Kerberos を使用したシングルサインオン

Kerberos 認証方式を使用する場合、認証はオペレーティングシステムにログインする際の一度だけで済みます。これは、同じ資格情報がすべての Denodo 製品で再利用されるためです。Data Catalog を例にとれば、ブラウザが主体となってシステムからユーザーの資格情報を取得して、Data Catalog でのユーザー認証に使用する Kerberos チケットを作成します。Data Catalog がこのチケットを Kerberos 認証サーバー (通常は Active Directory) に送信し、Kerberos 認証サーバーがチケットを検証します。

Data Catalog で Kerberos 認証を構成するには、次の手順に従って実施してください。

  1. 組織の Active Directory で Virtual DataPort 用のサービスアカウントを構成します

  2. Data Catalog と Virtual DataPort サーバーが異なるマシンに存在する場合、組織の Active Directory で Data Catalog 用のサービスアカウントを構成します

  3. Kerberos レルムが別のドメインに属する場合は、 Kerberos レルムを指定します

  4. Data Catalog からの接続に使用する Virtual DataPort サーバーで Kerberos 認証を構成します

  5. Data Catalog サーバーで Kerberos 認証を構成します

  6. ブラウザで Kerberos を構成します

注釈

認証用の Kerberos チケットはブラウザが自動生成するため、次の点に留意してください。

  • Data Catalog を識別するサービスプリンシパル名には、サービスクラスとして HTTP を使用してください。例: HTTP/denodo-prod.subnet.acme.com@ACME.COM

  • Data Catalog にアクセスする際は、サービスプリンシパル名で定義された、ホストの完全修飾ドメイン名を使用してください。たとえば、Data Catalog のサービスプリンシパル名が HTTP/denodo-prod.subnet.acme.com@ACME.COM の場合、URL http://denodo-prod.subnet.acme.com:9090/denodo-data-catalog を使用して Data Catalog にアクセスしてください。

Data Catalog に複数の Virtual DataPort サーバーが登録されている場合、次のようなログインページが表示されます。Data Catalog にログインする際は、接続するサーバーを選択するだけです。

Login page for single sign-on with Kerberos in the Data Catalog

Kerberos を使用したシングルサインオンを用いる場合の、Data Catalog のログインページ

登録されている Virtual DataPort サーバーが 1 つだけの場合、Data Catalog で自動的に認証されます。