Directrices de seguridad del conector de destino de Teradata - Teradata QueryGrid

QueryGrid™ Guía de instalación y uso- 3.06
Deployment
VantageCloud
VantageCore
Edition
Enterprise
IntelliFlex
Lake
VMware
Product
Teradata QueryGrid
Release Number
3.06
Published
Diciembre de 2024
ft:locale
es-ES
ft:lastEdition
2024-12-18
dita:mapPath
es-ES/ndp1726122159943.ditamap
dita:ditavalPath
ft:empty
dita:id
lxg1591800469257
Product Category
Analytical Ecosystem
Los conectores de Teradata admiten mecanismos de seguridad De confianza, TD2, LDAP, Kerberos, SSO de Kerberos, SSO de JWT y TDNEGO cuando actúan como conectores de destino. Las siguientes consideraciones se aplican a cada uno de los mecanismos de seguridad:
  • Matriz de compatibilidad de componentes y conectores de QueryGrid™
  • El nombre de usuario y la contraseña asignados y comunicados por el conector de iniciador tienen prioridad sobre aquellos definidos para las propiedades del conector de destino de Teradata.

    Por ejemplo, si el iniciador de Teradata proporciona un objeto de autorización, tiene prioridad sobre la configuración de la propiedad del conector relacionada con la seguridad. La definición de estas propiedades del conector es opcional. Sin embargo, si el conector de iniciador no proporciona credenciales, deben existir un nombre de usuario y una contraseña en la configuración de la propiedad del conector.

  • Si cambia las credenciales en la base de datos para un usuario de QueryGrid, también debe cambiar las credenciales en el conector. Si no se actualizan las credenciales del conector, las conexiones antiguas almacenadas en caché pueden permitir que las consultas se realicen correctamente, pero luego generarán un error cuando las conexiones expiren en la memoria caché.
  • Un administrador puede definir asignaciones de usuario en el portlet QueryGrid si el usuario final del iniciador difiere del usuario final del sistema remoto. Este es el usuario al que se ha concedido el privilegio CONNECT THROUGH del sistema remoto.
  • Para la asignación de usuarios, el usuario local que envía la consulta se asigna al usuario remoto que envía la consulta. La asignación de usuarios se aplica de la forma siguiente:
    • Para un conector de iniciador de Teradata, utilice la asignación de usuarios cuando se configura con autorización de DEFINER, siempre que el usuario local que envía la consulta no sea el mismo que el usuario que se autentica.
    • Para un conector de destino, la asignación de usuarios se aplica cuando se configura con el mecanismo de autenticación TRUSTED y el usuario remoto no es el mismo que el usuario que se autentica.
    • Para un conector de destino, la asignación de usuarios se aplica para los mecanismos de autenticación TD, TDNEGO, LDAP o Kerberos cuando la propiedad del conector Use Trusted se configura como true y el usuario remoto no es el mismo que el usuario que se autentica.

Trusted

Las cuentas de usuario o servicio de confianza son un usuario de proxy que actúa en nombre del usuario local. Configure las sesiones de confianza mediante la concesión del privilegio CONNECT THROUGH al usuario de proxy o al usuario final permanente. Para ello, realice los siguientes pasos en el sistema remoto:

CREATE USER proxyuser AS PERM = 0 PASSWORD = password;
GRANT CONNECT THROUGH proxyuser TO PERMANENT target_end_user without role;
>> this target_end_user is the user that has access to objects that we will access from local system
Se requieren los siguientes valores de propiedad para los conectores de destino de Teradata mediante el modelo de seguridad de confianza.
Configuración Descripción
Mecanismo de autenticación Establézcalo como De confianza.
Usuario Establézcalo como el nombre de usuario de proxy.
Contraseña Establézcalo como la contraseña para el usuario de proxy.

TD2

Se requieren los siguientes valores de propiedad para los conectores de destino de Teradata con el modelo de seguridad TD2.
Configuración Descripción
Mecanismo de autenticación Establézcalo como TD2.
Usuario Establézcalo como el nombre de usuario autorizado.
Contraseña Establézcalo como la contraseña para el usuario autorizado.

LDAP

Puede configurar los conectores de destino de Teradata para utilizar la autenticación LDAP que incluya un nombre de usuario y una contraseña. Esto significa que las consultas con un destino de Teradata se pueden enviar mediante el mecanismo de seguridad LDAP para autenticarse; por ejemplo, la conexión de Presto a Teradata admite LDAP. Las siguientes propiedades deben configurarse para utilizar LDAP con conectores de destino de Teradata.
Configuración Descripción
Mecanismo de autenticación Establézcalo como LDAP.
Nombre de usuario Establézcalo como el nombre de usuario del directorio LDAP.
Contraseña Establézcalo como la contraseña para el usuario.

Para obtener información detallada acerca de cómo configurar los conectores de destino de Teradata para utilizar la autenticación LDAP, consulte Seguridad: Orange Book de integración de directorios y autenticación de usuarios, 541-0004998.

Kerberos

La configuración de Teradata Kerberos debe completarse antes de configurar QueryGrid. Los siguientes valores de propiedad son obligatorios para los conectores de destino de Teradata que usan el modelo de seguridad de Kerberos.
Configuración Descripción
Mecanismo de autenticación Establézcalo en Kerberos.
Nombre de usuario Establézcalo en el nombre principal de Kerberos.
Contraseña Establézcalo como la contraseña para el nombre de la entidad de seguridad de Kerberos.

QueryGrid autentica una entidad de seguridad mediante una contraseña.
Dominio Establézcalo en el dominio Kerberos.

Para obtener más información, consulte Propiedades de conectores y enlaces de Teradata.

SSO de Kerberos

QueryGrid admite la característica de inicio de sesión único (SSO) de Kerberos mediante el mecanismo de autenticación, SSO de Kerberos, en un enlace de Teradata a Teradata. Debe completar la configuración de Kerberos en los sistemas iniciador y de destino antes de configurar QueryGrid. El token de Kerberos se transporta desde el iniciador a la base de datos de destino al establecer una conexión. Las propiedades relacionadas con Kerberos, como nombre de usuario, contraseña y dominio se omiten si se proporcionan en las propiedades del conector o en el objeto de autorización.

Consulte Inicio de sesión único de Kerberos para obtener información.

JWT SSO

QueryGrid admite la característica de inicio de sesión único (SSO) de token de web JSON mediante el mecanismo de autenticación SSO de JWT en un enlace de Teradata a Teradata. No es necesario pasar credenciales de destino en las propiedades del conector ni en el objeto de autorización. Tanto el sistema iniciador como el de destino deben configurarse con SSO antes de configurar QueryGrid. El JWT se transporta desde el iniciador a la base de datos de destino donde QueryGrid realiza un intercambio de tokens para obtener un token nuevo que funcione para ese sistema de destino.

Las siguientes consideraciones se aplican a SSO de JWT:
  • Esta característica es compatible con Teradata Vantage 17.20 y versiones posteriores.
  • Tanto el sistema iniciador como el de destino deben configurarse para que SSO funcione con el intercambio de tokens (ya sea En nombre de o Intercambio de tokens estándar).
  • El inicio de sesión desde el sistema Teradata iniciador debe utilizar el mecanismo JWT.
  • El indicador de dbscontrol ForwardCredential en el sistema Teradata iniciador debe establecerse en TRUE (valor predeterminado) para habilitar esta característica en la base de datos.
  • La comprobación de diagnóstico del conector no se admite cuando el mecanismo de autenticación es SSO de JWT.
  • Se debe poder acceder a la IdP URL proporcionada en las propiedades del conector desde el nodo del controlador de destino.

TDNEGO

Al configurar el mecanismo de autenticación TDNEGO, TDGSS determina automáticamente el mecanismo de autenticación real sin la participación del usuario. Teradata recomienda este proceso para el caso de uso en el que se desconoce el mecanismo de autenticación correcto. Establezca el mecanismo de autenticación como TDNEGO y proporcione las credenciales en el objeto de autorización o en las propiedades del conector.
  • Mecanismos de autenticación compatibles con TDNEGO: TD2, LDAP, Kerberos y Kerberos SSO
  • Disponibilidad: en todas las plataformas de servidor y cliente admitidas
  • Nombre de usuario y contraseña: según el mecanismo de autenticación elegido

TDNEGO está habilitado de forma predeterminada tanto en el servidor como en el cliente. El orden de negociación con SQLE es el mismo que el orden de los mecanismos de autenticación en el archivo de configuración TdgssUserConfigFile.xml.

Cifrado de puerta de enlace de Teradata

Las conexiones HTTPS/TLS están disponibles con el controlador JDBC de Teradata 17.10.00.07 y son compatibles con las siguientes bases de datos:
  • SQL Engine 17.10 y versiones posteriores
  • Advanced SQL Engine 16.20.53.30 y versiones posteriores

JDBC admite esto de forma predeterminada en el puerto 443 cuando la instancia de Analytics Database de destino está habilitada con TLS. Si TLS está habilitado en un puerto que no sea el puerto 443, use las propiedades del conector JDBC Communication over TLS y TLS Port.