1. Microservices Architectureドキュメント
  2. 保護
  3. Oracle GoldenGateセキュリティ機能
  4. 認証および認可

認証および認可

Oracle GoldenGateを使用している場合のOracle GoldenGate側およびデータベース側での認証および認可機能について学習します。

Oracle GoldenGateの認証および認可

Oracle GoldenGate Microservicesでは、認証レイヤーと認可レイヤーの両方でセキュリティが適用されます。認証は、次のオプションを使用して管理できます。

  • 資格証明(ユーザー名、パスワード)の使用: 資格証明情報は資格証明ストアに格納され、データベース接続の設定時にUSERIDALIASを設定するために使用されます。これは、認証の最も一般的な方法です。

  • 証明書の使用: クライアントが証明書によって認証される場合、サーバーは署名CA証明書をトラスト・ストアに格納し、サーバーがクライアントのアイデンティティを検証できるようにします。これは、分散パスを使用する場合によく使用されます。

  • 外部アイデンティティ・プロバイダの使用: Oracleでは、通信プロトコルとしてOAuth2を使用して、外部アイデンティティ管理にIDCS、IAM (クラウド)およびOAM (オンプレミス)を使用します。

認可(AZ)には、Oracle GoldenGate間の通信、およびネットワークとサーバーの構成のタスクが含まれます。

すべてのセキュリティの構成とサービスは、MAベースのサーバーに共通です。これらのサーバーは、Oracle GoldenGateのコマンドと制御、モニタリング、データ伝達、および情報サービス・インタフェースへのアクセスを認証、認可および保護します。

Oracle GoldenGate Microservicesは、グローバルなクラウドベースのデプロイメント環境で、運用および統合するサービス対応アプリケーションを構築するためのインフラストラクチャを提供します

Oracle GoldenGate認証

Oracle GoldenGateで認証されたアイデンティティの目的は、ユーザー、アプリケーションおよびOracle GoldenGate Microservicesデプロイメント間のアイデンティティ認証を確立することです。認証設計では、ユーザーおよびアプリケーションを証明書で検証するか、資格証明別名(ユーザー名とパスワードのペア)として格納されているユーザー資格証明で検証するかのオプションが提供されます。


認証に使用される証明書ストアおよび資格証明ストア

ユーザー資格証明による認証

ユーザー資格証明(ユーザー名、パスワード)の組合せは資格証明ストアに格納され、資格証明別名を使用してアクセスできます。これにより、ユーザーはユーザーIDとパスワードを資格証明ストアに保持し、別名のみでOracle GoldenGateデプロイメントまたは別のアプリケーションに接続できるようになります。

強力なパスワード・ポリシーは、大文字1文字、小文字1文字、数字1文字および特殊文字1文字を含めるというガイドラインを使用して実装されています。

Oracle GoldenGate 23ai以降のリリースでは、パスワードの最大長は1024バイトです。

証明書による認証

ユーザー認証は、デプロイメント間の接続時に証明書を使用して実行できます。この認証方法は、認証に資格証明別名(ユーザーID、パスワード)を使用する代替方法です。

ソース・デプロイメントを別のネットワーク上のターゲット・デプロイメントに接続するための分散パスを構成する際に、証明書認証を設定できます。これは、様々な組織がデータ転送のためにセキュアなネットワーク経由で通信する必要がある場合の最も一般的なシナリオです。この場合、オペレータ・ロールを持つ分散クライアント(distclient)ユーザーがターゲット・デプロイメントに作成され、クライアント証明書がソース・デプロイメントに格納されます。distclientユーザーは、ソース・デプロイメントへの接続時にクライアント証明書を提示します。この証明書は、ターゲット・デプロイメントで使用可能な信頼できるrootCA証明書によって検証され、ソース・デプロイメントでは、m-TLSを使用してターゲット・サーバー証明書が検証されます。ユーザー認証のための証明書の設定についてさらに学習するには、「外部RootCA証明書を使用した2つのデプロイメントの接続」および「外部RootCA証明書を使用した2つのデプロイメントの接続」を参照してください。

2つの個別のデプロイメントに対して証明書を構成する際に使用するステップについては、「分散パスの追加」の項も参照してください。

証明書管理

クライアントがTCPS (セキュアTCP)データベース接続サービスを介してソース・データベースまたはターゲット・データベースに接続しようとすると、次の図に示すように、Oracle GoldenGateはTLS証明書ベースの認証を使用して接続を検証します。


Oracle GoldenGateサービスは、サーバー証明書を使用して認証されます。クライアントは、信頼できる外部rootCAによって検証されたクライアント証明書または資格証明別名を使用して認証されます。

Oracle GoldenGate内のセキュアなネットワーク通信は、TLS (REST-APIコール下ではHTTPS、分散パスではWSS)を使用して実行されます。

Oracle GoldenGateは、相互TLS (mTLS)をサポートしています。クライアント/サーバーのハンドシェイク中にmTLSを認証の追加レイヤーとして使用する方法については、「TLSおよびmTLSサポートを使用したセキュアな通信」を参照してください。

自己署名クライアント証明書およびサーバー証明書を作成することも、認証用にCA署名サーバー側証明書をインストールすることもできます。これらの証明書は、Oracle GoldenGateサービス・マネージャから証明書の有効性、有効期限および使用状況を確認して管理できます。

サービス・マネージャWebインタフェースからの証明書の管理について学習するには、「デプロイメントの証明書の管理」を参照してください。

証明書を作成するステップは、「セキュアなデプロイメント用の証明書の作成」を参照してください。

異なるサーバーのセキュア・デプロイメント・ホストを接続するための外部rootCA証明書の実装について学習するには、「外部RootCA証明書を使用した2つのデプロイメントの接続」を参照してください

Oracle GoldenGateでの認可

Oracle GoldenGateでの認可は、ユーザー・ロールに依存します。Oracle GoldenGateで実行されるアクションは、ユーザーに適用されるユーザー・ロールによって異なります。様々なアクションを実行するために必要なユーザー・ロールを決定する方法の詳細は、REST APIサービス・エンドポイントを参照してください。

Oracle GoldenGateユーザーの作成時に、次のユーザー・ロールを選択して割り当てることができます。

表10-1 Oracle GoldenGateユーザーのロールおよび権限

ロールID 権限レベル

ユーザー

情報のみのサービス・リクエストを許可します。これは、MAのいずれに対しても操作を変更したり、操作に影響を与えたりすることはありません。問合せ/読取り専用情報の例には、パフォーマンス・メトリック情報およびリソースのステータスと監視情報が含まれます。

オペレータ

ユーザーは、リソースの作成、開始および停止などの操作アクションのみを実行できます。オペレータは、MAサーバーの操作パラメータまたはプロファイルを変更することはできません。
管理者

全面的なアクセス権がユーザーに与えられ、セキュリティに関連しない一般的なサーバーの操作パラメータおよびプロファイルを変更することもできます。

セキュリティ

セキュリティ関連オブジェクトの管理権限を付与し、セキュリティ関連のサービス・リクエストを呼び出します。このロールにはすべての権限があります。
Oracle GoldenGateユーザー管理

デプロイメント構成の様々な段階で作成されるOracle GoldenGateユーザーには、Oracle GoldenGate Microservicesに対する異なるアクセス機能があります。

Oracle GoldenGateの最初のユーザーは、Oracle GoldenGate構成(OGGCA)ユーティリティから設定されます。このユーザーは、ホスト上のサービス・マネージャに関連付けられているすべてのデプロイメントのサービス・マネージャおよびすべてのMicroservicesにアクセスできます。

最初のユーザーを使用してサービス・マネージャにアクセスした後、サービス・マネージャの「ユーザー管理」Webページからユーザーを作成できます。ユーザー・ロールに応じて、ユーザーがOracle GoldenGate Microservicesにアクセスできるようにできます。次のイメージは、サービス・マネージャの「ユーザー管理」ページと様々なユーザーを示しています。
サービス・マネージャの「ユーザー管理」ページ

次のイメージは、管理サービスの「ユーザー管理」ページと様々なユーザーを示しています。
管理サービスの「ユーザー管理」Webページ

異なるユーザー・ロールでOracle GoldenGate Microservicesにアクセスする例を次に示します。

  • 例1: 管理サービスでオペレータ・ロールを持つユーザーを作成した場合、これらの資格証明を使用してサービス・マネージャにアクセスすることはできません。

  • 例2: サービス・マネージャでオペレータ・ロールを持つユーザーを作成した場合、これらの資格証明を使用して管理サービスにアクセスすることはできません。

データベース認証および認可

Oracle GoldenGateを使用するようにデータベースを設定する際に必要なデータベース認証および認可の構成について学習します。

データベース認証

データベース接続は、Oracle GoldenGateのUSERIDALIASパラメータで管理されます。Oracle GoldenGateからデータベースに直接接続することはできません。DBLOGIN USERIDALIASFETCHUSERIDALIASおよびMINNINGDBUSERIDALIASには、サポートされているデータベースのユーザー名とパスワードが含まれ、Oracle GoldenGate資格証明ストアに格納されています。

Oracle GoldenGate 23ai以降では、最大1024バイトのパスワード長がサポートされます。

Kerberos認証

Oracle GoldenGateでは、Oracleデータベースのオペレーティング・システム・レベルのログインがサポートされています。外部認証機能として、既存のOSレベルに加えてKerberos認証のサポートが有効になります。

Kerberos認証の実装の詳細は、「Kerberos認証の構成」を参照してください。