Kerberos を使用したシングルサインオン¶
Kerberos 認証方式を使用する場合、認証はオペレーティングシステムにログインする際の一度だけで済みます。これは、同じ資格情報がすべての Denodo 製品で再利用されるためです。Data Catalog を例にとれば、ブラウザが主体となってシステムからユーザーの資格情報を取得して、Data Catalog でのユーザー認証に使用する Kerberos チケットを作成します。Data Catalog がこのチケットを Kerberos 認証サーバー (通常は Active Directory) に送信し、Kerberos 認証サーバーがチケットを検証します。
Data Catalog で Kerberos 認証を構成するには、次の手順に従って実施してください。
組織の Active Directory で Virtual DataPort 用のサービスアカウントを構成します 。
Data Catalog と Virtual DataPort サーバーが異なるマシンに存在する場合、組織の Active Directory で Data Catalog 用のサービスアカウントを構成します 。
Kerberos レルムが別のドメインに属する場合は、 Kerberos レルムを指定します 。
Data Catalog からの接続に使用する Virtual DataPort サーバーで Kerberos 認証を構成します 。
注釈
認証用の Kerberos チケットはブラウザが自動生成するため、次の点に留意してください。
Data Catalog を識別するサービスプリンシパル名には、サービスクラスとして
HTTP
を使用してください。例:HTTP/denodo-prod.subnet.acme.com@ACME.COM
Data Catalog にアクセスする際は、サービスプリンシパル名で定義された、ホストの完全修飾ドメイン名を使用してください。たとえば、Data Catalog のサービスプリンシパル名が
HTTP/denodo-prod.subnet.acme.com@ACME.COM
の場合、URLhttp://denodo-prod.subnet.acme.com:9090/denodo-data-catalog
を使用して Data Catalog にアクセスしてください。
Data Catalog に複数の Virtual DataPort サーバーが登録されている場合、次のようなログインページが表示されます。Data Catalog にログインする際は、接続するサーバーを選択するだけです。
登録されている Virtual DataPort サーバーが 1 つだけの場合、Data Catalog で自動的に認証されます。