8.3.1.1 Azure App Configurationストアを使用するための前提条件

Azure App Configurationストアの使用を開始する前に、AzureポータルまたはAzure CLIまたはAPIを使用して、これらのステップを実行します。

  • OAuthアプリケーションを登録し、認可権限を付与します:

    Azure App Configurationストアの管理者は、「アプリの登録」を使用してOAuthアプリケーションをMicrosoft Entra ID (旧称はMicrosoft Azure Active Directory)に登録する必要があります。管理者は、Azure App Configurationストアにアクセスするために、このOAuthアプリケーションに認可権限を付与する必要もあります。

  • (オプション)シークレットのAzure Key Vaultを作成し、認可権限を付与します:

    Oracle Database資格証明とOracleウォレット・データをAzure Key Vaultに格納できます。

    • Oracle Database資格証明を格納するには:

      データベース・パスワードをシークレットとして格納したAzure Key Vaultを作成します。

    • Oracleウォレット・データを格納するには:

      マルチテナント・クラウド・サービス環境で実行されているSQLNETクライアント・アプリケーションでは、ウォレットをリモート・ストアに格納できます。これらのアプリケーションではローカル・システム・ファイルに格納されているウォレットにアクセスできない場合があるため、この機能は、ウォレットの保持にファイル・システム・アクセスを必要とする相互Transport Layer Security (mTLS)接続に特に役立ちます。

      ウォレット・データを格納するには、まず自動ログイン・ウォレット・ファイル(cwallet.sso)をBase64形式に変換してから、Base64形式のcwallet.sso値をシークレットとして格納したAzure Key Vaultを作成します。

      1. cwallet.ssoファイルをBase64形式に変換します。

        cwallet.ssoBase64に変換するための一般的な方法は、Linuxで次のopensslコマンドを使用することです: 

        cat cwallet.sso | base64 -w 0 > file_to_upload

        ここでは、file_to_uploadにより、変換するcwallet.ssoファイルを指定しています。

      2. cwallet.ssoファイルのBase64形式の文字列の内容を新規行のないシークレット・コンテンツとして貼り付けることで、Azure Key Vaultを作成します。

    後でAzure App ConfigurationにKey Vault参照を追加します。Azure App Configurationストアの管理者は、このボールトへのアクセスのために、登録されたOAuthアプリケーションに認可権限を付与する必要があります。

    これらのステップの実行方法の詳細は、Azure Key Vaultのドキュメントを参照してください。

  • Azure App Configurationでキーを編成する方法を理解します:

    connect_descriptoruserpasswordおよびwallet_locationで終わるキーは、キー/値のペアの識別子として機能し、データベース接続のための対応する値を格納および取得するために使用されます。

    connect_descriptorのキー(connect_descriptorで終わるキー)では、接続記述子(TNS接続文字列とも呼ばれる)が格納されます。

    / (スラッシュ)、& (アンパサンド)または: (コロン)などの文字デリミタを使用して、キーを階層ネームスペースに編成することが一般的です。アプリケーションに適した規則を使用します。この例では、/ (スラッシュ)を文字デリミタとして使用してキーを編成します。

    アプリケーション・ユーザーは、アプリケーション要件に従って接続記述子を接頭辞の下に編成でき、Azure App Configurationでこのようなキーすべての認証および認可を設定できます。オプションで、同じ接頭辞の下にデータベース資格証明(データベース・ユーザーのユーザー名とパスワードなど)、ウォレットの場所、およびOracle Call Interface属性を追加できます。

    • prefix/connect_descriptor (必須)

    • prefix/user (オプション)

    • prefix/password (オプション)

    • prefix/wallet_location (オプション)

    • prefix/oci (オプション)

    connect_descriptor接尾辞のないキーの一部分は、データベース・ユーザー名、データベース・パスワードおよびOCI属性を導出するための接頭辞として扱われます。データベース・クライアントにより、導出された接頭辞がデータベース・ユーザー名として使用された後にuser接尾辞で終わるキー、データベース・パスワードのためのpassword接尾辞で終わるキー、ウォレット・ディレクトリのためのwallet_location接尾辞で終わるキー、およびOCI属性のためのoci接尾辞で終わるキーが検索されます。

    接続識別子にはキーの一部が含まれており、接頭辞としてconnect_descriptorを終了していません。データベース・クライアントにより、connect_descriptoruserpasswordwallet_locationまたはociの付加によってキーが完成された後、そのキーでAzure App Configurationストアが検索されます。

    Azureの集中化された構成プロバイダのネーミングの構文:
    config-azure://{appconfig-name}[?key=prefix&label=value&option1=value1&option2=value2...]
    たとえば:
    sqlplus dbuser/@"config-azure://dbclient-appconfig?key=database/sales/&azure_client_id=client id&azure_client_secret=secret&azure_tenant_id=tenant id"

    この構文については、以降の項で詳しく説明します。

関連トピック

親トピック: Azure App Configurationストア