Аутентификация Salesforce#

Trino можно настроить для включения фронтенд-аутентификации по паролю через HTTPS для клиентов, таких как CLI и драйверы JDBC и ODBC. Имя пользователя и пароль (или конкатенация пароля и security token) проверяются за счет того, что координатор Trino выполняет вход в Salesforce.

Это позволяет пользователям проходить аутентификацию в Trino с помощью своих базовых учетных данных Salesforce. Это также можно использовать для защиты Web UI.

Note

Это не коннектор Salesforce и не позволяет пользователям выполнять запросы к данным Salesforce. Аутентификация Salesforce - это просто способ, с помощью которого пользователи могут аутентифицироваться в Trino, аналогично LDAP-аутентификация или Аутентификация по файлу паролей.

Для аутентификации Salesforce требуется использовать TLS и a configured shared secret.

Конфигурация аутентификатора Salesforce#

Чтобы включить аутентификацию Salesforce, задайте password authentication type в etc/config.properties:

http-server.authentication.type=PASSWORD

Кроме того, создайте на координаторе файл etc/password-authenticator.properties с именем аутентификатора salesforce:

password-authenticator.name=salesforce
salesforce.allowed-organizations=<allowed-org-ids or all>

Доступны следующие свойства конфигурации:

Свойство	Описание
`salesforce.allowed-organizations`	Разделенный запятыми список 18-символьных идентификаторов организаций Salesforce.com для второго, простого уровня защиты. Этот уровень можно явно отключить значением `all`, которое игнорирует идентификатор организации Salesforce.com аутентифицированного пользователя.
`salesforce.cache-size`	Максимальное количество кэшируемых аутентифицированных пользователей. По умолчанию `4096`.
`salesforce.cache-expire-duration`	Как долго кэшированная аутентификация считается действительной. По умолчанию `2m`.

Концепции Salesforce#

Для этого аутентификатора есть два специфичных для Salesforce аспекта: использование Salesforce security token и настройка одного или нескольких идентификаторов организаций Salesforce.com.

Security token#

Учетные данные представляют собой имя пользователя и пароль Salesforce, если Trino подключается с IP-адреса из белого списка, либо конкатенацию имени пользователя, пароля и security token в противном случае. Например, если Trino не находится в белом списке, и ваш пароль password, а security token token, используйте passwordtoken для аутентификации.

Вы можете настроить публичный IP для Trino как доверенный IP, добавив диапазон IP в белый список.

Идентификаторы организаций Salesforce.com#

Вы можете настроить один или несколько идентификаторов организаций Salesforce для дополнительной безопасности. Когда пользователь проходит аутентификацию, API Salesforce возвращает для него 18-символьный идентификатор организации Salesforce.com. Аутентификатор Salesforce в Trino проверяет, что этот идентификатор соответствует одному из ID, настроенных в salesforce.allowed-organizations.

При необходимости можно указать all, чтобы явно игнорировать этот уровень защиты.

Администраторы могут найти идентификатор организации Salesforce.com в Salesforce Setup UI. Этот 15-символьный ID можно преобразовать в 18-символьный ID.