DSE Unified Authentication(DSE統合認証)について

サポートされている認証と権限管理方法について説明します。

DSE Unified Authentication(DSE統合認証)は、3つのプライマリ・バックエンド認証と権限管理サービスへの接続を容易にします。DSE Unified Authentication(DSE統合認証)では以下のサービスを使用します。
  • DSE Authenticator(DSEオーセンティケーター)は、以下の認証スキームに対するユーザーIDの検証をサポートします。
    • 内部:接続によって、内部に格納されたパスワードを持つロールの認証情報が提供されます。追加構成は必要ありません。「ログインとユーザーのセットアップ」を参照してください。
    • LDAP:接続によって、LDAP資格情報が提供されます。DSEは、検証のための資格情報をLDAPに渡します。「LDAPスキームの定義」を参照してください。
    • Kerberos:接続によって、Kerberosチケットが提供されます。DSEはサービス・プリンシパルとして構成され(「Kerberosの設定」を参照)、検証のためにチケットをKDSに渡します。「Kerberosスキームの定義」を参照してください。

    接続要求によって認証スキームが指定されると、DSE Authenticator(DSEオーセンティケーター)はまず、選択されたスキームに対してユーザーを検証します。接続要求でスキームが指定されていないか、検証が失敗した場合、DSE Authenticator(DSEオーセンティケーター)は最初にdefault_schemeを試し、次にother_schemesで定義されている各スキームを順番に試します。

    重要: DSE Authenticator(DSEオーセンティケーター)を使用してアクセス制御を実装せずにユーザーを認証することもできますが、権限管理とロール管理には認証が必要です。
  • DSE Role Managerは、以下のいずれかのモードを使用してロールを割り当てます。
    • 内部:内部的に保存されたパスワードを使用した1-1マッピング。アカウントごとにロールが必要です。
    • LDAP:1-多のマッピング。ユーザーのLDAPグループと一致するDSEロールを割り当てます。
      注: LDAPロール管理の場合、DSEによってロールのネストが無効になります。したがって、GRANTを使用してロールを別のロールに割り当てることはできません。

  • DSE Authorizer(DSEオーソライザー)は、要求が実行可能になる前に、影響を受けるリソースごとにロール・パーミッションに対して要求を分析します。

    CQLコマンドGRANTREVOKEを使用してデータベース・リソースへのパーミッションを設定および削除します。

    ヒント: 行レベル・アクセス制御のサポートを有効にします。これによって、authorization_options row_level_access_controlをtrueに設定することで、パーティション・カラムでフィルター処理してパーティションを付与できるようになります。「DSE Unified Authentication(DSE統合認証)の有効化」および「行レベル・アクセス制御(RLAC)の設定」を参照してください。