機械翻訳について
  1. Exadata Database Service on Dedicated Infrastructure
  2. How-toガイド
  3. Identity and Access Management (IAM)ユーザーのOracle Exadata Database Service on Dedicated Infrastructureへの接続

Identity and Access Management (IAM)ユーザーのOracle Exadata Database Service on Dedicated Infrastructureへの接続

Oracle Cloud Infrastructure Identity and Access Management (IAM)認証および認可を使用するようにOracle Exadata Database Service on Dedicated Infrastructureを構成し、IAMユーザーがIAM資格証明を使用してOracle Databaseにアクセスできるようにします。

親トピック: How-toガイド

Oracle Databaseを使用したOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証

Oracle Exadata Database Service on Dedicated InfrastructureでOracle Databaseインスタンスを有効にして、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)またはSSOトークンを使用したユーザー・アクセスを許可する方法について学習します。

親トピック: Identity and Access Management (IAM)ユーザーのOracle Exadata Database Service on Dedicated Infrastructureへの接続

Oracle Databaseを使用したOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証について

IAMユーザーは、IAMデータベースのパスワード・ベリファイアまたはIAMトークンのいずれかを使用して、データベース・インスタンスに接続できます。

IAMデータベース・パスワード・ベリファイアの使用は、データベース・パスワード認証プロセスに似ています。 ただし、データベースに格納されるパスワード・ベリファイア(パスワードの暗号化されたハッシュ)のかわりに、ベリファイアはOCI IAMユーザー・プロファイルの一部として格納されます。

データベースにIAMトークンを使用する2番目の接続メソッドは、より最新です。 トークン・ベースのアクセスの使用は、Exadata Cloud InfrastructureのOracle Databasesなどのクラウド・リソースに適しています。 トークンは、IAMエンドポイントで強制できる強度に基づいています。 これはマルチ・ファクタ認証であり、パスワードのみを使用するよりも強力です。 トークンを使用するもう1つの利点は、パスワード検証子(機密とみなされる)がメモリーに格納されないこと、またはメモリーで使用できないことです。

ノート:

Oracle Databaseは、アイデンティティ・ドメインを含むOracle Cloud Infrastructure (OCI) IAMと、アイデンティティ・ドメインを含まないレガシーIAMに対するOracle DBaaS統合をサポートしています。 アイデンティティ・ドメインでIAMを使用するときは、デフォルトと非デフォルトの両方のドメイン・ユーザーおよびグループがサポートされます。

デフォルト以外のカスタム・ドメインのサポートは、Oracle Databaseリリース19c、バージョン19.21以降でのみ使用できます(ただし、Oracle Databaseリリース21cでは使用できません)。

Oracle Cloud Infrastructure Oracle Exadata Database Service on Dedicated InfrastructureとのIAM統合では、次がサポートされます:

  • Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)データベース・パスワード検証者認証
  • Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークン・ベースの認証

Oracle Exadata Database Service on Dedicated InfrastructureでIAMユーザーを使用するためのアーキテクチャの詳細は、「Oracle Database 19cセキュリティ・ガイド」および「Oracle Database 23aiセキュリティ・ガイド」「Oracle DBaaSデータベースのIAMユーザーの認証および認可」を参照してください。

親トピック: Oracle Databaseを使用したOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)データベース・パスワード検証者認証

Oracle Databaseインスタンスを有効にして、(パスワード検証を使用して)Oracle Cloud Infrastructure IAMデータベース・パスワードを使用したユーザー・アクセスを許可できます。

ノート:

サポートされている12c以上のデータベース・クライアントは、Oracle DatabaseへのIAMデータベース・パスワード・アクセスに使用できます。

Oracle Cloud Infrastructure IAMデータベース・パスワードを使用すると、IAMユーザーは、通常、Oracle Databaseユーザーがユーザー名とパスワードでログインするため、Oracle Databaseインスタンスにログインできます。 ユーザーは、IAMユーザー名およびIAMデータベース・パスワードを入力します。 IAMデータベースのパスワードは、Oracle Cloud Infrastructureコンソールのパスワードとは異なります。 パスワード・ベリファイアでIAMユーザーを使用すると、サポートされている任意のデータベース・クライアントでOracle Databaseにログインできます。

パスワード・ベリファイア・データベース・アクセスの場合、IAMユーザーおよびOCIアプリケーションのOracle Databaseインスタンスへのマッピングを作成します。 IAMユーザー・アカウント自体はIAMで管理されます。 ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメイン内に存在できます。

IAMデータベース・パスワードの管理の詳細は、「ユーザー資格証明の管理」を参照してください。

関連トピック

親トピック: Oracle Databaseを使用したOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークン・ベースの認証

データベースへのIAMトークン・アクセスの場合、クライアント・アプリケーションまたはツールは、IAMユーザーのIAMからデータベース・トークンをリクエストします。

クライアント・アプリケーションは、データベース・クライアントAPIを介してデータベース・トークンを直接データベース・クライアントに渡します。

アプリケーションまたはツールが更新されてIAMトークンをリクエストしていない場合、IAMユーザーはOCI CLIを使用してデータベース・トークンをリクエストおよび格納できます。 次の資格証明を使用して、データベース・アクセス・トークン(db-token)をリクエストできます:

  • セキュリティ・トークン(IAM認証あり)、委任トークン(OCI Cloud Shell内)およびAPI-keys。認証を有効にするためのIAMユーザーを表す資格証明です
  • インスタンス・プリンシパル・トークン。認証後にインスタンスを認可アクター(またはプリンシパル)にし、OCIリソースに対してアクションを実行できるようにします
  • リソース・プリンシパル・トークン。アプリケーションが他のOCIサービスに対して自身を認証できるようにする資格証明です
  • IAMユーザー名およびIAMデータベース・パスワードの使用(データベース・クライアントのみがリクエスト可能)

IAMユーザーがスラッシュ/ログインでクライアントにログインし、OCI_IAMパラメータが構成されている場合(sqlnet.oratnsnames.oraまたは接続文字列の一部として)、データベース・クライアントはファイルからデータベース・トークンを取得します。 IAMユーザーがユーザー名とパスワードを送信する場合、接続では、IAMデータベースのパスワード・ベリファイアを使用するクライアント接続について記述されたIAMデータベース・ベリファイア・アクセスが使用されます。 パラメータPASSWORD_AUTH=OCI_TOKENの場合、データベース・ドライバは、かわりにユーザー名とパスワードを使用してIAMに直接接続し、データベース・トークンをリクエストします。 このガイドの手順は、OCI CLIをデータベース・トークンのヘルパーとして使用する方法を示しています。 アプリケーションまたはツールがIAMで動作するように更新されている場合は、アプリケーションまたはツールの手順に従います。 一般的なユースケースには、次のものがあります: オンプレミスSQL*Plus、オンプレミスSQLcl、クラウド・シェルのSQL*Plus、またはSEPウォレットを使用するアプリケーション。

データベース・クライアントは、IAMデータベース・トークンを取得する方法はいくつかあります:
  • クライアント・アプリケーションまたはツールは、ユーザーのIAMからデータベース・トークンをリクエストでき、クライアントAPIを介してデータベース・トークンを渡すことができます。 APIを使用してトークンを送信すると、データベース・クライアントの他の設定がオーバーライドされます。 IAMトークンを使用するには、最新のOracle Databaseクライアント19c (少なくとも19.16)が必要です。 一部の以前のクライアント(19cおよび21c)は、トークン・アクセスのための制限された機能セットを提供します。 Oracle Databaseクライアント21cは、IAMトークン・アクセス機能を完全にサポートしていません:
    • すべてのプラットフォームでJDBC-thin
      • 詳細は、「IAMトークン・ベース認証のサポート」および「JDBCおよびUCPのダウンロード」を参照してください。
    • Linux上のSQL*PlusおよびOracle Instant Client OCI-C:

      詳細は、「Identity and Access Management (IAM)トークン・ベース認証」を参照してください

    • Oracle Data Provider for .NET (ODP.NET)コア : .NETクライアント(最新バージョンのLinuxまたはWindows)。.NETソフトウェア・コンポーネントは、次のサイトから無料でダウンロードできます:
      • Oracleデータ・アクセス・コンポーネント - .NETのダウンロード
      • NuGet Gallery
      • Visual Studio Codeマーケット場所
  • アプリケーションまたはツールがクライアントAPIを介したIAMデータベース・トークンのリクエストをサポートしていない場合、IAMユーザーは最初にOracle Cloud Infrastructureコマンドライン・インタフェース(CLI)を使用してIAMデータベース・トークンを取得し、ファイルのロケーションに保存できます。 たとえば、この接続方法を使用してSQL*Plusおよびその他のアプリケーションおよびツールを使用するには、最初にOracle Cloud Infrastructure (OCI)コマンドライン・インタフェース(CLI)を使用してデータベース・トークンを取得します。 詳細は、db-token getを参照してください。 データベース・クライアントがIAMデータベース・トークン用に構成されている場合、ユーザーがスラッシュ・ログイン・フォームでログインすると、データベース・ドライバは、デフォルトまたは指定したファイルのロケーションに保存されたIAMデータベース・トークンを使用します。
  • 一部のOracle Database 23aiクライアントは、OCIコマンドライン・インタフェースを使用するかわりに、OCI IAMから直接トークンを取得することもできます。 クライアントのドキュメントで、このネイティブIAM統合をサポートしているクライアントを確認してください。
  • クライアント・アプリケーションまたはツールは、Oracle Cloud Infrastructure IAMインスタンス・プリンシパルまたはリソース・プリンシパルを使用してIAMデータベース・トークンを取得し、IAMデータベース・トークンを使用してOracle Databaseインスタンスに対して自身を認証できます。 詳細は、「インスタンスとリソース・プリンシパルのマッピング」を参照してください。
  • IAMユーザーおよびOCIアプリケーションは、APIキーの使用など、いくつかのメソッドでIAMからデータベース・トークンをリクエストできます。 例については、IAMトークンを使用するSQL*Plusのクライアント接続の構成を参照してください。 OCI Cloud Shell内での委任トークンの使用など、他のメソッドの説明は、「Oracle DBaaSデータベースのIAMユーザーの認証および認可」を参照してください。

ノート:

データベースが制限モードの場合、RESTRICTED SESSION権限を持つDBAのみがデータベースに接続できます。

ユーザーがユーザー名/パスワードを入力してログインすると、データベース・ドライバはパスワード検証メソッドを使用してデータベースにアクセスします。 パラメータPASSWORD_AUTH=OCI_TOKENの場合、データベース・ドライバは、かわりにユーザー名とパスワードを使用してIAMに直接接続し、データベース・トークンをリクエストします。

関連トピック

親トピック: Oracle Databaseを使用したOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証

Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証の前提条件

Oracle DatabaseのIdentity and Access Management (IAM)認証の前提条件を確認します。

  • 「Oracle DatabaseでのIAM認証の前提条件」
    Exadata Cloud Infrastructureのデータベース上でIAM認証を使用する前に、ネットワーキング・サービスを使用して、データベース・リソースが存在するVirtual Cloud Network (VCN)およびサブネットにサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを追加する必要があります。
  • 「外部認証スキームの無効化」
    Oracle DatabaseへのIAMユーザー・アクセスを有効にするための前提条件を確認します。
  • 「IAMトークンを使用するためのTLSの構成」
    データベース・クライアントからデータベース・サーバーにIAMトークンを送信する場合、TLS接続を確立する必要があります。     ExaDB-Dサービス・インスタンスのデータベース証明書を含むTLSウォレットは、WALLET_ROOTのロケーションに格納する必要があります。 tlsディレクトリを作成: WALLET_ROOT/<PDB GUID>/tls

親トピック: Identity and Access Management (IAM)ユーザーのOracle Exadata Database Service on Dedicated Infrastructureへの接続

Oracle DatabaseでのIAM認証の前提条件

Exadata Cloud Infrastructureのデータベース上でIAM認証を使用する前に、ネットワーキング・サービスを使用して、データベース・リソースが存在するVirtual Cloud Network (VCN)およびサブネットにサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを追加する必要があります。

  1. OCIドキュメントの「タスク1: サービス・ゲートウェイの作成」の手順に従って、データベース・リソースが存在するVCNにサービス・ゲートウェイを作成します。
  2. サービス・ゲートウェイを作成した後、データベース・リソースが存在する各サブネット(VCN内)にルート・ルールおよびエグレス・セキュリティ・ルールを追加して、これらのリソースがゲートウェイを使用してIAM認証を使用できるようにします:
    1. サブネットの「サブネットの詳細」ページに移動します。
    2. 「サブネット情報」タブで、サブネットのルート表の名前をクリックして、その「ルート表詳細」ページを表示します。
    3. 既存のルート・ルールの表で、次の特性を持つルールがすでに存在するかどうかを確認します:
      • 宛先: Oracle Services NetworkのすべてのIADサービス
      • ターゲット・タイプ: サービス・ゲートウェイ
      • ターゲット: VCNで作成したサービス・ゲートウェイの名前

      このようなルールが存在しない場合は、「ルート・ルールの追加」をクリックし、これらの特性を持つルート・ルールを追加します。

    4. サブネットの「サブネットの詳細」ページに戻ります。
    5. サブネットの「セキュリティ・リスト」表で、サブネットのセキュリティ・リストの名前をクリックして、その「セキュリティ・リストの詳細」ページを表示します。
    6. サイド・メニューの「リソース」で、「エグレス・ルール」をクリックします。
    7. 既存のエグレス・ルールの表で、次の特性を持つルールがすでに存在するかどうかを確認します:
      • ステートレス: いいえ
      • 宛先: Oracle Services NetworkのすべてのIADサービス
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 443
    8. このようなルールが存在しない場合は、「エグレス・ルールの追加」をクリックし、これらの特性を持つエグレス・ルールを追加します。

関連トピック

親トピック: Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証の前提条件

外部認証スキームの無効化

Oracle DatabaseへのIAMユーザー・アクセスを有効にするための前提条件を確認します。

データベースが別の外部認証スキームに対して有効になっている場合は、Oracle DatabaseインスタンスでIAMを使用することを確認します。 常に有効な外部認証スキームは1つのみです。

IAMを使用し、別の外部認証スキームを有効にする場合は、まず他の外部認証スキームを無効にする必要があります。

親トピック: Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証の前提条件

IAMトークンを使用するためのTLSの構成

データベース・クライアントからデータベース・サーバーにIAMトークンを送信する場合、TLS接続を確立する必要があります。 ExaDB-Dサービス・インスタンスのデータベース証明書を含むTLSウォレットは、WALLET_ROOTのロケーションに格納する必要があります。 tlsディレクトリを作成: WALLET_ROOT/<PDB GUID>/tls

データベース・クライアントとサーバー間のTLSを構成する場合、考慮すべきオプションがいくつかあります。

  • 自己署名データベース・サーバー証明書と、よく知られた認証局によって署名されたデータベース・サーバー証明書の使用
  • 一方向TLS (TLS)、相互または双方向TLS (mTLS)
  • ウォレットの有無にかかわらずクライアント

自己署名証明書

自己署名証明書の使用は、自分で作成でき、無料であるため、内部的にITリソースに直面する一般的な方法です。 リソース(この場合、データベース・サーバー)には、データベース・クライアントに対して自身を認証するための自己署名証明書があります。 自己署名証明書およびルート証明書は、データベース・サーバー・ウォレットに格納されます。 データベース・クライアントがデータベース・サーバー証明書を認識できるようにするには、クライアントでルート証明書のコピーも必要です。 この自動作成されたルート証明書は、クライアント側のウォレットに格納することも、クライアント・システムのデフォルトの証明書ストアにインストールすることもできます(WindowsおよびLinuxのみ)。 セッションが確立されると、データベース・クライアントは、データベース・サーバーによって送信された証明書が同じルート証明書によって署名されていることを確認します。

既知の認証局

一般的に知られているルート認証局を使用すると、ルート証明書がすでにクライアント・システムのデフォルトの証明書ストアに格納されている可能性が高いという点で、いくつかの利点があります。 共通のルート証明書であれば、クライアントがルート証明書を格納するための追加のステップはありません。 不利な点は、通常はコストが関連付けられていることです。

一方向TLS

標準のTLSセッションでは、サーバーのみがクライアントに証明書を提供して自身を認証します。 クライアントは、サーバーに対して自身を認証するために個別のクライアント証明書を必要としません(HTTPSセッションの確立方法と同様)。 データベースにはサーバー証明書を格納するためのウォレットが必要ですが、クライアントに必要なのは、サーバー証明書の署名に使用されるルート証明書のみです。

双方向TLS (相互TLS、mTLSとも呼ばれる)

mTLSでは、クライアントとサーバーの両方に、相互に表示されるアイデンティティ証明書があります。 ほとんどの場合、同じルート証明書がこれらの証明書の両方に署名されているため、データベース・サーバーとクライアントで同じルート証明書を使用してほかの証明書を認証できます。ユーザー・アイデンティティは証明書によってデータベース・サーバーによって認証されるため、mTLSを使用してユーザーを認証することがあります。 これは、IAMトークンを渡すには必要ありませんが、IAMトークンを渡すときに使用できます。

Walletを使用するクライアント

クライアント証明書を格納するためにmTLSを使用する場合、クライアント・ウォレットは必須です。 ただし、ルート証明書は、同じウォレットまたはシステムのデフォルトの証明書ストアに格納できます。

Walletを使用しないクライアント

これらの条件でTLSを使用する場合、クライアントはウォレットなしで構成できます: 1)一方向TLSは、クライアントに独自の証明書がなく、2)データベース・サーバー証明書に署名したルート証明書がシステムのデフォルト証明書ストアに格納される場合に構成されます。 サーバー証明書が共通認証局によって署名されている場合、おそらくすでにルート証明書が存在することになります。 自己署名証明書の場合は、クライアント・ウォレットの使用を回避するために、システムのデフォルトの証明書ストアにルート証明書をインストールする必要があります。

前述のオプションを含むデータベース・クライアントとデータベース・サーバーの間のTLSを構成する方法の詳細は、「Oracle Databaseセキュリティ・ガイド」「トランスポート層のセキュリティ認証の構成」を参照してください。

自己署名証明書を使用し、その他のウォレット関連タスクを使用する場合は、「Oracle Databaseセキュリティ・ガイド」「公開キー・インフラストラクチャ(PKI)要素の管理」を参照してください。

関連トピック

親トピック: Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証の前提条件

IAM統合のデータベースおよびクライアントの有効化

次の該当するリンクに従って、データベースにアクセスするようにIAMユーザーを構成します。

Oracle Exadata Database Service on Dedicated InfrastructureでIAMユーザーを使用するためのアーキテクチャの詳細は、「Oracle Database 19cセキュリティ・ガイド」および「Oracle Database 23aiセキュリティ・ガイド」「Oracle DBaaSデータベースのIAMユーザーの認証および認可」を参照してください。

親トピック: Identity and Access Management (IAM)ユーザーのOracle Exadata Database Service on Dedicated Infrastructureへの接続