機械翻訳について

Identity and Access Management (IAM)認証を使用してAutonomous Databaseに接続

ADMINユーザーがAutonomous DatabaseOracle Cloud Infrastructure IAMを有効にした後:ユーザーは、Oracle Cloud Infrastructure IAM資格証明を使用してAutonomous Databaseインスタンスにログインするか、Oracle Cloud Infrastructure IAMデータベース・トークンを使用してデータベースにアクセスします。

Oracle Cloud Infrastructure IAMユーザー・アクセスを有効にした後、ローカル・データベース・アカウントのユーザー名およびパスワード(非グローバル・データベース・ユーザー・アカウント)を使用してAutonomous Databaseにログインすることもできます。

データベース・クライアントを使用して、Oracle Cloud Infrastructure IAMユーザーとしてAutonomous Databaseインスタンスにアクセスできます。 Oracle Cloud Infrastructure IAMのユーザー名とパスワード資格証明およびパスワード検証でクライアントを使用するには、データベース・クライアントが12c以降である必要があります。

または、Oracle Cloud Infrastructure IAMデータベース・トークンを使用してAutonomous Databaseインスタンスにアクセスできます。 IAMトークンを使用するには、最新のOracle Databaseクライアント19c (少なくとも19.16)が必要です。 以前のクライアントの中には、トークン・アクセスのための限られた機能セットを提供しているものもあります。

次の例は、Oracle Cloud Infrastructure IAMのユーザー名とパスワード、およびOracle Cloud Infrastructure IAMデータベース・トークンでSQL*Plusを使用するために必要なステップを使用して、データベースにアクセスするためのSQL*Plusのパスワード検証を示しています。

ノート:

Autonomous Databaseインスタンスが制限モードの場合、ADMINなどのRESTRICTED SESSION権限を持つユーザーのみがデータベースに接続できます。

Oracle Cloud Infrastructure IAMデータベース・トークンを使用して、サポートされているクライアントを含むAutonomous Databaseインスタンスにアクセスできます。次に例を示します:

親トピック: Autonomous Databaseに対するIdentity and Access Management (IAM)認証の使用

IAMを使用したAutonomous Databaseインスタンスへの接続について

IAMユーザーは、IAMデータベースのパスワード・ベリファイアまたはIAMトークンを使用して、Autonomous Databaseインスタンスに接続できます。

IAMデータベース・パスワード・ベリファイアの使用は、Oracle Databaseパスワード認証プロセスに似ています。 ただし、Oracleデータベースに格納されるパスワード・ベリファイア(パスワードの暗号化ハッシュ)の代わりに、ベリファイアはOracle Cloud Infrastructure (OCI) IAMユーザー・プロファイルの一部として格納されます。

データベースにIAMトークンを使用する2番目の接続メソッドは、より最新です。 トークン・ベース・アクセスの使用は、Autonomous Databaseなどのクラウド・リソースに適しています。 トークンは、IAMエンドポイントで強制できる強度に基づいています。 これはマルチ・ファクタ認証であり、パスワードのみを使用するよりも強力です。 トークンを使用するもう1つの利点は、パスワード検証子(機密とみなされる)がメモリーに格納されないこと、またはメモリーで使用できないことです。 データベース・アクセスにトークンを使用する場合は、TCPS (TLS)接続が必要です。

ノート:

IAMトークンを渡すときにネイティブ・ネットワーク暗号化を設定することはできません。 Transport Layer Security (TLS)のみがサポートされ、ネイティブ・ネットワーク暗号化やTLSによるネイティブ・ネットワーク暗号化はサポートされていません。

親トピック: Identity and Access Management (IAM)認証によるAutonomous Databaseへの接続

IAMデータベース・パスワード・ベリファイアを使用するクライアント接続

IAMユーザーに必要な認可を構成した後、このユーザーは、追加の構成なしで、SQL*PlusやSQLclなどの既存のクライアント・アプリケーションを使用してログインできます。

IAMユーザーは、現在サポートされているデータベース・クライアントを使用して、IAMユーザー名およびIAMデータベース・パスワード(Oracle Cloud Infrastructure (OCI)コンソール・パスワードではなく)を入力します。 唯一の制約は、データベース・クライアントのバージョンがOracle Databaseリリース12.1.0.2以降で、Oracle Database 12cのパスワードを使用することです。 データベース・クライアントは、12Cパスワード・ベリファイアを使用できる必要があります。 11Gベリファイア暗号化の使用は、IAMではサポートされていません。 IAMユーザーがOCI DBaaSインスタンスに接続するために、特別なクライアントやツールの構成は必要ありません。

親トピック: IAMを使用したAutonomous Databaseインスタンスへの接続について

クライアント・アプリケーションまたはツールによってリクエストされたトークンを使用するクライアント接続

Autonomous DatabaseへのIAMトークン・アクセスの場合、クライアント・アプリケーションまたはツールは、IAMユーザーのIAMからデータベース・トークンをリクエストします。

クライアント・アプリケーションは、データベース・クライアントAPIを介してデータベース・トークンを直接データベース・クライアントに渡します。

アプリケーションまたはツールが更新されてIAMトークンをリクエストしていない場合、IAMユーザーはOracle Cloud Infrastructure (OCI)コマンドライン・インタフェース(CLI)を使用してデータベース・トークンをリクエストおよび格納できます。 次の資格証明を使用して、データベース・アクセス・トークン(db-token)をリクエストできます:

  • セキュリティ・トークン(IAM認証あり)、委任トークン(OCI Cloud Shell内)およびAPI-keys。認証を有効にするためのIAMユーザーを表す資格証明です
  • インスタンス・プリンシパル・トークン。認証後にインスタンスを認可されたアクター(またはプリンシパル)がサービス・リソースに対してアクションを実行できるようにします
  • リソース・プリンシパル・トークン。他のOracle Cloud Infrastructureサービスにアプリケーションを認証できるようにする資格証明です
  • IAMユーザー名およびIAMデータベース・パスワードの使用(リクエストできるのはデータベース・クライアントのみです)。

IAMユーザーがスラッシュ/ログインでクライアントにログインし、OCI_IAMパラメータが構成されている場合(sqlnet.oratnsnames.oraまたは接続文字列の一部として)、データベース・クライアントはファイルからデータベース・トークンを取得します。 IAMユーザーがユーザー名とパスワードを送信する場合、接続では、IAMデータベースのパスワード・ベリファイアを使用するクライアント接続について記述されたIAMデータベース・ベリファイア・アクセスが使用されます。 このガイドの手順は、OCI CLIをデータベース・トークンのヘルパーとして使用する方法を示しています。 アプリケーションまたはツールがIAMで動作するように更新されている場合は、アプリケーションまたはツールの手順に従います。 一般的なユースケースには、次のものがあります: オンプレミスSQLPlus、オンプレミスSQLcl、クラウド・シェルのSQL*Plus、またはSEPウォレットを使用するアプリケーション。

親トピック: IAMを使用したAutonomous Databaseインスタンスへの接続について

IAMデータベース・パスワードを使用するSQL*Plusのクライアント接続の構成

IAMデータベース・パスワードを使用するようにSQL*Plusを構成できます。

  • IAMユーザーとして、次の構文を使用してAutonomous Databaseインスタンスにログインします:
    CONNECT user_name@db_connect_string
Enter password: password

    この仕様では、user_nameはIAMユーザー名です。 結合されたdomain_name/user_nameには128バイトの制限があります。

    次の例は、IAMユーザーpeter_fitchAutonomous Databaseインスタンスにログインする方法を示しています。 

    sqlplus /nolog
connect peter_fitch@db_connect_string
Enter password: password

    一部の特殊文字では、user_nameおよびpasswordの周りに二重引用符が必要です。 たとえば: 

    "peter_fitch@example.com"@db_connect_string

"IAM database password"

親トピック: Identity and Access Management (IAM)認証によるAutonomous Databaseへの接続

IAMトークンを使用するSQL*Plusのクライアント接続の構成

IAMトークンを使用するSQL*Plusのクライアント接続を構成できます。

  1. IAMユーザー・アカウントがあることを確認します。
  2. IAM管理者およびOracle Database管理者に問い合せて、コンパートメントまたはテナンシ内のデータベースにアクセスできるポリシーがあり、データベースのグローバル・スキーマにマップされていることを確認します。
  3. アプリケーションまたはツールが直接IAM統合をサポートしていない場合は、OCI CLIをダウンロードしてインストールし、構成します。 (OCIコマンドライン・インタフェース・クイックスタートを参照してください。) OCI CLI構成の一部としてAPIキーを設定し、デフォルト値を選択します。
    1. IAMユーザーのAPIキー・アクセスを設定します。
    2. db-tokenを取得します。 たとえば:
      • Oracle Cloud Infrastructure (OCI)コマンドライン・インタフェースを使用したAPI-keyを使用したdb-tokenの取得:
        oci iam db-token get
      • セキュリティ(またはセッション)トークンを使用したdb-tokenの取得:
        oci iam db-token get --auth security_token

        セキュリティ・トークンが期限切れになると、ユーザーがOCIに再度ログインできるようにウィンドウが表示されます。 これにより、ユーザーのセキュリティ・トークンが生成されます。 OCI CLIでは、このリフレッシュされたトークンを使用してdb-tokenを取得します。

      • 委任トークンを使用したdb-tokenの取得: クラウド・シェルにログインすると、委任トークンが自動的に生成され、/etcディレクトリに配置されます。 このトークンを取得するには、クラウド・シェルで次のコマンドを実行します。 
        oci iam db-token get
      • OCIコマンドライン・インタフェースを使用したインスタンス・トークンの取得:
        oci iam db-token get --auth instance_principal
    3. データベース・クライアントは、IAMユーザー名およびIAMデータベース・パスワードを使用してデータベース・トークンを取得するように構成することもできます。
    詳細については、「必要なキーとOCID」を参照してください。
  4. Oracle Databaseクライアント・リリース19c、21cまたは23aiの最新リリース更新を使用していることを確認します。
    この構成は、Oracle Databaseクライアント・リリース19c、21cまたは23aiでのみ機能します。
  5. 既存のプロセスに従って、Autonomous Databaseからウォレットをダウンロードし、SQL*Plusで使用するように構成するための指示に従います。
    1. sqlnet.oraSSL_SERVER_DN_MATCH=ONを探して、DN照合が有効になっていることを確認します。

      ノート:

      トークンをデータベース・クライアントからAutonomous Databaseに送信する場合は、部分的または完全なDN一致が必要です。 Autonomous Databaseがプライベート・エンドポイントを使用している場合は、接続文字列パラメータのホスト値を指定する必要があります。 接続文字列でホスト・パラメータにIPアドレスを使用すると、DN一致では機能せず、IAMトークンはデータベースに送信されません。

      プライベート・エンドポイントを使用する場合のホスト・パラメータの設定方法の構成情報は、「Autonomous Databaseのプライベート・エンドポイント構成の例」を参照してください。

    2. TOKEN_AUTH=OCI_TOKENsqlnet.oraファイルに追加して、IAMトークンを使用するようにデータベース・クライアントを構成します。 データベース・トークン・ファイルのデフォルトのロケーションを使用するため、トークンのロケーションを含める必要はありません。
    tnsnames.ora接続文字列内のTOKEN_AUTHおよびTOKEN_LOCATION値は、その接続のsqlnet.ora設定より優先されます。 たとえば、接続文字列の場合、トークンがデフォルトのロケーション(Linuxの場合は~/.oci/db-token)にあると仮定します: 
    (description= 
  (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)
  (host=example.us-phoenix-1.oraclecloud.com))
  (connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
  (security=(ssl_server_dn_match=yes)
  (TOKEN_AUTH=OCI_TOKEN)))
接続文字列をTOKEN_AUTHパラメータで更新した後、IAMユーザーは次のコマンドを実行してSQL*Plusを起動することで、Autonomous Databaseインスタンスにログインできます。 接続記述子自体を含めることも、tnsnames.oraファイルの記述子の名前を使用することもできます。 
connect /@exampledb_high

または

connect /@(description= 
  (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)
  (host=example.us-phoenix-1.oraclecloud.com))
  (connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
  (security=(ssl_server_cert_dn="CN=example.uscom-east-1.oraclecloud.com, 
     O=Example Corporation, 
     L=Redwood City, ST=California, C=US")
  (TOKEN_AUTH=OCI_TOKEN)))

TOKEN_AUTHsqlnet.oraファイルまたは接続文字列のいずれかですでに設定されているため、データベース・クライアントはdb-tokenを取得するようにすでに構成されています。 データベース・クライアントはdb-tokenを取得し、秘密キーを使用して署名し、トークンをAutonomous Databaseに送信します。 スラッシュ/のかわりにIAMユーザー名とIAMデータベース・パスワードが指定されている場合、データベース・クライアントはdb-tokenを使用せずにパスワードを使用して接続します。

親トピック: Identity and Access Management (IAM)認証によるAutonomous Databaseへの接続

Instance Principalを使用したIdentity and Access Management (IAM)認証によるAutonomous Databaseへのアクセス

ADMINユーザーがAutonomous DatabaseOracle Cloud Infrastructure IAMを有効にすると、アプリケーションはインスタンス・プリンシパルを使用してOracle Cloud Infrastructure IAMデータベース・トークンを介してデータベースにアクセスできます。

詳細については、「インスタンス・プリンシパルを使用したOracle Cloud Infrastructure APIへのアクセス」を参照してください。

親トピック: Identity and Access Management (IAM)認証によるAutonomous Databaseへの接続