DSE Unified Authentication(DSE統合認証)について

サポートされている認証と権限管理方法について説明します。

DSE Unified Authentication(DSE統合認証)は、3つのプライマリ・バックエンド認証と権限管理サービスへの接続を容易にします。DSE Unified Authentication(DSE統合認証)では以下のサービスを使用します。
  • DSE Authenticator(DSEオーセンティケーター)は、以下の認証スキームに対するユーザーIDの検証をサポートします。
    • 内部:接続によって、内部に格納されたパスワードを持つロールの認証情報が提供されます。追加の構成は必要ありません。「ロールの管理」を参照してください。
    • LDAP:接続によってLDAP認証情報が提供され、DSEが検証の認証情報をLDAPに渡します。「LDAPスキームの定義」を参照してください。
    • Kerberos:接続によってKerberosチケットが提供され、DSEはサービス・プリンシパルとして構成され(「Kerberosの設定」を参照)、検証のためにチケットをKDSに渡します。参照先: Kerberosスキームの定義

    接続要求によって認証スキームが指定されると、DSE Authenticator(DSEオーセンティケーター)はまず、選択されたスキームに対してユーザーを検証します。接続要求でスキームが指定されていないか、検証が失敗した場合、DSE Authenticator(DSEオーセンティケーター)は最初にdefault_schemeを試し、次にother_schemesで定義されている各スキームを順番に試します。

    クライアントおよびアプリケーションから認証情報を提供するには、「認証対応クラスターへの接続」を参照してください。

    重要: DSE Authenticator(DSEオーセンティケーター)を使用してアクセス制御を実装せずにユーザーを認証することもできますが、権限管理とロール管理には認証が必要です。
  • ユーザーへのロールの割り当てに使用されるDSE Role Manager(DSEロール・マネージャー)プロセス:
    • 内部:1対1のマッピング。ユーザー名とDSEロールを照合します。ユーザーごとにロールが必要です。「内部モード用にロールを作成する」を参照してください。
    • LDAP:1対多のマッピング。ユーザーのLDAPグループ名とDSEロールを照合します。ユーザーは複数のロールを持つことができます。「LDAPモード用にロールを作成する」を参照してください。
      注: LDAPロール管理の場合、DSEによってロールのネストが無効になります。したがって、GRANTを使用してロールを別のロールに割り当てることはできません。

  • DSE Authorizer(DSEオーソライザー)は、要求が実行可能になる前に、影響を受けるリソースごとにロール・パーミッションに対して要求を分析します。

    CQLコマンドGRANTREVOKEを使用して、データベース・リソースへのパーミッションを設定および削除します。

    ヒント: 行レベル・アクセス制御のサポートを有効にします。これによって、authorization_options row_level_access_controlをtrueに設定することで、パーティション・カラムでフィルター処理してパーティションを付与できるようになります。「DSE Unified Authentication(DSE統合認証)の有効化」および「行レベルのパーミッションの設定」を参照してください。