1. Oracle GoldenGate Microservicesドキュメント
  2. 保護
  3. Oracle GoldenGateセキュリティ機能: 実装
  4. 資格証明ストアでのアイデンティティの管理

資格証明ストアでのアイデンティティの管理

Oracle GoldenGateは、資格証明ストアを使用して、暗号化されたデータベース・パスワードとユーザーIDを管理し、別名に関連付けます。

Oracle GoldenGate 23c以降では、パスワードの最大長が1024バイトに増えました。

コマンドまたはパラメータ・ファイルでは、実際のユーザーIDやパスワードではなく別名を指定するため、暗号化キーのユーザー入力は必要ありません。資格証明ストアはOracle Credential Store Framework (CSF)内の自動ログイン・ウォレットとして実装されます。

資格証明ストアを使用するもう1つのメリットは、複数のOracle GoldenGateインストール環境で同じ資格証明ストアを使用しながら、それぞれのローカル資格証明に対する管理を保持できることです。資格証明ストアは、ドメインと呼ばれる論理コンテナにパーティション化できます(Oracle GoldenGateのインストール環境ごとに1つのドメインを使用するなど)。ドメインを使用すると、1セットの別名を作成してから、各ドメインの別名に異なるローカル資格を割り当てることができます。たとえば、ユーザーogg1の資格証明をDOMAIN system1ALIAS extとして格納し、ユーザーogg2の資格証明をDOMAIN system2ALIAS extとして格納できます。

トピック:

親トピック: Oracle GoldenGateセキュリティ機能: 実装

資格証明ストアのタスク

  1. (オプション)Oracle GoldenGateインストール・ディレクトリのdircrdサブディレクトリ以外の場所に資格証明ストアを格納するには、GLOBALSファイルでCREDENTIALSTORELOCATIONパラメータを使用して目的の場所を指定します。
  2. Oracle GoldenGateインストール・ディレクトリから、コマンドラインを起動します。
  3. CONNECTコマンドを使用してデプロイメントにログインした後(管理クライアントを使用している場合)、次のコマンドを発行して資格証明ストアで様々なタスクを実行します。
    コマンド 説明

    ADD CREDENTIALSTORE

    データベース資格証明ストアを追加します。

    ALTER CREDENTIALSTORE

    資格証明ストアに資格証明の各セットを追加します。

    INFO CREDENTIALSTORE

    Oracle GoldenGate資格証明ストアに関する情報を取得します。この情報には、資格証明ストアに含まれる別名や、それに対応するユーザーIDが含まれます。資格証明ストア内の暗号化されたパスワードは返されません。

    DELETE CREDENTIALSTORE

    システムから資格証明ストアを削除します。資格証明ストア・ウォレットとその内容は恒久的に削除されます。

親トピック: 資格証明ストアでのアイデンティティ管理

パラメータまたはコマンドへの別名の指定

次のコマンドおよびパラメータでは、ログイン資格証明のかわりに別名を使用できます。

表10-1 パラメータおよびコマンドへの資格証明の別名の指定

資格証明の対象 使用するパラメータまたはコマンド

Oracle GoldenGateデータベース・ログイン。

 
USERIDALIAS alias

ダウンストリームOracleマイニング・データベースのOracle GoldenGateデータベース・ログイン

 
TRANLOGOPTIONS MININGUSERALIAS alias

{CREATE | ALTER} USER name IDENTIFIED BY password.のパスワード置換

 
DDLOPTIONS DEFAULTUSERPASSWORDALIAS alias

管理クライアントからのOracle GoldenGateデータベース・ログイン。

 
DBLOGIN USERIDALIAS alias

管理クライアントからダウンストリームOracleマイニング・データベースへのOracle GoldenGateデータベース・ログイン。

 
MININGDBLOGIN USERIDALIAS alias

親トピック: 資格証明ストアでのアイデンティティ管理

ユーザー資格証明の暗号化および格納

Oracle GoldenGateの設定およびインストール時に、ADD TRANDATAコマンドによるサプリメンタル・ロギングの追加などのタスクに対して、DBLOGINコマンドを使用してデータベースにログインする必要がある場合があります。

セキュリティ対策としてログイン・パスワードの暗号化をお薦めします。ただし、標準のDBLOGINコマンドでセキュアなパスワードを使用するには、最初にENCRYPT PASSWORDコマンドを使用してパスワードを暗号化する必要があります。ユーザーIDをエクスポージャから保護する際にこのステップを回避するために、ユーザー資格証明の設定および構成を開始する前にOracle GoldenGate資格証明ストアを作成できます。

資格証明ストアを使用すると、DBLOGINでログインするときには、常にログイン資格証明の別名を指定することのみが必要になります。また、証明書ストアを使用することで、パラメータ・ファイルを構成するときに、ExtractおよびReplicatのプロセスに対するログイン資格証明の指定が簡単かつ安全になります。まず、資格証明ストアに基本エントリを作成しておいて、管理コマンドを使用して必要に応じて拡張できます。資格証明ストアを設定するために、管理クライアントを使用して暗号化プロファイルを作成できます。

親トピック: 資格証明ストアでのアイデンティティ管理