機械翻訳について

Autonomous Databaseによるユーザー・プロファイルの管理

Autonomous Databaseでユーザー・プロファイルを作成および変更できます。 プロファイルを作成または変更した後、CREATE USERまたはALTER USERでプロファイル句を指定できます。 Oracle Data Pump Importを使用して、別の環境から既存のユーザー・プロファイルをインポートすることもできます。

ノート:

Autonomous Databaseでは、profile句に制限があります。 CREATE PROFILEおよびALTER PROFILEの制限の詳細は、「SQLコマンド」を参照してください。

DEFAULTプロファイルを含むプロファイルのパスワード・パラメータを追加、変更または削除するには、ALTER PROFILEシステム権限が必要です。

1. プロファイルを追加または変更するには、ADMINユーザーとしてCREATE PROFILEまたはALTER PROFILEを実行します。 たとえば:

   CREATE PROFILE new_profile
     LIMIT PASSWORD_REUSE_MAX 10
     PASSWORD_LOCK_TIME 5;

   ADMINユーザーでない場合は、CREATE PROFILEを実行するためのCREATE PROFILE権限が必要です。 ALTER PROFILEを実行する場合は、ALTER PROFILE権限が必要です。

2. CREATE USERまたはALTER USERコマンドで、新しいプロファイルまたは変更されたプロファイルを使用します。 たとえば:

   CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
   GRANT CREATE SESSION TO new_user;

これにより、プロファイルnew_profileおよび接続権限を持つnew_userが作成されます。 これで、new_userはデータベースに接続して問合せを実行できます。 ユーザーに追加の権限を付与するには、「Autonomous Databaseでのユーザー権限の管理 - クライアント・ツールによる接続」を参照してください。

CREATE PROFILEまたはALTER PROFILEの使用方法の詳細は、CREATE PROFILEを参照してください。

Oracle Data Pump Import (impdp)を使用して、他の環境で作成された既存のプロファイルをインポートできます。 データベース・ユーザーとの既存のプロファイルの関連付けは、Autonomous Databaseへのインポート後も保持されます。 Oracle Data Pumpインポートから作成された新しく作成されたユーザーが初めてログインしようとすると、ログインは次のように処理されます:

• パスワードの複雑度の制限は、Autonomous Databaseのユーザーの制限と同じです。

• ユーザー・パスワードがパスワードの複雑性の要件に違反した場合、アカウントは30日の猶予期間で期限切れになります。 この場合、ユーザーは猶予期間の終了前にパスワードを変更する必要があります。

ノート:

プロファイルORA_PROTECTED_PROFILE および「ORA_ADMIN_PROFILE」を持つユーザーのプロファイル割当は変更できません。

次のユーザーはORA_PROTECTED_PROFILEプロファイルを共有しており、これらのユーザーのプロファイル割当ては変更できません:

• ADBSNMP
• ADB_APP_STORE
• DCAT_ADMIN
• GGADMIN
• RMAN$CATALOG

ADMINユーザーは、ORA_ADMIN_PROFILEに割り当てられます。

プロファイルを作成または変更するときに、パスワード検証ファンクション(PVF)を指定してパスワードの複雑さを管理できます。 詳細については、「Autonomous Databaseでのパスワード複雑度の管理」を参照してください。

• Autonomous Databaseでのパスワードの複雑度の管理
  パスワード検証ファンクション(PVF)を作成し、PVFをプロファイルに関連付けて、ユーザー・パスワードの複雑さを管理できます。
• アプリケーションの段階的データベース・パスワード・ロールオーバー
  

Autonomous Databaseでのパスワード複雑度の管理

パスワード検証ファンクション(PVF)を作成し、PVFをプロファイルに関連付けて、ユーザー・パスワードの複雑さを管理できます。

ノート:

ユーザー指定のPVFの最小パスワード長は8文字であり、大文字、小文字、および数字を少なくとも1つ含める必要があります。 DEFAULTプロファイルの最小パスワード長は12文字です(DEFAULTプロファイルはCLOUD_VERIFY_FUNCTION PVFを使用します)。 パスワードにユーザー名を含めることはできません。

Oracleでは、12文字以上のパスワードを使用することをお薦めします。 プロファイルPVFを定義し、パスワードの最小長を12文字未満に設定すると、Oracle Database Security Assessment Tool (DBSAT)やQualysなどのツールでは、これがデータベース・セキュリティ・リスクとして報告されます。

たとえば、プロファイルにPVFを指定するには、次のコマンドを使用します:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

プロファイルがADMINユーザー以外のユーザーによって作成または変更された場合は、PVFに対するEXECUTE権限を付与する必要があります。 PVFを作成し、パスワード・チェックに失敗した場合は、ORA-28219エラーがレポートされます。

次のいずれかから、Oracle提供のPVFを指定できます:

• CLOUD_VERIFY_FUNCTION (Autonomous Databaseのデフォルトのパスワード検証機能):

  このファンクションでは、ユーザーがパスワードを作成または変更したときに、次の要件をチェックします。

  • パスワードは12から30文字の長さで、少なくとも1つの大文字、1つの小文字、および1つの数字を含める必要があります。

  • パスワードにユーザー名を含めることはできません。

  • パスワードには、同じユーザー名で使用した過去4回のパスワードのいずれかを設定することはできません。

  • パスワードに二重引用符(")を含めることはできません。

  • パスワードは、過去24時間以内に設定されたものと同じパスワードにすることはできません。

• ORA12C_STIG_VERIFY_FUNCTION

  このファンクションでは、ユーザーがパスワードを作成または変更したときに、次の要件をチェックします。

  • パスワードが15文字以上であること。

  • パスワードに少なくとも1文字以上の小文字と、1文字以上の大文字が含まれていること。

  • パスワードに少なくとも1つの数字が含まれていること。

  • パスワードに少なくとも1つの特殊文字が含まれていること。

  • 以前のパスワードとの違いが8文字以上あること。

  詳細については、「ora12c_stig_verify_functionのパスワード要件」を参照してください。

作成してプロファイルに割り当てるパスワード検証ファンクション(PVF)には、次の制限があります:

• ユーザー・プロファイルを指定する場合、パスワードの最小長は、関連するPVFの定義方法によって次のように異なります:

  • PVFが定義されている場合、強制されるパスワードの最小長は8文字で、少なくとも1つの大文字、1つの小文字、および1つの数字が含まれます。 パスワードにユーザー名を含めることはできません。

  • PVFがNULLとして定義されている場合、強制されるパスワードの最小長は、少なくとも1つの大文字、1つの小文字、および1つの数値を含む8文字です。 パスワードにユーザー名を含めることはできません。

  • プロファイルにPVFが定義されていない場合、DEFAULTプロファイルのPVF (CLOUD_VERIFY_FUNCTION)が割り当てられ、パスワードの最小長は12文字です。

• デフォルトのCLOUD_VERIFY_FUNCTIONよりも厳密なパスワード検証ファンクション(PVF)を指定すると、新しい検証ファンクションが使用されます。

• 作成するPVFは、DEFINER RIGHTS PL/SQLファンクションとして作成する必要があります。 INVOKER権限PVFがCREATEまたはALTER PROFILEへの入力として提供されると、ORA-28220エラーがスローされます。

• 作成するPVFは、ADMINユーザー・スキーマに作成する必要があります。 ADMIN以外のユーザーが所有するPVFがCREATEまたはALTER PROFILEへの入力として提供されると、ORA-28220エラーがスローされます。

• PVFをADMIN以外のユーザーが変更または削除することはできません。 つまり、CREATEまたはDROP ANY PROCEDURE権限を持つユーザーはPVFを変更または削除できません。

• プロファイルに関連付けられたPVFが削除された場合、プロファイルでPVFを使用するユーザーのパスワードを変更しようとすると、ORA-7443エラーがスローされます。 ユーザーは、自分のプロファイルに関連付けられているPVFが削除されてもログインできます。 ただし、ユーザー・パスワードが期限切れでPVFが削除された場合、ユーザーはログインできません。

  ORA-7443エラーからリカバリするには、ADMINユーザーが削除したPVFを再作成してプロファイルに割り当てるか、既存のPVFをプロファイルに割り当てる必要があります。 これにより、ユーザーはパスワードを変更してログインできます。

• PVFセキュリティについては、CREATE ANY PROCEDUREシステム権限およびDROP ANY PROCEDUREシステム権限が監査されます。 詳細は、「システム権限およびオブジェクト権限のリスト」のPROCEDURESリストを参照してください。

詳細は、「パスワードの複雑度の管理」を参照してください。

アプリケーションの段階的なデータベース・パスワードのロールオーバー

アプリケーションのデータベース・パスワードは、管理者が停止時間をスケジュールしなくても変更できます。

そのためには、PASSWORD_ROLLOVER_TIMEパスワード・プロファイル・パラメータにゼロ以外の制限を持つプロファイルをアプリケーション・スキーマに関連付けることができます。 これにより、アプリケーション・ユーザーのデータベース・パスワードを変更しながら、PASSWORD_ROLLOVER_TIME制限で指定された期間、古いパスワードを有効なままにできます。 ロールオーバー期間中、アプリケーション・インスタンスは古いパスワードまたは新しいパスワードを使用してデータベース・サーバーに接続できます。 ロールオーバー時間が経過すると、新しいパスワードのみが許可されます。

詳細については、「アプリケーションの段階的なデータベース・パスワード・ロールオーバーの管理」を参照してください。