DataWorks のデータ同期機能は、サードパーティ認証メカニズムをサポートしています。データソースを設定する際に、認証ファイルを DataWorks の認証ファイル管理ページにアップロードし、サードパーティ認証機能を有効にする必要があります。これにより、信頼できるアプリケーションとサービスのみがデータリソースにアクセスできるようになります。このトピックでは、認証ファイルのアップロードと参照の方法について説明します。
背景情報
サードパーティ認証は、ユーザーとサービスに強力な本人確認を提供します。この方法により、信頼できないアプリケーションやサービスがデータにアクセスするのを防ぎ、データ同期中のデータセキュリティを強化します。DataWorks は、認証ファイルを一元管理するための認証ファイル管理ページを提供しています。このページから、ファイルのアップロードやその参照の表示ができます。
制限事項
現在、Kerberos 認証のみがサポートされています。詳細については、「付録:Kerberos 認証の設定」をご参照ください。
注意事項
証明書には独自の有効期間があります。アップロードする証明書の有効期限にご注意ください。証明書の有効期限が切れると、権限付与エラーにより対応するデータ同期タスクが失敗します。このような失敗を防ぐために、証明書を速やかに新しい有効なものに置き換える必要があります。
認証ファイルのアップロード
認証機能を使用する前に、必要な認証ファイルを準備し、認証ファイル管理ページにアップロードする必要があります。
DataWorks コンソールにログインします。 対象のリージョンで、左側のナビゲーションウィンドウのをクリックします。 ドロップダウンリストからワークスペースを選択し、入力 管理センター をクリックします。
[ワークスペース管理] ページで、左側のナビゲーションウィンドウの [データソース] をクリックして、データソースページを開きます。
-
認証ドキュメント管理 タブをクリックします。
-
ページの右上隅にある Upload authentication file をクリックします。Upload authentication file ダイアログボックスで Upload File をクリックし、アップロードするファイルを選択して Description を入力し、Determine をクリックします。
認証ファイルの参照
サードパーティ認証機能を使用するには、データソース設定ページで特別な認証方式を有効にし、関連するパラメーターを設定して、必要な認証ファイルを参照する必要があります。現在、DataWorks は Kerberos 認証のみをサポートしています。詳細については、「付録:Kerberos 認証の設定」をご参照ください。
以下では、HDFS データソースを例に、Kerberos 認証の主要なパラメーターについて説明します。データソースの設定方法の詳細については、「データソースの設定」をご参照ください。
|
パラメーター |
説明 |
|
Special authentication method |
Special authentication method を Kerberos Authentication に設定します。 |
|
keytab file |
Kerberos 環境に登録されている .keytab ファイルを指定します。このファイルには認証情報が格納されます。新しい認証ファイルをアップロードするには、Add authentication document をクリックします。 |
|
conf file |
Kerberos 設定ファイルである krb5.conf を指定します。新しい認証ファイルをアップロードするには、Add authentication document をクリックします。 |
|
プリンシパル |
keytab ファイルから Kerberos プリンシパルを指定します。プリンシパルは、ユーザーまたはサービスの一意の ID であり、一意の名前と関連付けられた暗号鍵を持ちます。
|
その他の操作
認証ドキュメント管理 ページでは、Batch Delete、Re-Upload、View references などの認証ファイルに対する操作も実行できます。
付録:Kerberos 認証の設定
DataWorks のデータ同期機能は、現在 Kerberos 認証のみをサポートしています。Kerberos 認証を設定すると、信頼され認証されたアプリケーションとサービスのみがデータにアクセスできるようになります。
Kerberos プロトコルは、主にコンピューターネットワーク上での認証に使用されます。その主な特徴はシングルサインオン (SSO) です。SSO を使用すると、ユーザーは一度認証するだけでチケット発行チケット (TGT) を取得できます。その後、ユーザーはこのチケットを使用して複数のサービスにアクセスできます。Kerberos は、各クライアントとサービスの間に共有鍵を確立します。サービスはこの鍵を使用して通信し、信頼できないサービスやアプリケーションがデータリソースにアクセスするのを防ぎます。この設計により、プロトコルは非常に安全なものになっています。
制限事項
-
Kerberos 認証は、CDH 6.X クラスターでのみサポートされています。他のバージョンやテストされていないセルフマネージドクラスターでは、認証が失敗する可能性があります。
-
Kerberos 認証は、HBase、HDFS、Hive データソースでのみサポートされています。
-
Kerberos 認証は、データ統合専用リソースグループまたはサーバーレスリソースグループでのみサポートされています。
Kerberos 認証の仕組み
Kerberos は、対称キーに基づくサードパーティ認証プロトコルです。クライアントとサーバーの両方が、キー配布センター (KDC) に依存して身分認証を実行します。Kerberos の詳細については、「概要」をご参照ください。
上の図に示すように、DataWorks における Kerberos 認証は、次の 4 つの段階で構成されます。
-
クライアントが TGT をリクエスト:クライアントユーザー (プリンシパル) が Kerberos 対応のデータソースにアクセスすると、クライアントは KDC にチケット発行チケット (TGT) をリクエストします。この TGT は、KDC に特定のサービスをリクエストするための身分証明として機能します。
-
KDC が TGT を発行:KDC はリクエストを受信した後、クライアントを認証します。認証が成功すると、KDC は特定の有効期間を持つ暗号化された TGT をクライアントに発行します。
-
クライアントがサーバーアクセスをリクエスト:クライアントは TGT を取得した後、リクエストされたサービスの名前に基づいて、サーバーに特定のサービスリソースへのアクセスをリクエストします。
-
サーバーがクライアントを認証:サーバーはリクエストを受信した後、クライアントを認証します。認証が成功すると、サーバーはクライアントにサービスリソースへのアクセスを許可します。
Kerberos 認証プロセスでは、keytab ファイルと krb5.conf ファイルが使用されます。krb5.conf ファイルには KDC サーバーの設定が保存され、keytab ファイルにはリソースプリンシパルの認証情報 (プリンシパルと暗号化されたプリンシパルキーを含む) が保存されます。Kerberos 認証を使用する前に、これら 2 つのファイルを認証ファイル管理ページにアップロードし、データソース設定ページで参照および設定する必要があります。認証ファイルのアップロード方法の詳細については、「認証ファイルのアップロード」をご参照ください。
サポートされるデータソース
次の表は、Kerberos 認証をサポートするデータソースタイプと、その設定ガイドへのリンクを示しています。
|
データソースタイプ |
ガイド |
|
HBase |
|
|
HDFS |
|
|
Hive |