C エンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryの統合
C.1 Microsoft Active Directoryとの直接統合について
Oracle Databaseリリース18c、バージョン18.1以降では、新しい一元管理ユーザー機能の使用によるMicrosoft Active Directory (MSAD)との直接統合をサポートしています。
Oracle Databaseリリース18c、バージョン18.1から、Oracle DatabaseではMicrosoft Active Directoryにより直接ユーザーを認証および認可するための一元管理ユーザーが導入されました。一元管理ユーザーにより、データベースにアクセスするユーザーを一元的に管理して組織のセキュリティ体制を強化できます。エンタープライズ・ユーザー(Microsoft Active Directoryのユーザー)を排他的にデータベース・アカウントにマップしたり、(Microsoft Active Directoryグループ内の)多数のエンタープライズ・ユーザーをデータベース内の共有アカウントにマップできます。Microsoft Active Directoryグループをデータベース・グローバル・ロールにマップすることもでき、これにより自分のログイン・アカウント(排他または共有)に付与されているものに加えてさらに権限およびロールをユーザーに付与できます。一元管理ユーザーにより、ユーザーをパスワード、KerberosおよびPKI証明書を使用して認証できます。
信頼できるデータベース・リンクなど、より複雑なエンタープライズ・ユーザー・セキュリティ機能を必要としない新しいディレクトリ・サービス・プロジェクトを組織で開始する場合、Microsoft Active Directoryによる一元管理ユーザーにより、現在のMicrosoft Active Directoryサービスを使用してユーザー管理およびデータベース・アクセス認可を一元化できます。新しいディレクトリ・サービスのプロジェクトの場合、これにより複雑さが軽減されるだけでなく、メンテナンスおよび開発の面での運用コストの削減につながることから、ディレクトリ・サービスの実装における適切なオプションになる可能性があります。
エンタープライズ・ユーザーは、Oracle Identity Managementインフラストラクチャの一部であるOracle Internet Directoryも利用できます。所属している組織が、Microsoft Active Directoryなどのサード・パーティのディレクトリを使用してユーザー・エントリを格納および管理している場合は、サード・パーティのディレクトリとOracle Internet Directoryを統合して、エンタープライズ・ユーザー・セキュリティを管理できます。信頼できるデータベース・リンクなど、より複雑なエンタープライズ・ユーザー・セキュリティ機能が組織において必要な場合は、これが望ましいオプションとなる可能性があります。
関連項目:
Microsoft Active Directoryによる一元管理ユーザーの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
C.2 Active DirectoryとOracle Internet Directoryの同期化の設定
Oracleコンポーネントは、Oracle Internet Directoryを利用してセキュリティを一元管理します。組織によっては、Microsoft Active Directoryを使用するMicrosoft Windowsドメインを設定してセキュリティを一元管理している場合があります。エンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryを併用できるように構成するには、Oracle Internet DirectoryとMicrosoft Active Directory間の同期を設定する必要があります。
2つのディレクトリを同期するには、同期プロファイルを使用します。このプロファイルには、2つのディレクトリの同期に必要な構成情報が含まれています。構成情報には、同期の方向、マッピング・ルールと書式、Microsoft Windowsドメインの接続の詳細などがあります。マッピング・ルールには、一方のディレクトリのドメインと属性を他方のディレクトリにマップするためのドメイン・ルールと属性ルールがあり、オプションで属性の書式設定があります。
C.4 Microsoft Active Directoryと相互運用するためのOracle Databaseの設定
Oracle Databaseがインストールされているホスト・コンピュータで、次のタスクを実行する必要があります。
-
Kerberosパラメータを使用してデータベースの
sqlnet.ora
ファイルを更新します。
関連項目:
このステップの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
C.6 クライアントの初期チケットの取得
クライアントがデータベースに接続するには、初期チケットをリクエストする必要があります。初期チケットにより、その他のサービス・チケットを要求する権限を持つクライアントとして識別されます。初期チケットは、okinit
コマンドを使用してリクエストします。
関連項目:
okinit
を使用した初期チケットのリクエストの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
C.7 Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成
Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティを構成するには、次のステップに従います。
関連項目:
このステップの詳細は、「Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成」を参照してください。