DataWorks のデータ同期機能は、サードパーティの ID 認証をサポートしています。この機能を使用するには、認証ファイル管理ページで必要な認証ファイルをアップロードし、データソースを設定する際にサードパーティ認証を有効にする必要があります。このプロセスにより、信頼できるアプリケーションとサービスのみがデータリソースにアクセスできるようになります。このトピックでは、認証ファイルのアップロードと参照方法について説明します。
背景
サードパーティの ID 認証は、ユーザーとサービスに強力な認証を提供します。これにより、信頼できないプログラムやサービスがデータにアクセスするのを防ぎ、データ同期中のセキュリティを向上させます。DataWorks は、認証ファイルを管理するための一元化された認証ファイル管理ページを提供します。このページでは、認証ファイルをアップロードし、その参照を確認できます。
制限事項
DataWorks は Kerberos 認証メカニズムのみをサポートしています。詳細については、「Kerberos 認証の設定」をご参照ください。
使用上の注意
証明書には有効期間があります。アップロードした証明書の有効期間を監視する必要があります。証明書の有効期限が切れると、権限付与ができないため、対応するデータ同期タスクは失敗します。証明書の有効期限が切れる前に、新しい有効な証明書に置き換える必要があります。
認証ファイルのアップロード
認証機能を使用する前に、認証ファイルを準備し、認証ファイル管理ページにアップロードする必要があります。
データソースページに移動します。
DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。表示されたページで、ドロップダウンリストから目的のワークスペースを選択し、[管理センターへ移動] をクリックします。
SettingCenter ページの左側のナビゲーションウィンドウで、[データソース] をクリックします。
[認証ファイル管理] タブをクリックします。
ページの右上隅にある [認証ファイルのアップロード] をクリックします。[認証ファイルのアップロード] ダイアログボックスで、[ファイルのアップロード] をクリックし、ターゲットファイルを選択して [ファイルの説明] を入力し、[OK] をクリックします。
認証ファイルの参照
サードパーティの ID 認証機能を使用するには、データソース設定ページで ID 認証方法を有効にする必要があります。その後、関連するパラメーターを設定し、認証ファイルを参照する必要があります。DataWorks は Kerberos 認証のみをサポートしています。詳細については、「Kerberos 認証の設定」をご参照ください。
このセクションでは、HDFS データソースを例として、Kerberos 認証の主要な設定項目について説明します。データソースの設定方法の詳細については、「データソースの設定」をご参照ください。
設定項目 | 説明 |
特別な認証方法 | [特別な認証方法] を [Kerberos 認証] に設定します。 |
Keytab ファイル | Kerberos 環境に登録されている .keytab ファイルです。認証のためのキー情報を格納します。新しい認証ファイルをアップロードするには、[認証ファイルの追加] をクリックします。 |
Conf ファイル | Kerberos 設定ファイル krb5.conf です。新しい認証ファイルをアップロードするには、[認証ファイルの追加] をクリックします。 |
principal | keytab ファイルに含まれる Kerberos プリンシパルです。プリンシパルはユーザーまたはサービスであり、一意の名前と関連付けられた暗号化キーを持ちます。
|
その他の操作
[認証ファイル管理] ページでは、[一括削除]、[再アップロード]、[参照の表示] などの認証ファイルの操作も実行できます。
付録: Kerberos 認証の設定
DataWorks のデータ同期機能は Kerberos 認証のみをサポートしています。Kerberos 認証を設定すると、信頼できるアプリケーションとサービスのみが認証されます。これにより、認証されたアプリケーションとサービスのみがデータリソースにアクセスできるようになります。
Kerberos は、コンピューターネットワークの認証プロトコルです。その主な特徴はシングルサインオン (SSO) であり、ユーザーは一度認証情報を入力するだけで Ticket-Granting Ticket (TGT) を取得できます。その後、ユーザーはその TGT を使用して複数のサービスにアクセスできます。Kerberos プロトコルを使用すると、各クライアントとサービスの間に共有キーが確立されます。サービスはこのキーを使用して通信し、信頼できないサービスやアプリケーションがデータリソースにアクセスするのを防ぎ、高いセキュリティを提供します。
制限事項
Kerberos 認証機能は、CDH クラスター 6.X バージョンのみをサポートしています。他のバージョンや、Kerberos 認証でテストされていない自己管理クラスターでは認証が失敗する可能性があります。
Kerberos 認証機能は、HBase、HDFS、および Hive データソースのみをサポートしています。
Kerberos 認証機能は、Data Integration の専用リソースグループと Serverless リソースグループでのみ使用できます。
Kerberos 認証の仕組み
Kerberos は、共通鍵に基づくサードパーティの認証プロトコルです。クライアントとサーバーの両方が、ID 認証を実行するためにキー配布センター (KDC) に依存します。KDC は Kerberos のサーバープログラムです。Kerberos の詳細については、「概要」をご参照ください。
上の図に示すように、DataWorks における Kerberos 認証は、次の 4 つの段階で構成されます。
クライアントが TGT をリクエストする: クライアント (プリンシパル) が Kerberos 認証が有効になっているデータソースにアクセスすると、クライアントはまず KDC に TGT をリクエストします。TGT は、クライアントが KDC から特定のサービスへのアクセスをリクエストする際の ID の証明として機能します。
KDC が TGT を発行する: KDC がリクエストを受信した後、クライアントを認証します。クライアントが認証に合格すると、KDC は有効期間が限定された暗号化された TGT をクライアントに発行します。
クライアントがサーバーへのアクセスをリクエストする: クライアントが TGT を取得した後、サービス名に基づいてサーバーから特定のサービスリソースへのアクセスをリクエストします。
サーバーがクライアントを認証する: サーバーがリクエストを受信した後、クライアントを認証します。クライアントが認証に合格すると、クライアントはサービスリソースへのアクセスを許可されます。
Kerberos 認証プロシージャには、keytab 認証ファイルと krb5.conf 設定ファイルが必要です。krb5.conf ファイルには KDC サーバーの設定が格納されます。keytab ファイルには、プリンシパルと暗号化されたプリンシパルキーを含む、リソースプリンシパルの認証情報が格納されます。Kerberos 認証を使用する前に、これら 2 つのファイルを認証ファイル管理ページにアップロードする必要があります。その後、データソース設定ページで認証ファイルを参照および設定する必要があります。認証ファイルのアップロード方法の詳細については、「認証ファイルのアップロード」をご参照ください。
Kerberos 認証をサポートするデータソースタイプ
次の表に、Kerberos 認証をサポートするデータソースタイプと、その設定ガイドへのリンクを示します。
データソースタイプ | 設定ガイド |
HBase | |
HDFS | |
Hive |