4.2 マルチユーザー認可

デフォルトでは、Oracle Big Data SQLを使用して実行される問合せは、Hadoopクラスタのoracleユーザーとして実行されます。このデフォルト構成のすべてのHadoop監査は、oracleユーザーがファイルにアクセスしたことを示しています。

Big Data SQLには、マルチユーザー認可と呼ばれる機能があり、これにより、データベースはHadoopクラスタ上のデータにアクセスする際にクラスタ・ユーザーを偽装できます。マルチユーザー認可では、oracleアイデンティティはデータ・アクセスの認可に使用されなくなりました。かわりに、実際に接続されたユーザーから導出されたアイデンティティが認可を受け取ります。また、Hadoop監査は、ファイル・アクセスをoracleではなく実際に接続しているユーザーによるものであるとします。

ユーザーおよびアプリケーションは、以下をはじめとする様々な方法でOracle Databaseに接続できます。

• データベース・ユーザーとして
• Kerberosユーザーとして
• LDAPユーザーとして
• アプリケーション・ユーザーとして

マルチユーザー認可では、管理者はこの接続済ユーザーをどのように導出するかを指定できます。たとえば、LDAPアイデンティティを使用してOracle Databaseに接続するすべてのユーザーは、Hadoopクラスタに対する問合せを実行するときに、自身の認証されたアイデンティティを使用します。また、ユーザーを管理するアプリケーションは、Oracle Databaseクライアント識別子を使用して、現在接続しているユーザーを導出できます(また、そのユーザーのアイデンティティを使用してHadoopクラスタ上のデータへのアクセスを認可できます)。Oracle Big Data SQLには、実際のユーザーを識別するためのルールを含むマッピングが用意されています。

関連項目:

• 「DBMS_BDSQL PL/SQLパッケージ」。このパッケージを使用してマルチユーザー認可を実装する方法が説明されています。
• Apache Foundationのドキュメント(https://sentry.apache.org)。

4.2.1 マルチユーザー認可モデル

マルチユーザー認可機能により、Hadoop Secure Impersonationを使用して、oracleアカウントに対し、他の指定のユーザーのかわりにタスクを実行するように指示できます。

管理者は、問合せユーザー(現在接続されているユーザー)を識別し、このユーザーを偽装ユーザーにマップするためのルールを設定できます。ユーザーがOracle Databaseに接続する方法が多数あるため、データベース・ユーザー、LDAPを元にするユーザー、Kerberosを元にするユーザー、他のソースを元にするユーザーなどがこのユーザーになります。ファイルに対する認可ルールは問合せユーザーに適用され、監査により、そのユーザーが問合せユーザーであると識別されます。

これにより、単一のoracleユーザーのみでなく、現在問合せを実行しているユーザーに基づいたHDFS認可が可能になります。

ノート:

マルチユーザー認可でも、SYSがSYSDBAとして接続されている場合は、デフォルトでoracleユーザーが使用されます。

関連項目:

「DBMS_BDSQL PL/SQLパッケージ」。マルチユーザー認可セキュリティ表、およびその表に対してユーザー・マップを追加および削除するためのプロシージャについて説明されています。