認証および認可
Oracle GoldenGateを使用している場合のOracle GoldenGate側およびデータベース側での認証および認可機能について学習します。
Oracle GoldenGateの認証および認可
Oracle GoldenGate Microservicesでは、認証レイヤーと認可レイヤーの両方でセキュリティが適用されます。認証(AN)には、データベースへのログインに、ユーザーIDとパスワードのかわりに別名を使用して資格証明ストアを構成するなどのタスクが含まれます。認可(AZ)には、Oracle GoldenGate間の通信、およびネットワークとサーバーの構成のタスクが含まれます。
すべてのセキュリティの構成とサービスは、MAベースのサーバーに共通です。これらのサーバーは、Oracle GoldenGateのコマンドと制御、モニタリング、データ伝達、および情報サービス・インタフェースへのアクセスを認証、認可および保護します。
Oracle GoldenGate Microservicesは、グローバルなクラウドベースのデプロイメント環境で、運用および統合するサービス対応アプリケーションを構築するためのインフラストラクチャを提供します
Oracle GoldenGate認証
Oracle GoldenGateで認証されたアイデンティティの目的は、ユーザー、アプリケーションおよびOracle GoldenGate Microservicesデプロイメント間のアイデンティティ認証を確立することです。認証設計では、ユーザーおよびアプリケーションを証明書で検証するか、資格証明別名(ユーザー名とパスワードのペア)として格納されているユーザー資格証明で検証するかのオプションが提供されます。
ユーザー資格証明による認証
ユーザー資格証明(ユーザー名、パスワード)の組合せは資格証明ストアに格納され、資格証明別名を使用してアクセスできます。これにより、ユーザーはユーザーIDとパスワードを資格証明ストアに保持し、別名のみでOracle GoldenGateデプロイメントまたは別のアプリケーションに接続できるようになります。
強力なパスワード・ポリシーは、大文字1文字、小文字1文字、数字1文字および特殊文字1文字を含めるというガイドラインを使用して実装されています。
証明書による認証
ユーザー認証は、デプロイメント間の接続時に証明書を使用して実行できます。この認証方法は、認証に資格証明別名(ユーザーID、パスワード)を使用する代替方法です。
ソース・デプロイメントを別のネットワーク上のターゲット・デプロイメントに接続するための分散パスを構成する際に、証明書認証を設定できます。これは、様々な組織がデータ転送のためにセキュアなネットワーク経由で通信する必要がある場合の最も一般的なシナリオです。この場合、オペレータ・ロールを持つ分散クライアント(distclient)ユーザーがターゲット・デプロイメントに作成され、クライアント証明書がソース・デプロイメントに格納されます。distclientユーザーは、ソース・デプロイメントへの接続時にクライアント証明書を提示します。この証明書は、ターゲット・デプロイメントで使用可能な信頼できるrootCA証明書によって検証され、ソース・デプロイメントでは、m-TLSを使用してターゲット・サーバー証明書が検証されます。ユーザー認証のための証明書の設定についてさらに学習するには、「外部RootCA証明書を使用した2つのデプロイメントの接続」および「外部RootCA証明書を使用した2つのデプロイメントの接続」を参照してください。
2つの個別のデプロイメントに対して証明書を構成する際に使用するステップについては、「分散パスの追加」の項も参照してください。
証明書管理
クライアントがTCPS (セキュアTCP)データベース接続サービスを介してソース・データベースまたはターゲット・データベースに接続しようとすると、次の図に示すように、Oracle GoldenGateはTLS証明書ベースの認証を使用して接続を認証します。
デフォルトでは、Oracle GoldenGateは自己署名証明書を使用します。ただし、認証のためにCA署名付きサーバー側証明書をインストールすることもできます。
実装については、「セキュアなデプロイメント用の証明書の作成」を参照してください。
セキュアなデプロイメントの接続に証明書を使用するときに実装できるアプローチについても学習できます。次のクイックスタートを参照してください:
Oracle GoldenGateでの認可
Oracle GoldenGateでの認可は、ユーザー・ロールに依存します。Oracle GoldenGateユーザーの作成時に、次のユーザー・ロールを選択して割り当てることができます。
表4-1 Oracle GoldenGateユーザーのロールおよび権限
| ロールID | 権限レベル |
|---|---|
|
ユーザー |
情報のみのサービス・リクエストを許可します。これは、MAのいずれに対しても操作を変更したり、操作に影響を与えたりすることはありません。問合せ/読取り専用情報の例には、パフォーマンス・メトリック情報およびリソースのステータスと監視情報が含まれます。 |
|
オペレータ |
ユーザーは、リソースの作成、開始および停止などの操作アクションのみを実行できます。オペレータは、MAサーバーの操作パラメータまたはプロファイルを変更することはできません。 |
| 管理者 |
全面的なアクセス権がユーザーに与えられ、セキュリティに関連しない一般的なサーバーの操作パラメータおよびプロファイルを変更することもできます。 |
|
セキュリティ |
セキュリティ関連オブジェクトの管理権限を付与し、セキュリティ関連のサービス・リクエストを呼び出します。このロールにはすべての権限があります。 |
Oracle GoldenGateユーザー管理
デプロイメント構成の様々な段階で作成されるOracle GoldenGateユーザーには、Oracle GoldenGate Microservicesに対する異なるアクセス機能があります。
Oracle GoldenGateの最初のユーザーは、Oracle GoldenGate構成(OGGCA)ユーティリティから設定されます。このユーザーは、ホスト上のサービス・マネージャに関連付けられているすべてのデプロイメントのサービス・マネージャおよびすべてのMicroservicesにアクセスできます。
最初のユーザーを使用してサービス・マネージャにアクセスした後、サービス・マネージャの「管理者」ページでユーザーを作成できます。ユーザー・ロールに応じて、ユーザーがOracle GoldenGate Microservicesにアクセスできるようにできます。
異なるユーザー・ロールでOracle GoldenGate Microservicesにアクセスする例を次に示します。
-
例1: 管理サービスでオペレータ・ロールを持つユーザーを作成した場合、これらの資格証明を使用してサービス・マネージャにアクセスすることはできません。
-
例2: サービス・マネージャでオペレータ・ロールを持つユーザーを作成した場合、これらの資格証明を使用して管理サービスにアクセスすることはできません。
データベース認証および認可
Oracle GoldenGateを使用するようにデータベースを設定する際に必要なデータベース認証および認可の構成について学習します。
データベース認証
データベース接続は、Oracle GoldenGateのUSERIDALIASパラメータで管理されます。Oracle GoldenGateからデータベースに直接接続することはできません。DBLOGIN USERIDALIAS、FETCHUSERIDALIASおよびMINNINGDBUSERIDALIASには、サポートされているデータベースのユーザー名とパスワードが含まれ、Oracle GoldenGate資格証明ストアに格納されています。
Kerberos認証
Oracle GoldenGateでは、Oracleデータベースのオペレーティング・システム・レベルのログインがサポートされています。外部認証機能として、既存のOSレベルに加えてKerberos認証のサポートが有効になります。
Kerberos認証の実装の詳細は、「Kerberos認証の構成」を参照してください。