DSE Unified Authentication(DSE統合認証)について
サポートされている認証と権限管理方法について説明します。
DSE Unified Authentication(DSE統合認証)は、3つのプライマリ・バックエンド認証と権限管理サービスへの接続を容易にします。DSE Unified Authentication(DSE統合認証)では以下のサービスを使用します。
-
DSE Authenticator(DSEオーセンティケーター)は、以下の認証スキームに対するユーザーIDの検証をサポートします。
- 内部:接続によって、内部に格納されたパスワードを持つロールの認証情報が提供されます。追加構成は必要ありません。「ログインとユーザーのセットアップ」を参照してください。
- LDAP:接続によって、LDAP資格情報が提供されます。DSEは、検証のための資格情報をLDAPに渡します。「LDAPスキームの定義」を参照してください。
- Kerberos:接続によって、Kerberosチケットが提供されます。DSEはサービス・プリンシパルとして構成され(「Kerberosの設定」を参照)、検証のためにチケットをKDSに渡します。「Kerberosスキームの定義」を参照してください。
接続要求によって認証スキームが指定されると、DSE Authenticator(DSEオーセンティケーター)はまず、選択されたスキームに対してユーザーを検証します。接続要求でスキームが指定されていないか、検証が失敗した場合、DSE Authenticator(DSEオーセンティケーター)は最初に
default_scheme
を試し、次にother_schemes
で定義されている各スキームを順番に試します。重要: DSE Authenticator(DSEオーセンティケーター)を使用してアクセス制御を実装せずにユーザーを認証することもできますが、権限管理とロール管理には認証が必要です。 -
DSE Role Managerは、以下のいずれかのモードを使用してロールを割り当てます。
- 内部:内部的に保存されたパスワードを使用した1-1マッピング。アカウントごとにロールが必要です。
- LDAP:1-多のマッピング。ユーザーのLDAPグループと一致するDSEロールを割り当てます。注: LDAPロール管理の場合、DSEによってロールのネストが無効になります。したがって、GRANTを使用してロールを別のロールに割り当てることはできません。
-
DSE Authorizer(DSEオーソライザー)は、要求が実行可能になる前に、影響を受けるリソースごとにロール・パーミッションに対して要求を分析します。
CQLコマンドGRANTとREVOKEを使用してデータベース・リソースへのパーミッションを設定および削除します。
ヒント: 行レベル・アクセス制御のサポートを有効にします。これによって、authorization_options
row_level_access_control
をtrueに設定することで、パーティション・カラムでフィルター処理してパーティションを付与できるようになります。「DSE Unified Authentication(DSE統合認証)の有効化」および「行レベル・アクセス制御(RLAC)の設定」を参照してください。