認証
MongoDB Connector for BI は、MongoDB での認証と接続ユーザーの認証のために次の認証メカニズムをサポートしています。
SCRAM-SHA-1
SCRAM-SHA-256
PLAIN
(LDAP)GSSAPI
(Kerberos)
BI Connector( mongosqld
)は、管理者認証情報を使用して MongoDB で認証し、サンプル データを使用して BI Connector のスキーマを生成します。 クライアントが BI Connector に接続すると、 mongosqld
は認証のために接続クライアントの認証情報を MongoDB に渡し、接続ユーザーの権限に従ってデータを表示および制限します。
次のセクションでは、MongoDB 配置で認証するように BI Connector を構成する方法、BI Connector に接続するユーザーの認証を構成する方法、および認証オプションを使用して BI ツールからユーザー名を形式する方法について説明します。
MongoDB 認証
MongoDB 配置で認証が有効になっている場合は、必要な認証メカニズムを使用し、管理者ユーザーの認証情報を提供するように BI Connector を構成する必要があります。 BI Connector を使用してクエリするデータのスーパーセットを表示するには、管理者ユーザーの認証情報にが付与されている必要があります。
注意
MongoDB 配置で SCRAMを構成する方法について詳しくは、「 SCRAM 」を参照してください。
MongoDB の BI Connector 認証メカニズムとしてチャレンジとレスポンス( SCRAM-SHA-1
)を有効にするには、次の設定をmongosqld構成ファイルに追加する必要があります。
mongodb: net: auth: username: <admin-username> password: <admin-password> source: <auth-db-name> mechanism: "SCRAM-SHA-1"
MongoDB ホスト構成ファイル設定の詳細については、以下を参照してください。
注意
MongoDB 配置でLDAPを構成する方法の詳細については、「 LDAP プロキシ認証 」を参照してください。
MongoDB の BI Connector 認証メカニズムとしてLDAP ( PLAIN
)を有効にするには、次の設定をmongosqld構成ファイルに追加する必要があります。
mongodb: net: auth: username: <admin-username> password: <admin-password> mechanism: "PLAIN"
MongoDB ホスト構成ファイル設定の詳細については、以下を参照してください。
MongoDB の BI Connector 認証メカニズムとして Kerberos( GSSAPI
)を有効にするには、次の設定をmongosqld構成ファイルに追加する必要があります。
mongodb: net: auth: username: <admin-username> password: <admin-password> mechanism: "GSSAPI"
MongoDB ホスト構成ファイル設定の詳細については、以下を参照してください。
Kerberos 構成の詳細については、「 BI Connector 用の Kerberos の構成 」を参照してください。
BI Connector 認証
BI Connector 認証メカニズムとしてチャレンジとレスポンス( SCRAM-SHA-1
)を有効にするには、 mongosqld構成ファイルにsecurity.enabled
: true
を追加する必要があります。
security: enabled: true
SCRAM-SHA-1
is the default authentication mechanism when mechanism
is not specified in the username and security is enabled. ユーザー名からsource
を省略するには、 を追加し、構成ファイルでsecurity.defaultSource
: <authenticationDatabase>
と設定します。
security: enabled: true defaultSource: "admin"
BI Connector の構成ファイル設定の詳細については、以下を参照してください。
BI Connector 認証メカニズムとして LDAP (PLAIN
security.enabled
: true
)を有効にするには、 mongosqld 構成ファイルに追加する必要があります。
security: enabled: true
ユーザー名にmechanism
とsource
を追加するのを省略する場合は、これらのオプションと値のペアをmongosqld構成ファイルに追加して設定します。
security.defaultMechanism
: PLAIN
security.defaultSource
: $external
mongosqld 構成ファイル内の セキュリティ ブロックは次のようになります。
security: enabled: true defaultMechanism: "PLAIN" defaultSource: "$external"
BI Connector の構成ファイル設定の詳細については、以下を参照してください。
BI Connector 認証メカニズムとして Kerberos( GSSAPI
)を有効にするには、 mongosqld構成ファイルにsecurity.enabled
: true
を追加する必要があります。
security: enabled: true
ユーザー名にmechanism
とsource
を追加するのを省略する場合は、これらのオプションと値のペアをmongosqld構成ファイルに追加して設定します。
security.defaultMechanism
: GSSAPI
security.defaultSource
: $external
mongosqld 構成ファイル内の セキュリティ ブロックは次のようになります。
security: enabled: true defaultMechanism: "GSSAPI" defaultSource: "$external" gssapi: hostname: "<yourHostname>" serviceName: "mongosql"
BI Connector の構成ファイル設定の詳細については、以下を参照してください。
Kerberos 構成の詳細については、「 BI Connector 用の Kerberos の構成 」を参照してください。
クライアント認証
BI ツールがMongoDB BI Connector ODBC ドライバーを使用している場合は、ドライバーが認証を処理するため、認証プラグインをインストールする必要はありません。 MongoDB BI Connector ODBC ドライバー を使用しておらず、BI ツールを使用して認証する必要がある場合は、BI ツールと互換性があるに応じて C または JDBC 認証プラグインのいずれかをインストールします。
- C 認証プラグイン
- BI Connector とTableauやMySQL shell などの SQL クライアントとの間の認証を容易にする C 認証プラグインをインストールするための手順。
- JDBC 認証プラグイン
- JDBC 認証プラグインをインストールする手順。
BI ツールを BI Connector に接続する方法の詳細については、「 BI ツールの接続 」を参照してください。
重要
次のように、認証プラグインを使用するだけでなく、TLS/SSL を使用することをお勧めします。
SCRAM-SHA-1
とSCRAM-SHA-256
メカニズムは、クライアント プラグイン内のパスワードをハッシュします。 ただし、他のすべてのデータはクリアテキストです。PLAIN
メカニズムでは、クリアテキストでパスワードが送信されます。
MongoDB Connector for BI は、 --auth
で実行する場合に認証を必要とします。 MongoDB Connector for BI は、クライアントから認証情報を持つ接続を受け取ると、それらの認証情報を基礎の MongoDB インスタンスに渡します。
認証オプション
ユーザー名の後に URI スタイルのクエリ パラメーターとして次の認証オプションを指定できます。
接続オプション | 説明 |
---|---|
source | ユーザーの認証情報をストアするデータベースの名前を指定します。このオプションを指定しない場合、MongoDB Connector for BI はデフォルトで MySQL 接続に関連付けられた現在のデータベースになります。
MongoDB Connector for BI 構成ファイルで |
mechanism | MongoDB Connector for BI が接続の認証に使用するメカニズムを指定します。受け入れ可能な値は以下の通りです。
LDAP と Kerberos にはMongoDB Enterpriseが必要です。 LDAP または Kerberos を使用する場合は、ソースを MongoDB Connector for BI 構成ファイルで X.509 はサポートされていません。 |
例
次の例は、チャレンジとレスポンス(ユーザー名とパスワード)、 LDAP 、または Kerberos を使用して BI Connector で認証するためにユーザー名を形式する方法を示しています。
たとえば、 admin
データベースと Challenge および Response( SCRAM-SHA-1
)認証メカニズムを使用してユーザーgrace
として認証するには、次の形式でユーザー名を書き込みます。
grace?source=admin
たとえば、 LDAP ( PLAIN
)認証メカニズムを使用してユーザーgrace
として認証するには、次の形式でユーザー名を書き込みます。
grace?mechanism=PLAIN&source=$external
たとえば、 Kerberos レルム でユーザーgrace
として認証するにはEXAMPLE.COM
Kerberos 認証メカニズムを使用する場合は、ユーザー名を次の形式で書き込みます。
grace@EXAMPLE.COM?mechanism=GSSAPI&source=$external
Kerberos 構成の詳細については、「 BI Connector 用の Kerberos の構成 」を参照してください。