1. Oracle DatabaseのためのOracle GoldenGateの使用
  2. Oracle GoldenGate資格証明の確立

3 Oracle GoldenGate資格証明の確立

データベースと対話するプロセス用のデータベース・ユーザーを作成し、適切な権限を割り当てて、不正な使用から資格証明を保護する方法について説明します。

トピック

  • Oracle GoldenGateへの資格証明の割当て
    Oracle GoldenGateプロセスでは、データベース・バージョン、データベース構成、および使用しているOracle GoldenGate機能の適切なデータベース権限が含まれるデータベース資格証明が1つ以上必要です。
  • Oracle GoldenGate資格証明の保護
    データのセキュリティを確保し、Oracle GoldenGateの処理を正確に監視するためには、他のユーザー、アプリケーションまたはプロセスにOracle GoldenGateデータベース・ユーザーとしてのログオンまたは操作を許可しないでください。

Oracle GoldenGateへの資格証明の割当て

Oracle GoldenGateプロセスでは、データベース・バージョン、データベース構成、および使用しているOracle GoldenGate機能の適切なデータベース権限が含まれるデータベース資格証明が1つ以上必要です。

ソース・システムとターゲット・システムのOracle GoldenGateにそれぞれ専用のソース・データベース・ユーザーとターゲット・データベース・ユーザーを作成します。割り当てられたユーザーには、ソースまたはターゲットのOracle Databaseに接続するすべてのOracle GoldenGateプロセスに同じユーザーを使用できます。

親トピック: Oracle GoldenGate資格証明の確立

Extractユーザー

Extractユーザーは、ソース・データベースに対してメタデータ問合せを実行し、必要に応じてソース表からデータをフェッチします。統合キャプチャのローカル・マイニング・デプロイでは、このユーザーは、作成、変更、ログマイニング・サーバーへの接続およびログマイニング・サーバーからの論理変更レコード(LCR)の受信も行います。(キャプチャ・モードの詳細は、「使用するキャプチャ方法の決定」を参照してください。)

ソース・データベースがマルチテナント・コンテナ・データベースの場合、Extractユーザーは共通ユーザーである必要があり、ルート・コンテナにログインする必要があります。詳細は、「マルチテナント・コンテナ・データベースでのOracle GoldenGateの構成」を参照してください。

Extractが統合キャプチャ・モードで動作しており、データストリーム・マイニング・データベースを使用している場合は、追加のユーザーを割り当てる必要があります。このユーザーは、マイニング・ユーザーになり、ダウンストリーム・データベースに作成されます。マイニング・ユーザーは、マイニング・データベースでログ・マイニング・サーバーの作成、変更および接続を実行し、ログマイニング・サーバーから論理変更レコード(LCR)を受信します。このユーザーはソースExtractユーザーと同じでも別でもかまいません。マイニング・ユーザーの名前は慎重に選択してください。このユーザーによる作成後、データベース・ログマイニング・サーバーは、他のユーザーが変更したり、使用できません。ダウンストリーム・マイニングの構成の詳細は、「ダウンストリーム・マイニング・データベースの構成」を参照してください。

親トピック: Oracle GoldenGateへの資格証明の割当て

Replicatユーザー

Replicatユーザーは、Replicatチェックポイント表を作成し(使用されている場合)、Replicatモードに応じて、Oracle Call Interfaceまたはデータベース・インバウンド・サーバーを通じてDMLおよびDDL操作を適用します(「使用する適用方法の決定」を参照)。

親トピック: Oracle GoldenGateへの資格証明の割当て

その他のOracle GoldenGateユーザー

Oracle GoldenGate DDLサポートを使用している場合は、Managerプロセスでソース・データベースにユーザーが必要です。このユーザーは、DDLキャプチャをサポートするOracle GoldenGateデータベース・オブジェクトでメンテナンスを実行します。

DEFGENユーティリティでは、ソースまたはターゲット・データベースにユーザーが必要です。場所は、データ定義ファイルが生成される場所によって異なります。このユーザーは、ローカル・メタデータの問合せを行い、リモートOracle GoldenGateインスタンスにメタデータを提供するデータ定義ファイルを作成します。データ定義ファイルの詳細は、『Oracle GoldenGateの管理』を参照してください。

Extractがクラシック・キャプチャ・モードで実行される場合、次の機能を使用するには追加のユーザーまたは権限が必要な場合があります。

親トピック: Oracle GoldenGateへの資格証明の割当て

適切なユーザー権限の付与

Oracle GoldenGateに必要なユーザー権限は、データベース・バージョンおよびExtractまたはReplicatプロセスのモードによって異なります。プロセス・モードの詳細は、「キャプチャおよび適用モードの選択」を参照してください。

親トピック: Oracle GoldenGateへの資格証明の割当て

Oracle 11.2.0.4以上のデータベース権限

次の権限は、11.2.0.4以上のOracleバージョンに適用されます。

権限 Extractクラシック・モード Extract統合モード Replicat全モード 目的

CREATE SESSION

X

X

X

データベースに接続

CONNECT

X

X

X

Replicatの場合は、Replicatがターゲット・オブジェクトを所有している場合のみ必要。または、CREATE objectを使用。

RESOURCE

X

X

X

オブジェクトを作成

RESOURCEをReplicatに付与できない場合は、次を使用:

ALTER USER user QUOTA {size | UNLIMITED} ON tablespace;

ALTER ANY TABLE

X

X

ADD TRANDATAコマンドを発行する場合のみ、Oracle 12.1.0.1で必要。

ALTER SYSTEM

X

X

ロギングの有効化などの管理変更を実行

ALTER USER <GGADMIN> set container_data=all container=current;

X

X

マルチテナント・アーキテクチャに必要であり、<GGADMIN>は有効なOracle GoldenGate管理者スキーマである必要があります。

dbms_goldengate_auth.grant_admin_privilegeで付与された権限

X

X

X

(Extract)ログマイニング・サーバーを含む、クラシックおよび統合Extractの両方の権限を付与。(Replicat)データベース・インバウンド・サーバー(Oracle 11.2.0.4以上)を含む、非統合および統合Replicatの両方の権限を付与。

dbms_goldengate_auth.grant_admin_privilegeのオプションの任意またはすべての権限

X

X

X

  • Data Vaultからキャプチャ

  • 仮想プライベート・データベースからキャプチャ

  • リダクション済データをキャプチャ

詳細は、「dbms_goldengate_auth.grant_admin_privilegeパッケージについて」を参照してください。

ターゲット表のINSERTUPDATEDELETE

X

レプリケートされたDMLをターゲット・オブジェクトに適用

CREATE TABLE

X

チェックポイント表をターゲット・データベースに作成

ターゲット・オブジェクトのDDL権限(DDLサポートを使用している場合)

X

レプリケートされたDDLをターゲット・オブジェクトに発行

DBA

X

X

DDLおよびシーケンス・サポート

LOCK ANY TABLE

X

ターゲット表をロック。SQL*Loaderへのダイレクト・バルク・ロードを使用する初期ロードのみに必要。
SELECT ANY DICTIONARY X X X ディクショナリ表で適切に機能するためにすべての権限を許可します。

SELECT ANY TRANSACTION

X

新しいOracle ASM APIを使用。「クラシック・キャプチャ・モードでのASMストアド・ログのマイニング」を参照してください。

Oracle 11.2.0.3以前のデータベース権限

次の権限は、11.2.0.3以前のOracleバージョンに適用されます。

権限 Extractクラシック・モード Extract統合モード Replicat Manager 目的

CREATE SESSION

および

ALTER SESSION

X

X

X

データベースに接続

ALTER SYSTEM

X

X

ロギングの有効化などの管理変更を実行

RESOURCE

X

X

X

オブジェクトを作成

RESOURCEをReplicatに付与できない場合は、次を使用:

ALTER USER user QUOTA {size | UNLIMITED} ON tablespace;

CONNECT

X

X

X

Replicatの場合は、Replicatがターゲット・オブジェクトを所有している場合のみ必要。または、CREATE objectを使用。

SELECT ANY DICTIONARY

X

X

X

SYSスキーマのデータ・ディクショナリ・オブジェクトの問合せを実行

FLASHBACK ANY TABLE

または

FLASHBACK ON schema.table

X

X

フラッシュバック問合せを実行

SELECT ANY TABLE

または

schema.tableに対するSELECT

X

X

X

任意の表で問合せを実行

dba_clustersに対するSELECT

X

X

ターゲット表のINSERTUPDATEDELETE

X

レプリケートされたDMLをターゲット・オブジェクトに適用

CREATE TABLE

X

チェックポイント表をターゲット・データベースに作成

DBMS_FLASHBACKパッケージに対するEXECUTE

X

X

DBMS_FLASHBACK.GET_SYSTEM_CHANGE_NUMBERをコール

ターゲット・オブジェクトのDDL権限(DDLサポートを使用している場合)

X

レプリケートされたDDLをターゲット・オブジェクトに発行

GGS_GGSUSER_ROLE (DDLサポートを使用している場合)

X

X

Oracle GoldenGate DDLオブジェクトのDML権限。ロールは、DDLオブジェクトのインストール時に、SYSDBA権限を持つユーザーによって作成されます。

Oracle GoldenGate DDLオブジェクトに対するDELETE

X

Oracle GoldenGate DDLオブジェクトを保持するパラメータを使用

LOCK ANY TABLE

X

ターゲット表をロック。SQL*Loaderへのダイレクト・バルク・ロードを使用する初期ロードのみに必要。

SELECT ANY TRANSACTION

X

新しいOracle ASM APIを使用。「クラシック・キャプチャ・モードでのASMストアド・ログのマイニング」を参照してください。

dbms_streams_auth.grant_admin_privilegeで付与される権限

X

データベース・ログマイニング・サーバーと対話

dbms_logmnr_d packageに対するEXECUTE

X

REGISTER EXTRACTコマンドを発行

11.1.0.5以上11.2.0.1以下のOracleバージョンに必要。

sys.logmnr_buildlogからのSELECT

X

REGISTER EXTRACTコマンドを発行

11.1.0.5以上11.2.0.1以下のOracleバージョンに必要。
dbms_goldengate_auth.grant_admin_privilegeパッケージについて

ExtractおよびReplicatがクラシックおよび統合モードで動作するために必要なほとんどの権限は、dbms_goldengate_auth.grant_admin_privilegeパッケージを使用して付与されます。

  • 次は、Oracle 11.2.0.4以上の基本的な権限を付与します。最初の例はデフォルトで、ExtractとReplicatの両方に付与されます。2つ目の例は、ExtractまたはReplicat (この場合はExtract)のいずれかに明示的に付与する方法を示しています。

    grant_admin_privilege('ggadm')
grant_admin_privilege('ggadm','capture');

  • 次は、Oracle 11.2.0.3の基本的な権限を付与します。最初の例はデフォルトで、ExtractとReplicatの両方に付与されます。2番目は、Extractに明示的に付与する方法を示します。

    grant_admin_privilege('ggadm',grant_select_privileges=>true)
grant_admin_privilege('ggadm','capture',grant_select_privileges=>true)

次の例は、Oracle 12c Multitenant DatabaseでのExtractを示しています。 

BEGIN  
dbms_goldengate_auth.grant_admin_privilege 
(  grantee => 'C##GGADMIN',  privilege_type => 'CAPTURE',  grant_select_privileges => TRUE,  do_grants => TRUE,  container => 'ALL'  ); 
END;
dbms_goldengate_auth.grant_admin_privilegeのオプションの付与

(必須)ここには、概念の紹介テキスト(定義や目的など)を入力します。

Oracle GoldenGate資格証明の保護

データのセキュリティを確保し、Oracle GoldenGateの処理を正確に監視するため、他のユーザー、アプリケーションまたはプロセスにOracle GoldenGateデータベース・ユーザーとしてのログオンまたは操作を許可しないでください。

Oracle GoldenGateには、Oracle GoldenGateプロセスに割り当てられたログイン資格証明を保護する様々なオプションが用意されています。推奨されるオプションは、資格証明ストアを使用することです。1つの資格証明ストアを作成して、Oracle GoldenGateのすべてのインストールでアクセス可能な共有の場所に格納したり、Oracle GoldenGateがインストールされるシステムごとに個別の資格証明ストアを作成したりできます。

資格証明ストアには、割り当てられている各Oracle GoldenGateユーザーのユーザー名およびパスワードが格納されます。ユーザーIDは1つ以上の別名に関連付けられ、実際のユーザー名またはパスワードではなく、コマンドおよびパラメータ・ファイルで提供される別名です。資格証明ファイルはドメインにパーティション化できるため、別名の標準のセットをプロセスに使用して、各システムの管理者がローカルで管理できます。

資格証明ストアの作成およびユーザー資格証明の追加の詳細は、『Oracle GoldenGateの管理』を参照してください。

親トピック: Oracle GoldenGate資格証明の確立