Autonomous AI DatabaseでのIdentity and Access Management (IAM)認証について
Autonomous AI Databaseインスタンスを有効にして、ユーザーのOracle Cloud Infrastructure (IAM)認証および認可を使用できます。
ノート:
Oracle Cloud Infrastructure IAMとのAutonomous AI Database統合は、アイデンティティ・ドメインを持つ商用リージョンと、アイデンティティ・ドメインを含まないレガシーIAMでサポートされています。 アイデンティティ・ドメインを含むIAMは、2021年11月8日より後に作成された新しいOracle Cloud Infrastructureテナンシで導入されました。 Autonomous AI Databaseでは、デフォルトおよびデフォルト以外のアイデンティティ・ドメインのユーザーおよびグループがサポートされます。Oracle Cloud Infrastructure IAMとAutonomous AI Databaseの統合では、次のものがサポートされます:
Autonomous AI DatabaseでIAMユーザーを使用するためのアーキテクチャの詳細は、Oracle Autonomous AI DatabaseのIAMユーザーの認証および認可を参照してください。
- IAMデータベース・パスワード認証
Autonomous AI Databaseインスタンスを有効にして、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)でユーザー・アクセスを許可できます。 - Identity and Access Management (IAM) SSOトークン・ベース認証
Autonomous AI Databaseインスタンスを有効にして、Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用できます。
IAMデータベース・パスワード認証
Autonomous AI Databaseインスタンスを有効にして、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)でユーザー・アクセスを許可できます。
ノート:
サポートされている12c以上のデータベース・クライアントは、Autonomous AI DatabaseへのIAMデータベース・パスワード・アクセスに使用できます。Oracle Cloud Infrastructure IAMデータベース・パスワードを使用すると、IAMユーザーは通常、ユーザー名とパスワードを使用してOracle Databaseユーザーがログインするため、Autonomous AI Databaseインスタンスにログインできます。 ユーザーは、IAMユーザー名およびIAMデータベースのパスワードを入力します。 IAMデータベースのパスワードは、Oracle Cloud Infrastructureコンソールのパスワードとは異なります。 IAMユーザーをパスワード・ベリファイアとともに使用すると、サポートされている任意のデータベース・クライアントでAutonomous AI Databaseにログインできます。
パスワード・ベリファイア・データベース・アクセスの場合、IAMユーザーおよびOCIアプリケーションのAutonomous AI Databaseインスタンスへのマッピングを作成します。 IAMユーザー・アカウント自体はIAMで管理されます。 ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメイン内に存在できます。
Identity and Access Management (IAM) SSOトークン・ベース認証
Autonomous AI Databaseインスタンスを有効にして、Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用できます。
トークン・ベリファイア・データベース・アクセスの場合、IAMユーザーおよびOCIアプリケーションのAutonomous AI Databaseインスタンスへのマッピングを作成します。 IAMユーザー・アカウント自体はIAMで管理されます。 ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメイン内に存在できます。
データベース・クライアントは、IAMデータベース・トークンを取得する方法はいくつかあります:
-
クライアント・アプリケーションまたはツールは、ユーザーのIAMからデータベース・トークンをリクエストでき、クライアントAPIを介してデータベース・トークンを渡すことができます。 APIを使用してトークンを送信すると、データベース・クライアントの他の設定がオーバーライドされます。 IAMトークンを使用するには、最新のOracle Databaseクライアント19c (少なくとも19.16)が必要です。 以前のクライアントの中には、トークン・アクセスのための限られた機能セットを提供しているものもあります。
-
アプリケーションまたはツールがクライアントAPIを介したIAMデータベース・トークンのリクエストをサポートしていない場合、IAMユーザーはまずOracle Cloud Infrastructureコマンドライン・インタフェース(CLI)を使用してIAMデータベース・トークンを取得し、ファイルのロケーションに保存できます。 たとえば、この接続メソッドを使用してSQL*Plusおよび他のアプリケーションおよびツールを使用するには、最初にOracle Cloud Infrastructure (OCI)コマンドライン・インタフェース(CLI)を使用してデータベース・トークンを取得します。 データベース・クライアントがIAMデータベース・トークン用に構成されている場合、ユーザーがスラッシュ・ログイン・フォームを使用してログインすると、データベース・ドライバは、デフォルトまたは指定されたファイルのロケーションに保存されているIAMデータベース・トークンを使用します。
-
クライアント・アプリケーションまたはツールは、Oracle Cloud Infrastructure IAMインスタンス・プリンシパルまたはリソース・プリンシパルを使用してIAMデータベース・トークンを取得し、IAMデータベース・トークンを使用してAutonomous AI Databaseインスタンスに対して自身を認証できます。
-
IAMユーザーおよびOCIアプリケーションは、APIキーの使用など、いくつかのメソッドでIAMからデータベース・トークンをリクエストできます。 例は、「IAMトークンを使用するSQL*Plusのクライアント接続の構成」を参照してください。 OCIクラウド・シェル内での委任トークンの使用などの他の方法については、Oracle Autonomous AI DatabaseのIAMユーザーの認証および認可についてを参照してください。