ネットワーク セキュリティを有効にするためには、システム管理者によってゲートウェイで設定されたメカニズムの1つに対応する認証メカニズムを指定した上で、ユーザー名やパスワードなどのその他のパラメータをクライアント アプリケーションからネットワーク セキィリティ経由で渡す必要があります。次の表に、認証メカニズムの概要を示します。
| 認証メカニズム | 名前 | クライアント/サーバー | 説明 |
|---|---|---|---|
| Teradata 2 | TD2 | すべて | Teradata 2(TD2)メカニズムでは、データベース システムのユーザー名とパスワードを使用して認証を行ないます。 Teradata 1とTeradata 2の違いは、Teradata 2の暗号鍵の方がより高度なセキュリティを実現できることです。 暗号化: Teradata 2(TD2)メカニズムが選択されている場合、ログオン列とデータの両方が暗号化されます。 可用性: Teradata 2メカニズムは、サポート対象のすべてのクライアントおよびサーバーのプラットフォームで使用できます。 ユーザー名およびパスワード: 有効なTeradataユーザー名およびパスワードが常に要求されます。 |
| TDNEGO | TDNEGO | すべて | 必要な実際のメカニズムをポリシーに基づいて、ユーザーの関与なしで自動的に決定するセキュリティ メカニズム。実際のメカニズムは、TDGSSサーバー構成とセキュリティ ポリシーのメカニズム制約によって決定されます。これによりユーザーは使用するログオン メカニズムを指定する必要がないため、ユーザー ログオンが簡単になります。また、ログオン メカニズムの指定をサポートしないアプリケーションおよびツールに対し、より使いやすく、より良いサポートが提供されます。 クライアント バージョンおよびサーバー バージョンのTDNEGOは自動的にネゴシエートし、使用する適切なTDGSSセキュリティ メカニズムを選択します。 暗号化: 選択されるメカニズムによって異なります。 可用性: TDNEGOメカニズムは、サポート対象のすべてのクライアントおよびサーバーのプラットフォームで使用できます。 ユーザー名およびパスワード: 選択されるメカニズムによって異なります。 |
| LDAP | LDAP | すべて(LDAPv3ライブラリが提供されているもの) | LDAP認証メカニズムが使用されている場合、サーバーは、ユーザー名とパスワードを使用したLDAPディレクトリへのバインドによって認証を行ないます。 暗号化: LDAPが選択されている場合、ログオン列とデータの両方が暗号化されます。 可用性: LDAPメカニズムは、LDAPv3互換ライブラリが備わっているサポート対象のすべてのクライアントおよびサーバー プラットフォームで使用可能です。 ユーザー名およびパスワード: アプリケーションは、ユーザー名、パスワード、およびドメインまたはレルムを渡します。 ユーザーが認証されると、ディレクトリから取得したTeradataユーザー名を使用して暗黙的なログオンが行なわれます。 ゲートウェイ ディレクトリは、ユーザー名を、特定のTeradataユーザー名かシステム定義ユーザー名EXTUSERにマップします。 ディレクトリがユーザー名を特定のTeradataユーザー名にマップする場合、ユーザーは事前にNULLパスワードによるログオン権限を付与されている必要があります。 ディレクトリがEXTUSERにマップする場合、ユーザーの特性(ロール、権限、スペースなど)は、ディレクトリにある設定から決定されます。 |
| Kerberos | KRB5 | Windows Linux Apple macOS AIX Solaris OP Solaris SP |
ユーザーIDがKerberos(KRB5)によって検証されると、KRB5メカニズムは、Teradataユーザー名と同じユーザー名を使用して暗黙的なログオンを行ないます。 暗号化: KRB5が選択されている場合、ログオン列とデータの両方が暗号化されます。 可用性: KRB5メカニズムは、サポート対象のすべてのクライアントおよびサーバーのプラットフォームで使用できます。 ユーザー名、パスワード、ドメインおよびレルム: アプリケーションは、ユーザー名、パスワード、およびドメインまたはレルムを渡します。 ユーザーは、事前にNULLパスワードによるログオン権限を付与されている必要があります。 シングル サインオン: Kerberos(KRB5)メカニズムはSSOをサポートしており、ユーザー名とパスワードは、アプリケーションから明示的に示されるのではなく、アプリケーションのセキュリティ コンテキストから取得されます。 KRB5認証では、ODBC Driver for TeradataはDNSの逆引きを実行し成功させる必要があります。この逆引きの結果は、データベース ノードのFQDNである必要があります。 |
| JSON Web Token | JWT | すべて | UDAユーザー サービスにより、クライアントの信頼証明(ユーザー名およびパスワード)が認証されます。UDAユーザー サービスは、暗号化された信頼証明を含むJSON Web Tokenを返します。クライアントはこのトークンを使用してデータベースに接続します。 JWT認証メカニズムを使用する場合、クライアントはODBC Driver for Teradataに接続文字列で次の2つのパラメータを提供する必要があります。
AUTHENTICATION=JWT;
AuthenticationParameter={token=<JWT token>};
<JWT token>には、UDAユーザー サービスから取得したトークンを指定します。暗号化: JWTが選択されている場合、ログオン列とデータの両方が暗号化されます。 可用性: JWTメカニズムは、サポート対象のすべてのクライアントおよびサーバーのプラットフォームで使用できます。 ユーザー名、パスワード、ドメインおよびレルム: JWTトークンでは、ユーザー名とパスワードが暗号化されます。 シングル サインオン: JWTメカニズムは、JWTトークンの有効期限が続く間はSSOをサポートします。 |
| EXTERNALBROWSER | EXTERNALBROWSER | Windows/Apple macOS | EXTERNALBROWSERが指定されている場合、ユーザー名とパスワードは使用せずに、外部ブラウザを使用したKeycloakまたはPingFederateログインによってユーザーが認証されます。 暗号化: EXTERNALBROWSERが選択されている場合、ログオン文字列とデータの両方が暗号化されます。 可用性: WindowsおよびApple macOS ユーザー名およびパスワード: データベースのユーザー名とパスワードは必要ありません。外部ブラウザで認証を受けるには、ユーザーはKeycloakまたはPingfederateのログイン信頼証明が必要になります。 シングル サインオン: ユーザー名またはパスワードが指定されていない場合、EXTERNALBROWSERメカニズムではCloudSSOがサポートされています。外部ブラウザが起動し、ユーザーは認証を受けるためにKeycloakまたはPingfederateのログイン信頼証明を入力する必要があります。 |
| その他 | 指定される | すべて | ユーザーは、他の認証メカニズムを定義できます。 暗号化: ユーザー定義のメカニズムでもログオンおよびデータの暗号化を行なうことができます。 ユーザー名およびパスワード: メカニズムへの入力は、ユーザー名、パスワード、および、一般的には個々のメカニズム専用の認証情報になります。 |