Denodo Security Token

Denodo Security Token Server は、認証を外部 ID プロバイダーに委任するための一元化されたシステムです。このシステムは、認可オブジェクトを取得して有効な資格情報を生成し、他のアプリケーションがその資格情報を使用して Denodo 全体にアクセスできるようにします。さらに、 シングルサインオン 認証も提供して、ユーザーが一度ログインしたら個別の ID とパスワードを使用する必要なく複数の Web アプリケーションにログインできるようにします。ユーザー情報は外部 ID プロバイダーによってのみ、一元的に管理されます。

アーキテクチャ

以下の点に基づいて、一元化された認証サーバーを提供します。

  1. 認証の委任: 認証を以下の外部 ID プロバイダーに委任します。

    • SAML

    • OAuth

    • OpenID Connect

  2. 役割の抽出: 委任された認証オブジェクトから役割を抽出します。元のアサーションまたはトークンを処理して、構成されている属性名で役割の情報を抽出できます。

  3. 一時的な資格情報の発行: 外部 ID プロバイダーによって認証されたばかりのユーザーを表す一時的な資格情報を発行します。この資格情報は Denodo 環境によって確認および検証され、その環境に対するアクセスが付与されます。

Denodo Security Token Architecture

Denodo Security Token のアーキテクチャ

セキュリティ上の考慮事項

本番環境では、Denodo Security Token Server との通信はすべて、セキュアなチャネル (つまり SSL/TLS) 経由で行うことを強くお勧めします。生成されるトークンはセキュリティ資格情報であり、安全に送信される必要があるため、この点は重要です。このような理由から、Denodo Solution Manager および環境で使用されているすべての Denodo Platform の通信をセキュアなチャネル経由 (つまり、SSL/TLS) で行う必要があります。これを有効にする方法については、「 Denodo Platform での SSL/TLS の有効化 」を参照してください。

注釈

Denodo Security Token に SSL で接続するには、サーバーの SSL 証明書、またはサーバーの証明書に署名した CA 証明書を、Denodo Platform で使用している JVM トラストストアにインポートする必要があります。

外部 ID プロバイダーに関する考慮事項

Denodo Security Token は、委任された認証を管理する一元的な認証システムとして機能します。このため、ID プロバイダーと Denodo Security Token との間に証明書利用者信頼を追加する必要があります。この信頼の登録には、外部プロバイダーで使用されるプロトコルに応じた一般的な構成を使用します。

  • SAML ID プロバイダーの場合、Denodo Security Token によって URL https://solution-manager.acme.com:19443/sso/sso-saml/metadata で公開されるサービスプロバイダー XML メタデータを使用できます。

  • OAuth および OpenID Connect ID のプロバイダーの場合、リダイレクト URI (認可の取得後にプロバイダーがリダイレクトする宛先の完全な URI) を追加する必要があります。Denodo Security Token のデフォルトのリダイレクト URI の形式は https://solution-manager.acme.com:19443/sso/sso-oauth/oauth-login です。OAuth の場合は末尾が /sso/sso-oauth/oauth-login で、OpenID Connect の場合は /sso/sso-openid/openid-login です。

注釈

各構成の ID プロバイダーの詳細を確認してください。

Denodo Platform の構成

次のような場合は、Denodo Security Token をサポートするように Denodo Platform を構成する必要があります。

  1. インストール環境の複数の Web コンポーネントにわたって シングルサインオン する場合。

    シングルサインオンの構成は、 認証の構成 について詳しく説明しているページに従って行うことができます。

  2. Solution Manager でシステム 管理タスク を実行する場合。

    Denodo Platform が Solution Manager によって管理されている場合、その Solution Manager とともに配布される Denodo Security Token Server を指すように Denodo Platform を構成する必要があります。

管理タスク

Solution Manager には、Denodo Platform サーバーを管理するために権限付き接続が必要です。Solution Manager は、必要なアクセス許可が設定された一時的なシステムトークンを使用して管理タスクを実行するので、これらのトークンを検証するために、Denodo Platform サーバーに Denodo Security Token 認証を構成しておく必要があります。これには、管理タスクの実行時に実際のユーザー資格情報が共有されず、各アクションに必要なアクセス許可だけを持つ寿命の短いトークンが使用されるという利点があります。一時的な資格情報の署名に使用する暗号化キーは、「 認証資格情報 」の説明に従ってカスタマイズできます。

一時的なシステムトークンが必要な管理タスクは次のとおりです。

  • 診断と監視: 履歴データを読み込んで、またはリアルタイムでサーバーの状態を確認します。環境、クラスター、またはサーバーを監視するために、Solution Manager のインストールで配布される Diagnostic & Monitoring Tool と、組み込みの Denodo Monitor で使用されます。

  • デプロイ: 環境にリビジョンをデプロイします。ターゲットサーバーを、Denodo Security Token 認証をサポートするように構成する必要があります。

  • ログレベルの管理: 実際のエントリを表示し、Virtual DataPort サーバーのログレベルを変更します。

Denodo Security Token は、本来、自動クラウドモード環境でサポートされますが、標準モード環境で有効にする必要があります。

Denodo Platform での Denodo Security Token の有効化

外部の Denodo Platform に対して Denodo Security Token を有効にするには、以下の操作を行います。

  1. Denodo Platform Control Center を通してグラフィカルに実行する

Denodo Security Token enabled by Denodo Platform Control Center

Denodo Platform Control Center からの Denodo Security Token の有効化

  • Host: Denodo Security Token Server が実行されているコンテナーのホスト名。たとえば、 solution-manager.acme.com です。

  • Port: Denodo Security Token Server が実行されている Web コンテナーのポート番号。これは通常、Solution Manager の Web コンテナーです。このコンテナーのデフォルトのポートは、 19090 (SSL/TLS が無効な場合) または 19443 (SSL/TLS が有効な場合) です。

  • Uses SSL/TLS: Denodo Security Token に対して SSL/TLS を構成する場合にチェックします。

  • Enable Denodo Single Sign On for web applications: Denodo Security Token を使用したシングルサインオン認証を許可する場合にチェックします。

  1. <DENODO_HOME>/conf/SSOConfiguration.properties を直接編集する

    sso.url=https://solution-manager.acme.com:19443
    sso.token-enabled=true
    sso.enabled=true
    
    • sso.url: Denodo Security Token の URL。形式は、{スキーマ}://{ホスト名}:{ポート} です。これは通常、Denodo Security Token Server がデフォルトでデプロイされる Solution Manager の Web コンテナーの URL です。たとえば、 https://solution-manager.acme.com:19443 です。

    • sso.token-enabled: Virtual DataPort (インストールされている場合) に対して Denodo Security Token を有効にします。

    • sso.enabled: 対象のインストール環境にデプロイされている Web アプリケーションに対して Denodo Security Token シングルサインオンを有効にします。

注釈

これらの変更を適用するには、関連するサーバーを再起動してください。

認証資格情報

Solution Manager は、Denodo Platform の他のコンポーネントとの通信を保護するために署名資格情報を使用します。カスタムの RSA 暗号化キー、またはシステムによって自動生成される暗号化キーを使用するように Solution Manager を構成できます。

Solution Manager の資格情報を管理するには、[Configuration] メニュー > [Authentication] をクリックします。 認証資格情報 の構成は、このタブの上部で行います。

Solution Manager credentials configuration

Solution Manager の資格情報の構成

[Autogenerated] (デフォルトのオプション) を選択した場合、Solution Manager は、自動生成された秘密キーを使用します。

[Custom] を選択した場合、以下を指定する必要があります。

  • KeyStore file: 以下の前提条件を満たすキーストアファイル。

    • 1 つのキーペアのみが含まれる

    • キーペアが RSA アルゴリズムを使用している

  • KeyStore password: キーストアを保護するパスワード。キーペアも保護する場合は、同じパスワードを使用する必要があります。

    注釈

    資格情報を変更した場合、一部の自動化タスクが影響を受ける可能性があります。その場合は、サーバーを再起動してください。

シングルサインオンの処理順序

Web アプリケーションの初期認証フローは、大まかに説明すると次のようになります。

Denodo Security Token Single Sign-On sequence diagram to Solution Manager Web Tool

Denodo Security Token による、Solution Manager Web ツールへのシングルサインオンの処理順序を示す図

この後、ユーザーが次に別の Web アプリケーションにアクセスする場合、資格情報を使用してまたログインする必要はありません。

Denodo Security Token Single Sign-On sequence diagram to another web application

Denodo Security Token による、別の Web アプリケーションへのシングルサインオンの処理順序を示す図