前のページ|次のページ

In-Memoryデータへのアクセス

SAS LASR Authorization Service

概要

SAS LASR Authorization Serviceは、メタデータ権限層と組み合わせて、In-Memoryデータへのユーザーアクセスを管理する中間層コンポーネントです。
次の図は認証プロセスを示しています。
認証プロセス
認証プロセス
1 SAS Visual Analytics ClientでユーザーがSAS LASR Analytic Serverを使用するアクションを実行します。この例では、データの読み込みを要求します。Clientは要求をAuthorization Serviceに送信します。
注: アクションの他の例として、データの分析要求、テーブルのロード、行の追加、サーバーの停止などがあります。
2 Authorization Serviceは、Metadata Serverの次の情報を要求します。
  • 認証決定(要求ユーザーが、要求したアクションの実行に必要となる有効なメタデータ層のアクセス許可を持つか)。 タスク別のアクセス許可を参照してください。
  • ターゲットSAS LASR Analytic Serverのセキュリティキー。
3 Authorization Serviceは、認証決定およびセキュリティキーをMetadata Serverから受け取ります。要求ユーザーが条件付きの読み取りアクセス許可を持つ場合、Authorization Serviceは、そのユーザーがアクセスできる行を指定した句(または句のセット)も受け取ります。
4 要求ユーザーが、要求したアクションに必要なすべての有効なアクセス許可を持っている場合は、Authorization Serviceは署名付き許可をClientに与えます。
注: Authorization Serviceはセキュリティキーを使用して署名付き許可を作成します。署名付き許可には、テーブル名、アクションの種類(テーブル情報、要約統計量、または回帰など)および適用可能な行レベルのセキュリティ条件が含まれます。
5 Clientは署名付き許可をSAS LASR Analytic Serverにサブミットします。
6 SAS LASR Analytic Serverは、セキュリティキーの情報を使用して、Clientから提供された署名付き許可を検証します。署名付き許可が有効な場合、サーバーは要求されたIn-Memoryテーブルへの(署名付き許可に含まれる行レベルのセキュリティ条件に従った)アクセスを提供します。

セキュリティキー

LASRセキュリティキーは、SAS LASR Analytic ServerとMetadata Server間で共有される、重複しない秘密鍵です。LASRセキュリティキーは、次のように作成されて保存されます。
  • SAS LASR Analytic Serverの開始時に、キーが生成されます。SAS LASR Analytic Serverでは、キーはメモリに保存されます。キーは、メタデータの、サーバーの接続オブジェクトに関連付けられているログインオブジェクトのパスワードフィールドにも保存されます。
  • SAS LASR Analytic Serverが停止した場合、メタデータの関連付けられたキーは保持されます。サーバー接続が再開すると、新しいキーが生成されます。新しいキーが、メタデータの既存のキーと置き換わります。
注: LASRセキュリティキーは、SAS内部コンストラクトです。LASRセキュリティキーと暗号化キーのパスフレーズとを混同しないでください。 SASHDATファイルのディスク上での暗号化を参照してください。

キャッシュ

セキュリティキーのクエリをMetadata Serverに繰り返し行わないように、Authorization Serviceはキーをキャッシュします。キャッシュ期間が経過すると、Authorization Serviceは中間層キャッシュからキーを削除します。次にIn-Memoryデータに対する要求を行う場合、Authorization Serviceはキーを再度Metadata Serverから取得し、キャッシュします。
パフォーマンスを向上するため、Authorization Serviceはユーザーとアクセス許可についての情報をキャッシュします。SAS Visual AnalyticsユーザーがSAS LASR Analytic Serverのデータソースにアクセスするとき、ユーザーオブジェクトが作成され、キャッシュされます。また、データソースのアクセス許可オブジェクトも作成され、キャッシュされます。これらは、中間層のセッションベースのキャッシュです。
各キャッシュの期間は、las.caching.*プロパティで設定されます。 構成プロパティを参照してください。

署名ファイル

署名ファイルは、SAS LASR Analytic Serverが開始するとき(サーバー署名ファイル)およびテーブルがロードされるとき(テーブル署名ファイル)に作成されます。各サーバーの署名ファイルの場所は、当該サーバーのメタデータ定義内で指定されます。
署名ファイルディレクトリへのアクセスを管理するには次のようにします。
  • 署名ファイルを生成するタスクを実行するユーザーは、そのディレクトリに対する書き込みアクセス権を持つ必要があります。
  • 署名ファイルを生成するタスクを実行するサービスアカウントはすべて、そのディレクトリへの書き込みアクセスが必要です。たとえば、データの自動ロードを使用する場合、スケジュールタスクを実行するアカウントにはこのアクセスが必要です。
  • これ以外のアカウントには、署名ファイルへのアクセスは必要ありません。(SAS Visual Analytics ClientからSAS LASR Analytic ServerおよびIn-Memoryデータへのアクセスはメタデータアクセス許可で制御されます。)
  • 署名ファイルでのホスト層のアクセスコントロールは、SAS LASR Authorization Serviceに依存しない要求すべてのアクセスを決定します。このため、署名ファイルへのアクセスを制限することは重要です。
署名ファイルディレクトリをホスト保護するには、次の操作を行います。
  1. SAS管理コンソールで、SAS LASR Analytic Serverを右クリックし、プロパティを選択します。
  2. オプションタブで、詳細設定ボタンをクリックします。
  3. 詳細設定ウィンドウで、詳細オプションタブを選択します。サーバーの署名ファイルの場所フィールドに指定されているパスをメモします。
  4. 次のガイドラインを使用して、ディレクトリをホスト保護します。
    Windows固有: 前述のように読み取りアクセスと書き込みアクセスを制限します。
    UNIX固有: 分散サーバーでは、TKGridのUMASK値が署名ファイルのアクセス許可を決定します。TKGrid UMASKを077に設定します。非分散サーバーについては、personal UMASKを077に設定します。これらの設定により、ファイル所有者(作成者)以外のユーザーは署名ファイルにアクセスできなくなります。

サーバータグ

サーバータグは、SAS LASR Authorization ServiceがIn-Memoryテーブルをメタデータオブジェクトにマップする際に使用される識別子です。 In-Memory LASR名を参照してください。
LASRライブラリのサーバータグは、次のように定義する必要があります。
  • LASRライブラリのデータが共存HDFSまたはNFSマウントされたMapRからロードされる場合、サーバータグはドットで区切られたソースパスである必要があります。次に例を示します。
    ソースパス
    サーバータグ
    /hps
    hps
    /hps/special
    hps.special
    /sales
    sales
  • LASRライブラリのデータがSAS Embedded Processを使用してロードされる場合、サーバータグはSASライブラリ参照名として有効でなければなりません。たとえば、サーバータグをMyServerTag(8文字以上)またはuser.sasdemo(1レベル以上)にすることはできません。
  • LASRライブラリのデータが旧式の共存プロバイダからロードされる場合、サーバータグはソースライブラリのライブラリ参照名でなければなりません(たとえば、TDLIBGPLIBなど)。
  • それ以外の場合、サーバータグを任意の重複しない文字列にすることができます。LASRライブラリのメタデータ定義にサーバータグを設定しない場合は、タグ WORKが使用されます。
注意:
サーバーインスタンス(ホストとポートの組み合わせ)内で、サーバータグは重複しない必要があります。
前のページ|次のページ|ページの先頭へ
最終更新: 2018/10/24