1. Database Net Servicesリファレンス
  2. 『Oracle Database Net Servicesリファレンス』のこのリリースでの変更点

『Oracle Database Net Servicesリファレンス』のこのリリースでの変更点

Oracle Database 19cのOracle Database Net Servicesリファレンスでの変更を確認します。

  • 新機能
    Oracle Database 19cで使用可能な新機能および拡張機能は次のとおりです。
  • 非推奨となった機能
    次の機能は、このリリースでは非推奨であり、将来のリリースではサポートされなくなる可能性があります。

新機能

Oracle Database 19cで使用可能な新機能および拡張機能は次のとおりです。

Identity and Access Managementと追加のOracle Database環境の統合

Oracle Databaseリリース19.16で使用可能な機能として、Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)ユーザーは、追加のOracle Database環境にログインできます。

サポートされているOracle Database環境のリストは、『Oracle Databaseセキュリティ・ガイド』を参照してください。

IAMユーザー名およびIAMデータベース・パスワードを使用してデータベース・トークンを取得する機能

IAMユーザー名、IAMデータベース・パスワード、またはセキュアな外部パスワード・ストア(SEPS)を使用したIAMデータベース・トークンの取得は、データベース・アクセスのパスワード・ベリファイアの方法を使用するよりも安全です。このトークンをOCI IAMエンドポイントから直接リクエストするようにデータベース・クライアントを構成できます。

新しいsqlnet.oraまたはtnsnames.oraパラメータを使用すると、この認証方法を構成し、追加のメタデータとともにIAMエンドポイントを指定できます。これらのパラメータは、PASSWORD_AUTHOCI_IAM_URLOCI_TENANCYおよびオプションのOCI_COMPARTMENTOCI_DATABASEです。

『Oracle Databaseセキュリティ・ガイド』「PASSWORD_AUTH」「OCI_IAM_URL」「OCI_TENANCY」「OCI_COMPARTMENT」および「OCI_DATABASE」を参照してください。

Microsoft Azure Active Directoryと追加のOracle Database環境の統合

Oracle Databaseリリース19.16で使用可能な機能として、Microsoft Azure Active Directory (Azure AD)ユーザーは、Azure AD OAuth2アクセス・トークンを使用して追加のOracle Database環境にログインできます。

サポートされているOracle Database環境のリストは、『Oracle Databaseセキュリティ・ガイド』を参照してください。

Azure ADとOracle Autonomous Cloud Databaseの統合

2022年6月からOracle Autonomous Databaseで使用可能な機能として、Azure ADユーザーは、Azure AD OAuth2アクセス・トークンを使用してOracle Cloud Infrastructure (OCI) Autonomous Database (共有インフラストラクチャ)にログインできます。

OCI Oracle Autonomous Databaseでは、Azure AD OAuth2トークンを使用してデータベースにアクセスできるようになりました。Azure ADユーザーはAzure ADトークンを使用してデータベースに直接アクセスでき、アプリケーションはサービス・トークンを使用してデータベースにアクセスできます。

『Oracle Database Net Services管理者ガイド』および『Oracle Databaseセキュリティ・ガイド』を参照してください。

TOKEN_AUTHパラメータを使用すると、Oracle Autonomous Cloud DatabaseについてAzure ADトークンベースの認証を構成できます。また、TOKEN_LOCATIONパラメータを使用して、認証のためにAzure ADトークンが格納されるディレクトリの場所を指定する必要があります。

TOKEN_AUTHおよびTOKEN_LOCATIONを参照してください。

IAMとOracle Autonomous Cloud Databaseの統合

Oracle Databaseリリース19.13で使用可能な機能として、IAMユーザーは、データベース・パスワード認証またはトークンベースの認証を使用してOracle Autonomous Databaseにログインできます。

IAM ADMINユーザーは、IAMユーザーおよびIAMグループの認証と認可の両方を構成できます。IAMユーザーは、SQL*PlusやSQLclなどのツールを使用して、Oracle Autonomous Cloud Databasesにログインできます。

『Oracle Database Net Services管理者ガイド』および『Oracle Databaseセキュリティ・ガイド』を参照してください。

TOKEN_AUTHおよびTOKEN_LOCATIONパラメータ

sqlnet.oraまたはtnsnames.oraパラメータTOKEN_AUTHを使用すると、Oracle Autonomous Cloud DatabasesのIAMトークンベースの認証を構成できます。

sqlnet.oraまたはtnsnames.oraパラメータTOKEN_LOCATIONを使用すると、データベース・トークンおよび秘密キー・ファイルが認証用に格納されるデフォルト・ディレクトリをオーバーライドできます。これはオプションのパラメータです。

TOKEN_AUTHおよびTOKEN_LOCATIONを参照してください。

一方向のTransport Layer Security (TLS)

この機能を使用すると、一方向TLS (サーバー認証)を構成できます。この方法では、認証局(CA)によって発行された証明書を提示することで、データベース・サーバーのみがクライアントに対して認証を実行し、クライアントはデータベース・サーバー証明書が有効かどうかを検証します。

ローカル・システムのデフォルト証明書ストアにすでにインストールされている信頼できる共通ルート証明書によってデータベース・サーバー証明書が署名されている場合、サーバー証明書を含むOracleクライアント・ウォレットは必要ありません。

Oracle Database Net Services管理者ガイドを参照してください。

ネイティブ暗号化のセキュリティ更新

サポートされている次のアルゴリズムが改善されました。

  • 暗号化アルゴリズム: AES128AES192およびAES256
  • 暗号化チェックサム・アルゴリズム: SHA1SHA256SHA384およびSHA512

次のアルゴリズムは非推奨です。

  • 暗号化アルゴリズム: DESDES403DES1123DES168RC4_40RC4_56RC4_128およびRC4_256
  • 暗号化チェックサム・アルゴリズム: MD5

より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

新しいsqlnet.oraのパラメータSQLNET.ALLOW_WEAK_CRYPTOおよびSQLNET.ALLOW_WEAK_CRYPTO_CLIENTSを使用すると、指定された暗号化および暗号化チェックサム・アルゴリズムを確認できます。これにより、接続で互換性の問題が発生せず、サポートされている強力なアルゴリズムが構成で使用されるようになります。

Oracle Databaseセキュリティ・ガイドを参照してください。

SQLNET.ALLOW_WEAK_CRYPTOパラメータ

SQLNET.ALLOW_WEAK_CRYPTOパラメータは、指定された暗号化アルゴリズムおよび暗号チェックサム・アルゴリズムを確認することで、クライアント側ネットワーク接続を構成するために使用します。

SQLNET.ALLOW_WEAK_CRYPTOを参照してください。

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTSパラメータ

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTSパラメータは、指定された暗号化アルゴリズムおよび暗号チェックサム・アルゴリズムを確認することで、クライアント側ネットワーク接続を構成するために使用します。

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTSを参照してください。

COLOCATION_TAGパラメータ

COLOCATION_TAGパラメータは、TNS接続文字列のCONNECT_DATAパラメータとともに使用できる英数字の文字列です。COLOCATION_TAGパラメータを設定すると、同じCOLOCATION_TAGを持つクライアントを同じデータベース・インスタンスにルーティングしようとします。

同じインスタンスのセッションのコロケーションにより、インスタンス間の通信が減少します。その結果、同じインスタンスで実行されることでメリットを得られるワークロードのパフォーマンスが向上します。

COLOCATION_TAGを参照してください。

KERBEROS5_PRINCIPALパラメータ

Oracle DatabaseクライアントにKerberos認証を構成する場合、KERBEROS5_PRINCIPALパラメータを使用して、単一のOracle Databaseクライアントで複数のKerberosプリンシパルを指定できます。これはオプションのパラメータです。指定すると、これを使用して、資格証明キャッシュ内のプリンシパル名がパラメータ値と一致するかどうかが検証されます。

このパラメータは、CONNECT_DATAパラメータとともに使用します。または、KERBEROS5_PRINCIPALパラメータとともに接続文字列にKERBEROS5_CC_NAMEを指定して、別のKerberosプリンシパルとして接続することもできます。各Kerberosプリンシパルには、有効な資格証明キャッシュが必要です。

KERBEROS5_PRINCIPALおよびSQLNET.KERBEROS5_CC_NAMEを参照してください。

親トピック: 『Oracle Database Net Servicesリファレンス』のこのリリースでの変更点

非推奨となった機能

次の機能は、このリリースでは非推奨であり、将来のリリースではサポートされなくなる可能性があります。

SERVICE_NAMES初期化パラメータの非推奨

Oracle Database 19c以降、SERVICE_NAMESパラメータをお客様が使用することは非推奨になりました。今後のリリースでサポートが終了する可能性があります。

SERVICE_NAMESパラメータの使用は、積極的にはサポートされなくなりました。高可用性(HA)デプロイメントでは使用しないでください。HA操作ではサービス名パラメータの使用はサポートされません。この制限には、FAN、ロード・バランシング、FAILOVER_TYPEFAILOVER_RESTORESESSION_STATE_CONSISTENCYなどの用途が含まれます。

サービスを管理するには、SRVCTLまたはGDSCTLコマンドライン・ユーティリティ、またはDBMS_SERVICEパッケージを使用することをお薦めします。

ノート:

非推奨のSERVICE_NAMESパラメータは、Oracle Net接続文字列のSERVICE_NAMEパラメータとは異なります。SERVICE_NAMEパラメータは引き続き有効です。

脆弱なネイティブ・ネットワーク暗号化アルゴリズムおよび整合性アルゴリズムの非推奨

DESDES403DES1123DES168RC4_40RC4_56RC4_128RC4_256およびMD5アルゴリズムは、このリリースでは非推奨です。

この非推奨化に伴い、ネットワーク暗号化および整合性の構成を確認して、非推奨になった脆弱なアルゴリズムのいずれかを使用するように指定されているかどうかを確認することをお薦めします。

より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

関連トピック

親トピック: 『Oracle Database Net Servicesリファレンス』のこのリリースでの変更点