legen Sie hier den Namen des Dateisystems und den Namen des Ordners fest, der Ihre SAS Xpt Dateien enthält. Beispiel: box://folder1.

Siehe Mit Box verbinden für weitere Informationen zur Verbindung und Authentifizierung bei auf Box gehosteten SASXpt-Dateien.

Dropbox

Legen Sie Folgendes fest, um Ihre auf Dropbox gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf Dropbox.
• URI: Legen Sie hier den Pfad zu einem Ordner fest, der SASXpt-Dateien enthält. Beispiel: dropbox://folder1.

Siehe Mit Dropbox verbinden für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei auf Dropbox gehosteten SASXpt-Dateien.

FTP

Der Connector unterstützt sowohl Klartext- als auch SSL/TLS-Verbindungen zu FTP Servern.

Legen Sie zum Herstellen der Verbindung die folgenden Verbindungseigenschaften fest:

• ConnectionType: Setzen Sie dies entweder auf FTP oder FTPS.
• URI: Setzen Sie hier die Adresse des Servers, gefolgt vom Pfad zum Ordner, der als Stammordner verwendet werden soll. Beispiel: ftp://localhost:990/folder1 oder ftps://localhost:990/folder1.
• User: Legen Sie hier Ihren Benutzernamen auf dem FTP(S)-Server fest, mit dem Sie sich verbinden möchten.
• Password: Legen Sie hier Ihr Passwort für den FTP(S)-Server fest, mit dem Sie sich verbinden möchten.

Google Cloud Storage

Legen Sie Folgendes fest, um Ihre in Google Cloud Storage gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf Google Cloud Storage.
• URI: Legen Sie hier den Pfad zum Namen des Dateisystems und den Namen des Ordners fest, der Ihre SAS Xpt Dateien enthält. Beispiel: gs://bucket/remotePath.

Siehe Herstellen einer Verbindung mit Google Cloud Storage für weitere Informationen zur Verbindung und Authentifizierung bei SASXpt-Dateien, die auf Google Cloud Storage gehostet werden.

Google Drive

Legen Sie Folgendes fest, um Ihre auf Google Drive gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf Google Drive.
• URI: Legen Sie den Pfad zum Namen des Dateisystems und den Namen des Ordners fest, der Ihre SAS Xpt Dateien enthält. Beispiel: gdrive://folder1.

Siehe Herstellen einer Verbindung zu Google Drive für weitere Informationen zur Verbindung und Authentifizierung bei auf Google Drive gehosteten SASXpt-Dateien.

HDFS

Legen Sie Folgendes fest, um Ihre auf HDFS gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf HDFS oder HDFS Secure.
• URI: Legen Sie hier den Pfad zu einem Ordner fest, der SASXpt-Dateien enthält. Beispiel:
  • HDFS: webhdfs://host:port/remotePath
  • HDFS Sicherheit: webhdfss://host:port/remotePath

Für die Verbindung mit der HDFS Datenquelle stehen zwei Authentifizierungsmethoden zur Verfügung: anonyme Authentifizierung und Negotiate-Authentifizierung (Kerberos).

Anonyme Authentifizierung

In einigen Situationen können Sie eine Verbindung zu HDFS herstellen, ohne dass Authentifizierungsverbindungseigenschaften erforderlich sind. Legen Sie dazu die AuthScheme Eigentum an None (Standard).

Authentifizierung mit Kerberos

Wenn Authentifizierungsdaten erforderlich sind, können Sie Kerberos zur Authentifizierung verwenden. Siehe Verwenden von Kerberos für Einzelheiten zur Authentifizierung mit Kerberos.

HTTP-Streams

Legen Sie Folgendes fest, um Ihre in HTTP-Streams gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf HTTP oder HTTPS.
• URI: Setzen Sie dies auf die URI Ihres HTTP(S)-Streams. Beispiel:
  • HTTP: http://remoteStream
  • HTTPS: https://remoteStream

Siehe Verbindung zu HTTP-Streams herstellen für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei SASXpt-Dateien, die auf HTTP-Streams gehostet werden.

IBM Cloud Object Storage

Legen Sie Folgendes fest, um Ihre in IBM Cloud Object Storage gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf IBM Object Storage Source.
• URI: Legen Sie dies auf den Bucket und den Ordner fest. Beispiel: ibmobjectstorage://bucket1/remotePath.
• Region: Legen Sie diese Eigenschaft auf die Region Ihrer IBM-Instanz fest. Beispiel: eu-gb.

Siehe Herstellen einer Verbindung zu IBM Object Storage für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei SASXpt-Dateien, die auf IBM Cloud Object Storage gehostet werden.

Eine Fahrt

Legen Sie Folgendes fest, um Ihre auf OneDrive gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf OneDrive.
• URI: Legen Sie hier den Pfad zu einem Ordner fest, der SASXpt-Dateien enthält. Beispiel: onedrive://remotePath.

Siehe Mit OneDrive verbinden für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei auf OneDrive gehosteten SASXpt-Dateien.

Ein See

Legen Sie Folgendes fest, um Ihre auf OneLake gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf OneLake.
• URI: Legen Sie hier den Namen des Arbeitsbereichs fest, gefolgt vom Element und Elementtyp. Geben Sie optional den Ordnerpfad an, der als Stammordner verwendet werden soll. Beispiel: onelake://Workspace/Test.LakeHouse/Files/CustomFolder.

Siehe Verbindung zu OneLake herstellen für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei auf OneLake gehosteten SASXpt-Dateien.

Oracle Cloud-Speicher

Legen Sie die folgenden Eigenschaften fest, um mit HMAC zu authentifizieren:

• ConnectionType: Setzen Sie die ConnectionType Zu Oracle Cloud Storage.
• URI: Legen Sie dies für den Bucket und den Ordner fest: os://bucket/remotePath.
• AccessKey: Legen Sie dies auf einen Oracle Cloud-Zugriffsschlüssel fest.
• SecretKey: Legen Sie hier einen Oracle Cloud Secret Key fest.
• OracleNamespace: Legen Sie dies auf einen Oracle Cloud-Namespace fest.
• Region (optional): Legen Sie hier die Hostingregion für Ihre S3-ähnlichen Webdienste fest.

SFTP

Legen Sie Folgendes fest, um Ihre auf SFTP gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf SFTP.
• URI: Setzen Sie hier die Adresse des Servers, gefolgt vom Pfad zum Ordner, der als Stammordner verwendet werden soll. Beispiel: sftp://server:port/remotePath.

Siehe Verbindung zu SFTP herstellen für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei auf SFTP gehosteten SASXpt-Dateien.

SharePoint Online

Legen Sie Folgendes fest, um Ihre auf SharePoint Online gespeicherten SAS Xpt Ressourcen zu identifizieren:

• ConnectionType: Setzen Sie dies auf SharePoint REST oder SharePoint SOAP.
• URI: Legen Sie dies auf eine Dokumentbibliothek fest, die SASXpt-Dateien enthält. Beispiel:
  • SharePoint Online REST: sprest://remotePath
  • SharePoint Online-SOAP: sp://remotePath

Siehe Herstellen einer Verbindung zu SharePoint Online für weitere Informationen zum Herstellen einer Verbindung und zur Authentifizierung bei SASXpt-Dateien, die auf SharePoint Online gehostet werden.

Herstellen einer Verbindung mit Amazon S3

Vor dem Anschließen

AWS-Schlüssel abrufen

So erhalten Sie die Anmeldeinformationen für einen IAM-Benutzer:

1. Melden Sie sich bei der IAM-Konsole an.
2. Wählen Sie im Navigationsbereich Users.
3. Um die Zugriffsschlüssel für einen Benutzer zu erstellen oder zu verwalten, wählen Sie den Benutzer aus und gehen Sie dann zu Security Credentials Tab.

So erhalten Sie die Anmeldeinformationen für Ihr AWS-Root-Konto:

1. Melden Sie sich mit den Anmeldeinformationen für Ihr Root-Konto bei der AWS-Managementkonsole an.
2. Wählen Sie Ihren Kontonamen oder Ihre Kontonummer.
3. Wählen Sie im angezeigten Menü My Security Credentials.
4. Um Root-Konto-Zugriffsschlüssel zu verwalten oder zu erstellen, klicken Sie auf Continue to Security Credentials und erweitern Sie den Abschnitt „Zugriffsschlüssel“.

Herstellen einer Verbindung mit Amazon S3

Geben Sie Folgendes an, um eine Verbindung zu Daten herzustellen:

• AWSRegion: Legen Sie dies auf die Region fest, in der Ihre SAS Xpt Daten gehostet werden.
• StorageBaseURL (optional): Geben Sie die Basis URL des S3-Dienstes nur an, wenn sie eine andere URL als „amazonaws.com“ hat. Achten Sie darauf, die vollständige URL anzugeben. Beispiel: http://127.0.0.1:9000.

Authentifizieren bei Amazon S3

Für die Verbindung mit SAS Xpt stehen mehrere Authentifizierungsmethoden zur Verfügung, darunter:

• Root-Anmeldeinformationen
• AWS-Rolle, als AWS-Rolle (von einer EC2-Instanz oder durch Angabe der Root-Anmeldeinformationen)
• SSO (ADFS, Okta, PingFederate)
• MFA
• Temporäre Anmeldeinformationen
• Anmeldeinformationsdatei

Stammanmeldeinformationen

Um sich mit den Root-Anmeldeinformationen des Kontos zu authentifizieren, legen Sie diese Konfigurationsparameter fest:

• AuthScheme: AwsRootKeys.
• AWSAccessKey: Der mit dem AWS-Root-Konto verknüpfte Zugriffsschlüssel.
• AWSSecretKey: Der geheime Schlüssel, der mit dem AWS-Root-Konto verknüpft ist.

EC2-Instanzen

Satz AuthScheme Zu AwsEC2Roles.

Wenn Sie den Connector von einer EC2-Instanz aus verwenden und der Instanz eine IAM-Rolle zugewiesen haben, können Sie die IAM-Rolle zur Authentifizierung verwenden. Da der Connector Ihre IAM-Rollenanmeldeinformationen automatisch abruft und sich mit ihnen authentifiziert, ist es nicht erforderlich, anzugeben AWSAccessKey Und AWSSecretKey.

Wenn Sie zur Authentifizierung auch eine IAM- Rolle verwenden, müssen Sie zusätzlich Folgendes angeben:

• AWSRoleARN: Geben Sie die Rollen-ARN für die Rolle an, mit der Sie sich authentifizieren möchten. Dadurch versucht der Connector, Anmeldeinformationen für

  die angegebene Rolle.

• AWSExternalId (optional): Nur erforderlich, wenn Sie eine Rolle in einem anderen AWS-Konto übernehmen.

IMDSv2-Unterstützung

Der SAS Xpt Connector unterstützt jetzt IMDSv2. Im Gegensatz zu IMDSv1 erfordert die neue Version ein Authentifizierungstoken. Endpoints und Antworten sind in beiden Versionen gleich.

In IMDSv2 versucht der SAS Xpt Connector zuerst, das IMDSv2-Metadatentoken abzurufen und verwendet es dann, um AWS- Endpoints aufzurufen. Wenn das Token nicht abgerufen werden kann, kehrt der Connector zu IMDSv1 zurück.

AWS-Webidentität

Satz AuthScheme Zu AwsWebIdentity.

Wenn Sie den Connector von einem Container aus verwenden, der so konfiguriert ist, dass er eine Rolle mit Webidentität übernimmt (z. B. ein Pod in einem EKS-Cluster mit einem OpenID-Anbieter) oder ein Identitätstoken durch Authentifizierung mit einem Webidentitätsanbieter erhalten hat, der einer IAM- Rolle zugeordnet ist, können Sie das Webidentitätstoken und die IAM- Rolle gegen temporäre Sicherheitsanmeldeinformationen austauschen, um AWS-Dienste zu authentifizieren und darauf zuzugreifen. Der Connector erhält die Anmeldeinformationen automatisch, wenn der Container AWS_ROLE_ARN Und AWS_WEB_IDENTITY_TOKEN_FILE in den Umfeld angegeben. Alternativ können Sie beide angeben AWSRoleARN Und AWSWebIdentityToken um das auszuführen AssumeRoleWithWebIdentity API Operation und Authentifizierung.

{: #section}

AWS IAM-Rollen

Satz AuthScheme Zu AwsIAMRoles.

In vielen Situationen kann es vorzuziehen sein, eine IAM- Rolle zur Authentifizierung zu verwenden, anstatt die direkten Sicherheitsanmeldeinformationen eines AWS-Root-Benutzers. Wenn Sie die AWSAccessKey Und AWSSecretKey eines AWS-Root-Benutzers dürfen Sie keine Rollen verwenden.

Um sich als AWS- Rolle zu authentifizieren, legen Sie diese Eigenschaften fest:

• AWSAccessKey: Der Zugriffsschlüssel des IAM-Benutzers, für den die Rolle übernommen werden soll.

• AWSSecretKey: Der geheime Schlüssel des IAM-Benutzers, für den die Rolle übernommen werden soll.

• AWSRoleARN: Geben Sie die Rollen-ARN für die Rolle an, mit der Sie sich authentifizieren möchten. Dadurch versucht der Connector, Anmeldeinformationen für

  die angegebene Rolle.

• AWSExternalId (optional): Nur erforderlich, wenn Sie eine Rolle in einem anderen AWS-Konto übernehmen.

ADFS

Um eine Verbindung zu ADFS herzustellen, setzen Sie AuthScheme Zu ADFS, und legen Sie diese Eigenschaften fest:

• User: Der ADFS-Benutzer.
• Password: Das Passwort des ADFS-Benutzers.
• SSOLoginURL: Die Login URL des SSO-Anbieters.

Um sich bei ADFS zu authentifizieren, legen Sie diese fest: SSOProperties:

• RelyingParty: Der Wert der Relying Party Identifier des ADFS-Servers.

Beispiel-Verbindungszeichenfolge:

AuthScheme=ADFS;User=username;Password=password;SSOLoginURL='https://sts.company.com';SSOProperties='RelyingParty=https://saml.salesforce.com';

Okta

Um eine Verbindung mit Okta herzustellen, setzen Sie die AuthScheme Zu Okta, und legen Sie diese Eigenschaften fest:

• User: Der Okta Benutzer.
• Password: Das Passwort des Okta Benutzers.
• SSOLoginURL: Die Login URL des SSO-Anbieters.

Wenn Sie eine vertrauenswürdige Anwendung oder einen Proxy verwenden, der die Okta Clientanforderung überschreibt, ODER MFA konfigurieren, müssen Sie Kombinationen aus verwenden SSOProperties zur Authentifizierung mit Okta. Legen Sie je nach Bedarf die folgenden Optionen fest:

• APIToken: Wenn Sie einen Benutzer über eine vertrauenswürdige Anwendung oder einen Proxy authentifizieren, der den Anforderungskontext des Okta Clients überschreibt, legen Sie dies auf das API Token fest, das der Kunde aus der Okta-Organisation erstellt hat.

• MFAType: Wenn Sie den MFA-Flow konfiguriert haben, legen Sie ihn auf einen der folgenden unterstützten Typen fest: OktaVerify, Email, oder SMS.

• MFAPassCode: Wenn Sie den MFA-Flow konfiguriert haben, legen Sie hier einen gültigen Passcode fest.

  Wenn Sie dies auf leer oder einen ungültigen Wert setzen, sendet der Connector eine Einmalkennwort-Abfrage an Ihr Gerät oder Email. Nachdem der Passcode empfangen wurde, öffnen Sie die Verbindung erneut, wobei der abgerufene Einmalkennwortwert auf die Verbindungseigenschaft MFAPassCode gesetzt wird.

• MFARememberDevice: True standardmäßig. Okta unterstützt das Speichern von Geräten, wenn MFA erforderlich ist. Wenn das Speichern von Geräten gemäß den konfigurierten Authentifizierungsrichtlinien zulässig ist, sendet der Connector ein Gerätetoken, um die Lebensdauer der MFA-Authentifizierung zu verlängern. Wenn Sie nicht möchten, dass MFA gespeichert wird, setzen Sie diese Variable auf False.

Beispiel-Verbindungszeichenfolge:

AuthScheme=Okta;SSOLoginURL='https://example.okta.com/home/appType/0bg4ivz6cJRZgCz5d6/46';User=oktaUserName;Password=oktaPassword;

Um eine Verbindung zu PingFederate herzustellen, setzen Sie AuthScheme Zu PingFederate, und legen Sie diese Eigenschaften fest:

• User: Der PingFederate-Benutzer.
• Password: Das Passwort des PingFederate-Benutzers.
• SSOLoginURL: Die Login URL des SSO-Anbieters.
• AWSRoleARN (optional): Wenn Sie mehrere Rolle-ARNs haben, geben Sie die an, die Sie für die Autorisierung verwenden möchten.
• AWSPrincipalARN (optional): Wenn Sie mehrere Haupt-ARNs haben, geben Sie die an, die Sie für die Autorisierung verwenden möchten.
• SSOExchangeUrl: Der Partner Service Identifier URI konfiguriert in Ihrer PingFederate-Serverinstanz unter: SP Connections > SP Connection > WS-Trust > Protocol Settings. Dies sollte eine PingFederate SP-Verbindung eindeutig identifizieren, daher ist es eine gute Idee, es auf Ihre einzustellen AWS SSO ACS URL. Sie finden es unter AWS SSO > Settings > View Details neben dem Authentication Feld.
• SSOProperties (optional): Authscheme=Basic wenn Sie Ihren Benutzernamen und Ihr Passwort als Header in Anfragen an Amazon S3 einschließen möchten.

So aktivieren Sie die gegenseitige SSL-Authentifizierung für SSOLoginURL, der WS-Trust STS- Endpoint, konfigurieren Sie diese SSOProperties:

• SSLClientCert
• SSLClientCertType
• SSLClientCertSubject
• SSLClientCertPassword

Beispiel-Verbindungszeichenfolge:

authScheme=pingfederate;SSOLoginURL=https://mycustomserver.com:9033/idp/sts.wst;SSOExchangeUrl=https://us-east-1.signin.aws.amazon.com/platform/saml/acs/764ef411-xxxxxx;user=admin;password=PassValue;AWSPrincipalARN=arn:aws:iam:215338515180:saml-provider/pingFederate;AWSRoleArn=arn:aws:iam:215338515180:role/SSOTest2;

Multi-Faktor-Authentifizierung (MFA)

Geben Sie für Benutzer und Rollen, die eine Multi-Faktor-Authentifizierung erfordern, Folgendes an:

• AuthScheme: AwsMFA.
• CredentialsLocation: Der Speicherort der Einstellungsdatei, in der die MFA-Anmeldeinformationen gespeichert sind. Weitere Informationen finden Sie auf der Seite „Speicherort der Anmeldeinformationsdatei“ unter „Verbindungszeichenfolgenoptionen“.
• MFASerialNumber: Die Seriennummer des MFA-Geräts, falls eines verwendet wird.
• MFAToken: Das temporäre Token, das von Ihrem MFA-Gerät verfügbar ist.

Wenn Sie eine Verbindung zu AWS herstellen (anstatt bereits verbunden zu sein, z. B. mit einer EC2-Instanz), müssen Sie zusätzlich Folgendes angeben:

• AWSAccessKey: Der Zugriffsschlüssel des IAM-Benutzers, für den MFA ausgestellt wird.
• AWSSecretKey: Der geheime Schlüssel des IAM-Benutzers, dem MFA ausgestellt wird.

Wenn Sie zur Authentifizierung auch eine IAM- Rolle verwenden, müssen Sie zusätzlich Folgendes angeben:

• AWSRoleARN: Geben Sie die Rollen-ARN für die Rolle an, mit der Sie sich authentifizieren möchten. Dadurch versucht der Connector, mithilfe von MFA Anmeldeinformationen für die angegebene Rolle abzurufen.
• AWSExternalId (optional): Nur erforderlich, wenn Sie eine Rolle in einem anderen AWS-Konto übernehmen.

Dies bewirkt, dass der Connector die MFA-Anmeldeinformationen in einer Anforderung zum Abrufen temporärer Authentifizierungsanmeldeinformationen übermittelt.

Temporäre Anmeldeinformationen

Um sich mit temporären Anmeldeinformationen zu authentifizieren, geben Sie Folgendes an:

• AuthScheme: AwsTempCredentials.
• AWSAccessKey: Der Zugriffsschlüssel des IAM-Benutzers, für den die Rolle übernommen werden soll.
• AWSSecretKey: Der geheime Schlüssel des IAM-Benutzers, für den die Rolle übernommen werden soll.
• AWSSessionToken: Ihr AWS-Sitzungstoken, das Sie mit Ihren temporären Anmeldeinformationen erhalten. Weitere Einzelheiten finden Sie im AWS Identity and Access Management-Benutzerhandbuch.

Der Connector kann nun Ressourcen mit denselben Berechtigungen anfordern, die durch langfristige Anmeldeinformationen (z. B. IAM-Benutzeranmeldeinformationen) für die Lebensdauer der temporären Anmeldeinformationen bereitgestellt werden.

Um sowohl mit temporären Anmeldeinformationen als auch mit einer IAM- Rolle eine Authentifizierung durchzuführen, legen Sie alle oben beschriebenen Parameter fest und geben Sie diese zusätzlichen Parameter an:

• AWSRoleARN: Geben Sie die Rollen-ARN für die Rolle an, mit der Sie sich authentifizieren möchten. Dadurch wird der Connector aufgefordert, Anmeldeinformationen für die angegebene Rolle abzurufen.
• AWSExternalId (optional): Nur erforderlich, wenn Sie eine Rolle in einem anderen AWS-Konto übernehmen.

Anmeldeinformationsdateien

Sie können zur Authentifizierung eine Datei mit Anmeldeinformationen verwenden. Alle Konfigurationen im Zusammenhang mit AccessKey/SecretKey-Authentifizierung, temporären Anmeldeinformationen, Rolle oder MFA können verwendet werden. Legen Sie dazu die folgenden Eigenschaften zur Authentifizierung fest:

• AuthScheme: AwsCredentialsFile.
• AWSCredentialsFile: Der Speicherort Ihrer Anmeldeinformationsdatei.
• AWSCredentialsFileProfile (optional): Der Name des Profils, das Sie aus der angegebenen Anmeldeinformationsdatei verwenden möchten. Wenn nicht angegeben, wird das Standard-Profil verwendet.

Weitere Einzelheiten finden Sie im AWS Command Line Interface-Benutzerhandbuch.

Microsoft Entra ID

Diese Konfiguration erfordert zwei separate Microsoft Entra ID Anwendungen:

• Die Anwendung „SAS Xpt“, die für Single Sign-On verwendet wird, und
• Eine benutzerdefinierte OAuth-Anwendung mit user_impersonation-Berechtigung für die Anwendung „SAS Xpt“. (Siehe Erstellen einer benutzerdefinierten OAuth-App.)

Um eine Verbindung mit Microsoft Entra ID herzustellen, setzen Sie das AuthScheme Zu AzureAD, und legen Sie diese Eigenschaften fest:

• OAuthClientId: Die Anwendungs-ID der Connector-Anwendung, die im Abschnitt „Übersicht“ der App-Registrierung aufgeführt ist.
• OAuthClientSecret: Der geheime Clientschlüsselwert der Connector-Anwendung. Microsoft Microsoft Entra ID zeigt dies an, wenn Sie einen neuen geheimen Clientschlüssel erstellen.
• CallbackURL: Die Umleitungs-URI der Connector-Anwendung. Beispiel: https://localhost:33333.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH.

Um sich bei der Microsoft Entra ID zu authentifizieren, legen Sie diese fest: SSOProperties:

• Ressource: Die Anwendungs-ID-URI der SAS Xpt Anwendung, die im Abschnitt „Übersicht“ der App-Registrierung aufgeführt ist. In den meisten Fällen ist dies die URL Ihrer benutzerdefinierten SAS Xpt Domäne.
• AzureTenant: Die ID des Microsoft Entra ID Mandanten, bei dem die Anwendungen registriert sind.

Beispiel-Verbindungszeichenfolge:

AuthScheme=AzureAD;InitiateOAuth=GETANDREFRESH;OAuthClientId=3ea1c786-d527-4399-8c3b-2e3696ae4b48;OauthClientSecret=xxx;CallbackUrl=https://localhost:33333;SSOProperties='Resource=https://signin.aws.amazon.com/saml;AzureTenant=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx';

Herstellen einer Verbindung mit Azure Blob Storage

Vor dem Anschließen

Führen Sie die folgenden Schritte aus, um die Anmeldeinformationen für einen AzureBlob-Benutzer abzurufen:

1. Melden Sie sich beim Azure-Portal an mit den Anmeldeinformationen für Ihr Root-Konto.
2. Klicken Sie auf Storage Accounts und wählen Sie das Speicherkonto aus, das Sie verwenden möchten.
3. Unter Settings, klick Access keys.
4. Ihr Speicherkontoname und -schlüssel werden auf dieser Seite angezeigt.

Herstellen einer Verbindung mit Azure Blob Storage

Satz AzureStorageAccount zu Ihrem Azure Blob Storage-Kontonamen.

Authentifizieren bei Azure Blob Storage

Sie können sich bei Azure Blob Storage per Zugriffsschlüssel, Shared Access Signatures (SAS), Microsoft Entra ID Benutzer, verwalteten Identitäten für Azure-Ressourcen oder Microsoft Entra-Dienstprinzipal authentifizieren.

Zugriffsschlüssel

Legen Sie Folgendes fest, um sich mit einem Azure Zugriffsschlüssel zu authentifizieren:

• AuthScheme: Setzen Sie dies auf AccessKey.
• AzureAccessKey: Legen Sie dies auf den Speicherschlüssel fest, der Ihrem Azure Blob Storage-Konto zugeordnet ist.

Gemeinsame Zugriffssignatur (Shared Access Signature, SAS)

Legen Sie Folgendes fest, um die Authentifizierung mit einer Shared Access Signature (SAS) durchzuführen:

• AuthScheme: Setzen Sie dies auf AzureStorageSAS.
• AzureSharedAccessSignature: Legen Sie dies auf die SAS fest, die Ihrem Azure Blob Storage-Konto zugeordnet ist.

Befolgen Sie diese Schritte, um eine Shared Access Signature mit zu erstellen AzureSharedAccessSignature:

1. Melden Sie sich mit den Anmeldeinformationen für Ihr Root-Konto beim Azure-Portal an. (https://portal.azure.com/)
2. Klicken Sie auf storage accounts und wählen Sie das Speicherkonto aus, das Sie verwenden möchten.
3. Unter settings, klick Shared Access Signature.
4. Legen Sie die Berechtigungen fest.
5. Geben Sie an, wann das Token ablaufen soll.
6. Klicken Sie auf Generate SAS und kopieren Sie die von ihm generierte gemeinsame Zugriffssignatur.
7. Set AzureSharedAccessSignature zur Shared Access Signature aus dem vorherigen Schritt.

Microsoft Entra ID Benutzer

AuthScheme muss auf gesetzt werden AzureAD in allen Benutzerkonto-Flows.

Desktop-Anwendungen

bietet eine eingebettete OAuth-Anwendung, die die OAuth-Desktop-Authentifizierung vereinfacht. Alternativ können Sie eine benutzerdefinierte OAuth-Anwendung erstellen. Siehe Erstellen einer benutzerdefinierten OAuth-App für Informationen zum Erstellen benutzerdefinierter Anwendungen und Gründe dafür.

OAuth-Zugriffstoken abrufen und aktualisieren

Nachdem Sie Folgendes festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• OAuthClientId (nur benutzerdefinierte Anwendungen): Legen Sie hier die Client-ID fest, die Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• OAuthClientSecret (nur benutzerdefinierte Anwendungen): Legen Sie hier das Client-Geheimnis fest, das Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• CallbackURL (nur benutzerdefinierte Anwendung): Legen Sie hier die Umleitungs-URI fest, die Sie bei der Registrierung Ihrer App definiert haben. Beispiel: http://localhost:33333

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint der Microsoft Identity Platform in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Anschließend schließt der Connector den OAuth-Prozess ab:

1. Der Connector erhält ein Zugriffstoken von der Microsoft Identity Platform und verwendet es zum Anfordern von Daten.
2. Die OAuth-Werte werden an dem in angegebenen Ort gespeichert OAuthSettingsLocation, um über mehrere Verbindungen hinweg bestehen zu bleiben.

Der Connector aktualisiert das Zugriffstoken automatisch, wenn es abläuft.

Microsoft Entra-Dienstprinzipal

Die Authentifizierung als Microsoft Entra-Dienstprinzipal wird über den OAuth-Clientanmeldeinformationsfluss abgewickelt. Es handelt sich dabei nicht um eine direkte Benutzerauthentifizierung. Stattdessen werden Anmeldeinformationen nur für die Anwendung selbst erstellt. Alle von der App ausgeführten Aufgaben werden ohne Standardbenutzerkontext, sondern basierend auf den zugewiesenen Rollen ausgeführt. Der Anwendungszugriff auf die Ressourcen wird über die Berechtigungen der zugewiesenen Rollen gesteuert.

Erstellen Sie eine Microsoft Entra ID App und einen Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie eine Microsoft Entra ID Anwendung erstellen und bei einem Microsoft Entra ID Mandanten registrieren. Siehe Erstellen einer Microsoft Entra ID Anwendung für weitere Einzelheiten.

In Ihrer App-Registrierung in portal.azure.com, navigieren Sie zu API Berechtigungen und wählen Sie die Microsoft Graph permissions. Es gibt zwei verschiedene Berechtigungssätze: Delegierte Berechtigungen und Anwendungsberechtigungen. Die während der Client-Anmeldeauthentifizierung verwendeten Berechtigungen finden Sie unter Anwendungsberechtigungen.

Der Anwendung eine Rolle zuweisen

Um auf Ressourcen in Ihrem Abonnement zuzugreifen, müssen Sie der Anwendung eine Rolle zuweisen.

1. Öffnen Sie das Subscriptions Seite, indem Sie den Abonnementdienst in der Suchleiste suchen und auswählen.
2. Wählen Sie das Abonnement aus, dem die Anwendung zugewiesen werden soll.
3. Öffnen Sie die Access control (IAM) und wählen Sie Add > Add role assignment zum Öffnen der Add role assignment Seite.
4. Wählen Sie Owner als Rolle, die Ihrer erstellten Microsoft Entra ID App zugewiesen werden soll.

Authentifizierung abschließen

Wählen Sie, ob Sie ein Clientgeheimnis oder ein Zertifikat verwenden möchten, und befolgen Sie die entsprechenden Schritte unten.

Client-Geheimnis

Legen Sie die folgenden Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipal um ein Client-Geheimnis zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um den OAuth-Austausch und das manuelle Setzen der zu vermeiden OAuthAccessToken.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthClientId: Die Client-ID in Ihren Anwendungseinstellungen.
• OAuthClientSecret: Das Client-Geheimnis in Ihren Anwendungseinstellungen.

Zertifikat

Legen Sie diese Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipalCert um ein Zertifikat zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um eine Wiederholung des OAuth-Austauschs und das manuelle Festlegen des OAuthAccessTokens zu vermeiden.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthJWTCert: Der JWT-Zertifikatspeicher.
• OAuthJWTCertType: Der Typ des Zertifikatspeichers angegeben durch OAuthJWTCert.

Sie sind jetzt bereit, eine Verbindung herzustellen. Die Authentifizierung mit Client-Anmeldeinformationen erfolgt automatisch wie bei jeder anderen Verbindung, außer dass kein Fenster geöffnet wird, das den Benutzer auffordert. Da kein Benutzerkontext vorhanden ist, ist kein Browser-Popup erforderlich. Verbindungen werden hergestellt und intern gehandhabt.

Verwaltete Identitäten für Azure-Ressourcen

Wenn Sie eine Verbindung von einer Azure-VM mit Berechtigungen für Azure Data Lake Storage herstellen, legen Sie fest AuthScheme Zu AzureMSI.

Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Service Principal statt mit einem Client Secret authentifizieren möchten, ist es auch möglich, sich mit einem Client-Zertifikat zu authentifizieren. Legen Sie zur Authentifizierung Folgendes fest:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• AuthScheme: Setzen Sie dies auf AzureServicePrincipal.
• AzureTenant: Stellen Sie dies auf den Mandanten ein, mit dem Sie sich verbinden möchten.
• OAuthGrantType: Setzen Sie dies auf CLIENT.
• OAuthClientId: Legen Sie dies in Ihren App-Einstellungen auf die Client-ID fest.
• OAuthJWTCert: Legen Sie dies auf den JWT-Zertifikatspeicher fest.
• OAuthJWTCertType: Setzen Sie dies auf den Typ des Zertifikatspeichers, der durch angegeben ist OAuthJWTCert.

Erstellen einer benutzerdefinierten OAuth-App

Es gibt zwei Arten von benutzerdefinierten App-Registrierungen: Microsoft Entra ID und Microsoft Entra ID mit einem Microsoft Entra-Dienstprinzipal. Beide sind OAuth-basiert.

Wann sollte eine benutzerdefinierte Anwendung erstellt werden?

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die beim Verbinden über eine Desktop-Anwendung oder von einer Headless-Maschine aus verwendet werden können.

Sie können Ihre eigenen Microsoft Entra ID Anwendungsanmeldeinformationen verwenden, wenn Sie möchten

• Steuerung des Brandings des Authentifizierungsdialogs
• Kontrollieren Sie die Umleitungs-URI, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet.
• Passen Sie die Berechtigungen an, die Sie vom Benutzer anfordern

Benutzerdefinierte Microsoft Entra ID Anwendungen

Sie können eine benutzerdefinierte App-Registrierung verwenden, um ein Dienstkonto oder ein Benutzerkonto zu authentifizieren. Sie können jederzeit eine benutzerdefinierte App-Registrierung erstellen, beachten Sie jedoch, dass Desktop- und Headless-Verbindungen eingebettetes OAuth unterstützen, was den Authentifizierungsprozess vereinfacht. Informationen zur Verwendung der eingebetteten OAuth-Anwendung finden Sie unter „Herstellen einer Verbindung“.

Erstellen einer benutzerdefinierten Microsoft Entra ID App

Befolgen Sie die nachstehenden Schritte, um die Microsoft Entra ID Werte für Ihre Anwendung abzurufen. OAuthClientId Und OAuthClientSecret.

1. Melden Sie sich an bei https://portal.azure.com.

2. Wählen Sie im linken Navigationsbereich All services. Filtern und auswählen App registrations.

3. Klicken Sie auf New registrations.

4. Geben Sie einen Anwendungsnamen ein und wählen Sie das gewünschte Mandanten-Setup aus.

   Beim Erstellen einer benutzerdefinierten App-Registrierung in Microsoft Entra ID können Sie festlegen, ob die Anwendung ein- oder mehrmandantenfähig ist. Wenn Sie die Standardoption „Nur Konten in diesem Organisationsverzeichnis“ auswählen, müssen Sie die AzureTenant Verbindungseigenschaft auf die ID des Microsoft Entra ID Tenants, wenn eine Verbindung mit dem SAS Xpt Connector hergestellt wird. Andernfalls schlägt der Authentifizierungsversuch mit einem Fehler fehl. Wenn Ihre Anwendung nur für den privaten Gebrauch bestimmt ist, sollte „Nur Konten in diesem Organisationsverzeichnis“ ausreichen. Wenn Sie Ihre Anwendung verteilen möchten, wählen Sie andernfalls eine der Multi-Tenant-Optionen.

5. Setzen Sie die Weiterleitungs URL auf http://localhost:33333, der Standard des Connectors. Oder geben Sie einen anderen Port an und setzen Sie CallbackURL an die genaue Antwort-URL, die Sie definiert haben.

6. Klicken Sie auf Register, um die neue Anwendung zu registrieren. Dadurch wird ein Anwendungsverwaltungsbildschirm geöffnet. Beachten Sie den Wert in Application (client) ID als OAuthClientId und das Directory (tenant) ID als AzureTenant.

7. Navigieren Sie zu „Zertifikate und Geheimnisse“ und definieren Sie den Authentifizierungstyp der Anwendung. Es stehen zwei Arten der Authentifizierung zur Verfügung: mithilfe eines Client-Geheimnisses oder eines Zertifikats. Die empfohlene Authentifizierungsmethode ist die Verwendung eines Zertifikats.

   • Option 1: Laden Sie ein Zertifikat hoch: Wählen Sie unter „Zertifikate und Geheimnisse“ Upload certificate und das Zertifikat, das von Ihrem lokalen Computer hochgeladen werden soll.
   • Option 2: Neues Anwendungsgeheimnis erstellen: Wählen Sie unter „Zertifikate und Geheimnisse“ New Client Secret für die Anwendung und geben Sie deren Dauer an. Nach dem Speichern des Client-Geheimnisses wird der Schlüsselwert angezeigt. Kopieren Sie diesen Wert, da er nur einmal angezeigt wird. Sie benötigen ihn als OAuthClientSecret.

8. Wählen Sie API Permissions > Add. Wenn Sie planen, dass Ihre Anwendung ohne Benutzerkontext eine Verbindung herstellt, wählen Sie Application Permissions (OAuthGrantType = CLIENT). Andernfalls verwenden Sie Delegated permissions.

9. Speichern Sie Ihre Änderungen.

10. Wenn Sie Berechtigungen ausgewählt haben, die die Zustimmung des Administrators erfordern (z. B. Anwendungsberechtigungen), können Sie diese vom aktuellen Mandanten aus auf der Seite „API Berechtigungen“ erteilen. Andernfalls befolgen Sie die Schritte unter „Zustimmung des Administrators“.

Benutzerdefinierte Microsoft Entra-Dienstprinzipalanwendungen

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie sowohl eine benutzerdefinierte App-Registrierung als auch einen Dienstprinzipal erstellen, der auf die erforderlichen Ressourcen zugreifen kann. Befolgen Sie die nachstehenden Schritte, um eine benutzerdefinierte App-Registrierung zu erstellen und die Verbindungseigenschaften für die Microsoft Entra-Dienstprinzipal-Authentifizierung abzurufen.

Erstellen einer benutzerdefinierten Microsoft Entra ID App mit einem Microsoft Entra-Dienstprinzipal

Führen Sie die folgenden Schritte aus, um die Microsoft Entra ID Werte für Ihre Anwendung zu erhalten.

1. Melden Sie sich an bei https://portal.azure.com.
2. Wählen Sie im linken Navigationsbereich All services. Filtern und auswählen App registrations.
3. Klicken Sie auf New registrations.
4. Geben Sie einen App-Namen ein und wählen Sie Konten in einem beliebigen Organisationsverzeichnis (Jeder Microsoft Entra ID Mandant - Multitenant). Legen Sie dann die Umleitungs-URL fest auf http://localhost:33333, der Standardwert des Connectors.
5. Kopieren Sie nach dem Erstellen der Anwendung den Wert der Anwendungs-ID (Client-ID), der im Abschnitt „Übersicht“ angezeigt wird. Dieser Wert wird als verwendet OAuthClientId
6. Definieren Sie den Authentifizierungstyp der App, indem Sie zum Abschnitt „Zertifikate und Geheimnisse“ gehen. Es stehen zwei Arten der Authentifizierung zur Verfügung: mithilfe eines Client-Geheimnisses und mithilfe eines Zertifikats. Die empfohlene Authentifizierungsmethode ist über ein Zertifikat.
   • Option 1 - Hochladen eines Zertifikats: Wählen Sie unter „Zertifikate und Geheimnisse“ Upload certificate und das Zertifikat, das von Ihrem lokalen Computer hochgeladen werden soll.
   • Option 2 - Neues Anwendungsgeheimnis erstellen: Wählen Sie unter „Zertifikate und Geheimnisse“ New Client Secret für die Anwendung und geben Sie deren Dauer an. Nach dem Speichern des Client-Geheimnisses wird der Schlüsselwert angezeigt. Kopieren Sie diesen Wert, da er nur einmal angezeigt wird. Sie verwenden ihn als OAuthClientSecret.
7. Auf der Authentication Tab, unbedingt auswählen Access tokens (used for implicit flows).

Herstellen einer Verbindung mit Azure Data Lake Storage

Herstellen einer Verbindung mit Azure Data Lake Storage

Satz AzureStorageAccount zu Ihrem Azure Data Lake Storage Kontonamen.

Authentifizieren bei Azure Data Lake Storage

Sie können sich bei Azure Data Lake Storage per Zugriffsschlüssel, Shared Access Signature (SAS), Microsoft Entra ID Benutzer, verwalteten Identitäten für Azure-Ressourcen oder Microsoft Entra-Dienstprinzipal authentifizieren.

Zugriffsschlüssel

Legen Sie Folgendes fest, um sich mit einem Azure Zugriffsschlüssel zu authentifizieren:

• AuthScheme: Setzen Sie dies auf AccessKey.
• AzureAccessKey: Legen Sie dies auf den Speicherschlüssel fest, der Ihrem Azure Data Lake Storage-Konto zugeordnet ist.

Gemeinsame Zugriffssignatur (Shared Access Signature, SAS)

Legen Sie Folgendes fest, um die Authentifizierung mit einer Shared Access Signature (SAS) durchzuführen:

• AuthScheme: Setzen Sie dies auf AzureStorageSAS.
• AzureSharedAccessSignature: Legen Sie dies auf die SAS fest, die Ihrem Azure Blob Storage-Konto zugeordnet ist.

Befolgen Sie diese Schritte, um eine Shared Access Signature mit zu erstellen AzureSharedAccessSignature:

1. Melden Sie sich mit den Anmeldeinformationen für Ihr Root-Konto beim Azure-Portal an. (https://portal.azure.com/)
2. Klicken Sie auf storage accounts und wählen Sie das Speicherkonto aus, das Sie verwenden möchten.
3. Unter settings, klick Shared Access Signature.
4. Legen Sie die Berechtigungen fest.
5. Geben Sie an, wann das Token ablaufen soll.
6. Klicken Sie auf Generate SAS und kopieren Sie die von ihm generierte gemeinsame Zugriffssignatur.
7. Set AzureSharedAccessSignature zur Shared Access Signature aus dem vorherigen Schritt.

Microsoft Entra ID Benutzer

AuthScheme muss auf gesetzt werden AzureAD in allen Benutzerkonto-Flows.

Desktop-Anwendungen

bietet eine eingebettete OAuth-Anwendung, die die OAuth-Desktop-Authentifizierung vereinfacht. Alternativ können Sie eine benutzerdefinierte OAuth-Anwendung erstellen. Siehe Erstellen einer benutzerdefinierten OAuth-App für Informationen zum Erstellen benutzerdefinierter Anwendungen und Gründe dafür.

OAuth-Zugriffstoken abrufen und aktualisieren

Nachdem Sie Folgendes festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• OAuthClientId (nur benutzerdefinierte Anwendungen): Legen Sie hier die Client-ID fest, die Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• OAuthClientSecret (nur benutzerdefinierte Anwendungen): Legen Sie hier das Client-Geheimnis fest, das Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• CallbackURL (nur benutzerdefinierte Anwendung): Legen Sie hier die Umleitungs-URI fest, die Sie bei der Registrierung Ihrer App definiert haben. Beispiel: http://localhost:33333

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint der Microsoft Identity Platform in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Anschließend schließt der Connector den OAuth-Prozess ab:

1. Der Connector erhält ein Zugriffstoken von der Microsoft Identity Platform und verwendet es zum Anfordern von Daten.
2. Die OAuth-Werte werden an dem in angegebenen Ort gespeichert OAuthSettingsLocation, um über mehrere Verbindungen hinweg bestehen zu bleiben.

Der Connector aktualisiert das Zugriffstoken automatisch, wenn es abläuft.

Microsoft Entra-Dienstprinzipal

Die Authentifizierung als Microsoft Entra-Dienstprinzipal wird über den OAuth-Clientanmeldeinformationsfluss abgewickelt. Es handelt sich dabei nicht um eine direkte Benutzerauthentifizierung. Stattdessen werden Anmeldeinformationen nur für die Anwendung selbst erstellt. Alle von der App ausgeführten Aufgaben werden ohne Standardbenutzerkontext, sondern basierend auf den zugewiesenen Rollen ausgeführt. Der Anwendungszugriff auf die Ressourcen wird über die Berechtigungen der zugewiesenen Rollen gesteuert.

Erstellen Sie eine Microsoft Entra ID App und einen Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie eine Microsoft Entra ID Anwendung erstellen und bei einem Microsoft Entra ID Mandanten registrieren. Siehe Erstellen einer Microsoft Entra ID Anwendung für weitere Einzelheiten.

In Ihrer App-Registrierung in portal.azure.com, navigieren Sie zu API Berechtigungen und wählen Sie die Microsoft Graph permissions. Es gibt zwei verschiedene Berechtigungssätze: Delegierte Berechtigungen und Anwendungsberechtigungen. Die während der Client-Anmeldeauthentifizierung verwendeten Berechtigungen finden Sie unter Anwendungsberechtigungen.

Der Anwendung eine Rolle zuweisen

Um auf Ressourcen in Ihrem Abonnement zuzugreifen, müssen Sie der Anwendung eine Rolle zuweisen.

1. Öffnen Sie das Subscriptions Seite, indem Sie den Abonnementdienst in der Suchleiste suchen und auswählen.
2. Wählen Sie das Abonnement aus, dem die Anwendung zugewiesen werden soll.
3. Öffnen Sie die Access control (IAM) und wählen Sie Add > Add role assignment zum Öffnen der Add role assignment Seite.
4. Wählen Sie Owner als Rolle, die Ihrer erstellten Microsoft Entra ID App zugewiesen werden soll.

Authentifizierung abschließen

Wählen Sie, ob Sie ein Clientgeheimnis oder ein Zertifikat verwenden möchten, und befolgen Sie die entsprechenden Schritte unten.

Client-Geheimnis

Legen Sie die folgenden Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipal um ein Client-Geheimnis zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um den OAuth-Austausch und das manuelle Setzen der zu vermeiden OAuthAccessToken.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthClientId: Die Client-ID in Ihren Anwendungseinstellungen.
• OAuthClientSecret: Das Client-Geheimnis in Ihren Anwendungseinstellungen.

Zertifikat

Legen Sie diese Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipalCert um ein Zertifikat zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um eine Wiederholung des OAuth-Austauschs und das manuelle Festlegen des OAuthAccessTokens zu vermeiden.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthJWTCert: Der JWT-Zertifikatspeicher.
• OAuthJWTCertType: Der Typ des Zertifikatspeichers angegeben durch OAuthJWTCert.

Sie sind jetzt bereit, eine Verbindung herzustellen. Die Authentifizierung mit Client-Anmeldeinformationen erfolgt automatisch wie bei jeder anderen Verbindung, außer dass kein Fenster geöffnet wird, das den Benutzer auffordert. Da kein Benutzerkontext vorhanden ist, ist kein Browser-Popup erforderlich. Verbindungen werden hergestellt und intern gehandhabt.

Verwaltete Identitäten für Azure-Ressourcen

Wenn Sie eine Verbindung von einer Azure-VM mit Berechtigungen für Azure Data Lake Storage herstellen, legen Sie fest AuthScheme Zu AzureMSI.

Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Service Principal statt mit einem Client Secret authentifizieren möchten, ist es auch möglich, sich mit einem Client-Zertifikat zu authentifizieren. Legen Sie zur Authentifizierung Folgendes fest:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• AuthScheme: Setzen Sie dies auf AzureServicePrincipal.
• AzureTenant: Stellen Sie dies auf den Mandanten ein, mit dem Sie sich verbinden möchten.
• OAuthGrantType: Setzen Sie dies auf CLIENT.
• OAuthClientId: Legen Sie dies in Ihren App-Einstellungen auf die Client-ID fest.
• OAuthJWTCert: Legen Sie dies auf den JWT-Zertifikatspeicher fest.
• OAuthJWTCertType: Setzen Sie dies auf den Typ des Zertifikatspeichers, der durch angegeben ist OAuthJWTCert.

Erstellen einer benutzerdefinierten OAuth-App

Es gibt zwei Arten von benutzerdefinierten App-Registrierungen: Microsoft Entra ID und Microsoft Entra ID mit einem Microsoft Entra-Dienstprinzipal. Beide sind OAuth-basiert.

Wann sollte eine benutzerdefinierte Anwendung erstellt werden?

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die beim Verbinden über eine Desktop-Anwendung oder von einer Headless-Maschine aus verwendet werden können.

Sie können Ihre eigenen Microsoft Entra ID Anwendungsanmeldeinformationen verwenden, wenn Sie möchten

• Steuerung des Brandings des Authentifizierungsdialogs
• Kontrollieren Sie die Umleitungs-URI, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet.
• Passen Sie die Berechtigungen an, die Sie vom Benutzer anfordern

Benutzerdefinierte Microsoft Entra ID Anwendungen

Sie können eine benutzerdefinierte App-Registrierung verwenden, um ein Dienstkonto oder ein Benutzerkonto zu authentifizieren. Sie können jederzeit eine benutzerdefinierte App-Registrierung erstellen, beachten Sie jedoch, dass Desktop- und Headless-Verbindungen eingebettetes OAuth unterstützen, was den Authentifizierungsprozess vereinfacht. Informationen zur Verwendung der eingebetteten OAuth-Anwendung finden Sie unter „Herstellen einer Verbindung“.

Erstellen einer benutzerdefinierten Microsoft Entra ID App

Befolgen Sie die nachstehenden Schritte, um die Microsoft Entra ID Werte für Ihre Anwendung abzurufen. OAuthClientId Und OAuthClientSecret.

1. Melden Sie sich an bei https://portal.azure.com.

2. Wählen Sie im linken Navigationsbereich All services. Filtern und auswählen App registrations.

3. Klicken Sie auf New registrations.

4. Geben Sie einen Anwendungsnamen ein und wählen Sie das gewünschte Mandanten-Setup aus.

   Beim Erstellen einer benutzerdefinierten App-Registrierung in Microsoft Entra ID können Sie festlegen, ob die Anwendung ein- oder mehrmandantenfähig ist. Wenn Sie die Standardoption „Nur Konten in diesem Organisationsverzeichnis“ auswählen, müssen Sie die AzureTenant Verbindungseigenschaft auf die ID des Microsoft Entra ID Tenants, wenn eine Verbindung mit dem SAS Xpt Connector hergestellt wird. Andernfalls schlägt der Authentifizierungsversuch mit einem Fehler fehl. Wenn Ihre Anwendung nur für den privaten Gebrauch bestimmt ist, sollte „Nur Konten in diesem Organisationsverzeichnis“ ausreichen. Wenn Sie Ihre Anwendung verteilen möchten, wählen Sie andernfalls eine der Multi-Tenant-Optionen.

5. Setzen Sie die Weiterleitungs URL auf http://localhost:33333, der Standard des Connectors. Oder geben Sie einen anderen Port an und setzen Sie CallbackURL an die genaue Antwort-URL, die Sie definiert haben.

6. Klicken Sie auf Register, um die neue Anwendung zu registrieren. Dadurch wird ein Anwendungsverwaltungsbildschirm geöffnet. Beachten Sie den Wert in Application (client) ID als OAuthClientId und das Directory (tenant) ID als AzureTenant.

7. Navigieren Sie zu „Zertifikate und Geheimnisse“ und definieren Sie den Authentifizierungstyp der Anwendung. Es stehen zwei Arten der Authentifizierung zur Verfügung: mithilfe eines Client-Geheimnisses oder eines Zertifikats. Die empfohlene Authentifizierungsmethode ist die Verwendung eines Zertifikats.

   • Option 1: Laden Sie ein Zertifikat hoch: Wählen Sie unter „Zertifikate und Geheimnisse“ Upload certificate und das Zertifikat, das von Ihrem lokalen Computer hochgeladen werden soll.
   • Option 2: Neues Anwendungsgeheimnis erstellen: Wählen Sie unter „Zertifikate und Geheimnisse“ New Client Secret für die Anwendung und geben Sie deren Dauer an. Nach dem Speichern des Client-Geheimnisses wird der Schlüsselwert angezeigt. Kopieren Sie diesen Wert, da er nur einmal angezeigt wird. Sie benötigen ihn als OAuthClientSecret.

8. Wählen Sie API Permissions > Add. Wenn Sie planen, dass Ihre Anwendung ohne Benutzerkontext eine Verbindung herstellt, wählen Sie Application Permissions (OAuthGrantType = CLIENT). Andernfalls verwenden Sie Delegated permissions.

9. Speichern Sie Ihre Änderungen.

10. Wenn Sie Berechtigungen ausgewählt haben, die die Zustimmung des Administrators erfordern (z. B. Anwendungsberechtigungen), können Sie diese vom aktuellen Mandanten aus auf der Seite „API Berechtigungen“ erteilen. Andernfalls befolgen Sie die Schritte unter „Administratorzustimmung“.

Benutzerdefinierte Microsoft Entra-Dienstprinzipalanwendungen

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie sowohl eine benutzerdefinierte App-Registrierung als auch einen Dienstprinzipal erstellen, der auf die erforderlichen Ressourcen zugreifen kann. Befolgen Sie die nachstehenden Schritte, um eine benutzerdefinierte App-Registrierung zu erstellen und die Verbindungseigenschaften für die Microsoft Entra-Dienstprinzipal-Authentifizierung abzurufen.

Erstellen einer benutzerdefinierten Microsoft Entra ID App mit einem Microsoft Entra-Dienstprinzipal

Führen Sie die folgenden Schritte aus, um die Microsoft Entra ID Werte für Ihre Anwendung zu erhalten.

1. Melden Sie sich an bei https://portal.azure.com.
2. Wählen Sie im linken Navigationsbereich All services. Filtern und auswählen App registrations.
3. Klicken Sie auf New registrations.
4. Geben Sie einen App-Namen ein und wählen Sie Konten in einem beliebigen Organisationsverzeichnis (Jeder Microsoft Entra ID Mandant - Multitenant). Legen Sie dann die Umleitungs-URL fest auf http://localhost:33333, der Standardwert des Connectors.
5. Kopieren Sie nach dem Erstellen der Anwendung den Wert der Anwendungs-ID (Client-ID), der im Abschnitt „Übersicht“ angezeigt wird. Dieser Wert wird als verwendet OAuthClientId
6. Definieren Sie den Authentifizierungstyp der App, indem Sie zum Abschnitt „Zertifikate und Geheimnisse“ gehen. Es stehen zwei Arten der Authentifizierung zur Verfügung: mithilfe eines Client-Geheimnisses und mithilfe eines Zertifikats. Die empfohlene Authentifizierungsmethode ist über ein Zertifikat.
   • Option 1 - Hochladen eines Zertifikats: Wählen Sie unter „Zertifikate und Geheimnisse“ Upload certificate und das Zertifikat, das von Ihrem lokalen Computer hochgeladen werden soll.
   • Option 2 - Neues Anwendungsgeheimnis erstellen: Wählen Sie unter „Zertifikate und Geheimnisse“ New Client Secret für die Anwendung und geben Sie deren Dauer an. Nach dem Speichern des Client-Geheimnisses wird der Schlüsselwert angezeigt. Kopieren Sie diesen Wert, da er nur einmal angezeigt wird. Sie verwenden ihn als OAuthClientSecret.
7. Auf der Authentication Tab, unbedingt auswählen Access tokens (used for implicit flows).

Mit Box verbinden

Mit Box verbinden

Verwenden Sie den OAuth-Authentifizierungsstandard, um eine Verbindung mit Box herzustellen. Sie können sich mit einem Benutzerkonto oder einem Dienstkonto authentifizieren. Ein Dienstkonto ist erforderlich, um dem Connector organisationsweite Zugriffsbereiche zu gewähren. Der Connector erleichtert diese Authentifizierungsabläufe wie unten beschrieben.

Benutzerkonten (OAuth)

AuthScheme muss auf gesetzt werden OAuth in allen Benutzerkonto-Flows.

Desktop-Anwendungen

bietet eine eingebettete OAuth-Anwendung, die die OAuth-Desktop-Authentifizierung vereinfacht. Alternativ können Sie eine benutzerdefinierte OAuth-Anwendung erstellen. Siehe Erstellen einer benutzerdefinierten OAuth-App für Informationen zum Erstellen benutzerdefinierter Anwendungen und Gründe dafür.

OAuth-Zugriffstoken abrufen und aktualisieren

Nachdem Sie Folgendes festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• OAuthClientId (nur benutzerdefinierte Anwendungen): Legen Sie hier die Client-ID fest, die Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• OAuthClientSecret (nur benutzerdefinierte Anwendungen): Legen Sie hier das Client-Geheimnis fest, das Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• CallbackURL (nur benutzerdefinierte Anwendung): Legen Sie hier die Umleitungs-URI fest, die Sie bei der Registrierung Ihrer App definiert haben. Beispiel: http://localhost:33333

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint von Box in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Der Connector schließt dann den OAuth-Prozess ab:

1. Der Connector erhält einen Zugriffstoken von Box und verwendet ihn, um Daten anzufordern.
2. Die OAuth-Werte werden an dem in angegebenen Ort gespeichert OAuthSettingsLocation, soll über mehrere Verbindungen hinweg bestehen bleiben.

Der Connector aktualisiert das Zugriffstoken automatisch, wenn es abläuft.

Authentifizieren mit einem Dienstkonto

Setzen Sie die AuthScheme Zu OAuthJWT, um sich mit dieser Methode zu authentifizieren.

Dienstkonten verfügen über eine stille Authentifizierung, ohne Benutzerauthentifizierung im Browser. Sie können ein Dienstkonto auch verwenden, um unternehmensweite Zugriffsbereiche an den Connector zu delegieren.

Sie müssen in diesem Ablauf eine OAuth-Anwendung erstellen. Siehe Erstellen einer benutzerdefinierten OAuth-App, um eine App zu erstellen und zu autorisieren. Sie können dann eine Verbindung zu Box-Daten herstellen, auf die das Dienstkonto Zugriff hat.

Nachdem Sie die folgenden Verbindungseigenschaften festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Auf GETANDREFRESH einstellen.
• OAuthClientId: Stellen Sie die Client-ID in Ihren App-Einstellungen ein.
• OAuthClientSecret: Stellen Sie das Client-Geheimnis in Ihren App-Einstellungen ein.
• OAuthJWTCertType: Auf „PEMKEY_FILE“ setzen.
• OAuthJWTCert: Auf den Pfad zur von Ihnen generierten PEM-Datei setzen.
• OAuthJWTCertPassword: Auf das Passwort der .pem-Datei setzen.
• OAuthJWTCertSubject: Auf "*" setzen, um das erste Zertifikat im Zertifikatsspeicher auszuwählen.
• OAuthJWTSubjectType: Auf „Enterprise“ oder „Benutzer“ einstellen, abhängig vom Anwendungszugriffswert, den Sie in Ihren App-Einstellungen ausgewählt haben. Der Standardwert dieser Verbindungseigenschaft ist „Enterprise“.
• OAuthJWTSubject: Auf Ihre Unternehmens-ID setzen, wenn Ihr Betrefftyp auf „Unternehmen“ eingestellt ist, oder auf Ihre App-Benutzer-ID, wenn Ihr Betrefftyp auf „Benutzer“ eingestellt ist.
• OAuthJWTPublicKeyId: In Ihren App-Einstellungen auf die ID Ihres öffentlichen Schlüssels einstellen.

Wenn Sie eine Verbindung herstellen, schließt der Connector den OAuth-Flow für ein Servicekonto ab.

1. Erstellt und signiert das JWT mit dem vom Connector benötigten Anspruchssatz.
2. Tauscht das JWT gegen das Zugriffstoken aus.
3. Speichert OAuth-Werte in OAuthSettingsLocation soll über mehrere Verbindungen hinweg bestehen bleiben.
4. Sendet das JWT für ein neues Zugriffstoken, wenn das Token abläuft.

Erstellen einer benutzerdefinierten OAuth-App

Erstellen einer benutzerdefinierten OAuth-Anwendung

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die bei der Verbindung über eine Desktop-Anwendung verwendet werden können.

Sie können Ihre eigenen OAuth-Anwendungsanmeldeinformationen verwenden, wenn Sie Folgendes möchten:

• das Branding des Authentifizierungsdialogs steuern
• die Umleitungs-URI steuern möchten, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet
• die Berechtigungen anpassen möchten, die Sie vom Benutzer anfordern

Verfahren

Dieses Verfahren erstellt eine benutzerdefinierte OAuth-Anwendung, registriert diese Anwendung und generiert Werte, die zum Konfigurieren der verwendet werden OAuthClientId Und OAuthClientSecret.

In der Box Enterprise-Entwicklerkonsole:

1. Melden Sie sich bei Ihrem Box-Entwickler-Dashboard an.
2. Klicken Sie auf Create New App.
3. Geben Sie ggf. grundlegende Anwendungsinformationen an.
4. Geben Sie Ihren Anwendungstyp an (z. B. benutzerdefinierte App).
5. Wählen Sie User Authentication (OAuth 2.0) Authentifizierungsmethode.
6. Legen Sie die Umleitungs-URI fest:
   • Wenn dies eine Desktop-Anwendung ist, legen Sie die Umleitungs-URI auf http://localhost:33333 oder eine andere Port.
7. Klicken Sie auf Create App.
8. Die nächste Aufgabe besteht darin, ein öffentliches und privates Schlüsselpaar zu erstellen.

   • To create a keypair from the Developer Console:

     1. Navigieren Sie zur Tab „Entwicklerkonsolenkonfiguration“.

     2. Scrollen Sie nach unten zu Add and Manage Public Keys.

     3. Klicken Sie auf Generate a Public/Private Keypair. Box erstellt ein Schlüsselpaar in einer JSON-Datei,

        und lädt die Datei auf Ihren Desktop herunter. Sie können die Datei dann in Ihren Anwendungscode verschieben.

    ```
    openssl genrsa -des3 -out private.pem 2048

    openssl rsa -in private.pem -outform PEM -pubout -out public.pem
    ```

2. Navigieren Sie in der Entwicklerkonsole zur Tab für die benutzerdefinierte OAuth-Anwendung, die Sie gerade erstellt haben.

3. Scrollen Sie nach unten zu **`Add and Manage Public Keys`**.

4. Klicken Sie auf **`Add a Public Key`**.

5. Klicken Sie auf **`Verify and Save`**.

1. Bevor die benutzerdefinierte Anwendung verwendet werden kann, muss ein Box Administrator sie in der Box Administratorkonsole autorisieren.

   1. Navigieren Sie in der Entwicklerkonsole zu Ihrer Anwendung.

   2. Klicken Sie auf Authorization Tab.

   3. Bei der Eingabeaufforderung zu Submit app for authorization for access to the Enterprise, klick Review and Submit.

      Ihr Box Enterprise-Administrator genehmigt den Antrag. 10. Wählen Sie abschließend den Umfang der Benutzerberechtigungen aus, die Ihre benutzerdefinierte OAuth-Anwendung anfordern muss.

Nachdem Ihre Anwendung erstellt und registriert wurde, klicken Sie auf Configuration aus dem Hauptmenü, um zu Ihren Einstellungen zu gelangen. Beachten Sie die angezeigte Redirect URI, Client ID, Und Client Secret. Sie werden diese Werte später benötigen.

Wenn sich JWT-Zugriffsbereiche ändern

Wenn Sie die JWT-Zugriffsbereiche ändern, müssen Sie die Anwendung in der Enterprise-Admin-Konsole erneut autorisieren:

1. Klicken Sie auf Apps im Hauptmenü.
2. Wählen Sie die Auslassungspunkte-Schaltfläche neben Ihrem JWT-Anwendungsnamen.
3. Wählen Sie Reauthorize App im Menü.

Mit Dropbox verbinden

Mit Dropbox verbinden

Dropbox verwendet den OAuth-Authentifizierungsstandard.

Dropbox OAuth-Bereiche

Sie müssen wählen, ob Sie die eingebettete OAuth-App von verwenden oder eine benutzerdefinierte OAuth-App erstellen.

Die eingebettete App umfasst die folgenden Bereiche:

• account_info.read
• file_requests.read
• files.content.read
• files.content.write
• files.metadata.read
• sharing.read
• sharing.write

Desktop-Anwendungen

bietet eine eingebettete OAuth-Anwendung, die die OAuth-Desktop-Authentifizierung vereinfacht. Alternativ können Sie eine benutzerdefinierte OAuth-Anwendung erstellen. Siehe Erstellen einer benutzerdefinierten OAuth-App für Informationen zum Erstellen benutzerdefinierter Anwendungen und Gründe dafür.

OAuth-Zugriffstoken abrufen und aktualisieren

Nachdem Sie Folgendes festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• OAuthClientId (nur benutzerdefinierte Anwendungen): Legen Sie hier die Client-ID fest, die Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• OAuthClientSecret (nur benutzerdefinierte Anwendungen): Legen Sie hier das Client-Geheimnis fest, das Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• CallbackURL (nur benutzerdefinierte Anwendung): Legen Sie hier die Umleitungs-URI fest, die Sie bei der Registrierung Ihrer App definiert haben. Beispiel: http://localhost:33333

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint von Dropbox in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Anschließend schließt der Connector den OAuth-Prozess ab:

1. Der Connector erhält einen Zugriffstoken von Dropbox und verwendet ihn, um Daten anzufordern.
2. Die OAuth-Werte werden an dem in angegebenen Ort gespeichert OAuthSettingsLocation, soll über mehrere Verbindungen hinweg bestehen bleiben.

Der Connector aktualisiert das Zugriffstoken automatisch, wenn es abläuft.

Erstellen einer benutzerdefinierten OAuth-App

Wann sollte eine benutzerdefinierte OAuth-Anwendung erstellt werden?

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die bei der Verbindung über eine Desktop-Anwendung verwendet werden können.

Sie können Ihre eigenen OAuth-Anwendungsanmeldeinformationen verwenden, wenn Sie Folgendes möchten:

• das Branding des Authentifizierungsdialogs steuern
• die Umleitungs-URI steuern, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet
• die Berechtigungen anpassen, die Sie vom Benutzer anfordern

Erstellen einer benutzerdefinierten OAuth-App

1. Melden Sie sich bei Ihrem Dropbox-Entwickler-Dashboard an und klicken Sie auf „Neue App erstellen“. Wählen Sie den Dropbox-API Typ. Wählen Sie den vollständigen Dropbox-Zugriff für Ihre App.
2. Nachdem Sie Ihre App erstellt haben, können Sie anzeigen Configuration aus dem Hauptmenü, in dem Ihre App-Einstellungen angezeigt werden.
3. Beachten Sie auf der Tab „App-Einstellungen“ die Werte von App key Und App secret für spätere Connector-Konfiguration.
4. Legen Sie die Umleitungs-URI fest und speichern Sie den angegebenen Wert für die spätere Connector-Konfiguration.
   • Wenn Sie eine Desktop-App einrichten, legen Sie die Umleitungs-URI auf http://localhost:33333 oder eine andere Port.
5. Über die App Permissions Tab, wählen Sie den Umfang der Benutzerberechtigungen aus, die Ihre App anfordern soll.

In den Einstellungen der SAS Xpt App müssen keine weiteren Werte angegeben werden.

Mit Google Cloud Storage verbinden

Mit Google Cloud Storage verbinden

Setzen Sie die ProjectId-Eigenschaft auf die ID des Projekts, mit dem Sie sich verbinden möchten.

Authentifizieren bei Google Cloud Storage

Der Connector unterstützt die Verwendung von Benutzerkonten, Dienstkonten und GCP-Instanzkonten zur Authentifizierung.

In den folgenden Abschnitten werden die verfügbaren Authentifizierungsschemata für Google Cloud Storage erläutert:

• Benutzerkonten (OAuth)
• Dienstkonto (OAuthJWT)
• GCP-Instanzkonto

Benutzerkonten (OAuth)

AuthScheme muss auf gesetzt werden OAuth in allen Benutzerkonto-Flows.

Webanwendungen

Wenn Sie eine Verbindung über eine Webanwendung herstellen, müssen Sie eine benutzerdefinierte OAuth-Anwendung erstellen und bei Google Cloud Storage registrieren. Anschließend können Sie den Connector verwenden, um die OAuth-Tokenwerte abzurufen und zu verwalten. Siehe Erstellen einer benutzerdefinierten OAuth-App für weitere Informationen zu benutzerdefinierten Anwendungen.

OAuth-Zugriffstoken abrufen

Legen Sie die folgenden Verbindungseigenschaften fest, um das zu erhalten OAuthAccessToken:

• OAuthClientId: Stellen Sie dies in Ihren Anwendungseinstellungen auf die Client-ID ein.
• OAuthClientSecret: Legen Sie dies in Ihren Anwendungseinstellungen auf das Client-Geheimnis fest.

Rufen Sie dann gespeicherte Prozeduren auf, um den OAuth-Austausch abzuschließen:

1. Rufen Sie GetOAuthAuthorizationURL auf gespeicherte Prozedur. Legen Sie die CallbackURL-Eingabe auf die Callback URL fest, die Sie in Ihren Anwendungseinstellungen angegeben haben. Die gespeicherte Prozedur gibt die URL an den OAuth-Endpoint zurück.
2. Navigieren Sie zu der URL, die die gespeicherte Prozedur in Schritt 1 zurückgegeben hat. Melden Sie sich bei der benutzerdefinierten OAuth-Anwendung an und autorisieren Sie die Webanwendung. Nach der Authentifizierung leitet Sie der Browser zur Rückruf-URL weiter.
3. Rufen Sie den GetOAuthAccessToken gespeicherte Prozedur. Setzen Sie AuthMode auf WEB und den Verifier-Eingang für den Parameter „Code“ in der Abfrage der Rückruf URL.

Sobald Sie die Zugriffs- und Aktualisierungstoken erhalten haben, können Sie eine Verbindung zu Daten herstellen und das OAuth-Zugriffstoken entweder automatisch oder manuell aktualisieren.

Automatische Aktualisierung des OAuth-Zugriffstokens

Damit der Treiber den OAuth-Zugriffstoken automatisch aktualisiert, legen Sie bei der ersten Datenverbindung Folgendes fest:

• InitiateOAuth: Setzen Sie dies auf REFRESH.
• OAuthClientId: Legen Sie dies in Ihren Anwendungseinstellungen auf die Client-ID fest.
• OAuthClientSecret: Legen Sie dies in Ihren Anwendungseinstellungen auf das Client-Geheimnis fest.
• OAuthAccessToken: Setzen Sie dies auf den von GetOAuthAccessToken zurückgegebenen Zugriffstoken.
• OAuthRefreshToken: Setzen Sie dies auf das von GetOAuthAccessToken zurückgegebene Aktualisierungstoken.
• OAuthSettingsLocation: Legen Sie hier den Speicherort fest, an dem der Connector die OAuth-Tokenwerte speichert, die über Verbindungen hinweg bestehen bleiben.

Bei nachfolgenden Datenverbindungen werden die Werte für OAuthAccessToken und OAuthRefreshToken von übernommen OAuthSettingsLocation.

Manuelle Aktualisierung des OAuth-Zugriffstokens

Der einzige Wert, der zum manuellen Aktualisieren des OAuth-Zugriffstokens bei der Verbindung mit Daten benötigt wird, ist das OAuth-Aktualisierungstoken.

Verwenden Sie das RefreshOAuthAccessToken gespeicherte Prozedur zum manuellen Aktualisieren der OAuthAccessToken nach dem von GetOAuthAccessToken zurückgegebenen ExpiresIn-Parameterwert abgelaufen ist, legen Sie die folgenden Verbindungseigenschaften fest:

• OAuthClientId: Legen Sie dies in Ihren Anwendungseinstellungen auf die Client-ID fest.
• OAuthClientSecret: Legen Sie dies in Ihren Anwendungseinstellungen auf das Client-Geheimnis fest.

Rufen Sie dann RefreshOAuthAccessToken auf mit OAuthRefreshToken gesetzt auf das von GetOAuthAccessToken zurückgegebene OAuth-Aktualisierungstoken. Nachdem die neuen Token abgerufen wurden, öffnen Sie eine neue Verbindung, indem Sie die Eigenschaft OAuthAccessToken auf den von RefreshOAuthAccessToken zurückgegebenen Wert setzen.

Speichern Sie abschließend das OAuth-Aktualisierungstoken, damit Sie es nach Ablauf des OAuth-Zugriffstokens manuell aktualisieren können.

Kopflose Maschinen

Um den Treiber zu konfigurieren, verwenden Sie OAuth mit einem Benutzerkonto auf einem Headless-Computer. Sie müssen sich auf einem anderen Gerät authentifizieren, das über einen Internetbrowser verfügt.

1. Wählen Sie eine von zwei Optionen:
   • Option 1: Erhalten Sie die OAuthVerifierWert wie unten unter „Erhalten und Umtauschen eines Prüfcodes“ beschrieben.
   • Option 2: Installieren Sie den Connector auf einem Computer mit einem Internetbrowser und übertragen Sie die OAuth-Authentifizierungswerte, nachdem Sie sich über den üblichen browserbasierten Ablauf authentifiziert haben.
2. Konfigurieren Sie dann den Connector so, dass der Zugriffstoken auf der Headless-Maschine automatisch aktualisiert wird.

Option 1: Einen Verifier-Code erhalten und umtauschen

Um einen Prüfcode zu erhalten, müssen Sie sich bei der OAuth-Autorisierungs URL authentifizieren.

Befolgen Sie die nachstehenden Schritte, um sich vom Computer aus mit einem Internetbrowser zu authentifizieren und die OAuthVerifier Verbindungseigenschaft.

1. Wählen Sie eine dieser Optionen:

   • Wenn Sie die eingebettete OAuth-Anwendung verwenden, klicken Sie auf Google Cloud Storage OAuth-Endpoint, um den Endpoint in Ihrem Browser zu öffnen.

   • Wenn Sie eine benutzerdefinierte OAuth-Anwendung verwenden, erstellen Sie die Autorisierungs-URL, indem Sie die folgenden Eigenschaften festlegen:

     • InitiateOAuth: Auf setzen OFF.
     • OAuthClientId: Auf die Client-ID eingestellt, die Ihnen bei der Registrierung Ihrer Anwendung zugewiesen wurde.
     • OAuthClientSecret: Auf das Client-Geheimnis setzen, das Ihnen bei der Registrierung Ihrer Anwendung zugewiesen wurde.

     Rufen Sie dann GetOAuthAuthorizationURL auf gespeicherte Prozedur mit der entsprechenden CallbackURL. Öffnen Sie die von der gespeicherten Prozedur zurückgegebene URL in einem Browser. 2. Melden Sie sich an und erteilen Sie dem Connector die entsprechenden Berechtigungen. Sie werden dann zur Callback-URL weitergeleitet, die den Prüfcode enthält. 3. Speichern Sie den Wert des Prüfcodes. Später setzen Sie diesen in OAuthVerifier Verbindungseigenschaft.

Als Nächstes müssen Sie den OAuth-Verifiziercode gegen OAuth-Aktualisierungs- und Zugriffstoken austauschen. Legen Sie die folgenden Eigenschaften fest:

Legen Sie auf der Headless-Maschine die folgenden Verbindungseigenschaften fest, um die OAuth-Authentifizierungswerte zu erhalten:

• InitiateOAuth: Setzen Sie dies auf REFRESH.
• OAuthVerifier: Setzen Sie dies auf den Prüfcode.
• OAuthClientId: (nur benutzerdefinierte Anwendungen) Legen Sie dies in den Einstellungen Ihrer benutzerdefinierten OAuth-Anwendung auf die Client-ID fest.
• OAuthClientSecret: (nur benutzerdefinierte Anwendungen) Legen Sie dies in den benutzerdefinierten OAuth-Anwendungseinstellungen auf das Client-Geheimnis fest.
• OAuthSettingsLocation: Legen Sie dies fest, um die verschlüsselten OAuth-Authentifizierungswerte am angegebenen Speicherort beizubehalten.

Nachdem die OAuth-Einstellungsdatei generiert wurde, müssen Sie die folgenden Eigenschaften neu festlegen, um eine Verbindung herzustellen:

• InitiateOAuth: Setzen Sie dies auf REFRESH.
• OAuthClientId: (nur benutzerdefinierte Anwendungen) Legen Sie hier die Client-ID fest, die Ihnen bei der Registrierung Ihrer Anwendung zugewiesen wurde.
• OAuthClientSecret: (nur benutzerdefinierte Anwendungen) Legen Sie hier das Client-Geheimnis fest, das Ihnen bei der Registrierung Ihrer Anwendung zugewiesen wurde.
• OAuthSettingsLocation: Legen Sie dies auf den Speicherort fest, der die verschlüsselten OAuth-Authentifizierungswerte enthält. Stellen Sie sicher, dass dieser Speicherort dem Connector Lese- und Schreibberechtigungen erteilt, um die automatische Aktualisierung des Zugriffstokens zu ermöglichen.

Option 2: OAuth-Einstellungen übertragen

Bevor Sie eine Verbindung auf einem Headless-Computer herstellen, müssen Sie eine Verbindung mit dem Treiber auf einem Gerät herstellen und installieren, das einen Internetbrowser unterstützt. Legen Sie die Verbindungseigenschaften wie oben unter „Desktop-Anwendungen“ beschrieben fest.

Nach Abschluss der Anweisungen unter „Desktopanwendungen“ werden die resultierenden Authentifizierungswerte verschlüsselt und an den durch angegebenen Speicherort geschrieben OAuthSettingsLocation. Der Standarddateiname ist OAuthSettings.txt.

Nachdem Sie die Verbindung erfolgreich getestet haben, kopieren Sie die OAuth-Einstellungsdatei auf Ihren Headless-Rechner.

Legen Sie auf dem Headless-Rechner die folgenden Verbindungseigenschaften fest, um eine Verbindung zu Daten herzustellen:

• InitiateOAuth: Setzen Sie dies auf REFRESH.
• OAuthClientId: (nur benutzerdefinierte Anwendungen) Legen Sie hier die Client-ID fest, die Ihnen bei der Registrierung Ihrer Anwendung zugewiesen wurde.
• OAuthClientSecret: (nur benutzerdefinierte Anwendungen) Legen Sie hier das Client-Geheimnis fest, das Ihnen bei der Registrierung Ihrer Anwendung zugewiesen wurde.
• OAuthSettingsLocation: Legen Sie hier den Speicherort Ihrer OAuth-Einstellungsdatei fest. Stellen Sie sicher, dass dieser Speicherort dem Connector Lese- und Schreibberechtigungen erteilt, um die automatische Aktualisierung des Zugriffstokens zu ermöglichen.

Dienstkonten (OAuthJWT)

Um sich mit einem Dienstkonto zu authentifizieren, müssen Sie ein neues Dienstkonto erstellen und über eine Kopie des Kontozertifikats verfügen. Wenn Sie noch kein Dienstkonto haben, können Sie eines erstellen, indem Sie dem Verfahren unter Erstellen einer benutzerdefinierten OAuth-App folgen.

Legen Sie für eine JSON-Datei diese Eigenschaften fest:

• AuthScheme: Setzen Sie dies auf OAuthJWT.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH.
• OAuthJWTCertType: Setzen Sie dies auf GOOGLEJSON.
• OAuthJWTCert: Setzen Sie hier den Pfad zum .json Datei bereitgestellt von Google.
• OAuthJWTSubject: (optional) Legen Sie diesen Wert nur fest, wenn das Dienstkonto Teil einer GSuite-Domäne ist und Sie die Delegation aktivieren möchten. Der Wert dieser Eigenschaft sollte die Email-Adresse des Benutzers sein, auf dessen Daten Sie zugreifen möchten.

Legen Sie für eine PFX-Datei stattdessen diese Eigenschaften fest:

• AuthScheme: Setzen Sie dies auf OAuthJWT.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH.
• OAuthJWTCertType: Setzen Sie dies auf PFXFILE.
• OAuthJWTCert: Setzen Sie hier den Pfad zum .pfx Datei bereitgestellt von Google.
• OAuthJWTCertPassword: (optional) Setzen Sie dies auf .pfx Dateikennwort. In den meisten Fällen müssen Sie dies angeben, da Google PFX-Zertifikate verschlüsselt.
• OAuthJWTCertSubject: (optional) Legen Sie dies nur fest, wenn Sie ein verwenden OAuthJWTCertType speichert mehrere Zertifikate. Sollte nicht für von Google generierte PFX-Zertifikate festgelegt werden.
• OAuthJWTIssuer: Setzen Sie hier die Email-Adresse des Dienstkontos. Diese Adresse enthält normalerweise die Domäne iam.gserviceaccount.com.
• OAuthJWTSubject: (optional) Legen Sie diesen Wert nur fest, wenn das Dienstkonto Teil einer GSuite-Domäne ist und Sie die Delegation aktivieren möchten. Der Wert dieser Eigenschaft sollte die Email-Adresse des Benutzers sein, auf dessen Daten Sie zugreifen möchten.

GCP-Instanzkonten

Wenn der Connector auf einer virtuellen GCP-Maschine ausgeführt wird, kann er sich mithilfe eines an die virtuelle Maschine gebundenen Dienstkontos authentifizieren. Um diesen Modus zu verwenden, setzen Sie AuthScheme Zu GCPInstanceAccount.

Erstellen einer benutzerdefinierten OAuth-App

Erstellen einer benutzerdefinierten OAuth-Anwendung

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die beim Herstellen einer Verbindung mit SAS Xpt über eine Desktopanwendung oder eine Headless-Maschine verwendet werden können.

(Informationen zum Abrufen und Festlegen der OAuthAccessToken und andere Konfigurationsparameter finden Sie im Abschnitt Desktop-Authentifizierung unter „Herstellen einer Verbindung zu SAS Xpt“.)

Sie müssen jedoch eine benutzerdefinierte OAuth-Anwendung erstellen, um über das Web eine Verbindung zu SAS Xpt herzustellen. Und da benutzerdefinierte OAuth-Anwendungen alle drei häufig verwendeten Authentifizierungsabläufe nahtlos unterstützen, möchten Sie für diese Authentifizierungsabläufe möglicherweise ohnehin benutzerdefinierte OAuth-Anwendungen erstellen (verwenden Sie Ihre eigenen OAuth-Anwendungsanmeldeinformationen).

Benutzerdefinierte OAuth-Anwendungen sind nützlich, wenn Sie:

• Steuerung des Brandings des Authentifizierungsdialogs
• Kontrollieren Sie die Umleitungs-URI, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet.
• Passen Sie die Berechtigungen an, die Sie vom Benutzer anfordern

In den folgenden Abschnitten wird beschrieben, wie Sie die Directory-API aktivieren und benutzerdefinierte OAuth-Anwendungen für Benutzerkonten (OAuth) und Dienstkonten (OAuth/JWT) erstellen.

Aktivieren Sie die Cloud Storage API

Befolgen Sie diese Schritte, um die Cloud Storage API zu aktivieren:

1. Navigieren Sie zur Google Cloud Console.
2. Wählen Sie Library aus dem linken Navigationsmenü. Dies öffnet das Library Seite.
3. Geben Sie im Suchfeld „Cloud Storage API“ ein und wählen Sie Cloud Storage API aus den Suchergebnissen.
4. Auf der Cloud Storage API Seite, klick ENABLE.

Erstellen einer OAuth-Anwendung

Um benutzerdefinierte OAuth-Anwendungen zu erstellen, die die erforderlichen OAuth-Verbindungseigenschaften abrufen, befolgen Sie diese Verfahren.

Benutzerkonten (OAuth)

Für Benutzer, deren AuthScheme Ist OAuth und die sich über eine Webanwendung authentifizieren müssen, müssen Sie immer eine benutzerdefinierte OAuth-Anwendung erstellen. (Für Desktop- und Headless-Flows ist das Erstellen einer benutzerdefinierten OAuth-Anwendung optional.)

Gehen Sie folgendermaßen vor:

1. Navigieren Sie zur Google Cloud Console.
2. Erstellen Sie ein neues Projekt oder wählen Sie ein vorhandenes Projekt aus.
3. Wählen Sie im linken Navigationsmenü Credentials.
4. Wenn für dieses Projekt noch kein Zustimmungsbildschirm konfiguriert ist, klicken Sie auf CONFIGURE CONSENT SCREEN um eines zu erstellen. Wenn Sie kein Google Workspace-Konto verwenden, können Sie nur einen externen Zustimmungsbildschirm erstellen, für den Sie eine Support-Email und eine Email für den Entwickler angeben müssen. Weitere Informationen sind optional.
5. Auf der Credentials Seite, auswählen Create Credentials > OAuth Client ID.
6. Im Application Type Menü, auswählen Web application.
7. Geben Sie einen Namen für Ihre benutzerdefinierte OAuth-Anwendung an.
8. Unter Authorized redirect URIs, klick ADD URI und geben Sie eine Umleitungs-URI ein.
9. Klicken Sie auf Enter, Dann CREATE. Die Cloud Console führt Sie zurück zur Credentials Seite.
   Es öffnet sich ein Fenster, in dem Ihre Client-ID und Ihr Client-Geheimnis angezeigt werden.
10. Notieren Sie die Client-ID und das Client-Geheimnis zur späteren Verwendung als OAuthClientId Und OAuthClientSecret Verbindungseigenschaften.

Dienstkonten (OAuthJWT)

Dienstkonten (AuthScheme OAuthJWT) kann in einem OAuth-Flow verwendet werden, um auf Google APIs zuzugreifen im Namen von

Benutzer in einer Domäne. Ein Domänenadministrator kann domänenweiten Zugriff auf das Dienstkonto delegieren.

So erstellen Sie ein neues Dienstkonto:

1. Navigieren Sie zur Google Cloud Console.
2. Erstellen Sie ein neues Projekt oder wählen Sie ein vorhandenes Projekt aus.
3. Wählen Sie im linken Navigationsmenü Credentials.
4. Wählen Sie Create Credentials > Service account.
5. Auf der Create service account Seite, geben Sie den Dienstkontonamen, die Dienstkonto-ID und optional eine Beschreibung ein.
6. Klicken Sie auf DONE. Die Cloud Console zeigt erneut die Credentials Seite.
7. Im Service Accounts Abschnitt, wählen Sie das Servicekonto aus, das Sie gerade erstellt haben.
8. Klicken Sie auf KEYS Tab.
9. Klicken Sie auf ADD KEY > Create new key.
10. Wählen Sie einen unterstützten Schlüsseltyp aus (siehe OAuthJWTCert Und OAuthJWTCertType).
11. Klicken Sie auf CREATE. Der Schlüssel wird automatisch auf Ihr Gerät heruntergeladen und alle weiteren, für den Schlüssel spezifischen Informationen werden angezeigt.
12. Notieren Sie die zusätzlichen Informationen zur zukünftigen Verwendung.

Um den Servicekonto-Flow abzuschließen, generieren Sie einen privaten Schlüssel in der Google Cloud Console. Im Servicekonto-Flow tauscht der Treiber ein JSON Web Token (JWT) gegen das OAuthAccessToken. Der private Schlüssel ist zum Signieren des JWT erforderlich. Der Treiber verfügt über dieselben Berechtigungen wie das Dienstkonto.

Mit Google Drive verbinden

Authentifizieren bei Google Drive

Der Connector unterstützt die Verwendung von Benutzerkonten, Dienstkonten und GCP-Instanzkonten zur Authentifizierung.

In den folgenden Abschnitten werden die verfügbaren Authentifizierungsschemata für Google Drive erläutert:

• Benutzerkonten (OAuth)
• Dienstkonto (OAuthJWT)
• GCP-Instanzkonto

Benutzerkonten (OAuth)

AuthScheme muss auf gesetzt werden OAuth in allen Benutzerkonto-Flows.

Desktop-Anwendungen

bietet eine eingebettete OAuth-Anwendung, die die OAuth-Desktop-Authentifizierung vereinfacht. Alternativ können Sie eine benutzerdefinierte OAuth-Anwendung erstellen. Siehe Erstellen einer benutzerdefinierten OAuth-App für Informationen zum Erstellen benutzerdefinierter Anwendungen und Gründe dafür.

Der einzige Unterschied zwischen den beiden Methoden zur Authentifizierung besteht darin, dass Sie bei Verwendung benutzerdefinierter OAuth-Anwendungen zwei zusätzliche Verbindungseigenschaften festlegen müssen.

Nachdem Sie die folgenden Verbindungseigenschaften festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH, das den Connector anweist, automatisch zu versuchen, das OAuth-Zugriffstoken abzurufen und zu aktualisieren.
• OAuthClientId: (nur benutzerdefinierte Anwendungen) Legen Sie dies in den Einstellungen Ihrer benutzerdefinierten OAuth-Anwendung auf die Client-ID fest.
• OAuthClientSecret: (nur benutzerdefinierte Anwendungen) Legen Sie dies in den benutzerdefinierten OAuth-Anwendungseinstellungen auf das Client-Geheimnis fest.

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Der Connector schließt dann den OAuth-Prozess wie folgt ab:

• Extrahiert den Zugriffstoken aus der Rückruf URL.
• Erhält einen neuen Zugriffstoken, wenn der alte abläuft.
• Speichert OAuth-Werte in OAuthSettingsLocation die über Verbindungen hinweg bestehen bleiben.

Dienstkonten (OAuthJWT)

Um sich mit einem Dienstkonto zu authentifizieren, müssen Sie ein neues Dienstkonto erstellen und über eine Kopie des Kontozertifikats verfügen. Wenn Sie noch kein Dienstkonto haben, können Sie eines erstellen, indem Sie dem Verfahren unter Erstellen einer benutzerdefinierten OAuth-App folgen.

Legen Sie für eine JSON-Datei diese Eigenschaften fest:

• AuthScheme: Setzen Sie dies auf OAuthJWT.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH.
• OAuthJWTCertType: Setzen Sie dies auf GOOGLEJSON.
• OAuthJWTCert: Setzen Sie hier den Pfad zum .json Datei bereitgestellt von Google.
• OAuthJWTSubject: (optional) Legen Sie diesen Wert nur fest, wenn das Dienstkonto Teil einer GSuite-Domäne ist und Sie die Delegation aktivieren möchten. Der Wert dieser Eigenschaft sollte die Email-Adresse des Benutzers sein, auf dessen Daten Sie zugreifen möchten.

Legen Sie für eine PFX-Datei stattdessen diese Eigenschaften fest:

• AuthScheme: Setzen Sie dies auf OAuthJWT.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH.
• OAuthJWTCertType: Setzen Sie dies auf PFXFILE.
• OAuthJWTCert: Setzen Sie hier den Pfad zum .pfx Datei bereitgestellt von Google.
• OAuthJWTCertPassword: (optional) Setzen Sie dies auf .pfx Dateikennwort. In den meisten Fällen müssen Sie dies angeben, da Google PFX-Zertifikate verschlüsselt.
• OAuthJWTCertSubject: (optional) Legen Sie dies nur fest, wenn Sie ein verwenden OAuthJWTCertType speichert mehrere Zertifikate. Sollte nicht für von Google generierte PFX-Zertifikate festgelegt werden.
• OAuthJWTIssuer: Setzen Sie hier die Email-Adresse des Dienstkontos. Diese Adresse enthält normalerweise die Domäne iam.gserviceaccount.com.
• OAuthJWTSubject: (optional) Legen Sie diesen Wert nur fest, wenn das Dienstkonto Teil einer GSuite-Domäne ist und Sie die Delegation aktivieren möchten. Der Wert dieser Eigenschaft sollte die Email-Adresse des Benutzers sein, auf dessen Daten Sie zugreifen möchten.

GCP-Instanzkonten

Wenn der Connector auf einer virtuellen GCP-Maschine ausgeführt wird, kann er sich mithilfe eines an die virtuelle Maschine gebundenen Dienstkontos authentifizieren. Um diesen Modus zu verwenden, setzen Sie AuthScheme Zu GCPInstanceAccount.

Erstellen einer benutzerdefinierten OAuth-App

Erstellen einer benutzerdefinierten OAuth-Anwendung

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die beim Herstellen einer Verbindung mit SAS Xpt über eine Desktopanwendung oder eine Headless-Maschine verwendet werden können.

(Informationen zum Abrufen und Festlegen der OAuthAccessToken und andere Konfigurationsparameter finden Sie im Abschnitt Desktop-Authentifizierung unter „Herstellen einer Verbindung zu SAS Xpt“.)

Sie müssen jedoch eine benutzerdefinierte OAuth-Anwendung erstellen, um über das Web eine Verbindung zu SAS Xpt herzustellen. Und da benutzerdefinierte OAuth-Anwendungen alle drei häufig verwendeten Authentifizierungsabläufe nahtlos unterstützen, möchten Sie für diese Authentifizierungsabläufe möglicherweise ohnehin benutzerdefinierte OAuth-Anwendungen erstellen (verwenden Sie Ihre eigenen OAuth-Anwendungsanmeldeinformationen).

Benutzerdefinierte OAuth-Anwendungen sind nützlich, wenn Sie:

• Steuerung des Brandings des Authentifizierungsdialogs
• Kontrollieren Sie die Umleitungs-URI, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet.
• Passen Sie die Berechtigungen an, die Sie vom Benutzer anfordern

In den folgenden Abschnitten wird beschrieben, wie Sie die Directory-API aktivieren und benutzerdefinierte OAuth-Anwendungen für Benutzerkonten (OAuth) und Dienstkonten (OAuth/JWT) erstellen.

Aktivieren Sie die Google Drive API

Befolgen Sie diese Schritte, um die Google Drive API zu aktivieren:

1. Navigieren Sie zur Google Cloud Console.
2. Wählen Sie Library aus dem linken Navigationsmenü. Dies öffnet das Library Seite.
3. Geben Sie im Suchfeld "Google Drive API" ein und wählen Sie Google Drive API aus den Suchergebnissen.
4. Auf der Google Drive API Seite, klick ENABLE.

Erstellen einer OAuth-Anwendung

Um benutzerdefinierte OAuth-Anwendungen zu erstellen, die die erforderlichen OAuth-Verbindungseigenschaften abrufen, befolgen Sie diese Verfahren.

Benutzerkonten (OAuth)

Für Benutzer, deren AuthScheme Ist OAuth und die sich über eine Webanwendung authentifizieren müssen, müssen Sie immer eine benutzerdefinierte OAuth-Anwendung erstellen. (Für Desktop- und Headless-Flows ist das Erstellen einer benutzerdefinierten OAuth-Anwendung optional.)

Gehen Sie folgendermaßen vor:

1. Navigieren Sie zur Google Cloud Console.
2. Erstellen Sie ein neues Projekt oder wählen Sie ein vorhandenes Projekt aus.
3. Wählen Sie im linken Navigationsmenü Credentials.
4. Wenn für dieses Projekt noch kein Zustimmungsbildschirm konfiguriert ist, klicken Sie auf CONFIGURE CONSENT SCREEN um eines zu erstellen. Wenn Sie kein Google Workspace-Konto verwenden, können Sie nur einen externen Zustimmungsbildschirm erstellen, für den Sie eine Support-Email und eine Email für den Entwickler angeben müssen. Weitere Informationen sind optional.
5. Auf der Credentials Seite, auswählen Create Credentials > OAuth Client ID.
6. Im Application Type Menü, auswählen Web application.
7. Geben Sie einen Namen für Ihre benutzerdefinierte OAuth-Anwendung an.
8. Unter Authorized redirect URIs, klick ADD URI und geben Sie eine Umleitungs-URI ein.
9. Klicken Sie auf Enter, Dann CREATE. Die Cloud Console führt Sie zurück zur Credentials Seite.
   Es öffnet sich ein Fenster, in dem Ihre Client-ID und Ihr Client-Geheimnis angezeigt werden.
10. Notieren Sie die Client-ID und das Client-Geheimnis zur späteren Verwendung als OAuthClientId Und OAuthClientSecret Verbindungseigenschaften.

Dienstkonten (OAuthJWT)

Dienstkonten (AuthScheme OAuthJWT) kann in einem OAuth-Flow verwendet werden, um auf Google APIs zuzugreifen im Namen von

Benutzer in einer Domäne. Ein Domänenadministrator kann domänenweiten Zugriff auf das Dienstkonto delegieren.

So erstellen Sie ein neues Dienstkonto:

1. Navigieren Sie zur Google Cloud Console.
2. Erstellen Sie ein neues Projekt oder wählen Sie ein vorhandenes Projekt aus.
3. Wählen Sie im linken Navigationsmenü Credentials.
4. Wählen Sie Create Credentials > Service account.
5. Auf der Create service account Seite, geben Sie den Dienstkontonamen, die Dienstkonto-ID und optional eine Beschreibung ein.
6. Klicken Sie auf DONE. Die Cloud Console zeigt erneut die Credentials Seite.
7. Im Service Accounts Abschnitt, wählen Sie das Servicekonto aus, das Sie gerade erstellt haben.
8. Klicken Sie auf KEYS Tab.
9. Klicken Sie auf ADD KEY > Create new key.
10. Wählen Sie einen unterstützten Schlüsseltyp aus (siehe OAuthJWTCert Und OAuthJWTCertType).
11. Klicken Sie auf CREATE. Der Schlüssel wird automatisch auf Ihr Gerät heruntergeladen und alle weiteren, für den Schlüssel spezifischen Informationen werden angezeigt.
12. Notieren Sie die zusätzlichen Informationen zur zukünftigen Verwendung.

Um den Servicekonto-Flow abzuschließen, generieren Sie einen privaten Schlüssel in der Google Cloud Console. Im Servicekonto-Flow tauscht der Treiber ein JSON Web Token (JWT) gegen das OAuthAccessToken. Der private Schlüssel ist zum Signieren des JWT erforderlich. Der Treiber verfügt über dieselben Berechtigungen wie das Dienstkonto.

Mit HTTP-Streams verbinden

Authentisierung über HTTP(S)

Der Connector unterstützt allgemein die Verbindung zu SAS Xpt Daten, die in HTTP(S)-Streams gespeichert sind.

Es werden mehrere Authentifizierungsmethoden unterstützt, z. B. Benutzer/Passwort, Digest-Zugriff, OAuth, OAuthJWT und OAuth PASSWORD-Flow.

Sie können auch eine Verbindung zu Streams herstellen, für die keine Authentifizierung eingerichtet ist.

Keine Authentifizierung

Stellen Sie eine Verbindung zu einem HTTP(S)-Stream ohne Authentifizierung her, indem Sie setzen AuthSchemeVerbindungseigenschaft zu None.

Cookies-basis

Stellen Sie zum Verbinden Folgendes ein:

• AuthScheme: Setzen Sie dies auf Basic.
• User: Legen Sie hier den Benutzernamen fest, der mit Ihrem HTTP(S)-Stream verknüpft ist.
• Password: Legen Sie hier das mit Ihrem HTTP(S)-Stream verknüpfte Passwort fest.

Zusammenfassung

Stellen Sie zum Verbinden Folgendes ein:

• AuthScheme: Setzen Sie dies auf Digest.
• User: Legen Sie hier den Benutzernamen fest, der mit Ihrem HTTP(S)-Stream verknüpft ist.
• Password: Legen Sie hier das mit Ihrem HTTP(S)-Stream verknüpfte Passwort fest.

OAuth

Setzen Sie die AuthScheme Zu OAuth.

OAuth erfordert, dass der authentifizierende Benutzer über den Browser mit SAS Xpt interagiert. Der Connector erleichtert dies auf verschiedene Weise, wie in den folgenden Abschnitten beschrieben.

Bevor Sie die folgenden Verfahren befolgen, müssen Sie eine OAuth-App bei dem Dienst registrieren, der die SAS Xpt-Daten enthält, mit denen Sie arbeiten möchten.

Um in den meisten Diensten eine benutzerdefinierte Anwendung zu erstellen, müssen Sie sich als Entwickler registrieren und eine App in der Benutzeroberfläche des Dienstes erstellen.

Dies gilt nicht unbedingt für alle Dienste. Bei einigen müssen Sie den Dienstanbieter kontaktieren, damit er die App für Sie erstellt. Wie auch immer dies geschieht, Sie müssen die Werte für abrufen OAuthClientId, OAuthClientSecret, Und CallbackURL.

Desktop-Anwendungen

Nachdem Sie die folgenden Verbindungseigenschaften festgelegt haben, können Sie eine Verbindung herstellen:

• OAuthVersion: Stellen Sie dies auf die OAuth-Version ein, entweder 1.0 oder 2.0.
• OAuthRequestTokenURL: Erforderlich für OAuth 1.0. In OAuth 1.0 ist dies die URL, unter der die App eine Anforderung für das Anforderungstoken stellt.
• OAuthAuthorizationURL: Erforderlich für OAuth 1.0 und 2.0. Dies ist die URL, unter der sich der Benutzer beim Dienst anmeldet und der Anwendung Berechtigungen erteilt. In OAuth 1.0 wird das Anforderungstoken autorisiert, wenn Berechtigungen erteilt werden.
• OAuthAccessTokenURL: Erforderlich für OAuth 1.0 und 2.0. Dies ist die URL, an die die Anforderung des Zugriffstokens gestellt wird. In OAuth 1.0 wird das autorisierte Anforderungstoken gegen das Zugriffstoken ausgetauscht.
• OAuthRefreshTokenURL: Erforderlich für OAuth 2.0. In OAuth 2.0 ist dies die URL, unter der das Aktualisierungstoken gegen ein neues Zugriffstoken ausgetauscht wird, wenn das alte abläuft. Beachten Sie, dass dies für Ihre Datenquelle mit der Zugriffstoken-URL identisch sein kann.
• OAuthClientId: Legen Sie dies in Ihren App-Einstellungen auf die Client-ID fest. Dies kann auch als Consumer-Schlüssel bezeichnet werden.
• OAuthClientSecret: Legen Sie dies in Ihren App-Einstellungen auf das Client-Geheimnis fest. Dies kann auch als Consumer-Geheimnis bezeichnet werden.
• CallbackURL: Setzen Sie dies auf http://localhost:33333. Wenn Sie in Ihren App-Einstellungen eine Umleitungs URL angegeben haben, muss diese übereinstimmen.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Festlegen des Zugriffstokens in der Verbindungszeichenfolge zu vermeiden.

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Anschließend schließt der Connector den OAuth-Prozess ab:

1. Extrahiert das Zugriffstoken aus der Rückruf URL und authentifiziert Anfragen.
2. Aktualisiert den Zugriffstoken, wenn er abläuft.
3. Speichert OAuth-Werte in OAuthSettingsLocation soll über mehrere Verbindungen hinweg bestehen bleiben.

OAuth JWT

Satz AuthScheme Zu OAuthJWT.

Der Connector unterstützt die Verwendung von JWT als Autorisierungsberechtigung in Situationen, in denen ein Benutzer keine interaktive Anmeldung durchführen kann. Nachdem Sie die folgenden Verbindungseigenschaften festgelegt haben, können Sie eine Verbindung herstellen:

• OAuthVersion: Setzen Sie dies auf 2.0.
• OAuthAccessTokenURL: Legen Sie dies auf die URL fest, unter der das JWT gegen ein Zugriffstoken ausgetauscht wird.
• OAuthJWTCert: Stellen Sie hier das Zertifikat ein, das Sie verwenden möchten. In den meisten Fällen ist dies ein Pfad zu einer PEM- oder PFX-Datei.
• OAuthJWTCertType: Stellen Sie hier den richtigen Zertifikatstyp ein. In den meisten Fällen wird dies entweder PEMKEY_FILE oder PFXFILE.
• OAuthJWTCertPassword: Wenn das Zertifikat verschlüsselt ist, legen Sie hier das Verschlüsselung fest.
• OAuthJWTIssuer: Setzen Sie dies auf den Aussteller. Dies entspricht dem Feld iss im JWT.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH.

Beachten Sie, dass der JWT-Signaturalgorithmus nicht direkt festgelegt werden kann. Der Connector unterstützt nur den RS256-Algorithmus.

Der Connector erstellt dann ein JWT mit den folgenden Feldern und sendet es an OAuthAccessTokenURL für ein Zugriffstoken.

• scope Das kommt von Scope sofern angegeben.
• aud Das kommt von OAuthJWTAudience sofern angegeben.
• iss Das kommt von OAuthJWTIssuer.
• iat Dies ist der Zeitpunkt, zu dem das JWT generiert wird.
• exp Dies ist der Wert von iat plus der Wert von OAuthJWTValidityTime.
• sub Das kommt von OAuthJWTSubject sofern angegeben.

OAuthPassword

AuthScheme: Setzen Sie dies auf OAuthPassword.

OAuth erfordert, dass der authentifizierende Benutzer über den Browser mit SAS Xpt interagiert. Der Connector erleichtert dies auf verschiedene Weise, wie in den folgenden Abschnitten beschrieben.

Bevor Sie die folgenden Verfahren befolgen, müssen Sie eine OAuth-App bei dem Dienst registrieren, der die SAS Xpt-Daten enthält, mit denen Sie arbeiten möchten.

Um in den meisten Diensten eine benutzerdefinierte Anwendung zu erstellen, müssen Sie sich als Entwickler registrieren und eine App in der Benutzeroberfläche des Dienstes erstellen.

Dies gilt nicht unbedingt für alle Dienste. Bei einigen müssen Sie den Dienstanbieter kontaktieren, damit er die App für Sie erstellt. Wie auch immer dies geschieht, Sie müssen die Werte für abrufen OAuthClientId, OAuthClientSecret, Und CallbackURL.

Nachdem Sie die folgenden Verbindungseigenschaften festgelegt haben, können Sie eine Verbindung herstellen:

• OAuthVersion: Stellen Sie dies auf die OAuth-Version ein, entweder 1.0 oder 2.0.
• OAuthRequestTokenURL: Erforderlich für OAuth 1.0. In OAuth 1.0 ist dies die URL, unter der die App eine Anforderung für das Anforderungstoken stellt.
• OAuthAuthorizationURL: Erforderlich für OAuth 1.0 und 2.0. Dies ist die URL, unter der sich der Benutzer beim Dienst anmeldet und der Anwendung Berechtigungen erteilt. In OAuth 1.0 wird das Anforderungstoken autorisiert, wenn Berechtigungen erteilt werden.
• OAuthAccessTokenURL: Erforderlich für OAuth 1.0 und 2.0. Dies ist die URL, an die die Anforderung des Zugriffstokens gestellt wird. In OAuth 1.0 wird das autorisierte Anforderungstoken gegen das Zugriffstoken ausgetauscht.
• OAuthRefreshTokenURL: Erforderlich für OAuth 2.0. In OAuth 2.0 ist dies die URL, unter der das Aktualisierungstoken gegen ein neues Zugriffstoken ausgetauscht wird, wenn das alte abläuft. Beachten Sie, dass dies für Ihre Datenquelle mit der Zugriffstoken-URL identisch sein kann.
• OAuthClientId: Legen Sie dies in Ihren App-Einstellungen auf die Client-ID fest. Dies kann auch als Consumer-Schlüssel bezeichnet werden.
• OAuthClientSecret: Legen Sie dies in Ihren App-Einstellungen auf das Client-Geheimnis fest. Dies kann auch als Consumer-Geheimnis bezeichnet werden.
• CallbackURL: Setzen Sie dies auf http://localhost:33333. Wenn Sie in Ihren App-Einstellungen eine Umleitungs URL angegeben haben, muss diese übereinstimmen.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Festlegen des Zugriffstokens in der Verbindungszeichenfolge zu vermeiden.

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Anschließend schließt der Connector den OAuth-Prozess ab:

1. Extrahiert das Zugriffstoken aus der Rückruf URL und authentifiziert Anfragen.
2. Aktualisiert den Zugriffstoken, wenn er abläuft.
3. Speichert OAuth-Werte in OAuthSettingsLocation soll über mehrere Verbindungen hinweg bestehen bleiben.

Herstellen einer Verbindung mit IBM Object Storage

Vor dem Anschließen

Eine neue Instanz von Cloud Object Storage registrieren

Wenn Sie Cloud Object Storage noch nicht in Ihrem IBM Cloud-Konto haben, können Sie das folgende Verfahren befolgen, um eine Instanz von SQL Query in Ihrem Konto zu installieren:

1. Melden Sie sich bei Ihrem IBM Cloud-Konto an.
2. Navigieren Sie zu Cloud Object Storage Seite, wählen Sie einen Namen für Ihre Instanz und klicken Sie auf Create. Sie werden zu der Instanz von Cloud Object Storage weitergeleitet, die Sie gerade erstellt haben.

API Schlüssel

Für die Verbindung mit IBM Cloud Object Storage benötigen Sie ein ApiKey. Diesen erhalten Sie wie folgt:

1. Melden Sie sich bei Ihrem IBM Cloud-Konto an.
2. Navigieren Sie zu den Plattform-API Schlüsseln Seite.
3. Klicken Sie in der mittleren rechten Ecke auf Create an IBM Cloud API Key um einen neuen API Schlüssel zu erstellen.
4. Geben Sie im Popup-Fenster den API Schlüsselnamen an und klicken Sie auf Create. Beachten Sie die ApiKey da Sie nie wieder über das Dashboard darauf zugreifen können.

Herstellen einer Verbindung zu IBM Cloud Object Storage

Satz Region zu Ihrer IBM-Instanzregion.

Authentifizieren bei IBM Cloud Object Storage

Sie können sich bei IBM Cloud Object Storage entweder mit HMAC- oder OAuth-Authentifizierung authentifizieren.

HMAC

Legen Sie zur Authentifizierung die folgenden Eigenschaften fest:

• AccessKey: Legen Sie hier einen IBM-Zugriffsschlüssel (einen Benutzernamen) fest.
• SecretKey: Setzen Sie dies auf einen geheimen IBM-Schlüssel.

Beispiel:

ConnectionType=IBM Object Storage Source;URI=ibmobjectstorage://bucket1/folder1; AccessKey=token1; SecretKey=secret1; Region=eu-gb;

OAuth

Legen Sie Folgendes fest, um die Authentifizierung per OAuth-Authentifizierung durchzuführen.

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um den OAuth-Austausch und das manuelle Festlegen des OAuthAccessTokens zu vermeiden.
• AuthScheme: Setzen Sie dies auf OAuth.
• ApiKey: Legen Sie hier den IBM API Schlüssel fest, der während der Einrichtung notiert wurde.

Zum Beispiel:

ConnectionType=IBM Object Storage Source;URI=ibmobjectstorage://bucket1/folder1; ApiKey=key1; Region=eu-gb; AuthScheme=OAuth; InitiateOAuth=GETANDREFRESH;

Wenn Sie eine Verbindung herstellen, schließt der Connector den OAuth-Prozess ab.

1. Extrahiert das Zugriffstoken und authentifiziert Anfragen.
2. Speichert OAuth-Werte in OAuthSettingsLocation soll über Verbindungen hinweg bestehen bleiben.

Mit OneDrive verbinden

Mit OneDrive verbinden

Sie können mit einem Microsoft Entra ID Benutzer, mit MSI-Authentifizierung oder mit einem Microsoft Entra-Dienstprinzipal eine Verbindung zu OneDrive herstellen.

Microsoft Entra ID Benutzer

AuthScheme muss auf gesetzt werden AzureAD in allen Benutzerkonto-Flows.

Desktop-Anwendungen

bietet eine eingebettete OAuth-Anwendung, die die OAuth-Desktop-Authentifizierung vereinfacht. Alternativ können Sie eine benutzerdefinierte OAuth-Anwendung erstellen. Siehe Erstellen einer benutzerdefinierten OAuth-App für Informationen zum Erstellen benutzerdefinierter Anwendungen und Gründe dafür.

OAuth-Zugriffstoken abrufen und aktualisieren

Nachdem Sie Folgendes festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• OAuthClientId (nur benutzerdefinierte Anwendungen): Legen Sie hier die Client-ID fest, die Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• OAuthClientSecret (nur benutzerdefinierte Anwendungen): Legen Sie hier das Client-Geheimnis fest, das Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• CallbackURL (nur benutzerdefinierte Anwendung): Legen Sie hier die Umleitungs-URI fest, die Sie bei der Registrierung Ihrer App definiert haben. Beispiel: http://localhost:33333

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint der Microsoft Identity Platform in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Anschließend schließt der Connector den OAuth-Prozess ab:

1. Der Connector erhält ein Zugriffstoken von der Microsoft Identity Platform und verwendet es zum Anfordern von Daten.
2. Die OAuth-Werte werden an dem in angegebenen Ort gespeichert OAuthSettingsLocation, soll über mehrere Verbindungen hinweg bestehen bleiben.

Der Connector aktualisiert das Zugriffstoken automatisch, wenn es abläuft.

Microsoft Entra-Dienstprinzipal

Die Authentifizierung als Microsoft Entra-Dienstprinzipal wird über den OAuth-Clientanmeldeinformationsfluss abgewickelt. Es handelt sich dabei nicht um eine direkte Benutzerauthentifizierung. Stattdessen werden Anmeldeinformationen nur für die Anwendung selbst erstellt. Alle von der App ausgeführten Aufgaben werden ohne Standardbenutzerkontext, sondern basierend auf den zugewiesenen Rollen ausgeführt. Der Anwendungszugriff auf die Ressourcen wird über die Berechtigungen der zugewiesenen Rollen gesteuert.

Erstellen Sie eine Microsoft Entra ID App und einen Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie eine Microsoft Entra ID Anwendung erstellen und bei einem Microsoft Entra ID Mandanten registrieren. Siehe Erstellen einer Microsoft Entra ID Anwendung für weitere Einzelheiten.

In Ihrer App-Registrierung in portal.azure.com, navigieren Sie zu API Berechtigungen und wählen Sie die Microsoft Graph permissions. Es gibt zwei verschiedene Berechtigungssätze: Delegierte Berechtigungen und Anwendungsberechtigungen. Die während der Client-Anmeldeauthentifizierung verwendeten Berechtigungen finden Sie unter Anwendungsberechtigungen.

Der Anwendung eine Rolle zuweisen

Um auf Ressourcen in Ihrem Abonnement zuzugreifen, müssen Sie der Anwendung eine Rolle zuweisen.

1. Öffnen Sie das Subscriptions Seite, indem Sie den Abonnementdienst in der Suchleiste suchen und auswählen.
2. Wählen Sie das Abonnement aus, dem die Anwendung zugewiesen werden soll.
3. Öffnen Sie die Access control (IAM) und wählen Sie Add > Add role assignment zum Öffnen der Add role assignment Seite.
4. Wählen Sie Owner als Rolle, die Ihrer erstellten Microsoft Entra ID App zugewiesen werden soll.

Authentifizierung abschließen

Wählen Sie, ob Sie ein Clientgeheimnis oder ein Zertifikat verwenden möchten, und befolgen Sie die entsprechenden Schritte unten.

Client-Geheimnis

Legen Sie die folgenden Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipal um ein Client-Geheimnis zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um den OAuth-Austausch und das manuelle Setzen der zu vermeiden OAuthAccessToken.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthClientId: Die Client-ID in Ihren Anwendungseinstellungen.
• OAuthClientSecret: Das Client-Geheimnis in Ihren Anwendungseinstellungen.

Zertifikat

Legen Sie diese Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipalCert um ein Zertifikat zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um eine Wiederholung des OAuth-Austauschs und das manuelle Festlegen des OAuthAccessTokens zu vermeiden.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthJWTCert: Der JWT-Zertifikatspeicher.
• OAuthJWTCertType: Der Typ des Zertifikatspeichers angegeben durch OAuthJWTCert.

Sie sind jetzt bereit, eine Verbindung herzustellen. Die Authentifizierung mit Client-Anmeldeinformationen erfolgt automatisch wie bei jeder anderen Verbindung, außer dass kein Fenster geöffnet wird, das den Benutzer auffordert. Da kein Benutzerkontext vorhanden ist, ist kein Browser-Popup erforderlich. Verbindungen werden hergestellt und intern gehandhabt.

Verwaltete Identitäten für Azure-Ressourcen

Wenn Sie eine Verbindung von einer Azure-VM mit Berechtigungen für Azure Data Lake Storage herstellen, legen Sie fest AuthScheme Zu AzureMSI.

Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Service Principal statt mit einem Client Secret authentifizieren möchten, ist es auch möglich, sich mit einem Client-Zertifikat zu authentifizieren. Legen Sie zur Authentifizierung Folgendes fest:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• AuthScheme: Setzen Sie dies auf AzureServicePrincipal.
• AzureTenant: Stellen Sie dies auf den Mandanten ein, mit dem Sie sich verbinden möchten.
• OAuthGrantType: Setzen Sie dies auf CLIENT.
• OAuthClientId: Legen Sie dies in Ihren App-Einstellungen auf die Client-ID fest.
• OAuthJWTCert: Legen Sie dies auf den JWT-Zertifikatspeicher fest.
• OAuthJWTCertType: Setzen Sie dies auf den Typ des Zertifikatspeichers, der durch angegeben ist OAuthJWTCert.

Erstellen einer benutzerdefinierten OAuth-App

Es gibt zwei Arten von benutzerdefinierten App-Registrierungen: Microsoft Entra ID und Microsoft Entra ID mit einem Microsoft Entra-Dienstprinzipal. Beide sind OAuth-basiert.

Wann sollte eine benutzerdefinierte Anwendung erstellt werden?

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die beim Verbinden über eine Desktop-Anwendung oder von einer Headless-Maschine aus verwendet werden können.

Sie können Ihre eigenen Microsoft Entra ID Anwendungsanmeldeinformationen verwenden, wenn Sie möchten

• Steuerung des Brandings des Authentifizierungsdialogs
• Kontrollieren Sie die Umleitungs-URI, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet.
• Passen Sie die Berechtigungen an, die Sie vom Benutzer anfordern

Benutzerdefinierte Microsoft Entra ID Anwendungen

Sie können eine benutzerdefinierte App-Registrierung verwenden, um ein Dienstkonto oder ein Benutzerkonto zu authentifizieren. Sie können jederzeit eine benutzerdefinierte App-Registrierung erstellen, beachten Sie jedoch, dass Desktop- und Headless-Verbindungen eingebettetes OAuth unterstützen, was den Authentifizierungsprozess vereinfacht. Informationen zur Verwendung der eingebetteten OAuth-Anwendung finden Sie unter „Herstellen einer Verbindung“.

Erstellen einer benutzerdefinierten Microsoft Entra ID App

Befolgen Sie die nachstehenden Schritte, um die Microsoft Entra ID Werte für Ihre Anwendung abzurufen. OAuthClientId Und OAuthClientSecret.

1. Melden Sie sich an bei https://portal.azure.com.

2. Wählen Sie im linken Navigationsbereich All services. Filtern und auswählen App registrations.

3. Klicken Sie auf New registrations.

4. Geben Sie einen Anwendungsnamen ein und wählen Sie das gewünschte Mandanten-Setup aus.

   Beim Erstellen einer benutzerdefinierten App-Registrierung in Microsoft Entra ID können Sie festlegen, ob die Anwendung ein- oder mehrmandantenfähig ist. Wenn Sie die Standardoption „Nur Konten in diesem Organisationsverzeichnis“ auswählen, müssen Sie die AzureTenant Verbindungseigenschaft auf die ID des Microsoft Entra ID Tenants, wenn eine Verbindung mit dem SAS Xpt Connector hergestellt wird. Andernfalls schlägt der Authentifizierungsversuch mit einem Fehler fehl. Wenn Ihre Anwendung nur für den privaten Gebrauch bestimmt ist, sollte „Nur Konten in diesem Organisationsverzeichnis“ ausreichen. Wenn Sie Ihre Anwendung verteilen möchten, wählen Sie andernfalls eine der Multi-Tenant-Optionen.

5. Setzen Sie die Weiterleitungs URL auf http://localhost:33333, der Standard des Connectors. Oder geben Sie einen anderen Port an und setzen Sie CallbackURL an die genaue Antwort-URL, die Sie definiert haben.

6. Klicken Sie auf Register, um die neue Anwendung zu registrieren. Dadurch wird ein Anwendungsverwaltungsbildschirm geöffnet. Beachten Sie den Wert in Application (client) ID als OAuthClientId und das Directory (tenant) ID als AzureTenant.

7. Navigieren Sie zu „Zertifikate und Geheimnisse“ und definieren Sie den Authentifizierungstyp der Anwendung. Es stehen zwei Arten der Authentifizierung zur Verfügung: mithilfe eines Client-Geheimnisses oder eines Zertifikats. Die empfohlene Authentifizierungsmethode ist die Verwendung eines Zertifikats.

   • Option 1: Laden Sie ein Zertifikat hoch: Wählen Sie unter „Zertifikate und Geheimnisse“ Upload certificate und das Zertifikat, das von Ihrem lokalen Computer hochgeladen werden soll.
   • Option 2: Neues Anwendungsgeheimnis erstellen: Wählen Sie unter „Zertifikate und Geheimnisse“ New Client Secret für die Anwendung und geben Sie deren Dauer an. Nach dem Speichern des Client-Geheimnisses wird der Schlüsselwert angezeigt. Kopieren Sie diesen Wert, da er nur einmal angezeigt wird. Sie benötigen ihn als OAuthClientSecret.

8. Wählen Sie API Permissions > Add. Wenn Sie planen, dass Ihre Anwendung ohne Benutzerkontext eine Verbindung herstellt, wählen Sie Application Permissions (OAuthGrantType = CLIENT). Andernfalls verwenden Sie Delegated permissions.

9. Speichern Sie Ihre Änderungen.

10. Wenn Sie Berechtigungen ausgewählt haben, die die Zustimmung des Administrators erfordern (z. B. Anwendungsberechtigungen), können Sie diese vom aktuellen Mandanten aus auf der Seite „API Berechtigungen“ erteilen. Andernfalls befolgen Sie die Schritte unter „Administratorzustimmung“.

Benutzerdefinierte Microsoft Entra-Dienstprinzipalanwendungen

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie sowohl eine benutzerdefinierte App-Registrierung als auch einen Dienstprinzipal erstellen, der auf die erforderlichen Ressourcen zugreifen kann. Befolgen Sie die nachstehenden Schritte, um eine benutzerdefinierte App-Registrierung zu erstellen und die Verbindungseigenschaften für die Microsoft Entra-Dienstprinzipal-Authentifizierung abzurufen.

Erstellen einer benutzerdefinierten Microsoft Entra ID App mit einem Microsoft Entra-Dienstprinzipal

Führen Sie die folgenden Schritte aus, um die Microsoft Entra ID Werte für Ihre Anwendung zu erhalten.

1. Melden Sie sich an bei https://portal.azure.com.
2. Wählen Sie im linken Navigationsbereich All services. Filtern und auswählen App registrations.
3. Klicken Sie auf New registrations.
4. Geben Sie einen App-Namen ein und wählen Sie Konten in einem beliebigen Organisationsverzeichnis (Jeder Microsoft Entra ID Mandant - Multitenant). Legen Sie dann die Umleitungs-URL fest auf http://localhost:33333, der Standardwert des Connectors.
5. Kopieren Sie nach dem Erstellen der Anwendung den Wert der Anwendungs-ID (Client-ID), der im Abschnitt „Übersicht“ angezeigt wird. Dieser Wert wird als verwendet OAuthClientId
6. Definieren Sie den Authentifizierungstyp der App, indem Sie zum Abschnitt „Zertifikate und Geheimnisse“ gehen. Es stehen zwei Arten der Authentifizierung zur Verfügung: mithilfe eines Client-Geheimnisses und mithilfe eines Zertifikats. Die empfohlene Authentifizierungsmethode ist über ein Zertifikat.
   • Option 1 - Hochladen eines Zertifikats: Wählen Sie unter „Zertifikate und Geheimnisse“ Upload certificate und das Zertifikat, das von Ihrem lokalen Computer hochgeladen werden soll.
   • Option 2 - Neues Anwendungsgeheimnis erstellen: Wählen Sie unter „Zertifikate und Geheimnisse“ New Client Secret für die Anwendung und geben Sie deren Dauer an. Nach dem Speichern des Client-Geheimnisses wird der Schlüsselwert angezeigt. Kopieren Sie diesen Wert, da er nur einmal angezeigt wird. Sie verwenden ihn als OAuthClientSecret.
7. Auf der Authentication Tab, unbedingt auswählen Access tokens (used for implicit flows).

Verbinden mit OneLake

Authentifizieren bei OneLake

Sie können sich bei OneLake über den Microsoft Entra ID Benutzer, verwaltete Identitäten für Azure-Ressourcen oder den Microsoft Entra-Dienstprinzipal authentifizieren.

Microsoft Entra ID Benutzer

AuthScheme muss auf gesetzt werden AzureAD in allen Benutzerkonto-Flows.

Desktop-Anwendungen

bietet eine eingebettete OAuth-Anwendung, die die OAuth-Desktop-Authentifizierung vereinfacht. Alternativ können Sie eine benutzerdefinierte OAuth-Anwendung erstellen. Siehe Erstellen einer benutzerdefinierten OAuth-App für Informationen zum Erstellen benutzerdefinierter Anwendungen und Gründe dafür.

OAuth-Zugriffstoken abrufen und aktualisieren

Nachdem Sie Folgendes festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• OAuthClientId (nur benutzerdefinierte Anwendungen): Legen Sie hier die Client-ID fest, die Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• OAuthClientSecret (nur benutzerdefinierte Anwendungen): Legen Sie hier das Client-Geheimnis fest, das Ihnen bei der Registrierung Ihrer App zugewiesen wurde.
• CallbackURL (nur benutzerdefinierte Anwendung): Legen Sie hier die Umleitungs-URI fest, die Sie bei der Registrierung Ihrer App definiert haben. Beispiel: http://localhost:33333

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint der Microsoft Identity Platform in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Anschließend schließt der Connector den OAuth-Prozess ab:

1. Der Connector erhält ein Zugriffstoken von der Microsoft Identity Platform und verwendet es zum Anfordern von Daten.
2. Die OAuth-Werte werden an dem in angegebenen Ort gespeichert OAuthSettingsLocation, soll über mehrere Verbindungen hinweg bestehen bleiben.

Der Connector aktualisiert das Zugriffstoken automatisch, wenn es abläuft.

Microsoft Entra-Dienstprinzipal

Die Authentifizierung als Microsoft Entra-Dienstprinzipal wird über den OAuth-Clientanmeldeinformationsfluss abgewickelt. Es handelt sich dabei nicht um eine direkte Benutzerauthentifizierung. Stattdessen werden Anmeldeinformationen nur für die Anwendung selbst erstellt. Alle von der App ausgeführten Aufgaben werden ohne Standardbenutzerkontext, sondern basierend auf den zugewiesenen Rollen ausgeführt. Der Anwendungszugriff auf die Ressourcen wird über die Berechtigungen der zugewiesenen Rollen gesteuert.

Erstellen Sie eine Microsoft Entra ID App und einen Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie eine Microsoft Entra ID Anwendung erstellen und bei einem Microsoft Entra ID Mandanten registrieren. Siehe Erstellen einer Microsoft Entra ID Anwendung für weitere Einzelheiten.

In Ihrer App-Registrierung in portal.azure.com, navigieren Sie zu API Berechtigungen und wählen Sie die Microsoft Graph permissions. Es gibt zwei verschiedene Berechtigungssätze: Delegierte Berechtigungen und Anwendungsberechtigungen. Die während der Client-Anmeldeauthentifizierung verwendeten Berechtigungen finden Sie unter Anwendungsberechtigungen.

Der Anwendung eine Rolle zuweisen

Um auf Ressourcen in Ihrem Abonnement zuzugreifen, müssen Sie der Anwendung eine Rolle zuweisen.

1. Öffnen Sie das Subscriptions Seite, indem Sie den Abonnementdienst in der Suchleiste suchen und auswählen.
2. Wählen Sie das Abonnement aus, dem die Anwendung zugewiesen werden soll.
3. Öffnen Sie die Access control (IAM) und wählen Sie Add > Add role assignment zum Öffnen der Add role assignment Seite.
4. Wählen Sie Owner als Rolle, die Ihrer erstellten Microsoft Entra ID App zugewiesen werden soll.

Authentifizierung abschließen

Wählen Sie, ob Sie ein Clientgeheimnis oder ein Zertifikat verwenden möchten, und befolgen Sie die entsprechenden Schritte unten.

Client-Geheimnis

Legen Sie die folgenden Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipal um ein Client-Geheimnis zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um den OAuth-Austausch und das manuelle Setzen der zu vermeiden OAuthAccessToken.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthClientId: Die Client-ID in Ihren Anwendungseinstellungen.
• OAuthClientSecret: Das Client-Geheimnis in Ihren Anwendungseinstellungen.

Zertifikat

Legen Sie diese Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipalCert um ein Zertifikat zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um eine Wiederholung des OAuth-Austauschs und das manuelle Festlegen des OAuthAccessTokens zu vermeiden.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthJWTCert: Der JWT-Zertifikatspeicher.
• OAuthJWTCertType: Der Typ des Zertifikatspeichers angegeben durch OAuthJWTCert.

Sie sind jetzt bereit, eine Verbindung herzustellen. Die Authentifizierung mit Client-Anmeldeinformationen erfolgt automatisch wie bei jeder anderen Verbindung, außer dass kein Fenster geöffnet wird, das den Benutzer auffordert. Da kein Benutzerkontext vorhanden ist, ist kein Browser-Popup erforderlich. Verbindungen werden hergestellt und intern gehandhabt.

Verwaltete Identitäten für Azure-Ressourcen

Wenn Sie eine Verbindung von einer Azure-VM mit Berechtigungen für Azure Data Lake Storage herstellen, legen Sie fest AuthScheme Zu AzureMSI.

Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Service Principal statt mit einem Client Secret authentifizieren möchten, ist es auch möglich, sich mit einem Client-Zertifikat zu authentifizieren. Legen Sie zur Authentifizierung Folgendes fest:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Setzen von zu vermeiden OAuthAccessToken.
• AuthScheme: Setzen Sie dies auf AzureServicePrincipal.
• AzureTenant: Stellen Sie dies auf den Mandanten ein, mit dem Sie sich verbinden möchten.
• OAuthGrantType: Setzen Sie dies auf CLIENT.
• OAuthClientId: Legen Sie dies in Ihren App-Einstellungen auf die Client-ID fest.
• OAuthJWTCert: Legen Sie dies auf den JWT-Zertifikatspeicher fest.
• OAuthJWTCertType: Setzen Sie dies auf den Typ des Zertifikatspeichers, der durch angegeben ist OAuthJWTCert.

Erstellen einer benutzerdefinierten OAuth-App

Es gibt zwei Arten von benutzerdefinierten App-Registrierungen: Microsoft Entra ID und Microsoft Entra ID mit einem Microsoft Entra-Dienstprinzipal. Beide sind OAuth-basiert.

Wann sollte eine benutzerdefinierte Anwendung erstellt werden?

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die beim Verbinden über eine Desktop-Anwendung oder von einer Headless-Maschine aus verwendet werden können.

Sie können Ihre eigenen Microsoft Entra ID Anwendungsanmeldeinformationen verwenden, wenn Sie möchten

• Steuerung des Brandings des Authentifizierungsdialogs
• Kontrollieren Sie die Umleitungs-URI, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet.
• Passen Sie die Berechtigungen an, die Sie vom Benutzer anfordern

Benutzerdefinierte Microsoft Entra ID Anwendungen

Sie können eine benutzerdefinierte App-Registrierung verwenden, um ein Dienstkonto oder ein Benutzerkonto zu authentifizieren. Sie können jederzeit eine benutzerdefinierte App-Registrierung erstellen, beachten Sie jedoch, dass Desktop- und Headless-Verbindungen eingebettetes OAuth unterstützen, was den Authentifizierungsprozess vereinfacht. Informationen zur Verwendung der eingebetteten OAuth-Anwendung finden Sie unter „Herstellen einer Verbindung“.

Erstellen einer benutzerdefinierten Microsoft Entra ID App

Befolgen Sie die nachstehenden Schritte, um die Microsoft Entra ID Werte für Ihre Anwendung abzurufen. OAuthClientId Und OAuthClientSecret.

1. Melden Sie sich an bei https://portal.azure.com.

2. Wählen Sie im linken Navigationsbereich All services. Filtern und auswählen App registrations.

3. Klicken Sie auf New registrations.

4. Geben Sie einen Anwendungsnamen ein und wählen Sie das gewünschte Mandanten-Setup aus.

   Beim Erstellen einer benutzerdefinierten App-Registrierung in Microsoft Entra ID können Sie festlegen, ob die Anwendung ein- oder mehrmandantenfähig ist. Wenn Sie die Standardoption „Nur Konten in diesem Organisationsverzeichnis“ auswählen, müssen Sie die AzureTenant Verbindungseigenschaft auf die ID des Microsoft Entra ID Tenants, wenn eine Verbindung mit dem SAS Xpt Connector hergestellt wird. Andernfalls schlägt der Authentifizierungsversuch mit einem Fehler fehl. Wenn Ihre Anwendung nur für den privaten Gebrauch bestimmt ist, sollte „Nur Konten in diesem Organisationsverzeichnis“ ausreichen. Wenn Sie Ihre Anwendung verteilen möchten, wählen Sie andernfalls eine der Multi-Tenant-Optionen.

5. Setzen Sie die Weiterleitungs URL auf http://localhost:33333, der Standard des Connectors. Oder geben Sie einen anderen Port an und setzen Sie CallbackURL an die genaue Antwort-URL, die Sie definiert haben.

6. Klicken Sie auf Register, um die neue Anwendung zu registrieren. Dadurch wird ein Anwendungsverwaltungsbildschirm geöffnet. Beachten Sie den Wert in Application (client) ID als OAuthClientId und das Directory (tenant) ID als AzureTenant.

7. Navigieren Sie zu „Zertifikate und Geheimnisse“ und definieren Sie den Authentifizierungstyp der Anwendung. Es stehen zwei Arten der Authentifizierung zur Verfügung: mithilfe eines Client-Geheimnisses oder eines Zertifikats. Die empfohlene Authentifizierungsmethode ist die Verwendung eines Zertifikats.

   • Option 1: Laden Sie ein Zertifikat hoch: Wählen Sie unter „Zertifikate und Geheimnisse“ Upload certificate und das Zertifikat, das von Ihrem lokalen Computer hochgeladen werden soll.
   • Option 2: Neues Anwendungsgeheimnis erstellen: Wählen Sie unter „Zertifikate und Geheimnisse“ New Client Secret für die Anwendung und geben Sie deren Dauer an. Nach dem Speichern des Client-Geheimnisses wird der Schlüsselwert angezeigt. Kopieren Sie diesen Wert, da er nur einmal angezeigt wird. Sie benötigen ihn als OAuthClientSecret.

8. Wählen Sie API Permissions > Add a permission > Azure Storage > user_impersonation > Add permissions.

9. Speichern Sie Ihre Änderungen.

10. Wenn Sie Berechtigungen ausgewählt haben, die die Zustimmung des Administrators erfordern (z. B. Anwendungsberechtigungen), können Sie diese vom aktuellen Mandanten aus auf der Seite „API Berechtigungen“ erteilen. Andernfalls befolgen Sie die Schritte unter „Administratorzustimmung“.

Benutzerdefinierte Microsoft Entra-Dienstprinzipalanwendungen

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie sowohl eine benutzerdefinierte App-Registrierung als auch einen Dienstprinzipal erstellen, der auf die erforderlichen Ressourcen zugreifen kann. Befolgen Sie die nachstehenden Schritte, um eine benutzerdefinierte App-Registrierung zu erstellen und die Verbindungseigenschaften für die Microsoft Entra-Dienstprinzipal-Authentifizierung abzurufen.

Erstellen einer benutzerdefinierten Microsoft Entra ID App mit einem Microsoft Entra-Dienstprinzipal

Führen Sie die folgenden Schritte aus, um die Microsoft Entra ID Werte für Ihre Anwendung zu erhalten.

1. Melden Sie sich an bei https://portal.azure.com.
2. Wählen Sie im linken Navigationsbereich All services. Filtern und auswählen App registrations.
3. Klicken Sie auf New registrations.
4. Geben Sie einen App-Namen ein und wählen Sie Konten in einem beliebigen Organisationsverzeichnis (Jeder Microsoft Entra ID Mandant - Multitenant). Legen Sie dann die Umleitungs-URL fest auf http://localhost:33333, der Standardwert des Connectors.
5. Kopieren Sie nach dem Erstellen der Anwendung den Wert der Anwendungs-ID (Client-ID), der im Abschnitt „Übersicht“ angezeigt wird. Dieser Wert wird als verwendet OAuthClientId
6. Definieren Sie den Authentifizierungstyp der App, indem Sie zum Abschnitt „Zertifikate und Geheimnisse“ gehen. Es stehen zwei Arten der Authentifizierung zur Verfügung: mithilfe eines Client-Geheimnisses und mithilfe eines Zertifikats. Die empfohlene Authentifizierungsmethode ist über ein Zertifikat.
   • Option 1 - Hochladen eines Zertifikats: Wählen Sie unter „Zertifikate und Geheimnisse“ Upload certificate und das Zertifikat, das von Ihrem lokalen Computer hochgeladen werden soll.
   • Option 2 - Neues Anwendungsgeheimnis erstellen: Wählen Sie unter „Zertifikate und Geheimnisse“ New Client Secret für die Anwendung und geben Sie deren Dauer an. Nach dem Speichern des Client-Geheimnisses wird der Schlüsselwert angezeigt. Kopieren Sie diesen Wert, da er nur einmal angezeigt wird. Sie verwenden ihn als OAuthClientSecret.
7. Auf der Authentication Tab, unbedingt auswählen Access tokens (used for implicit flows).

Dienstprinzipal zum Arbeitsbereich hinzufügen

Befolgen Sie die nachstehenden Schritte, um einem Arbeitsbereich einen Dienstprinzipal hinzuzufügen.

1. Melden Sie sich bei Microsoft Fabric an.
2. Klicken Sie auf das Zahnradsymbol (Settings) oben rechts.
3. Wählen Sie Admin portal.
4. Wählen Sie im linken Navigationsbereich Tenant settings.
5. Scrollen Sie, bis Sie finden Developer settings.
6. Erweitern Service principals can use Fabric APIs.
7. Aktivieren Sie die Option.
8. Wählen Sie Apply.
9. Wählen Sie den Arbeitsbereich aus, in dem Sie Ihren Dienstprinzipal hinzufügen möchten.
10. Klicken Sie auf Manage access.
11. Klicken Sie auf Add people or groups.
12. Geben Sie den Namen Ihrer Anwendung ein (überprüfen Sie die ID, wenn mehrere Anwendungen mit demselben Namen vorhanden sind).
13. Legen Sie die Zugriffsebene fest, die Sie Ihrer Anwendung gewähren möchten. Contributor ist die niedrigste Sicherheitsstufe, die für den Zugriff auf OneLake über die API erforderlich ist.
14. Wählen Sie Add.

Mit SFTP verbinden

Mit SFTP verbinden

Sie können sich bei SFTP mit einem Benutzer und einem Passwort oder einem SSH-Zertifikat authentifizieren. Darüber hinaus können Sie eine Verbindung zu einem SFTP-Server herstellen, für den keine Authentifizierung aktiviert ist.

Keine Authentifizierung

Satz SSHAuthMode Zu None um eine Verbindung ohne Authentifizierung herzustellen, vorausgesetzt, Ihr Server unterstützt dies.

Passwort

Geben Sie die Benutzeranmeldeinformationen ein, die mit Ihrem SFTP-Server verknüpft sind:

• SSHAuthMode: Setzen Sie dies auf Password.
• SSHUser: Ein Benutzername, der mit Ihrem SFTP-Server verknüpft ist.
• SSHPassword: Das dem Benutzer zugeordnete Passwort.

SSH-Zertifikat

Stellen Sie Folgendes ein, um eine Verbindung herzustellen.

• SSHAuthMode: Setzen Sie dies auf Public_Key.
• SSHClientCert: Geben Sie das SSH-Zertifikat in der durch angegebenen Form an SSHClientCertType (siehe die zugehörige Dokumentation zu dieser Verbindungseigenschaft).
• SSHClientCertType: Der Typ des Schlüsselspeichers, der in angegeben ist SSHClientCert.
• SSHClientCertPassword (optional): Das Zertifikatsspeicher-Passwort.
• SSHClientCertSubject (optional): Wenn sich in Ihrem Schlüsselspeicher mehrere Schlüssel befinden, geben Sie hier den gewünschten Schlüssel mit Namen an.

Herstellen einer Verbindung mit SharePoint Online

Herstellen einer Verbindung mit SharePoint Online (REST)

Die folgenden Authentifizierungsschemata werden für die REST- API unterstützt:

• Microsoft Entra ID MSI
• AzureServicePrincipal

Microsoft Entra ID

Microsoft Entra ID ist ein Verbindungstyp, der OAuth zur Authentifizierung nutzt. OAuth erfordert, dass der authentifizierende Benutzer über einen Internetbrowser mit SAS Xpt interagiert. Der Treiber erleichtert dies auf verschiedene Weise, wie unten beschrieben. Setzen Sie Ihr AuthScheme auf AzureAD. Die unten beschriebenen Microsoft Entra ID Abläufe setzen voraus, dass Sie dies getan haben.

Ihre Organisation benötigt möglicherweise die Zustimmung des Administrators, wenn sie eine neue App-Registrierung für Ihren Azure-Mandanten autorisiert. In allen Microsoft Entra ID Flows erfordert jede Erstinstallation und Verwendung einer App-Registrierung, dass ein Administrator die Anwendung für seinen Azure Mandanten genehmigt.

Desktop-Anwendungen

bietet eine eingebettete OAuth-Anwendung, die die OAuth-Desktopauthentifizierung vereinfacht. Alternativ können Sie eine benutzerdefinierte App-Registrierung erstellen. Siehe Erstellen einer benutzerdefinierten Microsoft Entra ID App für Informationen zum Erstellen benutzerdefinierter Anwendungen und Gründe dafür.

Der einzige Unterschied zwischen den beiden Methoden zur Authentifizierung besteht darin, dass Sie bei Verwendung benutzerdefinierter App-Registrierungen zwei zusätzliche Verbindungseigenschaften festlegen müssen.

Nachdem Sie die folgenden Verbindungseigenschaften festgelegt haben, können Sie eine Verbindung herstellen:

• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können InitiateOAuth verwenden, um die Wiederholung des OAuth-Austauschs und das manuelle Festlegen der zu vermeiden OAuthAccessToken.
• OAuthClientId: (nur benutzerdefinierte Anwendungen) Legen Sie dies in Ihren Anwendungseinstellungen auf die Client-ID fest.
• OAuthClientSecret: (nur benutzerdefinierte Anwendungen) Legen Sie dies in Ihren Anwendungseinstellungen auf das Client-Geheimnis fest.
• CallbackURL: Legen Sie dies in Ihren Anwendungseinstellungen auf die Umleitungs URL fest.

Wenn Sie eine Verbindung herstellen, öffnet der Connector den OAuth-Endpoint in Ihrem Standardbrowser. Melden Sie sich an und erteilen Sie der Anwendung Berechtigungen. Der Connector schließt dann den OAuth-Prozess ab:

1. Extrahiert das Zugriffstoken aus der Rückruf URL und authentifiziert Anfragen.
2. Erhält einen neuen Zugriffstoken, wenn der alte abläuft.
3. Speichert OAuth-Werte in OAuthSettingsLocation. Diese gespeicherten Werte bleiben über Verbindungen hinweg bestehen.

Microsoft Entra-Dienstprinzipal

Die Authentifizierung als Microsoft Entra-Dienstprinzipal wird über den OAuth-Clientanmeldeinformationsfluss abgewickelt. Es handelt sich dabei nicht um eine direkte Benutzerauthentifizierung. Stattdessen werden Anmeldeinformationen nur für die Anwendung selbst erstellt. Alle von der App ausgeführten Aufgaben werden ohne Standardbenutzerkontext, sondern basierend auf den zugewiesenen Rollen ausgeführt. Der Anwendungszugriff auf die Ressourcen wird über die Berechtigungen der zugewiesenen Rollen gesteuert.

Erstellen Sie eine Microsoft Entra ID App und einen Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie eine Microsoft Entra ID Anwendung erstellen und bei einem Microsoft Entra ID Mandanten registrieren. Siehe Erstellen einer Microsoft Entra ID Anwendung für weitere Einzelheiten.

In Ihrer App-Registrierung in portal.azure.com, navigieren Sie zu API Berechtigungen und wählen Sie die Microsoft Graph permissions. Es gibt zwei verschiedene Berechtigungssätze: Delegierte Berechtigungen und Anwendungsberechtigungen. Die während der Client-Anmeldeauthentifizierung verwendeten Berechtigungen finden Sie unter Anwendungsberechtigungen.

Der Anwendung eine Rolle zuweisen

Um auf Ressourcen in Ihrem Abonnement zuzugreifen, müssen Sie der Anwendung eine Rolle zuweisen.

1. Öffnen Sie das Subscriptions Seite, indem Sie den Abonnementdienst in der Suchleiste suchen und auswählen.
2. Wählen Sie das Abonnement aus, dem die Anwendung zugewiesen werden soll.
3. Öffnen Sie die Access control (IAM) und wählen Sie Add > Add role assignment zum Öffnen der Add role assignment Seite.
4. Wählen Sie Owner als Rolle, die Ihrer erstellten Microsoft Entra ID App zugewiesen werden soll.

Authentifizierung abschließen

Wählen Sie, ob Sie ein Clientgeheimnis oder ein Zertifikat verwenden möchten, und befolgen Sie die entsprechenden Schritte unten.

Client-Geheimnis

Legen Sie die folgenden Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipal um ein Client-Geheimnis zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um den OAuth-Austausch und das manuelle Setzen der zu vermeiden OAuthAccessToken.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthClientId: Die Client-ID in Ihren Anwendungseinstellungen.
• OAuthClientSecret: Das Client-Geheimnis in Ihren Anwendungseinstellungen.

Zertifikat

Legen Sie diese Verbindungseigenschaften fest:

• AuthScheme: AzureServicePrincipalCert um ein Zertifikat zu verwenden.
• InitiateOAuth: GETANDREFRESH. Sie können verwenden InitiateOAuth um eine Wiederholung des OAuth-Austauschs und das manuelle Festlegen des OAuthAccessTokens zu vermeiden.
• AzureTenant: Der Mandant, mit dem Sie sich verbinden möchten.
• OAuthJWTCert: Der JWT-Zertifikatspeicher.
• OAuthJWTCertType: Der Typ des Zertifikatspeichers angegeben durch OAuthJWTCert.

Sie sind jetzt bereit, eine Verbindung herzustellen. Die Authentifizierung mit Client-Anmeldeinformationen erfolgt automatisch wie bei jeder anderen Verbindung, außer dass kein Fenster geöffnet wird, das den Benutzer auffordert. Da kein Benutzerkontext vorhanden ist, ist kein Browser-Popup erforderlich. Verbindungen werden hergestellt und intern gehandhabt.

MSI

Wenn Sie SAS Xpt auf einer Azure-VM ausführen, können Sie die Anmeldeinformationen der Managed Service Identity (MSI) für die Verbindung nutzen:

• AuthScheme: Setzen Sie dies auf AzureMSI.

Die MSI-Anmeldeinformationen werden zur Authentifizierung automatisch abgerufen.

Microsoft Entra-Dienstprinzipal

Wenn Sie sich mit einem Microsoft Entra-Dienstprinzipal authentifizieren, müssen Sie eine Anwendung bei einem Microsoft Entra ID Mandanten registrieren.

Der Anwendung eine Rolle zuweisen

Um auf Ressourcen in Ihrem Abonnement zuzugreifen, müssen Sie der Anwendung eine Rolle zuweisen.

1. Öffnen Sie das Subscriptions Seite, indem Sie den Abonnementdienst in der Suchleiste suchen und auswählen.
2. Wählen Sie das jeweilige Abonnement aus, dem die Anwendung zugewiesen werden soll.
3. Öffnen Sie die Access control (IAM) und wählen Sie Add > Add role assignment zum Öffnen der Add role assignment Seite.
4. Wählen Sie Owner als Rolle, die Ihrer erstellten Microsoft Entra ID App zugewiesen werden soll.

Authentifizieren mit einem Microsoft Entra-Dienstprinzipal

Sie können eine Verbindung herstellen, nachdem Sie eine der folgenden Verbindungseigenschaftengruppen festgelegt haben, abhängig von der konfigurierten App-Authentifizierung (Client-Geheimnis oder Zertifikat).

Bevor Sie sich für die Client-Geheimnis- oder Zertifikatauthentifizierung entscheiden, legen Sie Folgendes fest:

• AuthScheme: Setzen Sie dies auf AzureServicePrincipal in Ihren App-Einstellungen.
• InitiateOAuth: Setzen Sie dies auf GETANDREFRESH. Sie können verwenden InitiateOAuth um den OAuth-Austausch und das manuelle Setzen der zu vermeiden OAuthAccessToken.
• AzureTenant: Stellen Sie dies auf den Mandanten ein, mit dem Sie sich verbinden möchten.
• OAuthClientId: Legen Sie dies in Ihren App-Einstellungen auf die Client-ID fest.
• OAuthGrantType: Setzen Sie dies auf CLIENT.

Option 1: Authentifizierung mit einem Client Secret

Legen Sie Folgendes fest, um sich mit einem Client-Geheimnis zu authentifizieren:

• OAuthClientId: Legen Sie dies in Ihren App-Einstellungen auf die Client-ID fest.
• OAuthClientSecret: Legen Sie dies in Ihren App-Einstellungen auf das Client-Geheimnis fest.

Option 2: Authentifizierung mit einem JWT-Zertifikat

Legen Sie Folgendes fest, um sich mit einem JWT-Zertifikat zu authentifizieren:

• OAuthJWTCert: Legen Sie dies auf den JWT-Zertifikatspeicher fest.
• OAuthJWTCertType: Setzen Sie dies auf den Typ des Zertifikatspeichers, der durch angegeben ist OAuthJWTCert.

Herstellen einer Verbindung zu SharePoint Online (SOAP)

Die folgenden Authentifizierungen werden für die SOAP API unterstützt:

• Benutzeranmeldeinformationen
• ADFS
• Okta
• OneLogin

Benutzeranmeldeinformationen

ADFS

Setzen Sie die AuthScheme Zu ADFS. Sie müssen die folgenden Verbindungseigenschaften festlegen:

• User: Stellen Sie dies auf den ADFS-Benutzer ein.
• Password: Legen Sie hier das ADFS-Passwort für den Benutzer fest.
• SSOLoginURL: Legen Sie dies auf die Basis URL für Ihren ADFS-Server fest.

Unten sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme=ADFS;User=ADFSUserName;Password=ADFSPassword;URL='http://sharepointserver/mysite';

Okta

Setzen Sie die AuthScheme Zu Okta. Die folgenden Verbindungseigenschaften werden zum Herstellen einer Verbindung mit Okta verwendet:

• User: Stellen Sie dies auf den Okta-Benutzer ein.
• Password: Legen Sie hier das Okta-Passwort für den Benutzer fest.
• SSOLoginURL: Legen Sie dies auf den eingebetteten Link Ihrer Okta-Anwendungen fest.

Nachfolgend sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme=Okta;User=oktaUserName;Password=oktaPassword;URL='http://sharepointserver/mysite';

OneLogin

Setzen Sie die AuthScheme Zu OneLogin. Die folgenden Verbindungseigenschaften werden zum Herstellen einer Verbindung mit OneLogin verwendet:

• User: Legen Sie dies auf den OneLogin-Benutzer fest.
• Password: Legen Sie hier das OneLogin-Passwort für den Benutzer fest.

Nachfolgend sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme=OneLogin;User=OneLoginUserName;Password=OneLoginPassword;URL='http://sharepointserver/mysite';

Erstellen einer benutzerdefinierten Microsoft Entra ID App

Wann sollte eine benutzerdefinierte OAuth-App erstellt werden?

bettet OAuth-Anwendungsanmeldeinformationen mit Branding ein, die bei der Verbindung über eine Desktop-Anwendung oder von einem Headless-Computer aus verwendet werden können. Bei Verwendung einer Webanwendung ist jedoch das Erstellen einer benutzerdefinierten OAuth-Anwendung erforderlich.

Sie können Ihre eigenen OAuth-Anwendungsanmeldeinformationen erstellen, wenn Sie Folgendes möchten:

• das Branding des Authentifizierungsdialogs steuern
• die Umleitungs-URI steuern, zu der die Anwendung den Benutzer nach der Authentifizierung umleitet
• die Berechtigungen anpassen, die Sie vom Benutzer anfordern

Erstellen einer benutzerdefinierten OAuth-App

Befolgen Sie die nachstehenden Schritte, um OAuth-Werte für Ihre App abzurufen. OAuthClientId Und OAuthClientSecret.

1. Melden Sie sich beim Azure Portal an.
2. Wählen Sie im linken Navigationsbereich Microsoft Entra ID > App Registrations und klick Add.
3. Geben Sie einen Anwendungsnamen ein und wählen Sie Konten in einem beliebigen Organisationsverzeichnis (Jeder Microsoft Entra ID Mandant - Multitenant). Legen Sie dann die Umleitungs URL fest auf http://localhost:33333, die Standardeinstellung des Anschlusses oder einen anderen Port Ihrer Wahl und setzen Sie CallbackURL an die genaue Antwort-URL, die Sie definiert haben.
4. Navigieren Sie nach dem Erstellen der App zum Abschnitt „Zertifikate und Geheimnisse“, erstellen Sie ein Client-Geheimnis für die Anwendung und wählen Sie eine Dauer aus.
5. Nachdem Sie den Schlüssel gespeichert haben, wird der Schlüsselwert einmal angezeigt. Set OAuthClientSecret auf den angezeigten Wert. Setze OAuthClientId zur Anwendungs-ID.
6. Wählen Sie API Permissions und klick Add. Wenn Sie planen, dass Ihre Anwendung eine Verbindung ohne Benutzerkontext herstellt, wählen Sie die Anwendungsberechtigungen (OAuthGrantType = CLIENT). Andernfalls verwenden Sie beim Auswählen der Berechtigungen die delegierten Berechtigungen.
7. Klicken Sie im Abschnitt API Berechtigungen auf Add a permission und wählen Sie Sharepoint. Wählen Sie die Berechtigungen aus, die Ihre App haben soll. Um Listen anzuzeigen und zu bearbeiten, müssen Sie (mindestens) die auswählen AllSites.Manage Erlaubnis.
8. Speichern Sie Ihre Änderungen.
9. Wenn Sie Berechtigungen ausgewählt haben, die eine Administratorzustimmung erfordern (z. B. Anwendungsberechtigungen), können Sie diese vom aktuellen Mandanten aus auf der Seite „API Berechtigungen“ erteilen. Andernfalls befolgen Sie die Schritte unter „OAuth: Administratorzustimmung“ in Herstellen einer Verbindung.

SSO-Verbindungen

Authentifizieren mit SSO

Microsoft Entra ID

Azure AD-Konfiguration

Das Hauptthema hinter dieser Konfiguration ist der OAuth 2.0 On-Behalf-Of-Flow. Es sind zwei Microsoft Entra ID Anwendungen erforderlich:

1. Eine Anwendung, die für den Single-Sign-On-Prozess bei einem bestimmten Dienstanbieter verwendet wird.

   • Amazon S3: Bitte folgen Sie diesem Link für detaillierte Anweisungen zum Erstellen dieser Anwendung. Stellen Sie sicher, dass Sie die Verbindung testen und sich mit der Microsoft Entra ID bei der AWS-Konsole anmelden können.

     Speichern Sie den Schritt „Microsoft Entra ID Testbenutzer zuweisen“ bis nach der Provisionierung, damit Sie bei der Benutzerzuweisung die AWS-Rollen auswählen können.

2. Eine „Connector“-Anwendung mit user_impersonation Berechtigung für die SSO-Anwendung, die Sie im vorherigen Schritt erstellt haben.

   Gehe zu Microsoft Entra ID > App Registrierungen und registrieren Sie eine neue Anwendung. Nachdem Sie diese Anwendung registriert haben, müssen Sie ihr erlauben, API Aufrufe an die SSO-Anwendung zu tätigen. Gehen Sie zu API permissions Abschnitt der App, die Sie registriert haben, und klicken Sie auf das Feld „Berechtigung hinzufügen“. Wählen Sie die API Ihrer SSO-Anwendung aus, indem Sie den API Namen oder die Anwendungs-ID angeben, und fügen Sie die Berechtigung „user_impersonation“ hinzu.

Gemeinsame Treibereigenschaften

Die folgende SSOProperties werden zur Authentifizierung gegenüber der Microsoft Entra ID benötigt und müssen bei jedem Dienstanbieter angegeben werden.

• Ressource: Die Anwendungs-ID-URI der SSO-Anwendung, aufgeführt im Overview Abschnitt der App-Registrierung.
• Mandant: Die ID des Microsoft Entra ID Mandanten, bei dem die Anwendungen registriert sind. Sie können diesen Wert mithilfe der hier zu findenden Anweisungen finden.

Wir werden die SSO- SAML Antwort aus einem OAuth 2.0 On-Behalf-Of-Flow abrufen, daher müssen die folgenden OAuth-Verbindungseigenschaften angegeben werden:

• OAuthClientId: Die Anwendungs-ID der Connector-Anwendung, die im Abschnitt „Übersicht“ der App-Registrierung aufgeführt ist.
• OAuthClientSecret: Der geheime Clientschlüsselwert der Connector-Anwendung. Microsoft Microsoft Entra ID zeigt diesen an, wenn Sie einen neuen geheimen Clientschlüssel erstellen (Abschnitt „Zertifikate und Geheimnisse“).

Amazon S3

Zusätzlich zu den allgemeinen Eigenschaften müssen beim Herstellen einer Verbindung zum Amazon S3 Dienstanbieter die folgenden Eigenschaften angegeben werden:

• AuthScheme: Setzen Sie die AuthScheme Zu AzureAD.
• AWSRoleARN: Die ARN der IAM- Rolle. Diese finden Sie auf der Übersichtsseite der IAM Rolle.
• AWSPrincipalARN: Die ARN des Identitätsanbieters. Diese finden Sie auf der Übersichtsseite des Identitätsanbieters.

Nachfolgend sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme=AzureAD;InitiateOAuth=GETANDREFRESH;OAuthClientId=d593a1d-ad89-4457-872d-8d7443aaa655;OauthClientSecret=g9-oy5D_rl9YEKfN-45~3Wm8FgVa2F;SSOProperties='Tenant=94be7-edb4-4fda-ab12-95bfc22b232f;Resource=https://signin.aws.amazon.com/saml;';AWSRoleARN=arn:aws:iam:2153385180:role/AWS_AzureAD;AWSPrincipalARN=arn:aws:iam:215515180:saml-provider/AzureAD;

OneLogin

OneLogin-Konfiguration

Sie müssen eine Anwendung erstellen, die für den Single-Sign-On-Prozess bei einem bestimmten Anbieter verwendet wird.

• Sharepoint SOAP: Bitte folgen Sie diesem Link für detaillierte Anweisungen zum Erstellen dieser Anwendung. Stellen Sie sicher, dass Sie die Verbindung testen und sich von OneLogin aus bei Office 365 anmelden können. Stellen Sie sicher, dass Sie WS-TRUST in Ihrer Anwendung aktiviert haben. Andernfalls kann der Treiber keine Verbindung herstellen.

Sharepoint-SOAP

Beim Herstellen einer Verbindung zum Sharepoint-SOAP Dienstanbieter müssen die folgenden Eigenschaften angegeben werden:

• AuthScheme: Setzen Sie die AuthScheme Zu OneLogin.
• User: Der Benutzername des OneLogin-Kontos.
• Password: Das Passwort des OneLogin-Kontos.
• SSOProperties:
  • Domäne (optional): Es kann erforderlich sein, diese Eigenschaft festzulegen, wenn die in der SSO-Domäne konfigurierte Domäne sich von der Domäne der unterscheidet User.

Nachfolgend sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme='OneLogin';User=test;Password=test;SSOProperties='Domain=test.cdata;';

Okta

Okta-Konfiguration

Sie müssen eine Anwendung erstellen, die für den Single-Sign-On-Prozess bei einem bestimmten Anbieter verwendet wird.

• Sharepoint SOAP: Bitte folgen Sie diesem Link für detaillierte Anweisungen zum Erstellen dieser Anwendung und Konfigurieren von SSO. Stellen Sie sicher, dass Sie die Verbindung testen und sich von Okta aus bei Office 365 anmelden können. Stellen Sie sicher, dass Sie SSO mithilfe von WS-Federation in Ihrer Anwendung konfiguriert haben. Andernfalls kann der Treiber keine Verbindung herstellen.
• Amazon S3: Bitte folgen Sie diesem Link für detaillierte Anweisungen zum Erstellen dieser Anwendung und Konfigurieren von SSO. Stellen Sie sicher, dass Sie die Verbindung testen und sich von Okta aus bei AWS anmelden können. Stellen Sie sicher, dass Sie SSO mit SAML 2.0 in Ihrer Anwendung konfiguriert haben. Andernfalls kann der Treiber keine Verbindung herstellen. Stellen Sie sicher, dass die zugewiesene AWS- Rolle in der Okta-App Zugriff auf den S3-Bucket hat, den Sie verbinden möchten.

Sharepoint-SOAP

Beim Herstellen einer Verbindung zum Sharepoint-SOAP Dienstanbieter müssen die folgenden Eigenschaften angegeben werden:

• AuthScheme: Setzen Sie die AuthScheme Zu Okta.
• User: Der Benutzername des Okta-Kontos.
• Password: Das Passwort des Okta-Kontos.
• SSOProperties:
  • Domäne (optional): Es kann erforderlich sein, diese Eigenschaft festzulegen, wenn die in der SSO-Domäne konfigurierte Domäne sich von der Domäne der unterscheidet User.

Nachfolgend sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme='Okta';User=test;Password=test;SSOProperties='Domain=test.cdata;';

Amazon S3

Beim Herstellen einer Verbindung mit einem Amazon S3 Dienstanbieter müssen die folgenden Eigenschaften angegeben werden:

• AuthScheme: Setzen Sie die AuthScheme Zu Okta.
• User: Der Benutzername des Okta-Kontos.
• Password: Das Passwort des Okta-Kontos.
• SSOLoginURL: Legen Sie dies auf die eingebettete URL Ihrer AWS Okta SSO-App fest.
• AWSRoleARN (optional): Die ARN der IAM- Rolle. Diese finden Sie auf der Übersichtsseite der IAM- Rolle.
• AWSPrincipalARN (optional): Die ARN des Identitätsanbieters. Diese finden Sie auf der Übersichtsseite des Identitätsanbieters.
• SSOProperties:
  • APIToken (optional): Legen Sie hier das API Token fest, das der Kunde aus der Okta-Organisation erstellt hat. Es sollte verwendet werden, wenn ein Benutzer über eine vertrauenswürdige Anwendung oder einen Proxy authentifiziert wird, der den Okta Client-Anforderungskontext überschreibt.

Nachfolgend sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme=Okta;User=OktaUser;Password=OktaPassword;SSOLoginURL='https://{subdomain}.okta.com/home/amazon_aws/0oan2hZLgQiy5d6/272';

ADFS

ADFS-Konfiguration

Sie müssen eine Anwendung erstellen, die für den Single-Sign-On-Prozess bei einem bestimmten Anbieter verwendet wird.

• Sharepoint SOAP: Bitte folgen Sie diesem Link für detaillierte Anweisungen zum Einrichten von ADFS für Office 365 für Single Sign-On. Stellen Sie sicher, dass Sie die Verbindung testen und sich von ADFS aus bei Office 365 anmelden können.
• Amazon S3: Bitte folgen Sie diesem Link für detaillierte Anweisungen zum Einrichten von ADFS für AWS Single Sign-On. Stellen Sie sicher, dass Sie die Verbindung testen und sich von ADFS aus bei AWS anmelden können.

Sharepoint-SOAP

Beim Herstellen einer Verbindung mit einem Sharepoint-SOAP Dienstanbieter müssen die folgenden Eigenschaften angegeben werden:

• AuthScheme: Setzen Sie die AuthScheme Zu ADFS.
• User: Der Benutzername des ADFS-Kontos.
• Password: Das Passwort des ADFS-Kontos.
• SSOProperties:
  • Domäne (optional): Es kann erforderlich sein, diese Eigenschaft festzulegen, wenn die in der SSO-Domäne konfigurierte Domäne sich von der Domäne der unterscheidet User.

Nachfolgend sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme='ADFS';User=test;Password=test;SSOProperties='Domain=test.cdata;';

Amazon S3

Beim Herstellen einer Verbindung mit einem Sharepoint-SOAP Dienstanbieter müssen die folgenden Eigenschaften angegeben werden:

• AuthScheme: Setzen Sie die AuthScheme Zu ADFS.
• SSOLoginURL: Legen Sie dies auf die URL Ihrer ADFS-Instanz fest.
• User: Der Benutzername des ADFS-Kontos.
• Password: Das Passwort des ADFS-Kontos.
• AWSRoleARN (optional): Die ARN der IAM- Rolle. Diese finden Sie auf der Übersichtsseite der IAM- Rolle.
• AWSPrincipalARN (optional): Die ARN des Identitätsanbieters. Diese finden Sie auf der Übersichtsseite des Identitätsanbieters.

Nachfolgend sehen Sie ein Beispiel für eine Verbindungszeichenfolge:

AuthScheme=ADFS;User=username;Password=password;SSOLoginURL='https://sts.company.com';

ADFS integriert

Der ADFS-integrierte Fluss zeigt an, dass Sie eine Verbindung mit herstellen currently logged in Windows user credentials. Um den integrierten ADFS-Flow zu verwenden, geben Sie einfach nicht die User Und Password, aber befolgen Sie ansonsten die gleichen Schritte wie in der ADFS-Anleitung oben.

Kerberos verwenden

Kerberos

Um sich mit Kerberos bei SAS Xpt zu authentifizieren, setzen Sie AuthScheme Zu NEGOTIATE.

Für die Authentifizierung bei SAS Xpt über Kerberos müssen Sie Authentifizierungseigenschaften definieren und auswählen, wie Kerberos Authentifizierungstickets abrufen soll.

Abrufen von Kerberos-Tickets

Kerberos-Tickets werden verwendet, um die Identität des Anforderers zu authentifizieren. Durch die Verwendung von Tickets anstelle von formellen Logins/Passwörtern entfällt die Notwendigkeit, Passwörter lokal zu speichern oder über ein Netzwerk zu senden. Benutzer werden erneut authentifiziert (Tickets werden aktualisiert), wenn sie sich an ihrem lokalen Computer anmelden oder kinit USER in der Eingabeaufforderung.

Der Connector bietet drei Möglichkeiten, das erforderliche Kerberos-Ticket abzurufen, je nachdem, ob der KRB5CCNAME und/oder KerberosKeytabFile Variablen sind in Ihrer Umfeld vorhanden.

MIT Kerberos-Anmeldeinformations-Cache-Datei

Mit dieser Option können Sie den MIT Kerberos Ticket Manager verwenden oder kinit Befehl zum Abrufen von Tickets. Mit dieser Option ist es nicht erforderlich, den User oder Password Verbindungseigenschaften.

Diese Option erfordert, dass KRB5CCNAME wurde in Ihrem System erstellt.

So aktivieren Sie den Ticketabruf über MIT Cerberos Credential Cache Files:

1. Stellen Sie sicher, dass KRB5CCNAME Variable ist in Ihrer Umfeld vorhanden.
2. Satz KRB5CCNAME zu einem Pfad, der auf Ihre Anmeldeinformations-Cachedatei verweist. (Beispiel: C:\krb_cache\krb5cc_0 oder /tmp/krb5cc_0.) Die Anmeldeinformations-Cachedatei wird erstellt, wenn Sie den MIT Kerberos Ticket Manager zum Generieren Ihres Tickets verwenden.

3. So erhalten Sie ein Ticket:

   1. Öffnen Sie die Anwendung MIT Kerberos Ticket Manager.
   2. Klicken Sie auf Get Ticket.
   3. Geben Sie Ihren Hauptnamen und Ihr Passwort ein.
   4. Klicken Sie auf OK.

   Wenn das Ticket erfolgreich abgerufen wurde, werden die Ticketinformationen im Kerberos Ticket Manager angezeigt und in der Anmeldeinformations-Cache-Datei gespeichert.

Der Connector verwendet die Cache-Datei, um das Kerberos-Ticket für die Verbindung mit SAS Xpt abzurufen.

Keytab-Datei

Wenn in Ihrer Umfeld die KRB5CCNAME Umfeld, Sie können ein Kerberos-Ticket mithilfe einer Keytab-Datei abrufen.

Um diese Methode zu verwenden, setzen Sie die User Eigenschaft auf den gewünschten Benutzernamen und legen Sie die KerberosKeytabFile-Eigenschaft auf einen Dateipfad, der auf die mit dem Benutzer verknüpfte Keytab-Datei verweist.

Benutzer und Passwort

Wenn in Ihrer Umfeld die KRB5CCNAME Umfeld und die KerberosKeytabFile-Eigenschaft nicht festgelegt wurde, können Sie ein Ticket mithilfe einer Benutzer- und Passwortkombination abrufen.

Um diese Methode zu verwenden, legen Sie die-Eigenschaft fest **User Und Password Eigenschaften für die Benutzer-/Passwortkombination, die Sie zur Authentifizierung bei SAS Xpt verwenden.

Cross-Realm-Authentifizierung aktivieren

Komplexere Kerberos-Umgebungen können eine Cross-Realm-Authentifizierung erfordern, wenn mehrere Realms und KDC-Server verwendet werden. Beispielsweise können sie einen Realm/KDC für die Benutzerauthentifizierung und einen anderen Realm/KDC zum Abrufen des Servicetickets verwenden.

Um diese Art der Cross-Realm-Authentifizierung zu aktivieren, setzen Sie das KerberosRealm Und KerberosKDC Eigenschaften auf die Werte, die für die Benutzerauthentifizierung erforderlich sind. Setzen Sie außerdem die KerberosServiceRealm Und KerberosServiceKDC Eigenschaften auf die Werte, die zum Erhalt des Servicetickets erforderlich sind.

Wichtige Hinweise

Konfigurationsdateien und ihre Pfade

• Alle Verweise auf das Hinzufügen von Konfigurationsdateien und deren Pfaden beziehen sich auf Dateien und Speicherorte auf dem Jitterbit-Agenten, auf dem der Connector installiert ist. Diese Pfade sind je nach Agent und Operationssystem entsprechend anzupassen. Wenn mehrere Agenten in einer Agentengruppe verwendet werden, werden auf jedem Agenten identische Dateien benötigt.

Erweiterte Funktionen

In diesem Abschnitt wird eine Auswahl erweiterter Funktionen des SAS Xpt Anschlusses detailliert beschrieben.

Benutzerdefinierte Ansichten

Der Connector ermöglicht Ihnen die Definition virtueller Tabellen, sogenannter benutzerdefinierter Ansichten, deren Inhalt durch eine vorkonfigurierte Abfrage bestimmt wird. Diese Ansichten sind nützlich, wenn Sie die an die Treiber gesendeten Abfragen nicht direkt steuern können. Siehe Benutzerdefinierte Ansichten für einen Überblick über das Erstellen und Konfigurieren benutzerdefinierter Ansichten.

SSL-Konfiguration

Verwenden Sie SSL-Konfiguration, um anzupassen, wie der Connector TLS/SSL-Zertifikatsverhandlungen handhabt. Sie können aus verschiedenen Zertifikatsformaten wählen; siehe SSLServerCert-Eigenschaft unter „Verbindungszeichenfolgenoptionen“ für weitere Informationen.

Proxy

So konfigurieren Sie den Connector mit privaten Agent-Proxy-Einstellungen, wählen Sie die Use Proxy Settings Kontrollkästchen auf dem Verbindungskonfigurationsbildschirm.

Abfrageverarbeitung

Der Connector verlagert die Verarbeitung der SELECT-Anweisung so weit wie möglich auf SAS Xpt und verarbeitet den Rest der Abfrage dann im Speicher (clientseitig).

Siehe Abfrageverarbeitung für weitere Informationen.

Benutzerdefinierte Ansichten

Mit dem SAS Xpt Connector können Sie eine virtuelle Tabelle definieren, deren Inhalt durch eine vorkonfigurierte Abfrage bestimmt wird. Diese werden als benutzerdefinierte Ansichten bezeichnet und sind in Situationen nützlich, in denen Sie die an den Treiber gesendete Abfrage nicht direkt steuern können, z. B. wenn Sie den Treiber von Jitterbit verwenden. Die benutzerdefinierten Ansichten können verwendet werden, um Prädikate zu definieren, die immer angewendet werden. Wenn Sie in der Abfrage an die Ansicht zusätzliche Prädikate angeben, werden diese mit der bereits als Teil der Ansicht definierten Abfrage kombiniert.

Es gibt zwei Möglichkeiten, benutzerdefinierte Ansichten zu erstellen:

• Erstellen Sie eine Konfigurationsdatei im JSON-Format, die die gewünschten Ansichten definiert.
• DDL-Anweisungen.

Definieren von Ansichten mithilfe einer Konfigurationsdatei

Benutzerdefinierte Ansichten werden in einer JSON-formatierten Konfigurationsdatei namens UserDefinedViews.json. Der Connector erkennt die in dieser Datei angegebenen Ansichten automatisch.

Sie können auch mehrere Ansichtsdefinitionen haben und diese mit steuern UserDefinedViews Verbindungseigenschaft. Wenn Sie diese Eigenschaft verwenden, werden vom Connector nur die angegebenen Ansichten angezeigt.

Diese Konfigurationsdatei für benutzerdefinierte Ansichten ist wie folgt formatiert:

• Jedes Stammelement definiert den Namen einer Ansicht.
• Jedes Stammelement enthält ein untergeordnetes Element namens query, das die benutzerdefinierte SQL- Abfrage für die Ansicht enthält.

Zum Beispiel:

{
    "MyView": {
        "query": "SELECT * FROM SampleTable_1 WHERE MyColumn = 'value'"
    },
    "MyView2": {
        "query": "SELECT * FROM MyTable WHERE Id IN (1,2,3)"
    }
}

Verwenden Sie die UserDefinedViews Verbindungseigenschaft zur Angabe des Speicherorts Ihrer JSON-Konfigurationsdatei. Beispiel:

"UserDefinedViews", "C:\Users\yourusername\Desktop\tmp\UserDefinedViews.json"

Definieren von Ansichten mit DDL-Anweisungen

Der Connector kann das Schema auch über DDL-Anweisungen wie CREATE LOCAL VIEW, ALTER LOCAL VIEW und DROP LOCAL VIEW erstellen und ändern.

Erstellen einer Ansicht

Um eine neue Ansicht mit DDL-Anweisungen zu erstellen, geben Sie den Ansichtsnamen und die Abfrage wie folgt an:

CREATE LOCAL VIEW`[MeinAnsichtsname] `AS SELECT * FROM Customers LIMIT 20;

Wenn keine JSON-Datei vorhanden ist, erstellt der obige Code eine. Die Ansicht wird dann in der JSON-Konfigurationsdatei erstellt und ist nun erkennbar. Der Speicherort der JSON-Datei wird durch angegeben UserDefinedViews Verbindungseigenschaft.

Ändern einer Ansicht

Um eine vorhandene Ansicht zu ändern, geben Sie den Namen der vorhandenen Ansicht zusammen mit der neuen Abfrage an, die Sie stattdessen verwenden möchten:

ALTER LOCAL VIEW`[MeinAnsichtsname] `AS SELECT * FROM Customers WHERE TimeModified > '3/1/2020';

Die Ansicht wird dann in der JSON-Konfigurationsdatei aktualisiert.

Löschen einer Ansicht

Um eine vorhandene Ansicht zu löschen, geben Sie den Namen eines vorhandenen Schema neben der neuen Abfrage an, die Sie stattdessen verwenden möchten.

DROP LOCAL VIEW [MyViewName]

Dadurch wird die Ansicht aus der JSON-Konfigurationsdatei entfernt. Sie kann nicht mehr abgefragt werden.

Schema für benutzerdefinierte Ansichten

Benutzerdefinierte Ansichten werden im angezeigt UserViews Schema standardmäßig. Dies geschieht, um zu vermeiden, dass der Name der Ansicht mit einer tatsächlichen Entität im Datenmodell kollidiert. Sie können den Namen des für UserViews verwendeten Schema ändern, indem Sie festlegen UserViewsSchemaName Eigentum.

Arbeiten mit benutzerdefinierten Ansichten

Beispielsweise eine SQL-Anweisung mit einer benutzerdefinierten Ansicht namens UserViews.RCustomers listet nur Kunden in Raleigh auf:

SELECT * FROM Customers WHERE City = 'Raleigh';

Ein Beispiel für eine Abfrage an den Treiber:

SELECT * FROM UserViews.RCustomers WHERE Status = 'Active';

Daraus ergibt sich die effektive Abfrage an die Quelle:

SELECT * FROM Customers WHERE City = 'Raleigh' AND Status = 'Active';

Dies ist ein sehr einfaches Beispiel für eine Abfrage an eine benutzerdefinierte Ansicht, die tatsächlich eine Kombination aus der Abfrage und der Ansichtsdefinition ist. Es ist möglich, diese Abfragen in viel komplexeren Mustern zusammenzustellen. Alle SQL-Operationen sind in beiden Abfragen zulässig und werden bei Bedarf kombiniert.

SSL-Konfiguration

Anpassen der SSL-Konfiguration

Standardmäßig versucht der Connector, SSL/TLS auszuhandeln, indem er das Zertifikat des Servers mit dem vertrauenswürdigen Zertifikatspeicher des Systems vergleicht.

Um ein anderes Zertifikat anzugeben, siehe SSLServerCert Eigenschaft für die verfügbaren Formate, um dies zu tun.

Client-SSL-Zertifikate

Der SAS Xpt-Connector unterstützt auch das Festlegen von Client-Zertifikaten. Legen Sie Folgendes fest, um eine Verbindung mithilfe eines Client-Zertifikats herzustellen.

• SSLClientCert: Der Name des Zertifikatspeichers für das Client-Zertifikat.
• SSLClientCertType: Der Typ des Schlüsselspeichers, der das TLS/SSL-Clientzertifikat enthält.
• SSLClientCertPassword: Das Passwort für das TLS/SSL-Client-Zertifikat.
• SSLClientCertSubject: Der Betreff des TLS/SSL-Client-Zertifikats.

Datenmodell

Überblick

Dieser Abschnitt zeigt die verfügbaren API Objekte und bietet weitere Informationen zur Ausführung von SQL zu SAS Xpt APIs.

Hauptmerkmale

• Der Connector modelliert SAS Xpt Entitäten wie Dokumente, Ordner und Gruppen als relationale Ansichten, sodass Sie SQL schreiben können, um SAS Xpt Daten Abfrage.
• Gespeicherte Prozeduren ermöglichen Ihnen, Operationen an SAS Xpt auszuführen.
• Die Live-Konnektivität zu diesen Objekten bedeutet, dass alle Änderungen an Ihrem SAS Xpt-Konto bei Verwendung des Connectors sofort berücksichtigt werden.

Systemtabellen

Sie können die in diesem Abschnitt beschriebenen Systemtabellen Abfrage, um auf Schema, Informationen zur Datenquellenfunktionalität und Statistiken zu Operation Charge.

Schematabellen

Die folgenden Tabellen geben Datenbankmetadaten für SAS Xpt zurück:

• sys_catalogs: Listet die verfügbaren Datenbanken auf.
• sys_schemas: Listet die verfügbaren Schemata auf.
• sys_tables: Listet die verfügbaren Tabellen und Ansichten auf.
• sys_tablecolumns: Beschreibt die Spalten der verfügbaren Tabellen und Ansichten.
• sys_procedures: Beschreibt die verfügbaren gespeicherten Prozeduren.
• sys_procedureparameters: Beschreibt Parameter gespeicherter Prozeduren.
• sys_keycolumns: Beschreibt die Primär- und Fremdschlüssel.
• sys_indexes: Beschreibt die verfügbaren Indizes.

Datenquellentabellen

Die folgenden Tabellen enthalten Informationen dazu, wie eine Verbindung zur Datenquelle hergestellt und diese Abfrage wird:

• sys_connection_props: Gibt Informationen zu den verfügbaren Verbindungseigenschaften zurück.
• sys_sqlinfo: Beschreibt die SELECT-Abfragen, die der Connector an die Datenquelle auslagern kann.

Abfrageinformationstabellen

Die folgende Tabelle gibt Abfrage für Datenänderungsabfragen zurück:

• Systemidentität: Gibt Informationen zu Charge oder einzelnen Updates zurück.

Sys_catalogs

Listet die verfügbaren Datenbanken auf.

Die folgende Abfrage ruft alle durch die Verbindungszeichenfolge ermittelten Datenbanken ab:

SELECT * FROM sys_catalogs

Spalten

Sys_schemas

Listet die verfügbaren Schemas auf.

Die folgende Abfrage ruft alle verfügbaren Schemas ab:

SELECT * FROM sys_schemas

Spalten

Sys_tables

Listet die verfügbaren Tabellen auf.

Die folgende Abfrage ruft die verfügbaren Tabellen und Ansichten ab:

SELECT * FROM sys_tables

Spalten

Sys_tablecolumns

Beschreibt die Spalten der verfügbaren Tabellen und Ansichten.

Die folgende Abfrage gibt die Spalten und Datentypen für die Tabelle SampleTable_1 zurück:

SELECT ColumnName, DataTypeName FROM sys_tablecolumns WHERE TableName='SampleTable_1'

Spalten

Sys_procedures

Listet die verfügbaren gespeicherten Prozeduren auf.

Die folgende Abfrage ruft die verfügbaren gespeicherten Prozeduren ab:

SELECT * FROM sys_procedures

Spalten

Sys_procedureparameters

Beschreibt Parameter gespeicherter Prozeduren.

Die folgende Abfrage gibt Informationen zu allen Eingabeparametern für die gespeicherte Prozedur SampleProcedure zurück:

SELECT * FROM sys_procedureparameters WHERE ProcedureName='SampleProcedure' AND Direction=1 OR Direction=2

Spalten

Sys_keycolumns

Beschreibt die Primär- und Fremdschlüssel.

Die folgende Abfrage ruft den Primärschlüssel für die Tabelle SampleTable_1 ab:

SELECT * FROM sys_keycolumns WHERE IsKey='True' AND TableName='SampleTable_1'

Spalten

Sys_foreignkeys

Beschreibt die Fremdschlüssel.

Die folgende Abfrage ruft alle Fremdschlüssel ab, die auf andere Tabellen verweisen:

SELECT * FROM sys_foreignkeys WHERE ForeignKeyType = 'FOREIGNKEY_TYPE_IMPORT'

Spalten

Sys_primarykeys

Beschreibt die Primärschlüssel.

Die folgende Abfrage ruft die Primärschlüssel aus allen Tabellen und Ansichten ab:

SELECT * FROM sys_primarykeys

Spalten

Sys_indexes

Beschreibt die verfügbaren Indizes. Durch das Filtern nach Indizes können Sie selektivere Abfragen mit schnelleren Abfrage schreiben.

Die folgende Abfrage ruft alle Indizes ab, die keine Primärschlüssel sind:

SELECT * FROM sys_indexes WHERE IsPrimary='false'

Spalten

Sys_connection_props

Gibt Informationen zu den verfügbaren Verbindungseigenschaften und den in der Verbindungszeichenfolge festgelegten Eigenschaften zurück.

Bei der Abfrage dieser Tabelle sollte die Konfigurationsverbindungszeichenfolge verwendet werden:

jdbc:cdata:sasxpt:config:

Mit dieser Verbindungszeichenfolge können Sie diese Tabelle ohne eine gültige Verbindung Abfrage.

Die folgende Abfrage ruft alle Verbindungseigenschaften ab, die in der Verbindungszeichenfolge festgelegt oder über einen Standardwert gesetzt wurden:

SELECT * FROM sys_connection_props WHERE Value <> ''

Spalten

Sys_sqlinfo

Beschreibt die SELECT- Abfrage, die der Connector an die Datenquelle auslagern kann.

Entdecken der SELECT-Funktionen der Datenquelle

Nachfolgend sehen Sie einen Beispieldatensatz mit SQL-Funktionen. Einige Aspekte der SELECT-Funktionalität werden in einer durch Kommas getrennten Liste zurückgegeben, sofern sie unterstützt werden. Andernfalls enthält die Spalte NO.

Die folgende Abfrage ruft die Operatoren ab, die in der WHERE-Klausel verwendet werden können:

SELECT * FROM sys_sqlinfo WHERE Name = 'SUPPORTED_OPERATORS'

Beachten Sie, dass einzelne Tabellen unterschiedliche Einschränkungen oder Anforderungen an die WHERE-Klausel haben können; siehe Datenmodell Abschnitt für weitere Informationen.

Spalten

Systemidentität

Gibt Informationen zu versuchten Änderungen zurück.

Die folgende Abfrage ruft die IDs der geänderten Zeilen in einer Operation Charge:

SELECT * FROM sys_identity

Spalten

Systeminformationen

Beschreibt die verfügbaren Systeminformationen.

Die folgende Abfrage ruft alle Spalten ab:

SELECT * FROM sys_information

Spalten

Erweiterte Konfigurationseigenschaften

Die erweiterten Konfigurationseigenschaften sind die verschiedenen Optionen, die zum Herstellen einer Verbindung verwendet werden können. Dieser Abschnitt enthält eine vollständige Liste der Optionen, die Sie konfigurieren können. Klicken Sie auf die Links, um weitere Einzelheiten zu erfahren.

Authentifizierung

Verbindung

AWS-Authentifizierung

Azure-Authentifizierung

SSO

OAuth

JWT OAuth

Kerberos

SSL

SSH

Schema

Verschiedenes

Authentifizierung

Dieser Abschnitt enthält eine vollständige Liste der Authentifizierungseigenschaften, die Sie konfigurieren können.

AuthScheme

Die Art der Authentifizierung, die bei der Verbindung mit Remote-Diensten verwendet werden soll.

Mögliche Werte

Basic, AwsRootKeys, OneLogin, AwsEC2Roles, None, SFTP, AwsIAMRoles, Negotiate, ADFS, OAuthJWT, Okta, GCPInstanceAccount, PingFederate, Digest, AwsMFA, OAuthPassword, AwsTempCredentials, OAuthClient, AwsCredentialsFile, OAuthPKCE, AzureAD, AzureMSI, `,AzureServicePrincipal,AzureServicePrincipalCert,Zugriffsschlüssel,AzureStorageSAS,HMAC,OAuth`

Datentyp

string

Standardwert

""

Hinweise

Amazon S3

Die folgenden Optionen sind verfügbar, wenn ConnectionType ist auf gesetzt Amazon S3:

• AwsRootKeys: Legen Sie dies fest, um den Zugriffsschlüssel und das Geheimnis des Root-Benutzers zu verwenden. Nützlich für schnelle Tests, aber in Produktionsfällen wird empfohlen, etwas mit eingeschränkten Berechtigungen zu verwenden.
• AwsEC2Roles: Legen Sie dies fest, um automatisch IAM-Rollen zu verwenden, die der EC2-Maschine zugewiesen sind, auf der der SAS Xpt-Connector aktuell ausgeführt wird.
• AwsIAMRoles: Eingestellt, um IAM-Rollen für die Verbindung zu verwenden.
• ADFS: Eingestellt auf die Verwendung einer Single Sign-On-Verbindung mit ADFS als Identitätsanbieter.
• OKTA: Eingestellt auf die Verwendung einer Single Sign-On-Verbindung mit OKTA als Identitätsanbieter.
• PingFederate: Eingestellt auf die Verwendung einer Single Sign-On-Verbindung mit PingFederate als Identitätsanbieter.
• AwsMFA: Auf Verwendung der Multi-Faktor-Authentifizierung einstellen.
• AwsTempCredentials: Legen Sie dies fest, um für die Verbindung temporäre Sicherheitsanmeldeinformationen zusammen mit einem Sitzungstoken zu nutzen.
• AwsCredentialsFile: Einrichten, um eine Anmeldeinformationsdatei für die Authentifizierung zu verwenden.
• Microsoft Entra ID: Eingestellt auf die Verwendung einer Single Sign-On-Verbindung mit der Microsoft Entra ID als Identitätsanbieter.

Verschiedene Azure-Dienste

Die folgenden Optionen sind verfügbar, wenn ConnectionType ist auf gesetzt Azure Blob Storage, Azure Data Lake Storage Gen1, Azure Data Lake Storage Gen2, Azure Data Lake Storage Gen2 SSL, oder OneDrive:

• Microsoft Entra ID: Legen Sie dies fest, um die Microsoft Entra ID OAuth-Authentifizierung durchzuführen.
• AzureMSI: Legen Sie dies fest, um beim Ausführen auf einer Azure-VM automatisch Anmeldeinformationen für die verwaltete Dienstidentität abzurufen.
• AzureServicePrincipal: Legen Sie dies fest, um die Authentifizierung als Microsoft Entra-Dienstprinzipal durchzuführen.
• AzureServicePrincipalCert: Legen Sie dies fest, um sich mithilfe eines Zertifikats als Microsoft Entra-Dienstprinzipal zu authentifizieren.
• AccessKey: Legen Sie dies fest, um die Authentifizierung mit dem Speicherschlüssel durchzuführen, der Ihrem SAS Xpt Konto zugeordnet ist.
• AzureStorageSAS: Legen Sie dies fest, um die Authentifizierung mit Shared Access Signature (SAS) durchzuführen.

Ein See

Die folgenden Optionen sind verfügbar, wenn ConnectionType ist auf gesetzt OneLake:

• Microsoft Entra ID: Legen Sie dies fest, um die Microsoft Entra ID OAuth-Authentifizierung durchzuführen.
• AzureMSI: Legen Sie dies fest, um beim Ausführen auf einer Azure-VM automatisch Anmeldeinformationen für die verwaltete Dienstidentität abzurufen.
• AzureServicePrincipal: Legen Sie dies fest, um die Authentifizierung als Microsoft Entra-Dienstprinzipal durchzuführen.
• AzureServicePrincipalCert: Legen Sie dies fest, um sich mithilfe eines Zertifikats als Microsoft Entra-Dienstprinzipal zu authentifizieren.

Azure Dateien

Nur die folgende Option ist verfügbar, wenn ConnectionType ist auf gesetzt Azure Files:

• AccessKey: Legen Sie dies fest, um die Authentifizierung mit dem Speicherschlüssel durchzuführen, der Ihrem SAS Xpt Konto zugeordnet ist.
• AzureStorageSAS: Legen Sie dies fest, um die Authentifizierung mit Shared Access Signature (SAS) durchzuführen.

Box

Die folgenden Optionen sind verfügbar, wenn ConnectionType ist auf gesetzt Box:

• OAuth: Verwendet entweder OAuth1 oder OAuth2, wobei der spezifische Ablauf durch OAuthGrantType bestimmt wird. OAuthVersion muss festgelegt werden, um zu bestimmen, welche Version von OAuth verwendet wird.
• OAuthJWT: Verwendet OAuth2 mit dem JWT-Bearer-Grant-Typ. OAuthJWTCertType und OAuthJWTCert bestimmen, mit welchem Zertifikat das JWT signiert ist. OAuthVersion muss auf 2,0 eingestellt sein.

Dropbox

Nur die folgende Option ist verfügbar, wenn ConnectionType ist auf gesetzt Dropbox:

OAuth: Verwendet entweder OAuth1 oder OAuth2, wobei der spezifische Ablauf durch OAuthGrantType bestimmt wird. OAuthVersion muss festgelegt werden, um zu bestimmen, welche Version von OAuth verwendet wird.

FTP(S)

Nur die folgende Option ist verfügbar, wenn ConnectionType ist auf gesetzt FTP oder FTPS:

Basic: Grundlegende Benutzeranmeldeinformationen (Benutzer/Passwort).

Verschiedene Google-Dienste

Die folgenden Optionen sind verfügbar, wenn ConnectionType Punkte Google Cloud Storage oder Google Drive:

• OAuth: Verwendet entweder OAuth1 oder OAuth2, wobei der spezifische Ablauf durch OAuthGrantType bestimmt wird. OAuthVersion muss festgelegt werden, um zu bestimmen, welche Version von OAuth verwendet wird.
• OAuthJWT: Verwendet OAuth2 mit dem JWT-Bearer-Grant-Typ. OAuthJWTCertType und OAuthJWTCert bestimmen, mit welchem Zertifikat das JWT signiert ist. OAuthVersion muss auf 2.0 eingestellt sein.
• GCPInstanceAccount: Bei Ausführung auf einer virtuellen GCP-Maschine kann sich der Anbieter mithilfe eines an die virtuelle Maschine gebundenen Dienstkontos authentifizieren.

HDFS

Die folgenden Optionen sind verfügbar, wenn ConnectionType ist auf gesetzt HDFS oder HDFS Secure:

• Keine: Es wird keine Authentifizierung verwendet.
• Aushandeln: Kerberos-Authentifizierung.

HTTP

Die folgenden Optionen sind verfügbar, wenn ConnectionType ist auf gesetzt HTTP oder HTTPS:

• Keine: Es wird keine Authentifizierung verwendet.
• Einfach: Einfache Benutzer-/Passwort-Authentifizierung.
• Digest: Verwendet HTTP-Digest-Authentifizierung mit Benutzer und Passwort.
• OAuth: Verwendet entweder OAuth1 oder OAuth2, wobei der spezifische Ablauf durch den OAuthGrantType bestimmt wird. OAuthVersion muss festgelegt werden, um zu bestimmen, welche Version von OAuth verwendet wird.
  • Bearer-Token-Authentifizierung: AuthScheme=OAuth, OAuth initiieren=Aus und OAuthAccessToken=Bearer-Token-Wert.
• OAuthJWT: Verwendet OAuth2 mit dem JWT-Bearer-Grant-Typ. OAuthJWTCertType und OAuthJWTCert bestimmen, mit welchem Zertifikat das JWT signiert ist. OAuthVersion muss auf 2.0 eingestellt sein.
• OAuthPassword: Verwendet OAuth2 mit dem Kennwort-Grant-Typ. Benutzer und Passwort sind die Anmeldeinformationen. OAuthVersion muss auf 2.0 eingestellt sein.
• OAuthClient: Verwendet OAuth2 mit dem Gewährungstyp für Clientanmeldeinformationen. OAuthClientId und OAuthClientSecret sind die Anmeldeinformationen. OAuthVersion muss auf 2.0 eingestellt sein.
• OAuthPKCE: Verwendet OAuth2 mit dem Autorisierungscode-Grant-Typ und der PKCE-Erweiterung. OAuthClientId ist die Anmeldeinformation. OAuthVersion muss auf 2,0 eingestellt sein.

IBM Cloud Object Storage

Die folgenden Optionen sind auch verfügbar, wenn ConnectionType ist auf gesetzt IBM Object Storage Source:

• OAuth: Verwendet entweder OAuth, wobei der spezifische Ablauf durch InitiateOAuth bestimmt wird. ApiKey muss gesetzt sein, um diesen Ablauf erfolgreich abzuschließen.
• HMAC: Verwendet AccessKey und SecretKey, um sich bei IBM Cloud Object Storage zu authentifizieren.

Oracle Cloud-Speicher

Nur die folgende Option ist verfügbar, wenn ConnectionType ist auf gesetzt Oracle Cloud Storage:

HMAC: Verwendet AccessKey und SecretKey, um sich beim Oracle Cloud Storage zu authentifizieren.

SFTP

Dieser Verbindungstyp standardmäßig wird ein verwendet AuthScheme angerufen SFTP, aber die Authentifizierungsmethode wird tatsächlich über den SSHAuthMode gesteuert-Eigenschaft. Weitere Informationen finden Sie in der Dokumentation dieser Eigenschaft.

SharePoint REST

Die folgenden Optionen sind auch verfügbar, wenn ConnectionType ist auf gesetzt SharePoint REST:

• Microsoft Entra ID: Legen Sie dies fest, um die Microsoft Entra ID OAuth-Authentifizierung durchzuführen.
• AzureMSI: Legen Sie dies fest, um beim Ausführen auf einer Azure-VM automatisch Anmeldeinformationen für die verwaltete Dienstidentität abzurufen.
• AzureServicePrincipal: Legen Sie dies fest, um die Authentifizierung als Microsoft Entra-Dienstprinzipal durchzuführen.
• AzureServicePrincipalCert: Legen Sie dies fest, um sich mithilfe eines Zertifikats als Microsoft Entra-Dienstprinzipal zu authentifizieren.

SharePoint-SOAP

Die folgenden Optionen sind auch verfügbar, wenn ConnectionType ist auf gesetzt SharePoint SOAP:

• Einfach: Verwenden Sie zur Authentifizierung einfache Benutzer-/Passwortanmeldeinformationen.
• ADFS: Eingestellt auf die Verwendung einer Single Sign-On-Verbindung mit ADFS als Identitätsanbieter.
• Okta: Eingestellt auf die Verwendung einer Single Sign-On-Verbindung mit OKTA als Identitätsanbieter.
• OneLogin: Eingestellt auf die Verwendung einer Single Sign-On-Verbindung mit OneLogin als Identitätsanbieter.

Zugriffsschlüssel

Ihr Kontozugriffsschlüssel. Auf diesen Wert können Sie über Ihre Seite mit den Sicherheitsanmeldeinformationen zugreifen.

Datentyp

string

Standardwert

""

Hinweise

Ihr Kontozugriffsschlüssel. Dieser Wert ist je nach verwendetem Dienst über Ihre Seite mit den Sicherheitsanmeldeinformationen zugänglich.

Geheimer Schlüssel

Ihr geheimer Kontoschlüssel. Auf diesen Wert können Sie über Ihre Seite mit den Sicherheitsanmeldeinformationen zugreifen.

Datentyp

string

Standardwert

""

Hinweise

Ihr geheimer Kontoschlüssel. Auf diesen Wert können Sie je nach verwendetem Dienst über Ihre Seite mit den Sicherheitsanmeldeinformationen zugreifen.

API-Schlüssel

Der API Schlüssel, der zur Identifizierung des Benutzers gegenüber IBM Cloud verwendet wird.

Datentyp

string

Standardwert

""

Hinweise

Der Zugriff auf Ressourcen in der SAS Xpt REST API wird durch einen API Schlüssel geregelt, um Token abzurufen. Ein API Schlüssel kann erstellt werden, indem Sie zu Verwalten --> Zugriff (IAM) --> Benutzer navigieren und auf „Erstellen“ klicken.

Benutzer

Das zur Authentifizierung verwendete Benutzerkonto.

Datentyp

string

Standardwert

""

Hinweise

Zusammen mit Passwort, dieses Feld wird zur Authentifizierung gegenüber dem Server verwendet.

Diese Eigenschaft bezieht sich je nach Kontext auf unterschiedliche Dinge, nämlich den Wert von ConnectionType und AuthScheme:

• Verbindungstyp=AmazonS3
  • AuthScheme=ADFS: Dies bezieht sich auf Ihren ADFS-Benutzernamen.
  • AuthScheme= Okta: Dies bezieht sich auf Ihren Okta-Benutzernamen.
  • AuthScheme=PingFederate: Dies bezieht sich auf Ihren PingFederate-Benutzernamen.
• Verbindungstyp= FTP(S)
  • AuthScheme=Basic: Dies bezieht sich auf Ihren FTP(S)-Server-Benutzernamen.
• Verbindungstyp = HDFS/ HDFS Secure
  • AuthScheme=Negotiate: Dies bezieht sich auf den Benutzernamen Ihrer HDFS Instanz.
• Verbindungstyp=HTTP(S)
  • AuthScheme=Basic: Dies bezieht sich auf den Benutzernamen, der mit dem HTTP-Stream verknüpft ist.
  • AuthScheme=Digest: Dies bezieht sich auf den Benutzernamen, der mit dem HTTP-Stream verknüpft ist.
  • AuthScheme=OAuthPassword: Dies bezieht sich auf den Benutzernamen, der mit dem HTTP-Stream verknüpft ist.
• Verbindungstyp=SharePoint SOAP
  • AuthScheme=Basic: Dies bezieht sich auf den Benutzernamen Ihres SharePoint-Kontos.
  • AuthScheme=ADFS: Dies bezieht sich auf Ihren ADFS-Benutzernamen.
  • AuthScheme= Okta: Dies bezieht sich auf Ihren Okta-Benutzernamen.
  • AuthScheme=OneLogin: Dies bezieht sich auf Ihren OneLogin-Benutzernamen.

Passwort

Das zur Authentifizierung des Benutzers verwendete Passwort.

Datentyp

string

Standardwert

""

Hinweise

Der Benutzer Und Password werden zusammen zur Authentifizierung beim Server verwendet.

Diese Eigenschaft bezieht sich je nach Kontext auf unterschiedliche Dinge, nämlich den Wert von ConnectionType und AuthScheme:

• Verbindungstyp=AmazonS3
  • AuthScheme=ADFS: Dies bezieht sich auf Ihr ADFS-Passwort.
  • AuthScheme= Okta: Dies bezieht sich auf Ihr Okta-Passwort.
  • AuthScheme=PingFederate: Dies bezieht sich auf Ihr PingFederate-Passwort.
• Verbindungstyp= FTP(S)
  • AuthScheme=Basic: Dies bezieht sich auf Ihr FTP(S)-Serverpasswort.
• Verbindungstyp = HDFS/ HDFS Secure
  • AuthScheme=Negotiate: Dies bezieht sich auf Ihr HDFS Instanzkennwort.
• Verbindungstyp=HTTP(S)
  • AuthScheme=Basic: Dies bezieht sich auf das mit dem HTTP-Stream verknüpfte Passwort.
  • AuthScheme=Digest: Dies bezieht sich auf das mit dem HTTP-Stream verknüpfte Passwort.
  • AuthScheme=OAuthPassword: Dies bezieht sich auf das mit dem HTTP-Stream verknüpfte Passwort.
• Verbindungstyp=SharePoint SOAP
  • AuthScheme=Basic: Dies bezieht sich auf Ihr SharePoint-Kontokennwort.
  • AuthScheme=ADFS: Dies bezieht sich auf Ihr ADFS-Passwort.
  • AuthScheme= Okta: Dies bezieht sich auf Ihr Okta-Passwort.
  • AuthScheme=OneLogin: Dies bezieht sich auf Ihr OneLogin-Passwort.

SharePoint-Edition

Die verwendete SharePoint-Edition. Legen Sie entweder SharePointOnline oder SharePointOnPremise fest.

Mögliche Werte

SharePointOnline, SharePointOnPremise

Datentyp

string

Standardwert

SharePointOnline

Hinweise

Die verwendete SharePoint-Edition. Legen Sie entweder SharePointOnline oder SharePointOnPremise fest.

Verbindung

Dieser Abschnitt enthält eine vollständige Liste der Verbindungseigenschaften, die Sie konfigurieren können.

Verbindungstyp

Gibt den Dateispeicherdienst, Server oder das Dateizugriffsprotokoll an, über das Ihre SAS Xpt Dateien gespeichert und abgerufen werden.

Mögliche Werte

Auto, Local, Amazon S3, Azure Blob Storage, Azure Data Lake Storage Gen1, Azure Data Lake Storage Gen2, Azure Data Lake Storage Gen2 SSL, Azure Files, Box, Dropbox, FTP, FTPS, Google Cloud Storage, Google Drive, HDFS, HDFS Secure, HTTP, HTTPS, IBM Object Storage Source, OneDrive, OneLake, Oracle Cloud Storage, SFTP, SharePoint REST, SharePoint SOAP

Datentyp

string

Standardwert

Auto

Hinweise

Legen Sie den Verbindungstyp auf einen der folgenden Werte fest:

• Auto: Der Connector leitet den Verbindungstyp aus der Syntax des bereitgestellten URI ab.
• Lokal: SAS Xpt-Dateien, die auf Ihrem lokalen Computer gespeichert sind. Amazon S3
• Azure Blob-Speicher
• Azure Data Lake Storage Gen1
• Azure Data Lake Storage Gen2
• Azure Data Lake Storage Gen2 SSL
• Azure Dateien
• Box
• Dropbox
• FTP
• FTPS Google Cloud Storage
• Google Drive
• HDFS HDFS sicher
• HTTP: Stellt eine Verbindung zu SAS Xpt Dateien her, die auf HTTP-Streams gehostet werden.
• HTTPS: Stellt eine Verbindung zu SAS Xpt-Dateien her, die auf HTTPS-Streams gehostet werden.
• IBM Object Storage-Quelle Eine Fahrt
• Ein See
• Oracle Cloud-Speicher
• SFTP
• SharePoint REST
• SharePoint-SOAP

Legen Sie den Verbindungstyp auf einen der folgenden Werte fest:

• Auto: Der Connector leitet den Verbindungstyp aus der Syntax des bereitgestellten URI ab.
• Lokal: SAS Xpt-Dateien, die auf Ihrem lokalen Computer gespeichert sind. Amazon S3
• Azure Blob-Speicher
• Azure Data Lake Storage Gen1
• Azure Data Lake Storage Gen2
• Azure Data Lake Storage Gen2 SSL
• Azure Dateien
• Box
• Dropbox
• FTP
• FTPS Google Cloud Storage
• Google Drive
• HDFS HDFS sicher
• HTTP: Stellt eine Verbindung zu SAS Xpt Dateien her, die auf HTTP-Streams gehostet werden.
• HTTPS: Stellt eine Verbindung zu SAS Xpt-Dateien her, die auf HTTPS-Streams gehostet werden.
• IBM Object Storage-Quelle Eine Fahrt
• Ein See
• Oracle Cloud-Speicher
• SFTP
• SharePoint REST
• SharePoint-SOAP

URI

Der Uniform Resource Identifier (URI) für den SASXpt-Ressourcenstandort.

Datentyp

string

Standardwert

""

Hinweise

Setzen Sie die URI Eigenschaft zum Angeben eines Pfads zu einer Datei oder einem Stream.

HINWEIS:

• Diese Verbindungseigenschaft erfordert, dass Sie ConnectionType festlegen.
• Wenn Sie einen Verzeichnispfad angeben, wird im Allgemeinen empfohlen, die URI mit einem Pfadtrennzeichen am Ende zu beenden, z. B. „folder1/“ statt „folder1“.

Weitere erweiterte Funktionen zum Parsen und Zusammenführen mehrerer Dateien finden Sie unter.

Nachfolgend finden Sie Beispiele für URIFormate für die verfügbaren Datenquellen:

Beispiele für Verbindungszeichenfolgen und Abfragen

Nachfolgend finden Sie Beispiele für Verbindungszeichenfolgen zu SASXpt-Dateien oder-Streams.

Region

Die Hosting-Region für Ihre S3-ähnlichen Webdienste.

Datentyp

string

Standardwert

""

Hinweise

Die Hosting-Region für Ihre S3-ähnlichen Webdienste.

Oracle Cloud Object Storage-Regionen

Wasabi-Regionen

ProjektID

Die ID des Projekts, in dem sich Ihre Google Cloud Storage Instanz befindet.

Datentyp

string

Standardwert

""

Hinweise

Die ID des Projekts, in dem sich Ihre Google Cloud Storage Instanz befindet. Sie finden diesen Wert, indem Sie zur Google Cloud Console gehen und oben links auf dem Bildschirm auf den Projektnamen klicken. Die Projekt-ID wird in der ID-Spalte des entsprechenden Projekts angezeigt.

OracleNamespace

Der zu verwendende Oracle Cloud Object Storage-Namespace.

Datentyp

string

Standardwert

""

Hinweise

Der zu verwendende Oracle Cloud Object Storage-Namespace. Diese Einstellung muss auf den Oracle Cloud Object Storage-Namespace gesetzt werden, der dem Oracle Cloud-Konto zugeordnet ist, bevor Anforderungen gestellt werden können. Weitere Informationen finden Sie unter Object Storage-Namespaces verstehen der Oracle Cloud-Dokumentation finden Sie Anweisungen zum Suchen des Object Storage-Namespace Ihres Kontos.

Speicherbasis-URL

Die URL eines Cloud-Speicherdienstanbieters.

Datentyp

string

Standardwert

""

Hinweise

Mit dieser Verbindungseigenschaft können Sie Folgendes angeben:

• Die URL eines benutzerdefinierten S3-Dienstes.

• Die für den SharePoint SOAP /REST-Cloud-Speicherdienstanbieter erforderliche URL.

  Wenn die Domäne für diese Option mit endet -my (Zum Beispiel, https://bigcorp-my.sharepoint.com) dann müssen Sie möglicherweise die onedrive:// Schema anstelle der sp:// oder sprest:// Schema.

UseVirtualHosting

Wenn „true“ (Standard), werden Buckets in der Anfrage mithilfe der gehosteten Anfrage referenziert: http://yourbucket.s3.amazonaws.com/yourobject. Wenn der Wert auf „false“ gesetzt ist, verwendet die Bean die Pfad-Anforderung: http://s3.amazonaws.com/yourbucket/yourobject. Beachten Sie, dass diese Eigenschaft bei einem S3-basierten benutzerdefinierten Dienst auf „false“ gesetzt wird, wenn die CustomURL angegeben ist.

Datentyp

bool

Standardwert

true

Hinweise

Wenn „true“ (Standard), werden Buckets in der Anfrage mithilfe der gehosteten Anfrage referenziert: http://yourbucket.s3.amazonaws.com/yourobject. Wenn der Wert auf „false“ gesetzt ist, verwendet die Bean die Pfad-Anforderung: http://s3.amazonaws.com/yourbucket/yourobject. Beachten Sie, dass diese Eigenschaft bei einem S3-basierten benutzerdefinierten Dienst auf „false“ gesetzt wird, wenn die CustomURL angegeben ist.

Verwenden Sie LakeFormation

Wenn diese Eigenschaft auf „true“ gesetzt ist, wird der AWSLakeFormation-Dienst verwendet, um temporäre Anmeldeinformationen abzurufen, die Zugriffsrichtlinien für den Benutzer basierend auf der konfigurierten IAM- Rolle durchsetzen. Der Dienst kann bei der Authentifizierung über OKTA, ADFS, Microsoft Entra ID, PingFederate verwendet werden, während eine SAML Assertion bereitgestellt wird.

Datentyp

bool

Standardwert

false

Hinweise

Wenn diese Eigenschaft auf „true“ gesetzt ist, wird der AWSLakeFormation-Dienst verwendet, um temporäre Anmeldeinformationen abzurufen, die Zugriffsrichtlinien für den Benutzer basierend auf der konfigurierten IAM- Rolle durchsetzen. Der Dienst kann bei der Authentifizierung über OKTA, ADFS, Microsoft Entra ID, PingFederate verwendet werden, während eine SAML Assertion bereitgestellt wird.

AWS-Authentifizierung

Dieser Abschnitt enthält eine vollständige Liste der AWS-Authentifizierungseigenschaften, die Sie konfigurieren können.

AWSAccessKey

Ihr AWS-Kontozugriffsschlüssel. Auf diesen Wert kann über die Seite mit den AWS-Sicherheitsanmeldeinformationen zugegriffen werden.

Datentyp

string

Standardwert

""

Hinweise

Ihr AWS-Kontozugriffsschlüssel. Auf diesen Wert können Sie über Ihre AWS-Sicherheitsanmeldeinformationen-Seite zugreifen:

1. Melden Sie sich mit den Anmeldeinformationen für Ihr Root-Konto bei der AWS-Verwaltungskonsole an.

2. Wählen Sie Ihren Kontonamen oder Ihre Kontonummer und wählen Sie im angezeigten Menü „Meine Sicherheitsanmeldeinformationen“.

3. Klicken Sie auf „Weiter zu Sicherheitsanmeldeinformationen“ und erweitern Sie den Abschnitt „Zugriffsschlüssel“, um Zugriffsschlüssel für Root-Konten zu verwalten oder zu erstellen.

AWSGeheimer Schlüssel

Ihr geheimer AWS-Kontoschlüssel. Auf diesen Wert können Sie über Ihre AWS-Sicherheitsanmeldeinformationenseite zugreifen.

Datentyp

string

Standardwert

""

Hinweise

Ihr geheimer AWS-Kontoschlüssel. Auf diesen Wert können Sie über Ihre AWS-Sicherheitsanmeldeinformationen-Seite zugreifen:

1. Melden Sie sich mit den Anmeldeinformationen für Ihr Root-Konto bei der AWS-Verwaltungskonsole an.

2. Wählen Sie Ihren Kontonamen oder Ihre Kontonummer und wählen Sie im angezeigten Menü „Meine Sicherheitsanmeldeinformationen“.

3. Klicken Sie auf „Weiter zu Sicherheitsanmeldeinformationen“ und erweitern Sie den Abschnitt „Zugriffsschlüssel“, um Zugriffsschlüssel für das Root-Konto zu verwalten oder zu erstellen.

AWSRoleARN

Der Amazon-Ressourcenname der Rolle, die bei der Authentifizierung verwendet werden soll.

Datentyp

string

Standardwert

""

Hinweise

Bei der Authentifizierung außerhalb von AWS ist es üblich, anstelle der direkten AWS-Kontoanmeldeinformationen eine Rolle zur Authentifizierung zu verwenden. Durch Eingabe der AWSRoleARN bewirkt, dass der SAS Xpt Connector eine Rolle Authentifizierung durchführt, anstatt den AWSAccessKey zu verwenden und AWSSecretKey direkt. Der AWSAccessKey und AWSSecretKey muss noch angegeben werden, um diese Authentifizierung durchzuführen. Sie können beim Festlegen von RoleARN nicht die Anmeldeinformationen eines AWS-Root-Benutzers verwenden. Der AWSAccessKey und AWSSecretKey müssen die eines IAM-Benutzers sein.

AWSPrincipalARN

Die ARN des SAML Identitätsanbieters in Ihrem AWS-Konto.

Datentyp

string

Standardwert

""

Hinweise

Die ARN des SAML Identitätsanbieters in Ihrem AWS-Konto.

AWSRegion

Die Hosting-Region für Ihre Amazon Web Services.

Mögliche Werte

OHIO, NORTHERNVIRGINIA, NORTHERNCALIFORNIA, OREGON, CAPETOWN, HONGKONG, HYDERABAD, JAKARTA, MELBOURNE, MUMBAI, OSAKA, SEOUL, SINGAPORE, SYDNEY, TOKYO, CENTRAL, CALGARY, BEIJING, NINGXIA, FRANKFURT, IRELAND, LONDON, MILAN, PARIS, SPAIN, STOCKHOLM, ZURICH, TELAVIV, BAHRAIN, UAE, SAOPAULO, GOVCLOUDEAST, GOVCLOUDWEST, ISOLATEDUSEAST, ISOLATEDUSEASTB, ISOLATEDUSWEST

Datentyp

string

Standardwert

NORTHERNVIRGINIA

Hinweise

Die Hosting-Region für Ihre Amazon Web Services. Verfügbare Werte sind OHIO, NORTHERNVIRGINIA, NORTHERNCALIFORNIA, OREGON, CAPETOWN, HONGKONG, HYDERABAD, JAKARTA, MELBOURNE, MUMBAI, OSAKA, SEOUL, SINGAPUR, SYDNEY, TOKIO, CENTRAL, CALGARY, PEKING, NINGXIA, FRANKFURT, IRLAND, LONDON, MAILAND, PARIS, SPANIEN, STOCKHOLM, ZÜRICH, TELAVIV, BAHRAIN, VAE, SAOPAULO, GOVCLOUDEAST, GOVCLOUDWEST, ISOLATEDUSEAST, ISOLATEDUSEASTB und ISOLATEDUSWEST.

AWSCredentialsFile

Der Pfad zur AWS-Anmeldeinformationsdatei, die zur Authentifizierung verwendet werden soll.

Datentyp

string

Standardwert

""

Hinweise

Der Pfad zur AWS-Anmeldeinformationsdatei, die zur Authentifizierung verwendet werden soll. Siehe https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html für weitere Informationen.

AWSCredentialsFileProfile

Der Name des zu verwendenden Profils aus der bereitgestellten AWSCredentialsFile.

Datentyp

string

Standardwert

default

Hinweise

Der Name des zu verwendenden Profils aus der bereitgestellten AWSCredentialsFile. Siehe https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html für weitere Informationen.

AWSSessionToken

Ihr AWS-Sitzungstoken.

Datentyp

string

Standardwert

""

Hinweise

Ihr AWS-Sitzungstoken. Dieser Wert kann auf verschiedene Arten abgerufen werden. Siehe diesen Link für weitere Informationen.

AWSExternalId

Eine eindeutige Kennung, die möglicherweise erforderlich ist, wenn Sie eine Rolle in einem anderen Konto übernehmen.

Datentyp

string

Standardwert

""

Hinweise

Eine eindeutige Kennung, die möglicherweise erforderlich ist, wenn Sie eine Rolle in einem anderen Konto übernehmen.

MFASeriennummer

Die Seriennummer des MFA-Geräts, falls eines verwendet wird.

Datentyp

string

Standardwert

""

Hinweise

Sie können das Gerät für einen IAM-Benutzer finden, indem Sie zur AWS Management Console gehen und die Sicherheitsanmeldeinformationen des Benutzers anzeigen. Bei virtuellen Geräten ist dies tatsächlich ein Amazon-Ressourcenname (z. B. arn:aws:iam:123456789012:mfa/user).

MFAToken

Das temporäre Token, das von Ihrem MFA-Gerät verfügbar ist.

Datentyp

string

Standardwert

""

Hinweise

Wenn MFA erforderlich ist, wird dieser Wert zusammen mit der MFASerialNumber verwendet, um temporäre Anmeldeinformationen abzurufen. Die von AWS verfügbaren temporären Anmeldeinformationen sind standardmäßig nur bis zu 1 Stunde gültig (siehe TemporaryTokenDuration). Sobald die Zeit abgelaufen ist, muss die Verbindung aktualisiert werden, um ein neues MFA-Token anzugeben, damit neue Anmeldeinformationen abgerufen werden können. %AWSpSecurityToken; %AWSpTemporaryTokenDuration;

Temporäre Tokendauer

Die Dauer (in Sekunden), die ein temporäres Token gültig ist.

Datentyp

string

Standardwert

3600

Hinweise

Temporäre Token werden sowohl bei der MFA als auch bei der rollenbasierten Authentifizierung verwendet. Temporäre Token laufen irgendwann ab, und dann muss ein neuer temporärer Token angefordert werden. In Situationen, in denen MFA nicht verwendet wird, ist dies kein großes Problem. Der SAS Xpt Connector fordert intern einen neuen temporären Token an, sobald der temporäre Token abgelaufen ist.

Für eine MFA-erforderliche Verbindung wird jedoch ein neuer MFAToken muss in der Verbindung angegeben werden, um ein neues temporäres Token abzurufen. Dies ist ein eher aufdringliches Problem, da es eine Aktualisierung der Verbindung durch den Benutzer erfordert. Der maximal und minimal anzugebende Wert hängt weitgehend von der verwendeten Verbindung ab.

Bei rollenbasierter Authentifizierung beträgt die Mindestdauer 900 Sekunden (15 Minuten), die Höchstdauer 3600 Sekunden (1 Stunde). Auch wenn MFA mit Rolle Authentifizierung verwendet wird, sind 3600 Sekunden immer noch das Maximum.

Für die alleinige MFA-Authentifizierung (mithilfe eines IAM-Benutzers oder Root-Benutzers) beträgt das Minimum 900 Sekunden (15 Minuten), das Maximum 129600 (36 Stunden).

Um mehr über AWS WebIdentityToken zu erfahren, besuchen Sie bitte AWS.

Das OAuth 2.0-Zugriffstoken oder OpenID Connect-ID-Token, das von einem Identitätsanbieter bereitgestellt wird.

Datentyp

string

Standardwert

""

Hinweise

Das OAuth 2.0-Zugriffstoken oder OpenID Connect-ID-Token, das von einem Identitätsanbieter bereitgestellt wird. Eine Anwendung kann dieses Token erhalten, indem sie einen Benutzer bei einem Webidentitätsanbieter authentifiziert. Wenn nicht angegeben, wird der Wert für diese Verbindungseigenschaft automatisch aus dem Wert der Umfeld „AWS_WEB_IDENTITY_TOKEN_FILE“ abgerufen.

Serverseitige Verschlüsselung

Wenn aktiviert, werden Datei-Uploads in Amazon S3 Buckets serverseitig verschlüsselt.

Mögliche Werte

OFF, S3-Managed Keys, Key Management Service Keys

Datentyp

string

Standardwert

OFF

Hinweise

Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Ziel durch die Anwendung oder den Dienst, der sie empfängt. Amazon S3 verschlüsselt Ihre Daten auf Objektebene, während es sie auf Datenträger in seinen Rechenzentren schreibt, und entschlüsselt sie für Sie, wenn Sie darauf zugreifen. Weitere Informationen: https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html

SSEContext

Eine BASE64-kodierte UTF-8-Zeichenfolge mit JSON, die eine Zeichenfolge-Zeichenfolge-Zuordnung (Schlüssel-Wert) darstellt.

Datentyp

string

Standardwert

""

Hinweise

Beispiel dafür, wie das JSON dekodiert aussehen könnte: {"aws:s3:arn": "arn:aws:s3::_bucket_/_object_"}.

SSEEnableS3BucketKeys

Konfiguration zur Verwendung eines S3-Bucket-Schlüssels auf Objektebene beim Verschlüsseln von Daten mit AWS KMS. Durch die Aktivierung dieser Option werden die Kosten der serverseitigen Verschlüsselung durch die Verringerung der Aufrufe an AWS KMS reduziert.

Datentyp

bool

Standardwert

false

Hinweise

Konfiguration zur Verwendung eines S3-Bucket-Schlüssels auf Objektebene beim Verschlüsseln von Daten mit AWS KMS. Durch die Aktivierung dieser Option werden die Kosten der serverseitigen Verschlüsselung durch die Verringerung der Aufrufe an AWS KMS reduziert.

SSE-Schlüssel

Ein KeyManagementService-Schlüssel zur symmetrischen Verschlüsselung, der zum Schutz der Daten bei Verwendung von ServerSideEncryption verwendet wird.

Datentyp

string

Standardwert

""

Hinweise

Ein KeyManagementService-Schlüssel zur symmetrischen Verschlüsselung, der zum Schutz der Daten bei Verwendung von ServerSideEncryption verwendet wird.

Azure Authentifizierung

Dieser Abschnitt enthält eine vollständige Liste der Azure-Authentifizierungseigenschaften, die Sie konfigurieren können.