16.20 - ポリシーのメンバーとしてユーザーを指定するためのルール - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval

ポリシーをユーザーに適用するポリシーのメンバーとして、tdatUserオブジェクトのDN、または場合によってはディレクトリ プリンシパル オブジェクトのDNを指定することができます。

DN指定要件は、ポリシー タイプに関係なく、ユーザーの認証および許可の方法によって異なります。

認証メカニズム メンバーの定義
TD2 DNは、Teradata Databaseユーザー名にcnが一致するディレクトリ内の既存のTeradataユーザー オブジェクトである必要があります。
KRB5 (AuthorizationSupported=no) DNは、Kerberosドメイン ユーザー名にcnが一致するディレクトリ内の既存のTeradataユーザー オブジェクトである必要があります。
LDAP (AuthorizationSupported=no) DNは、ユーザーのLDAPログオン名にcnが一致するディレクトリ内の既存のTeradataユーザー オブジェクトである必要があります。
KRB5またはLDAP (AuthorizationSupported=yes) 次のいずれかである必要がある:
  • Teradataユーザー オブジェクトのDN
  • ディレクトリ プリンシパルのDN

ユーザー オブジェクトの選択には、次のルールがあります。

ディレクトリ プリンシパルがTeradataユーザー オブジェクトにマップされている場合、Teradataユーザー オブジェクトのDNをメンバー属性に使用します。

ディレクトリ プリンシパルがTeradataユーザー オブジェクトにマップされていない場合、ディレクトリ プリンシパルのDNをメンバー属性に使用します。

PROXY PROXYメカニズムは、Unityサーバーが、接続されたTeradata Databaseシステムにログオンするためだけに使用する。

Unityでログオンするユーザーが外部で認証される場合、PROXYを構成する必要がある。PROXYが構成されると、UnityはTD2セッションのためにPROXYメカニズムも使用する。

PROXYが構成されている場合、データベースへのUnity接続のセキュリティを確実にするために、PROXYメカニズム ポリシーを作成し、各サーバーのUnityユーザーへポリシーのメンバーシップを割り当てる。

  1. 各Unityサーバーの初期設定の一部としてUnityユーザーを定義します。Teradata Unityのマニュアルを参照してください。
  2. 外部で認証されたTeradata Databaseユーザーに使用する証明書および秘密鍵を構成する際には、各UnityサーバーのUnityユーザーおよびパスワードを再度指定します。Unityの詳細については、<Teradata® Unity™のインストール、構成、アップグレード ガイド、ユーザー用、B035-2523>および<Teradata® Unity™ユーザー ガイド、B035-2520>を参照してください。
  3. ポリシーでのLDAPディレクトリ オブジェクトの使用の図で示すように、各Unityユーザーをディレクトリ内のTeradataユーザー オブジェクトとして定義する。
  4. PROXYポリシー メンバーシップをディレクトリ内の各UnityサーバーのUnityユーザーに割り当てる。メンバーシップをユーザーに割り当てるために使用する構文に関する手順は、セキュリティ メカニズム ポリシーの構成で始まる各ポリシー型のトピックを参照。
PROXYポリシーを他のユーザーに割り当てないでください。
JWT JWTメカニズムは、Teradata AppCenterが接続されたTeradata Databaseシステムにログオンするためだけに使用されます。

JSON Webトークン(JWT)認証メカニズムにより、ユーザーがTeradata UDAユーザー サービスに対して正常に認証されると、Teradata DatabaseへのSingle Sign-on (SSO)が有効になります。UDAユーザー サービスはTeradata AppCenterやTeradata® クエリー サービス (RESTサービス)などの各種のUDAアプリケーションおよびサービスに対してユーザーを認証します。アプリケーションまたはサービスの1つに対して認証されたユーザーは、JWTを使って、Single Sign-onを実行してTeradata Databaseとのセッションを確立することができます。