VIYA,CAS et Kerberos
Cet article présente le fonctionnement de Kerberos dans CAS et les différents scénarios de connexion possible à une source de données utilisant Kerberos.
Avant de commencer, détaillons les deux modes d'authentifications disponible dans SAS, l'In-bound Authentication et l'Out-bound Authentication.
L'In-bound Authentication (appelons la, l'authentification interne) est l'authentification de l'utilisateur final dans l'environnement. L'In-bound Authentication fournit un jeton OAuth interne et des informations sur l'appartenance à un groupe dans le jeton OAuth. Si l'authentification Kerberos est utilisée, un justificatif Kerberos délégué est également stocké.
A noter, que si vous souhaitez utiliser Kerberos et la délégation, le navigateur client doit être configuré pour justement déléguer les informations d'identification. .
L'Out-bound Authentication (l'authentification sortante) est l'authentification du processus SAS auprès d'un processus en aval. L'authentification sortante intervient après l'authentification initiale de l'utilisateur final auprès de SAS Logon Manager. L'authentification sortante se fait vers SAS Cloud Analytic Services, SAS Compute Server (via SAS Launcher Service), puis vers des ressources externes, telles que les environnements Hadoop sécurisés.
Pour les besoins de cet article, nous allons donc nous intéresser uniquement à l'authentification sortante et partir du principe que nous souhaitons nous connecter à un cluster Hadoop kerberisé.
Avant de commencer, détaillons les deux modes d'authentifications disponible dans SAS, l'In-bound Authentication et l'Out-bound Authentication.
L'In-bound Authentication (appelons la, l'authentification interne) est l'authentification de l'utilisateur final dans l'environnement. L'In-bound Authentication fournit un jeton OAuth interne et des informations sur l'appartenance à un groupe dans le jeton OAuth. Si l'authentification Kerberos est utilisée, un justificatif Kerberos délégué est également stocké.
A noter, que si vous souhaitez utiliser Kerberos et la délégation, le navigateur client doit être configuré pour justement déléguer les informations d'identification. .
L'Out-bound Authentication (l'authentification sortante) est l'authentification du processus SAS auprès d'un processus en aval. L'authentification sortante intervient après l'authentification initiale de l'utilisateur final auprès de SAS Logon Manager. L'authentification sortante se fait vers SAS Cloud Analytic Services, SAS Compute Server (via SAS Launcher Service), puis vers des ressources externes, telles que les environnements Hadoop sécurisés.
Pour les besoins de cet article, nous allons donc nous intéresser uniquement à l'authentification sortante et partir du principe que nous souhaitons nous connecter à un cluster Hadoop kerberisé.
