すべてのプロダクト
Search
ドキュメントセンター

DataWorks:サードパーティ認証ファイルの管理

最終更新日:Jun 22, 2026

DataWorks のデータ同期機能は、サードパーティ認証メカニズムをサポートしています。データソースを設定する際に、認証ファイルを DataWorks の認証ファイル管理ページにアップロードし、サードパーティ認証機能を有効にする必要があります。これにより、信頼できるアプリケーションとサービスのみがデータリソースにアクセスできるようになります。このトピックでは、認証ファイルのアップロードと参照の方法について説明します。

背景情報

サードパーティ認証は、ユーザーとサービスに強力な本人確認を提供します。この方法により、信頼できないアプリケーションやサービスがデータにアクセスするのを防ぎ、データ同期中のデータセキュリティを強化します。DataWorks は、認証ファイルを一元管理するための認証ファイル管理ページを提供しています。このページから、ファイルのアップロードやその参照の表示ができます。

制限事項

現在、Kerberos 認証のみがサポートされています。詳細については、「付録:Kerberos 認証の設定」をご参照ください。

注意事項

証明書には独自の有効期間があります。アップロードする証明書の有効期限にご注意ください。証明書の有効期限が切れると、権限付与エラーにより対応するデータ同期タスクが失敗します。このような失敗を防ぐために、証明書を速やかに新しい有効なものに置き換える必要があります。

認証ファイルのアップロード

認証機能を使用する前に、必要な認証ファイルを準備し、認証ファイル管理ページにアップロードする必要があります。

    1. DataWorks コンソールにログインします。 対象のリージョンで、左側のナビゲーションウィンドウのさらに表示 > 管理センターをクリックします。 ドロップダウンリストからワークスペースを選択し、入力 管理センター をクリックします。

    2. [ワークスペース管理] ページで、左側のナビゲーションウィンドウの [データソース] をクリックして、データソースページを開きます。

  1. 認証ドキュメント管理 タブをクリックします。

  2. ページの右上隅にある Upload authentication file をクリックします。Upload authentication file ダイアログボックスで Upload File をクリックし、アップロードするファイルを選択して Description を入力し、Determine をクリックします。

認証ファイルの参照

サードパーティ認証機能を使用するには、データソース設定ページで特別な認証方式を有効にし、関連するパラメーターを設定して、必要な認証ファイルを参照する必要があります。現在、DataWorks は Kerberos 認証のみをサポートしています。詳細については、「付録:Kerberos 認証の設定」をご参照ください。

以下では、HDFS データソースを例に、Kerberos 認証の主要なパラメーターについて説明します。データソースの設定方法の詳細については、「データソースの設定」をご参照ください。

パラメーター

説明

Special authentication method

Special authentication methodKerberos Authentication に設定します。

keytab file

Kerberos 環境に登録されている .keytab ファイルを指定します。このファイルには認証情報が格納されます。新しい認証ファイルをアップロードするには、Add authentication document をクリックします。

conf file

Kerberos 設定ファイルである krb5.conf を指定します。新しい認証ファイルをアップロードするには、Add authentication document をクリックします。

プリンシパル

keytab ファイルから Kerberos プリンシパルを指定します。プリンシパルは、ユーザーまたはサービスの一意の ID であり、一意の名前と関連付けられた暗号鍵を持ちます。

  • ユーザー principal のフォーマット: username@REALM

  • サービス プリンシパル のフォーマット: service/hostname@REALM

その他の操作

認証ドキュメント管理 ページでは、Batch DeleteRe-UploadView references などの認証ファイルに対する操作も実行できます。

付録:Kerberos 認証の設定

DataWorks のデータ同期機能は、現在 Kerberos 認証のみをサポートしています。Kerberos 認証を設定すると、信頼され認証されたアプリケーションとサービスのみがデータにアクセスできるようになります。

Kerberos プロトコルは、主にコンピューターネットワーク上での認証に使用されます。その主な特徴はシングルサインオン (SSO) です。SSO を使用すると、ユーザーは一度認証するだけでチケット発行チケット (TGT) を取得できます。その後、ユーザーはこのチケットを使用して複数のサービスにアクセスできます。Kerberos は、各クライアントとサービスの間に共有鍵を確立します。サービスはこの鍵を使用して通信し、信頼できないサービスやアプリケーションがデータリソースにアクセスするのを防ぎます。この設計により、プロトコルは非常に安全なものになっています。

制限事項

  • Kerberos 認証は、CDH 6.X クラスターでのみサポートされています。他のバージョンやテストされていないセルフマネージドクラスターでは、認証が失敗する可能性があります。

  • Kerberos 認証は、HBase、HDFS、Hive データソースでのみサポートされています。

  • Kerberos 認証は、データ統合専用リソースグループまたはサーバーレスリソースグループでのみサポートされています。

Kerberos 認証の仕組み

Kerberos は、対称キーに基づくサードパーティ認証プロトコルです。クライアントとサーバーの両方が、キー配布センター (KDC) に依存して身分認証を実行します。Kerberos の詳細については、「概要」をご参照ください。原理图

上の図に示すように、DataWorks における Kerberos 認証は、次の 4 つの段階で構成されます。

  1. クライアントが TGT をリクエスト:クライアントユーザー (プリンシパル) が Kerberos 対応のデータソースにアクセスすると、クライアントは KDC にチケット発行チケット (TGT) をリクエストします。この TGT は、KDC に特定のサービスをリクエストするための身分証明として機能します。

  2. KDC が TGT を発行:KDC はリクエストを受信した後、クライアントを認証します。認証が成功すると、KDC は特定の有効期間を持つ暗号化された TGT をクライアントに発行します。

  3. クライアントがサーバーアクセスをリクエスト:クライアントは TGT を取得した後、リクエストされたサービスの名前に基づいて、サーバーに特定のサービスリソースへのアクセスをリクエストします。

  4. サーバーがクライアントを認証:サーバーはリクエストを受信した後、クライアントを認証します。認証が成功すると、サーバーはクライアントにサービスリソースへのアクセスを許可します。

Kerberos 認証プロセスでは、keytab ファイルと krb5.conf ファイルが使用されます。krb5.conf ファイルには KDC サーバーの設定が保存され、keytab ファイルにはリソースプリンシパルの認証情報 (プリンシパルと暗号化されたプリンシパルキーを含む) が保存されます。Kerberos 認証を使用する前に、これら 2 つのファイルを認証ファイル管理ページにアップロードし、データソース設定ページで参照および設定する必要があります。認証ファイルのアップロード方法の詳細については、「認証ファイルのアップロード」をご参照ください。

サポートされるデータソース

次の表は、Kerberos 認証をサポートするデータソースタイプと、その設定ガイドへのリンクを示しています。

データソースタイプ

ガイド

HBase

HBase データソースの設定

HDFS

HDFS データソースの設定

Hive

Hive データソースの設定