Fitur sinkronisasi data dari DataWorks mendukung otentikasi identitas pihak ketiga. Untuk menggunakan fitur ini, Anda harus mengunggah file otentikasi yang diperlukan di halaman Manajemen File Otentikasi dan mengaktifkan otentikasi pihak ketiga saat mengonfigurasi sumber data. Proses ini memastikan bahwa hanya aplikasi dan layanan tepercaya yang dapat mengakses sumber daya data Anda. Topik ini menjelaskan cara mengunggah dan mereferensikan file otentikasi.
Latar Belakang
Otentikasi identitas pihak ketiga memberikan otentikasi kuat bagi pengguna dan layanan. Hal ini mencegah program atau layanan yang tidak tepercaya mengakses data dan meningkatkan keamanan selama sinkronisasi data. DataWorks menyediakan halaman Manajemen File Otentikasi terpusat untuk mengelola file otentikasi. Di halaman ini, Anda dapat mengunggah file otentikasi dan melihat referensinya.
Batasan
DataWorks hanya mendukung mekanisme otentikasi Kerberos. Untuk informasi lebih lanjut, lihat Konfigurasikan Otentikasi Kerberos.
Catatan Penggunaan
Sertifikat memiliki periode validitas. Anda harus memantau periode validitas sertifikat yang diunggah. Jika sertifikat kedaluwarsa, tugas sinkronisasi data yang sesuai gagal karena otorisasi tidak dapat diberikan. Anda harus mengganti sertifikat dengan yang baru dan valid sebelum masa berlakunya habis.
Unggah file otentikasi
Sebelum menggunakan fitur otentikasi, Anda harus menyiapkan file otentikasi dan mengunggahnya ke halaman Manajemen File Otentikasi.
Pergi ke halaman Sumber Data.
Masuk ke Konsol DataWorks. Di bilah navigasi atas, pilih Wilayah yang diinginkan. Di panel navigasi kiri, pilih . Pada halaman yang muncul, pilih ruang kerja yang diinginkan dari daftar drop-down dan klik Go to Management Center.
Di panel navigasi kiri halaman SettingCenter, klik Data Sources.
Klik tab Authentication File Management.
Di pojok kanan atas halaman, klik Upload Authentication File. Dalam kotak dialog Upload Authentication File, klik Upload File, pilih file target, berikan File Description, dan kemudian klik OK.
Referensikan file otentikasi
Untuk menggunakan fitur otentikasi identitas pihak ketiga, Anda harus mengaktifkan metode otentikasi identitas pada halaman konfigurasi sumber data. Kemudian, Anda harus mengonfigurasi parameter yang relevan dan mereferensikan file otentikasi. DataWorks hanya mendukung otentikasi Kerberos. Untuk informasi lebih lanjut, lihat Konfigurasikan Otentikasi Kerberos.
Bagian ini menggunakan sumber data HDFS sebagai contoh untuk menjelaskan item konfigurasi utama untuk otentikasi Kerberos. Untuk informasi lebih lanjut tentang cara mengonfigurasi sumber data, lihat Konfigurasikan Sumber Data.
Item konfigurasi | Deskripsi |
Special Authentication Method | Atur Special Authentication Method ke Kerberos Authentication. |
Keytab File | File .keytab yang terdaftar dalam lingkungan Kerberos. Ini menyimpan informasi kunci untuk otentikasi. Untuk mengunggah file otentikasi baru, klik Add Authentication File. |
Conf File | File konfigurasi Kerberos, krb5.conf. Untuk mengunggah file otentikasi baru, klik Add Authentication File. |
principal | Principal Kerberos yang terkandung dalam file keytab. Principal bisa berupa pengguna atau layanan dan memiliki nama unik serta kunci terenkripsi yang terkait.
|
Operasi lainnya
Di halaman Authentication File Management, Anda juga dapat melakukan operasi untuk file otentikasi, seperti Batch Deletion, Re-upload, dan View References.
Lampiran: Konfigurasikan otentikasi Kerberos
Fitur sinkronisasi data dari DataWorks hanya mendukung otentikasi Kerberos. Setelah Anda mengonfigurasi otentikasi Kerberos, hanya aplikasi dan layanan tepercaya yang diautentikasi. Ini memastikan bahwa hanya aplikasi dan layanan yang diautentikasi yang dapat mengakses sumber daya data.
Kerberos adalah protokol otentikasi jaringan komputer. Fitur utamanya adalah Single Sign-On (SSO), yang memungkinkan pengguna memasukkan kredensial sekali untuk mendapatkan Ticket-Granting Ticket (TGT). Pengguna kemudian dapat menggunakan TGT untuk mengakses beberapa layanan. Saat menggunakan protokol Kerberos, kunci bersama dibuat antara setiap klien dan layanan. Layanan menggunakan kunci ini untuk berkomunikasi, yang mencegah layanan atau aplikasi yang tidak tepercaya mengakses sumber daya data dan memberikan keamanan tinggi.
Batasan
Fitur otentikasi Kerberos hanya mendukung versi CDH cluster 6.X. Otentikasi mungkin gagal untuk versi lain atau untuk kluster mandiri yang belum diuji dengan otentikasi Kerberos.
Fitur otentikasi Kerberos hanya mendukung sumber data HBase, HDFS, dan Hive.
Fitur otentikasi Kerberos hanya dapat digunakan pada kelompok sumber daya eksklusif untuk Data Integration dan kelompok sumber daya Serverless.
Cara kerja otentikasi Kerberos
Kerberos adalah protokol otentikasi pihak ketiga berbasis kunci simetris. Baik klien maupun server bergantung pada Key Distribution Center (KDC) untuk melakukan otentikasi identitas. KDC adalah program server untuk Kerberos. Untuk informasi lebih lanjut tentang Kerberos, lihat Ikhtisar.
Seperti ditunjukkan pada gambar di atas, otentikasi Kerberos di DataWorks terdiri dari empat tahap berikut:
Klien meminta TGT: Ketika klien (principal) mengakses sumber data yang memiliki otentikasi Kerberos diaktifkan, klien pertama-tama meminta TGT dari KDC. TGT berfungsi sebagai bukti identitas klien saat meminta akses ke layanan tertentu dari KDC.
KDC menerbitkan TGT: Setelah KDC menerima permintaan, ia mengotentikasi klien. Jika klien lulus otentikasi, KDC menerbitkan TGT terenkripsi dengan periode validitas terbatas kepada klien.
Klien meminta akses ke server: Setelah klien mendapatkan TGT, ia meminta akses ke sumber daya layanan tertentu dari server berdasarkan nama layanan.
Server mengotentikasi klien: Setelah server menerima permintaan, ia mengotentikasi klien. Jika klien lulus otentikasi, klien diizinkan mengakses sumber daya layanan.
Prosedur otentikasi Kerberos memerlukan file otentikasi keytab dan file konfigurasi krb5.conf. File krb5.conf menyimpan konfigurasi server KDC. File keytab menyimpan kredensial otentikasi dari principal sumber daya, termasuk principal dan kunci principal terenkripsi. Sebelum Anda dapat menggunakan otentikasi Kerberos, Anda harus mengunggah kedua file ini ke halaman Manajemen File Otentikasi. Kemudian, Anda harus mereferensikan dan mengonfigurasi file otentikasi di halaman konfigurasi sumber data. Untuk informasi lebih lanjut tentang cara mengunggah file otentikasi, lihat Unggah File Otentikasi.
Jenis sumber data yang mendukung otentikasi Kerberos
Tabel berikut mencantumkan jenis sumber data yang mendukung otentikasi Kerberos dan menyediakan tautan ke panduan konfigurasinya.
Jenis sumber data | Panduan konfigurasi |
HBase | |
HDFS | |
Hive |