機械翻訳について

Autonomous DatabaseでのMicrosoft Entra ID認証の有効化

Microsoft Entra ID管理者およびAutonomous Database管理者は、Autonomous DatabaseでEntra ID認証を構成するステップを実行します。

Microsoft Entra ID v2アクセス・トークンの有効化

Oracle Databaseでは、v1およびv2 Azure AD OAuth2アクセス・トークンとの統合がサポートされています。

Oracle Databaseは、Entra ID v2トークンとデフォルトのv1トークンをサポートします。 ただし、Entra ID v2トークンを使用するには、Oracle Databaseで機能するように追加のステップを実行する必要があります。 このトークンは、アプリケーション登録エクスペリエンスを使用してAzureポータルに登録されているアプリケーションで使用できます。

Azure AD v2 OAuth2アクセス・トークンを使用すると、資格証明フローは変更なしで以前と同様に引き続き機能します。 ただし、対話型フローでv2トークンを使用する場合は、upn:クレームを追加する必要があります。

1. 使用しているEntra IDアクセス・トークンのバージョンを確認します。
2. Microsoft Entra IDポータルにログインします。
3. Entra IDを検索して選択します。
4. 「Manage」で、「App registrations」を選択します。
5. シナリオおよび目的の結果に基づいてオプションの要求を構成するアプリケーションを選択します。
6. 「Manage」で、「Token configuration」を選択します。
7. 「Add optional claim」をクリックし、「upn」を選択します。

v2トークンを使用すると、aud:クレームにはAPP ID値のみが反映されます。 v2トークンが使用されている場合、https:domain接頭辞をAPP ID URIに設定する必要はありません。 これにより、デフォルトのAPP ID URIを使用できるため、データベースの構成が簡略化されます。

Entra IDアクセス・トークン・バージョンの確認

JSON webトークンWebサイトを使用して、サイトで使用されるEntra IDアクセス・トークンのバージョンを確認できます。

デフォルトでは、Entra ID v1アクセス・トークンですが、サイトではv2の使用が選択されている可能性があります。 Oracle Databaseではv1トークンがサポートされ、Autonomous Databaseサーバーレスではv2トークンもサポートされます。 v2アクセス・トークンを使用する場合は、Oracleデータベースでの使用を有効にできます。 使用しているEntra IDアクセス・トークンのバージョンを検索するには、Entra ID管理者に確認するか、次のようにJSON Web Tokens Webサイトからバージョンを確認します。

1. JSON webトークンWebサイトに移動します。

   https://jwt.io/

2. トークン文字列をコピーして、「エンコード」フィールドに貼り付けます。
3. トークン文字列に関する情報を表示する「デコード済」フィールドを確認します。
   フィールドの近くまたは下部に、次のバージョンのいずれかを示すverというクレームが表示されます:

   • "ver": "1.0"
   • "ver": "2.0"

Autonomous Databaseの外部アイデンティティ・プロバイダとしてのMicrosoft Entra IDの構成

Autonomous Database管理者は、Autonomous DatabaseインスタンスでEntra IDを外部アイデンティティ・プロバイダとして有効にできます。

外部アイデンティティ・プロバイダとしてEntra IDを有効にするには:

1. DBMS_CLOUD_ADMIN PL/SQLパッケージに対するEXECUTE権限を持つユーザーとして、Autonomous Databaseインスタンスにログインします。 ADMINユーザーには、この権限があります。
2. Entra ID必須パラメータを指定してDBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONプロシージャを実行します。

   BEGIN
     DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
         type   =>'AZURE_AD',
         params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                               'application_id' VALUE 'application_id',
                               'application_id_uri' VALUE 'application_id_uri'),
         force => TRUE
     );
   END;

   この手順では、Entra IDパラメータは次のとおりです:

   • type: 外部認証プロバイダを指定します。 図に示すように、Entra IDには'AZURE_AD'を使用します。
   • params: 必要なEntra IDパラメータの値は、Azure Active Directoryのアプリケーション登録の「概要」ペインのAzureポータルから入手できます。 Entra IDに必要なparamsは次のとおりです:
     • tenant_id: AzureアカウントのテナントID。 テナントIDは、Autonomous DatabaseインスタンスのEntra IDアプリケーション登録を指定します。
     • application_id: Azure Autonomous Databaseインスタンスで外部認証のロール/スキーマ・マッピングを割り当てるためのEntra IDで作成されたアプリケーションID。
     • application_id_uri: Azureアプリケーションに割り当てられた一意のURI。

       これは、Autonomous Databaseインスタンスの識別子です。 名前はドメイン修飾である必要があります(これはテナンシ間のリソース・アクセスをサポートしています)。

       このパラメータの最大長は256文字です。

   • force: Autonomous Databaseインスタンスに別のEXTERNAL AUTHENTICATIONメソッドが構成されており、それを無効にする場合は、このパラメータをTRUEに設定します。

   たとえば:

   BEGIN
     DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
         type   =>'AZURE_AD',
         params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                               'application_id' VALUE '11aa1a11-aaa',
                               'application_id_uri' VALUE 'https://example.com/111aa1aa'),
         force  => TRUE
     );
   END;

   これにより、IDENTITY_PROVIDER_TYPEシステム・パラメータが設定されます。

   たとえば、次を使用してIDENTITY_PROVIDER_TYPEを確認できます:

   SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
    
   NAME                   VALUE   
   ---------------------- -------- 
   identity_provider_type AZURE_AD

   詳細については、「ENABLE_EXTERNAL_AUTHENTICATIONプロシージャ」を参照してください。