目次

• 例一覧
• 図一覧
• 表一覧
• タイトルおよび著作権情報
• はじめに
  • 対象読者
  • ドキュメントのアクセシビリティについて
  • 関連ドキュメント
  • 表記規則
• Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイドのこのリリースでの変更点
  • このリリースでのリリース19cバージョン19.1の変更点
    • 新機能
  • Oracle Databaseリリース18cバージョン18.1での変更点
    • 新機能
  • Oracle Database 12cリリース2 (12.2.0.1)での変更
    • 新機能
• 1 エンタープライズ・ユーザー・セキュリティの概要
  • 1.1 エンタープライズ・ユーザー・セキュリティの概要
    • 1.1.1 ユーザー管理の課題
    • 1.1.2 エンタープライズ・ユーザー・セキュリティ: 全体像
      • 1.1.2.1 Oracle Internet Directoryでアイデンティティ管理を実装する方法
        • 1.1.2.1.1 アイデンティティ管理レルムについて
        • 1.1.2.1.2 アイデンティティ管理レルム固有のOracleコンテキストについて
      • 1.1.2.2 エンタープライズ・ユーザーとデータベース・ユーザーの比較
      • 1.1.2.3 エンタープライズ・ユーザー・スキーマについて
        • 1.1.2.3.1 プライベートまたは排他スキーマ
        • 1.1.2.3.2 共有スキーマ
      • 1.1.2.4 エンタープライズ・ユーザーがデータベース・リンクを使用してデータベース・リソースにアクセスする方法
      • 1.1.2.5 エンタープライズ・ユーザーの認証方法
    • 1.1.3 エンタープライズ・ユーザー・セキュリティのディレクトリ・エントリについて
      • 1.1.3.1 エンタープライズ・ユーザー
      • 1.1.3.2 エンタープライズ・ロール
      • 1.1.3.3 エンタープライズ・ドメイン
      • 1.1.3.4 データベース・サーバー・エントリ
      • 1.1.3.5 ユーザー・スキーマ・マッピング
      • 1.1.3.6 管理グループ
      • 1.1.3.7 パスワード・ポリシー
  • 1.2 エンタープライズ・ユーザー・セキュリティにおける共有スキーマの使用方法
    • 1.2.1 エンタープライズ・ユーザー・セキュリティで使用される共有スキーマの概要
    • 1.2.2 エンタープライズ・ユーザーに対して共有スキーマを構成する方法
    • 1.2.3 エンタープライズ・ユーザーをスキーマにマップする方法
  • 1.3 エンタープライズ・ユーザー・プロキシ
  • 1.4 エンタープライズ・ユーザー・セキュリティにおける現行ユーザーのデータベース・リンクの使用方法
  • 1.5 エンタープライズ・ユーザー・セキュリティのデプロイの考慮事項
    • 1.5.1 セキュリティ資格証明の一元化におけるセキュリティ
      • 1.5.1.1 一元化されたセキュリティ資格証明管理に関連するセキュリティ上の利点
      • 1.5.1.2 一元化されたセキュリティ資格証明管理に関連するセキュリティ上のリスク
    • 1.5.2 パスワード認証エンタープライズ・ユーザーのデータベース・ログイン情報のセキュリティ
      • 1.5.2.1 信頼できるデータベースとは
      • 1.5.2.2 データベース・パスワード検証の保護
    • 1.5.3 エンタープライズ・ドメインでのデータベース・メンバーシップの定義に関する考慮事項
    • 1.5.4 エンタープライズ・ユーザー・セキュリティのクライアント、データベースおよびディレクトリ間の認証タイプの選択
      • 1.5.4.1 標準構成
• 2 エンタープライズ・ユーザー・セキュリティの準備
  • 2.1 ディレクトリを使用するためのデータベースの構成
  • 2.2 ディレクトリへのデータベースの登録
  • 2.3 ディレクトリへのOracle RACデータベースの登録
  • 2.4 データベースでの共有スキーマの作成
  • 2.5 共有スキーマへのエンタープライズ・ユーザーのマッピング
  • 2.6 エンタープライズ・ユーザーとしてのデータベースへの接続
  • 2.7 エンタープライズ・ロールの使用
  • 2.8 プロキシ権限の使用
  • 2.9 プラガブル・データベースの使用
    • 2.9.1 プラガブル・データベースのウォレット・ロケーション
    • 2.9.2 プラガブル・データベースのウォレット・ルート
    • 2.9.3 ディレクトリ・サービスへの接続
      • 2.9.3.1 dsi.oraファイルとldap.oraファイルの比較
      • 2.9.3.2 dsi.oraファイルの使用について
      • 2.9.3.3 dsi.oraファイルの作成
      • 2.9.3.4 ldap.oraファイルの使用について
      • 2.9.3.5 ldap.oraファイルの作成
    • 2.9.4 デフォルトのデータベースDNの形式
    • 2.9.5 PDBの接続および切断
    • 2.9.6 コンテナの切替え
• 3 構成ツールと管理ツールの概要
  • 3.1 エンタープライズ・ユーザー・セキュリティのツールの概要
  • 3.2 Oracle Internet Directoryセルフ・サービス・コンソール
  • 3.3 Oracle Netコンフィギュレーション・アシスタント
    • 3.3.1 Oracle Net Configuration Assistantの起動
  • 3.4 データベース・コンフィギュレーション・アシスタント
    • 3.4.1 Database Configuration Assistantの起動
  • 3.5 Oracle Wallet Manager
    • 3.5.1 Oracle Wallet Managerの起動
    • 3.5.2 orapkiコマンドライン・ユーティリティ
  • 3.6 Oracle Enterprise Manager
  • 3.7 ユーザー移行ユーティリティ
  • 3.8 エンタープライズ・ユーザー・セキュリティ管理者/DBAの責務
• 4 エンタープライズ・ユーザー・セキュリティの構成タスクとトラブルシューティング
  • 4.1 エンタープライズ・ユーザー・セキュリティの構成の概要
  • 4.2 エンタープライズ・ユーザー・セキュリティの構成のロードマップ
  • 4.3 エンタープライズ・ユーザー・セキュリティのディレクトリの準備(フェーズ1)
    • 4.3.1 エンタープライズ・ユーザーのディレクトリ・アクセスの構成
    • 4.3.2 データベース・ウォレットとパスワードについて
      • 4.3.2.1 複数データベース間でのウォレットおよびsqlnet.oraファイルの共有
  • 4.4 データベースおよびディレクトリでのエンタープライズ・ユーザー・セキュリティ・オブジェクトの構成(フェーズ2)
  • 4.5 必要な認証方式を使用するためのエンタープライズ・ユーザー・セキュリティの構成(フェーズ3)
    • 4.5.1 パスワード認証を使用するエンタープライズ・ユーザー・セキュリティの構成
    • 4.5.2 Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成
    • 4.5.3 SSL認証を使用するエンタープライズ・ユーザー・セキュリティの構成
      • 4.5.3.1 ウォレットおよびディレクトリ内のデータベースDNの表示
  • 4.6 現行ユーザーのデータベース・リンクの有効化
  • 4.7 エンタープライズ・ユーザー・セキュリティのトラブルシューティング
    • 4.7.1 パスワード認証エンタープライズ・ユーザーに関するORA-nエラー
    • 4.7.2 Kerberos認証エンタープライズ・ユーザーに関するORA-nエラー
    • 4.7.3 SSL認証エンタープライズ・ユーザーに関するORA-nエラー
    • 4.7.4 グローバル・ロールがない場合のチェックリスト
    • 4.7.5 ユーザー・スキーマ・エラーのチェックリスト
    • 4.7.6 ドメイン読取りエラーのチェックリスト
• 5 エンタープライズ・ユーザー・セキュリティの管理
  • 5.1 アイデンティティ管理レルムの管理
    • 5.1.1 アイデンティティ管理レルムのバージョン
    • 5.1.2 アイデンティティ管理レルムのプロパティの設定
      • 5.1.2.1 ログイン名、Kerberosプリンシパル名、ユーザー検索ベースおよびグループ検索ベースのID管理レルム属性の設定
    • 5.1.3 アイデンティティ管理レルムに対するデータベースとディレクトリ間のデフォルト認証タイプの設定
    • 5.1.4 アイデンティティ管理レルム管理者の管理
  • 5.2 エンタープライズ・ユーザーの管理
    • 5.2.1 新規エンタープライズ・ユーザーの作成
    • 5.2.2 エンタープライズ・ユーザー・パスワードの設定
    • 5.2.3 エンタープライズ・ユーザーへのエンタープライズ・ロールの付与
    • 5.2.4 エンタープライズ・ユーザーへのプロキシ権限の付与
    • 5.2.5 エンタープライズ・ユーザーのユーザー・スキーマ・マッピングの作成
    • 5.2.6 エンタープライズ・ユーザーのラベル認可の作成
  • 5.3 ユーザー定義のエンタープライズ・グループの構成
    • 5.3.1 ユーザー定義エンタープライズ・グループへのエンタープライズ・ロールの付与
  • 5.4 エンタープライズ・ユーザー・セキュリティ用のデータベースの構成
    • 5.4.1 データベースのユーザー・スキーマ・マッピングの作成
    • 5.4.2 データベースのスキーマ・マッピングを管理する管理者の追加
  • 5.5 エンタープライズ・ドメインの管理
    • 5.5.1 エンタープライズ・ドメインの作成
    • 5.5.2 エンタープライズ・ドメインへのデータベースの追加
    • 5.5.3 エンタープライズ・ドメインのユーザー・スキーマ・マッピングの作成
    • 5.5.4 エンタープライズ・ロールの構成
    • 5.5.5 プロキシ権限の構成
    • 5.5.6 ユーザー認証タイプの構成と現行ユーザーのデータベース・リンクの有効化
    • 5.5.7 ドメイン管理者の構成
• 6 Oracle Wallet Managerの使用方法
  • 6.1 Oracle Wallet Managerについて
    • 6.1.1 Oracle Wallet Managerの概要
    • 6.1.2 ウォレット・パスワードの管理
    • 6.1.3 強力なウォレット暗号化
    • 6.1.4 Microsoft Windowsレジストリ・ウォレット・ストレージ
    • 6.1.5 Wallet Managerを使用して作成したウォレット・ファイルに必要なACL設定
    • 6.1.6 下位互換性
    • 6.1.7 公開キー暗号規格(PKCS)のサポート
    • 6.1.8 複数証明書のサポート
    • 6.1.9 LDAPディレクトリのサポート
  • 6.2 Oracle Wallet Managerの起動
  • 6.3 Oracleウォレットを作成するための一般的なプロセス
  • 6.4 Oracleウォレットの管理
    • 6.4.1 Oracleウォレット・パスワードの作成に関する必須ガイドライン
    • 6.4.2 Oracleウォレットの新規作成
      • 6.4.2.1 標準Oracleウォレットの作成
      • 6.4.2.2 ハードウェア・セキュリティ・モジュール資格証明を格納するためのOracleウォレットの作成
    • 6.4.3 既存のOracleウォレットのオープン
    • 6.4.4 Oracleウォレットのクローズ
    • 6.4.5 サード・パーティ環境へのOracleウォレットのエクスポート
    • 6.4.6 PKCS #12をサポートしないツールへのOracleウォレットのエクスポート
    • 6.4.7 LDAPディレクトリへのOracleウォレットのアップロード
    • 6.4.8 LDAPディレクトリからのOracleウォレットのダウンロード
    • 6.4.9 Oracleウォレットの変更の保存
    • 6.4.10 開いているウォレットの新しい場所への保存
    • 6.4.11 Oracleウォレットをシステム・デフォルトのディレクトリの場所へ保存
    • 6.4.12 Oracleウォレットの削除
    • 6.4.13 Oracleウォレット・パスワードの変更
    • 6.4.14 Oracleウォレットの自動ログインを使用したユーザー操作不要のアクセスの有効化
      • 6.4.14.1 Oracleウォレットの自動ログインの使用について
      • 6.4.14.2 Oracleウォレットの自動ログインの有効化
      • 6.4.14.3 Oracleウォレットの自動ログインの無効化
  • 6.5 Oracleウォレットの証明書の管理
    • 6.5.1 Oracleウォレットの証明書の管理について
    • 6.5.2 Oracleウォレットのユーザー証明書の管理
      • 6.5.2.1 ユーザー証明書の管理について
      • 6.5.2.2 証明書リクエストの追加
      • 6.5.2.3 Oracleウォレットへのユーザー証明書のインポート
      • 6.5.2.4 サード・パーティによって作成された証明書およびウォレットのインポート
      • 6.5.2.5 Oracleウォレットからのユーザー証明書の削除
      • 6.5.2.6 証明書リクエストの削除
      • 6.5.2.7 ユーザー証明書のエクスポート
      • 6.5.2.8 ユーザー証明書リクエストのエクスポート
    • 6.5.3 Oracleウォレットの信頼できる証明書の管理
      • 6.5.3.1 信頼できる証明書のインポート
      • 6.5.3.2 信頼できる証明書の削除
      • 6.5.3.3 別のファイル・システムの場所への信頼できる証明書のエクスポート
      • 6.5.3.4 別のファイル・システムの場所へのすべての信頼できる証明書のエクスポート
• 7 Enterprise User Security Manager (EUSM)コマンド・リファレンス
  • 7.1 安全性の高い外部パスワード・ストアの使用について
  • 7.2 EUSMによるOIDへのSSLポート接続について
  • 7.3 Enterprise User Security Manager (EUSM)コマンドの概要
    • 7.3.1 createDomain
    • 7.3.2 deleteDomain
    • 7.3.3 listDomains
    • 7.3.4 listDomainInfo
    • 7.3.5 addDomainAdmin
    • 7.3.6 removeDomainAdmin
    • 7.3.7 listDomainAdmins
    • 7.3.8 addDatabase
    • 7.3.9 removeDatabase
    • 7.3.10 addDBAdmin
    • 7.3.11 listDBAdmins
    • 7.3.12 listDBInfo
    • 7.3.13 removeDBAdmin
    • 7.3.14 createMapping
    • 7.3.15 deleteMapping
    • 7.3.16 listMappings
    • 7.3.17 setCulinkStatus
    • 7.3.18 setAuthTypes
    • 7.3.19 createRole
    • 7.3.20 deleteRole
    • 7.3.21 addGlobalRole
    • 7.3.22 removeGlobalRole
    • 7.3.23 grantRole
    • 7.3.24 revokeRole
    • 7.3.25 listEnterpriseRoles
    • 7.3.26 listEnterpriseRolesOfUser
    • 7.3.27 listEnterpriseRoleInfo
    • 7.3.28 listGlobalRolesInDB
    • 7.3.29 listSharedSchemasInDB
    • 7.3.30 createProxyPerm
    • 7.3.31 deleteProxyPerm
    • 7.3.32 addTargetUser
    • 7.3.33 removeTargetUser
    • 7.3.34 grantProxyPerm
    • 7.3.35 revokeProxyPerm
    • 7.3.36 listProxyPermissions
    • 7.3.37 listProxyPermissionsOfUser
    • 7.3.38 listProxyPermissionInfo
    • 7.3.39 listTargetUsersInDB
    • 7.3.40 setDBOIDAuth
    • 7.3.41 listDBOIDAuth
    • 7.3.42 addToPwdAccessibleDomains
    • 7.3.43 removeFromPwdAccessibleDomains
    • 7.3.44 listPwdAccessibleDomains
    • 7.3.45 listRealmCommonAttr
    • 7.3.46 createAppCtxNamespace
    • 7.3.47 deleteAppCtxNamespace
    • 7.3.48 listAppCtxNamespaces
    • 7.3.49 createAppCtxAttribute
    • 7.3.50 deleteAppCtxAttribute
    • 7.3.51 listAppCtxAttributes
    • 7.3.52 createAppCtxAttributeValue
    • 7.3.53 deleteAppCtxAttributeValue
    • 7.3.54 listAppCtxAttributeValues
    • 7.3.55 createAppCtxUsers
    • 7.3.56 deleteAppCtxUsers
    • 7.3.57 listAppCtxUsers
• A ユーザー移行ユーティリティの使用方法
  • A.1 エンタープライズ・ユーザーへのローカルまたは外部ユーザーの移行の利点
  • A.2 ユーザー移行ユーティリティの概要
    • A.2.1 バルク・ユーザー移行プロセスの概要
      • A.2.1.1 ステップ0: 安全性の高い外部パスワード・ストアの使用について
      • A.2.1.2 ステップ1: (フェーズ1)移行の準備
      • A.2.1.3 ステップ2: ユーザー情報の確認
      • A.2.1.4 ステップ3: (フェーズ2)移行の完了
    • A.2.2 ORCL_GLOBAL_USR_MIGRATION_DATA表について
      • A.2.2.1 フェーズ1とフェーズ2の間に変更できるインタフェース表の列値
    • A.2.3 ユーザーの旧データベース・スキーマに対する移行の影響
    • A.2.4 移行プロセス
  • A.3 移行の実行の前提条件
    • A.3.1 必須のデータベース権限
    • A.3.2 必須のディレクトリ権限
    • A.3.3 ユーザー移行ユーティリティの実行に必要な設定
  • A.4 ユーザー移行ユーティリティのコマンドライン構文
  • A.5 ユーザー移行ユーティリティのヘルプへのアクセス
  • A.6 ユーザー移行ユーティリティのパラメータ
    • A.6.1 キーワード: HELP
    • A.6.2 キーワード: PHASE
    • A.6.3 キーワード: DBLOCATION
    • A.6.4 キーワード: DIRLOCATION
    • A.6.5 キーワード: DBADMIN
    • A.6.6 キーワード: ENTADMIN
    • A.6.7 キーワード: USERS
    • A.6.8 キーワード: USERSLIST
    • A.6.9 キーワード: USERSFILE
    • A.6.10 キーワード: KREALM
    • A.6.11 キーワード: MAPSCHEMA
    • A.6.12 キーワード: MAPTYPE
    • A.6.13 キーワード: CASCADE
    • A.6.14 キーワード: CONTEXT
    • A.6.15 キーワード: LOGFILE
    • A.6.16 キーワード: PARFILE
    • A.6.17 キーワード: DBALIAS
    • A.6.18 キーワード: ENTALIAS
    • A.6.19 キーワード: WALLETLOCATION
    • A.6.20 キーワード: KEYALIAS
    • A.6.21 キーワード: KEYSTORE
  • A.7 ユーザー移行ユーティリティの使用例
    • A.7.1 独自のスキーマを保持したままのユーザーの移行
    • A.7.2 ユーザーの移行と共有スキーマへのマッピング
      • A.7.2.1 異なるCASCADEオプションを使用した共有スキーマへのユーザーのマッピング
        • A.7.2.1.1 CASCADE=NOを使用した共有スキーマへのユーザーのマッピング
        • A.7.2.1.2 CASCADE=YESを使用した共有スキーマへのユーザーのマッピング
      • A.7.2.2 異なるMAPTYPEオプションを使用した共有スキーマへのユーザーのマッピング
        • A.7.2.2.1 SUBTREEマッピング・レベル・オプションの使用について
    • A.7.3 PARFILE、USERSFILEおよびLOGFILEパラメータを使用したユーザーの移行
  • A.8 ユーザー移行ユーティリティの使用におけるトラブルシューティング
    • A.8.1 ユーザー移行ユーティリティの一般的なエラー・メッセージ
      • A.8.1.1 両フェーズで表示されるエラー・メッセージの解決
      • A.8.1.2 フェーズ1で表示されるエラー・メッセージの解決
      • A.8.1.3 フェーズ2で表示されるエラー・メッセージの解決
    • A.8.2 ユーザー移行ユーティリティの一般的なログ・メッセージ
      • A.8.2.1 フェーズ1の一般的なログ・メッセージ
      • A.8.2.2 フェーズ2の一般的なログ・メッセージ
    • A.8.3 ユーザー移行ユーティリティのエラー・メッセージとログ・メッセージのまとめ
    • A.8.4 UMUのトレース
• B SSL外部ユーザー変換スクリプト
  • B.1 SSL外部ユーザー変換スクリプトの使用方法
  • B.2 グローバル・ユーザーから外部ユーザーへの変換
• C エンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryの統合
  • C.1 Microsoft Active Directoryとの直接統合について
  • C.2 Active DirectoryとOracle Internet Directory間の同期の設定
  • C.3 Oracleクライアントと相互運用するためのActive Directoryの設定
  • C.4 Microsoft Active Directoryと相互運用するためのOracle Databaseの設定
  • C.5 Microsoft Active Directoryと相互運用するためのOracle Databaseクライアントの設定
  • C.6 クライアントの初期チケットの取得
  • C.7 Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成
• D Oracle9iからOracle Databaseリリース18cバージョン18.1へのアップグレード
  • D.1 リリース9.2からリリース9.0.4へのOracle Internet Directoryのアップグレード
  • D.2 リリース9.2.0.8からOracle Databaseリリース18cバージョン18.1へのOracle Databaseのアップグレード
  • D.3 リリース10g (10.1)以上からOracle Databaseリリース18cバージョン18.1へのOracle Databaseのアップグレード
• 用語集
• 索引