Dremio-Instanz mit SSO erstellen

Voraussetzungen

Sie haben ein STACKIT-Kundenkonto: Kundenkonto erstellen
Sie haben ein STACKIT-Benutzerkonto: Benutzerkonto erstellen
Sie haben ein STACKIT-Projekt: Projekt erstellen
Sie haben administrativen Zugriff auf Ihren Identity Provider und können neue Anwendungen registrieren.

Single Sign-On für den Zugriff auf Dremio

Dremio kann so konfiguriert werden, dass sich Nutzende mit ihren Konten des Identity Providers (IdP) an der Dremio Console anmelden können.

STACKIT Dremio unterstützt derzeit zwei Typen von Identity Providern:

Microsoft Entra ID
OpenID Connect

Diese Anleitung beschreibt, wie Sie eine neue STACKIT-Dremio-Instanz mit aktiviertem SSO über einen OpenID-Connect-IdP konfigurieren.

Dremio als Client registrieren

Um die Client-Zugangsdaten zu erhalten, die für die Konfiguration von Dremio mit aktivierter SSO-Authentifizierung erforderlich sind, müssen Sie Dremio zunächst als neuen Client in Ihrem Identity Provider (IdP) registrieren.

Auch wenn sich die genauen Anforderungen je nach IdP unterscheiden können, sind die folgenden Angaben üblich und werden in der Regel bei der Registrierung abgefragt:

Client-Name: Dieser kann frei gewählt werden und bezeichnet Ihre Dremio-Instanz als Client Ihres IdP.
Client-Typ: Die meisten IdPs unterstützen öffentliche und vertrauliche Clients, abhängig davon, ob ein Client Secret sicher gespeichert werden kann. Dremio verhält sich als vertraulicher Client.
Redirect-URL: Die Ziel-URL, zu der eine erfolgreich authentifizierte Person weitergeleitet wird.

Bereitstellung einer Redirect-URL

Der exakte Wert der Redirect-URL ist erst bekannt, nachdem die Dremio-Instanz erstellt wurde. Die Redirect-URLs folgen dem Muster https://<DREMIO_INSTANCE_ID>.dremio.<STACKIT_REGION>.onstackit.cloud/sso, wobei die Dremio-Instanz-ID eine während der Erstellung generierte UUID ist.

Falls Ihr IdP die Registrierung ohne Redirect-URLs unterstützt, wird empfohlen, davon Gebrauch zu machen. Andernfalls verwenden Sie einen Platzhalterwert. Die meisten IdPs erlauben es, nach der initialen Registrierung des Clients weitere Redirect-URLs hinzuzufügen.

Erstellen einer Dremio-Instanz

Um eine Dremio-Instanz zu bestellen, navigieren Sie im STACKIT Portal zum Dremio-Bereich und klicken Sie auf Dremio erstellen.

Sie werden zum Dremio-Erstellungsassistenten weitergeleitet, in dem Sie die Details zu Ihren Dremio-Instanzen angeben können.

Wählen Sie für den Zweck dieser Anleitung Folgendes aus:

Wählen Sie unter Instanzname den Namen der Instanz aus, die Sie verwenden möchten.
Optional können Sie im Feld Beschreibung eine Beschreibung hinzufügen.
Wählen Sie unter Identitätsanbieter-Typ die Option OAuth aus.
Geben Sie unter Authority URL den Speicherort des OpenID-Discovery-Dokuments an. Für Google lautet dieser beispielsweise https://accounts.google.com/.well-known/openid-configuration, entsprechend ist die Authority URL https://accounts.google.com.
Tragen Sie die vom IdP bei der Client-Registrierung generierte Client ID und das Client Secret in die jeweiligen Felder ein.

Nachdem Sie alle erforderlichen Details hinzugefügt haben, klicken Sie auf Kostenpflichtig bestellen.

Sobald die Erstellung der Instanz startet, steht Ihnen die Instanz-ID zur Verfügung. Diese kann verwendet werden, um die korrekte Redirect-URL im IdP zu registrieren. Die URL folgt dem Muster https://<DREMIO_INSTANCE_ID>.dremio.<STACKIT_REGION>.onstackit.cloud/sso.

Weitere Details zur Konfiguration der OIDC-Authentifizierung für Dremio finden Sie in der offiziellen OpenID Identity Providers documentation.

Anmeldung bei Dremio mit SSO

Um auf die Dremio Console zuzugreifen, wechseln Sie in den Bereich Overview und folgen Sie dem Link Dremio öffnen im Abschnitt Allgemeine Informationen. Dort sehen Sie die Option zur Anmeldung per SSO. Wenn Sie darauf klicken, werden Sie zur Anmeldeseite Ihres Identity Providers weitergeleitet.