認証
Microsoft Azure Active Directory統合
Microsoft Azure Active Directory (Azure AD)シングル・サインオンのOAuth2
アクセス・トークンを使用して、Oracle Databaseにログインできます。この機能はOracle Databaseリリース19.16以降(Oracle Database 21cを除く)にバックポートされています。
Oracle Database 23aiの新機能には、Azure AD v2トークンのサポート、およびOracle Databaseクライアントとのトークンの直接取得が含まれます。OAuth2対話型フローを使用する場合、エンド・ユーザーのトークンを取得するためのスクリプトの使用は必要ありません。
このマルチクラウド機能は、Azure ADおよびOracle Databaseの間で認証と認可を統合します。
ドキュメントの表示に関する項
ODP.NET: Azure Active Directoryシングル・サインオン
ODP.NETは、Microsoft Azure Active Directory (Azure AD) OAuth 2.0アクセス・トークンを使用してOracleデータベースにログインできます。ユーザーは、Azure ADを使用して1回サインオンし、そのトークンを取得し、オンプレミスおよびクラウドベースのOracleデータベースにアクセスできます。この機能は、ODP.NET CoreおよびManaged ODP.NETで使用できます。
このマルチクラウド機能により、ユーザー・アクセスおよび管理が簡略化されることで、Azure ADとOracle Databaseの間の認証と認可が容易になります。
ドキュメントの表示に関する項
Oracle Databaseのパスワード長の増加
Oracle Databaseでは、最大1024バイトの長さのパスワードがサポートされるようになりました。 以前のリリースでは、Oracle Databaseのパスワードの長さおよび安全性の高いロールのパスワードの長さは最大30バイトでした。
パスワードを長くすると、より強力な認証を目指す業界全体のトレンドがサポートされます。パスワードを使用する必要がある場合、長さを伸ばすと、より推測しにくいパスワードになります。
ドキュメントの表示に関する項
JDBC-Thinでの長いパスワードのサポート
データベース・ユーザー認証のパスワードは1024文字までです。
この機能により、クラウドおよびオンプレミス環境でのJavaアプリケーションの認証セキュリティが強化されます。
ドキュメントの表示に関する項
Oracle Data Pump ExportおよびImportによるより長い暗号化パスワードのサポート
Oracle Data Pumpでは、最大1024バイトの暗号化パスワードを使用してエクスポート・ファイルを保護できます。
Oracle Data Pumpは、最大1024バイトの暗号化パスワードをサポートすることで、セキュリティを強化します。
ドキュメントの表示に関する項
Oracle Call Interface (OCI)およびOracle C++ Call Interface (OCCI)のパスワードの長さの増加
Oracle Call Interface (OCI)およびOracle C++ Call Interface (OCCI)は、最大1024バイトの長さのデータベース・ユーザー認証のパスワードをサポートするようになりました。
この機能により、セキュリティを向上させるために使用するパスワードが長くなります。また、長いパスワードを生成するツールでデータベースの使用を支援します。
ドキュメントの表示に関する項
Kerberosライブラリの更新とその他の改善点
Oracle Databaseでは、MIT Kerberosライブラリ・バージョン1.21.2がサポートされ、他のドメインのリソースにアクセスするためのクロスドメイン・サポートが提供されます。
このKerberosの機能拡張により、セキュリティが向上し、Kerberosをより多くのOracle Database環境で使用できるようになります。
ドキュメントの表示に関する項
RADIUS構成の拡張
RADIUSは、Oracle Databaseのマルチファクタ認証(MFA)を提供するために頻繁に使用されます。Oracle Database 23aiは、RADIUSのRFC 6613および6614のガイドラインに対応し、デフォルトでTCP over Transport Layer Security (TLS)を実装するようになりました。この機能拡張により、新しい標準に対応する新しいRADIUS関連のsqlnet.ora
のパラメータが導入されました。この機能拡張により、新しい標準に対応するために必要でなくなったいくつかのRADIUS関連のsqlnet.ora
パラメータも非推奨になります。
このRADIUS標準サポートの更新により、RADIUSベースの認証を使用する顧客のセキュリティが向上します。
ドキュメントの表示に関する項
UTL_HTTPによるSHA-256およびその他のダイジェスト認証標準のサポート
UTL_HTTPは、ダイジェスト認証でSHA-256とSHA-512/256の両方をサポートするように拡張され、上位互換性を確保します。
UTL_HTTPは、標準ブラウザと同様に、クライアント側のHTTPアクセス用のAPIとみなすことができます。ダイジェスト認証用にSHA-256とSHA-512/256の両方をサポートすることで、UTL_HTTPを他の標準ブラウザと同等にすることができます。
ドキュメントの表示に関する項
XDB HTTP SHA512ダイジェスト認証
Oracle XDB HTTPプロトコル・サーバーは、ダイジェスト認証のSHA512認証をサポートするようになりました。これは、MD5よりもセキュアなダイジェスト・アルゴリズムです。
この機能により、WebからOracle XDBを使用するときのセキュリティが向上します。
ドキュメントの表示に関する項
OCIおよびInstant ClientがMicrosoft Entra ID (Azure AD) OAuth2トークンを直接取得する機能
Oracle Call Interface (OCI)およびOracle Database Instant Clientでは、Microsoft Entra ID (以前のAzure AD) OAuth2
トークンを、別のスクリプトまたはプロセスに依存してトークンを最初に取得するのではなく、Entra IDから直接取得できるようになりました。
この設計により、ユーザーがデータベース(SQL*Plusなど)に接続する場合に、データベース・サーバーとクライアント間の対話型フローが向上します。
この機能拡張により、トークンを取得するためにエンドユーザーが実行する必要がある構成が簡略化されます。以前のリリースでは、エンド・ユーザーは、SQL*Plusまたはその他のOCIユーティリティを起動する前に、Entra IDからトークンを取得するスクリプトを実行する必要がありました。現在、トークンの取得はOCIの一部です。この拡張機能は、JDBCシン・クライアント、ODP.NETコア・クライアントおよび管理対象クライアントの最近の拡張機能に似ています。
ドキュメントの表示に関する項
AIX、SolarisおよびHPUXでのMicrosoft Entra ID (Azure AD)統合の追加サポート
サーバーのオペレーティング・システム・プラットフォームに関係なく、すべてのOracle DatabaseユーザーがMicrosoft Entra ID (以前のAzure AD)統合を使用できるようになりました。
新しくサポートされるAIX、SolarisおよびHPUXプラットフォームに加えて、LinuxおよびWindowsも引き続きサポートされます。この機能は、WindowsおよびLinux上のOracle Cloud Infrastructure (OCI)フル・クライアントおよびインスタント・クライアントでのみサポートされています。
ドキュメントの表示に関する項
ウォレット証明書およびキーを指定する新しいパラメータ
orapki
コマンドライン・ユーティリティで、Oracleウォレットに別名およびサムプリント署名を格納できるようになりました。
これらの機能改善により、ユーザーは次のことを実行できます:
- これらの秘密キーを、接続文字列内でサムプリントまたは別名を使用して指定します。
- サムプリントを使用して、Microsoft証明書ストア(MCS)で秘密キーを指定します。
- 証明書の指定や証明書の削除を簡素化するために、証明書をシリアル番号とともに格納します。
この拡張は、orapki wallet add
、orapki wallet remove
およびorapki wallet display
コマンドに影響します。この機能の利点は、新しいサムプリント、別名およびシリアル番号パラメータによるウォレットの管理と、証明書の選択を簡略化することです。
この機能の利点は、新しいサムプリント、別名およびシリアル番号パラメータによるウォレットの管理と、証明書の選択を簡略化することです。
ドキュメントの表示に関する項
orapkiに含まれるmkstore機能
mkstore
機能は、Oracle Databaseのウォレット、証明書およびシークレットの管理を簡素化するために、orapki
コマンドライン・ユーティリティに組み込まれています。
orapki
の新しいコマンドは、mkstore
の次の機能をサポートしています:
- シークレット・ストアの資格証明およびエントリを作成、変更および削除する機能
- 特定のシークレット・ストアの資格証明およびエントリをリストする機能
- ウォレットを削除する機能
この機能は、orapki secretstore
コマンドでサポートされています。
mkstore
ユーティリティは非推奨になりました。かわりにorapki
を使用することを推奨します。
ドキュメントの表示に関する項