外部認証を使用すると、ユーザーは一度コンピュータにログオンすれば、ユーザー名、パスワード、またはアカウント名を指定せずにTeradata Databaseにアクセスできます。これを可能にするには、ディレクトリ内でTeradata Databaseユーザーにまだマップされていないすべてのディレクトリ ユーザーを明示的にマップする必要があります。マップされていないユーザーとTeradata Databaseの間に明示的なマッピングを作成しない場合、そのディレクトリ ユーザーはTeradata Databaseにログオンできません。
ディレクトリ ユーザーを、次のオブジェクトに明示的にマップすることができます。
- EXTUSER
EXTUSERへのマッピングが、最も一般的に使用される方法です。
行レベル セキュリティ権限をEXTUSERに割り当てることはできません。
TdgssUserConfigFile.xmlファイルでAuthorizationSupportedプロパティがyesに設定されており、ユーザーがデータベースにログオンしようとすると、ユーザーはディレクトリによって認証されます。自動プロビジョニングをオンにすると、ユーザーはEXTUSERとしてログオンされません。代わりに、そのユーザーのアカウントをデータベースはDBC.Dbase内で作成し、そのアカウントを使用してユーザーをログオンします。自動プロビジョニングされるユーザーは永久ユーザーではなく、ディレクトリに対する認証が常に必要になります。EXTUSERと自動プロビジョニングの詳細については、<Teradata Vantage™ NewSQL Engineセキュリティ管理、B035-1100>を参照してください。
- プロファイル
- ロール
- Teradataユーザー
このログオンを実現する別の方法もあります。NULLパスワードを使用してユーザー ログオン権限を付与するという方法です。
Gtwcontrolユーティリティを使用することによってAppend Domain Nameオプションが設定されていないゲートウェイを通じてシステムにログオンできるユーザーを作成する手順は、次のとおりです。このユーザーは、ユーザーrhhとしてすでに定義されています。
- CREATE USERリクエストを使用して、次のようにユーザーrhhを作成します。
CREATE USER rhh AS PERM = 10000000, PASSWORD = rhh;
- GRANT LOGONリクエストを使用して、ユーザーrhhに次のようにログオン権限を付与します。
GRANT LOGON ON ALL TO rhh WITH NULL PASSWORD;
Append Domain Nameが設定されているゲートウェイを通じてTeradataシステムにログオンできるユーザーを作成する手順は、次のとおりです。このユーザーは、ユーザーrhhとしてすでに定義されており、そのアカウントはesw2kdevドメイン内にあります。
- CREATE USERリクエストを使用して、次のようにユーザーrhhを作成します。
CREATE USER "rhh@esw2kdev" AS PERM = 10000000, PASSWORD = rhh;
- GRANT LOGONリクエストを使用して、ユーザーrhhに次のようにログオン権限を付与します。
GRANT LOGON ON ALL TO "rhh@esw2kdev" WITH NULL PASSWORD;