認証¶
Data Catalog を使用した作業を開始する前に、ユーザーは身元を証明する必要があります。このプロセスは認証と呼ばれ、以下の手順から構成されます。
Data Catalog がユーザーを識別できるように、何らかの資格情報を提供します。提供する資格情報は、使用する認証方法に応じて、ユーザー名とパスワードの場合もあれば、Kerberos チケットや、SAML アサーションの場合もあります。
Data Catalog に複数の Virtual DataPort サーバーを登録している場合は、接続するサーバーを選択する必要があります。
Data Catalog が資格情報の検証を試みます。
資格情報が正しい場合、Data Catalog へのアクセスが許可されます。Data Catalog は資格情報を検証した後でユーザーアカウントのロールを取得し、権限を判断します。この権限によって、ユーザーに許可されるタスクが決まります。なお、最後のステップは 認可 と呼ばれるものです。
注釈
各 Virtual DataPort サーバーは対応する接続 URL を持ち、この URL でデータベースを参照します。認証を正常に行うには、このデータベースに対する
CONNECT
権限が必要です。資格情報が正しくない場合、Data Catalog にはアクセスできません。
Data Catalog は以下の認証方法をサポートします。
ログインとパスワードによる認証: ログインにはユーザー名とパスワードが必要です。この方式では、接続しようとしている Virtual DataPort に認証を委任します。構成次第で、Virtual DataPort 自体で認証を処理することも、LDAP サーバーに認証を委任することも可能です。
Kerberos を使用したシングルサインオン: システムにログインするユーザーを識別する Kerberos チケットをブラウザが自動で提供します。Data Catalog がチケットを Kerberos サーバー (通常は Active Directory) に送信し、Kerberos サーバーが認証を行います。
ID プロバイダーを使用したシングルサインオン: Data Catalog が外部 ID プロバイダーに認証を委任します。現在サポートされている認証プロトコルは次のとおりです。
SAML
OAuth
OpenID Connect
管理者が Kerberos や ID プロバイダーによるシングルサインオンを有効にしているけれども、ユーザーとパスワードでログインしたい場合、http://localhost:9090/denodo-data-catalog?auth=login に移動します。
注釈
Kerberos を使用したシングルサインオン と ID プロバイダーを使用したシングルサインオン を同時に構成することはできません。
上記の認証方法の共通点は、他のシステムに認証を委任し、委任されたシステムがユーザーアカウントを管理する点です。しかし、Data Catalog には、この共通点が当てはまらない、もう一つの認証方法があります。それが、ローカル認証です。ローカル認証を使用する場合、Data Catalog にログインしたユーザーは一部の管理タスクしか実施できません。なお、ローカル認証用のユーザーアカウントは、Data Catalog が管理する唯一のアカウントです。
次のセクションでは、認証方法をより詳細に説明します。