機械翻訳について

Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI Databaseを構成して、Microsoft Active Directoryユーザーを認証および認可できます。

この構成により、Active Directoryユーザーは、パスワードやKerberosなどのActive Directory資格証明を使用してAutonomous AI Databaseにアクセスできます。

親トピック: ユーザーの管理

Autonomous AI DatabaseでMicrosoft Active Directoryを使用してCMUを構成するための前提条件

Autonomous AI Databaseを構成して、Microsoft Active Directoryユーザーを認証および認可できます。

Active Directoryサーバーが存在する場所に応じて、Microsoft Active Directoryで集中管理ユーザー(CMU)を使用してAutonomous AI Databaseを構成するための2つのオプションがあります:

  • Active Directory (AD)サーバーがパブリックにアクセス可能: Active Directoryサーバーは、パブリック・インターネットを介してAutonomous AI Databaseからアクセスできます。

  • Active Directory (AD)サーバーはプライベート・エンドポイントに存在: Active Directoryサーバーはプライベート・エンドポイントに存在し、パブリック・インターネットを介してAutonomous AI Databaseからアクセスできません。 この場合、データベース・プロパティROUTE_OUTBOUND_CONNECTIONSを設定するAutonomous AI DatabaseでのMicrosoft Active Directoryを使用したCMUの構成の最後のステップに示すように、追加の構成ステップが必要です。

ノート:

Autonomous AI DatabaseでのAzure Active Directoryの使用の詳細は、Autonomous DatabaseでのMicrosoft Entra IDの使用を参照してください。 「The CMU」オプションはMicrosoft Active Directoryサーバーをサポートしていますが、Azure Active Directoryサービスはサポートされません。

Autonomous AI Databaseと集中管理ユーザー(CMU)の統合により、Microsoft Active Directoryとの統合が提供されます。 Active Directoryを使用するCMUは、Oracleデータベースのグローバル・ユーザーおよびグローバル・ロールをMicrosoftのActive Directoryユーザーとグループにマッピングすることで機能します。

Autonomous AI DatabaseからActive Directoryへの接続を構成するには、次の前提条件が必要です:

  • Microsoft Active Directoryがインストールおよび構成されている必要があります。 詳細については、「AD DSスタート・ガイド」を参照してください。

  • Active DirectoryでOracle serviceディレクトリ・ユーザーを作成する必要があります。 Oracle serviceディレクトリ・ユーザー・アカウントの詳細は、「Microsoft Active Directoryへの接続」を参照してください。

  • Active Directoryシステム管理者は、Active DirectoryサーバーにOracleパスワード・フィルタをインストールし、要件を満たすようにActive DirectoryユーザーにActive Directoryグループを設定する必要があります。

    ノート:

    CMU Active DirectoryにKerberos認証を使用している場合、これは必要ありません。 詳細については、「Microsoft Active Directoryを使用したCMUのKerberos認証」を参照してください。

    Autonomous AI Database用にCMU Active Directoryでパスワード認証を使用する場合は、付属のユーティリティopwdintg.exeを使用して、Active DirectoryにOracleパスワード・フィルタをインストールし、スキーマを拡張し、3つのタイプのパスワード・ベリファイア生成用に3つの新しいORA_VFRグループを作成する必要があります。 Oracleパスワード・フィルタのインストールの詳細は、「Microsoft Active Directoryへの接続」を参照してください。

  • Autonomous AI DatabaseのCMUを構成するには、CMU構成データベース・ウォレット、cwallet.ssoおよびCMU構成ファイルdsi.oraが必要です:

    • オンプレミス・データベースに対してCMUを構成している場合は、これらの構成ファイルをオンプレミス・データベース・サーバーから取得できます。

    • オンプレミス・データベースにCMUを構成していない場合は、これらのファイルを作成する必要があります。 次に、構成ファイルをクラウドにアップロードして、Autonomous AI DatabaseインスタンスでCMUを構成します。 オンプレミス・データベースのCMUを構成し、Active Directoryユーザーがこれらの構成ファイルを使用してオンプレミス・データベースに正常にログオンできることを確認することで、ウォレットおよびdsi.oraを検証できます。

    CMUのウォレット・ファイルの詳細は、「セキュアな接続用のWalletの作成」および「Oracle Walletの検証」を参照してください。

    CMUのdsi.oraファイルの詳細は、「dsi.oraファイルの作成」を参照してください。

    CMU用のActive Directoryの構成およびオンプレミス・データベースのCMUのトラブルシューティングの詳細は、「データベース・リリース18c以降のリリース用に集中管理ユーザーを構成する方法(ドキュメントID 2462012.1)」を参照してください。

  • Active Directoryサーバーのポート636は、Oracle Cloud InfrastructureAutonomous AI Databaseに対してオープンしている必要があります。 これにより、Autonomous AI DatabaseはActive Directoryサーバーにアクセスできます。

  • Active Directoryサーバーがパブリック・エンドポイント上にある場合:

    • Active Directoryサーバーは、パブリック・インターネットを介してAutonomous AI Databaseからアクセスできる必要があります。

    • オンプレミスのActive DirectoryをOracle Cloud Infrastructureに拡張して、オンプレミスActive Directoryの読取り専用ドメイン・コントローラ(RODC)を設定することもできます。 これにより、Oracle Cloud InfrastructureのRODCを使用して、オンプレミスのActive DirectoryユーザーがAutonomous AI Databaseにアクセスできるように認証および認可できます。

      詳細については、「Hybrid CloudでのActive Directory統合の拡張」を参照してください。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI DatabaseでのMicrosoft Active DirectoryでのCMUの構成

Autonomous AI Databaseを構成して、Microsoft Active Directoryユーザーを認証および認可できます。

CMUがActive Directoryに接続するようにAutonomous AI Databaseを構成するには:

ノート:

構成ステップを実行するときは、ADMINユーザーとしてデータベースに接続します。
  1. データベースで別の外部認証スキームが有効になっているかどうかを確認し、無効にします。

    Kerberosの上部にあるCMU-AD構成を続行して、Microsoft Active DirectoryユーザーのCMU-AD Kerberos認証を提供できます。

    詳細については、「Microsoft Active Directoryを使用したCMUのKerberos認証」を参照してください。

  2. データベース・ウォレット・ファイルcwallet.ssoおよびCMU構成ファイルdsi.oraを含むCMU構成ファイルをオブジェクト・ストアにアップロードします。 このステップは、使用するオブジェクト・ストアによって異なります。

    dsi.ora構成ファイルには、Active Directoryサーバーを見つけるための情報が含まれています。

    Oracle Cloud Infrastructureオブジェクト・ストアを使用している場合、ファイルのアップロードの詳細は「データのオブジェクト・ストレージへの格納」を参照してください。

  3. DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONプロシージャを実行し、params JSON引数を使用してロケーションURIを渡します。 構成ファイルcwallet.ssoおよびdsi.oraは、location_uriパラメータで指定されたオブジェクト・ストレージのロケーションに配置する必要があります。

    たとえば:

    BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

    Oracleでは、CMU構成ファイルをオブジェクト・ストア内のプライベート・バケットに格納することをお薦めします。

    この例では、namespace-stringがOracle Cloud Infrastructureオブジェクト・ストレージのネームスペースで、bucketnameがバケット名です。 詳細については、「オブジェクト・ストレージのネームスペースについて」を参照してください。

    このステップで使用するcredential_nameは、オブジェクト・ストアにアクセスするための資格証明です。

    リソース・プリンシパル資格証明を有効にした場合、Oracle Cloud Infrastructureオブジェクト・ストアにアクセスするための資格証明の作成は必要ありません。 詳細については、「リソース・プリンシパルを使用したOracle Cloud Infrastructureリソースへのアクセス」を参照してください。

    location_uriが事前認証済URLまたは事前署名済URLの場合、credential_nameを指定する必要はありません。

    この手順では、データベースにCMU_WALLET_DIRという名前のディレクトリ・オブジェクトを作成し、オブジェクト・ストアのロケーションからディレクトリ・オブジェクトにCMU構成ファイルをコピーします。 また、このプロシージャは、データベース・プロパティCMU_WALLETを値'CMU_WALLET_DIR'に設定し、LDAP_DIRECTORY_ACCESSパラメータ値を値PASSWORDに設定して、Autonomous AI DatabaseインスタンスからActive Directoryへのアクセスを有効にします。

  4. 「CMU認証を有効にすると、」は、データベース・ウォレットcwallet.ssoおよびCMU構成ファイルdsi.oraを含むCMU構成ファイルをオブジェクト・ストアから削除します。 ローカル・オブジェクト・ストア・メソッドを使用してこれらのファイルを削除するか、DBMS_CLOUD.DELETE_OBJECTを使用してオブジェクト・ストアからファイルを削除できます。
  5. Active Directoryサーバーがプライベート・エンドポイント上にある場合は、追加の構成ステップを実行してプライベート・エンドポイントへのアクセスを提供します。
    1. データベース・プロパティROUTE_OUTBOUND_CONNECTIONSを値'PRIVATE_ENDPOINT'に設定します。
    2. CMU-AD構成ファイルdsi.oraにホスト名が含まれていることを確認します。 ROUTE_OUTBOUND_CONNECTIONS'PRIVATE_TARGET'に設定されている場合、dsi.oraでIPアドレスを指定することはできません。

Autonomous AI DatabaseでActive Directoryを使用するCMUに関するノート:

  • Autonomous AI DatabaseでのCMUでは、「パスワード認証」または「Kerberos認証」のみがサポートされています。 Autonomous AI DatabaseでCMU認証を使用している場合、Azure AD、OCI IAM、PKIなどの他のCMU認証方法はサポートされていません。

Autonomous AI DatabaseからActive Directoryへのアクセスを無効にする手順は、Autonomous AI DatabaseでのActive Directoryアクセスの無効化を参照してください。

DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONの詳細は、『「ENABLE_EXTERNAL_AUTHENTICATIONプロシージャ」』を参照してください。

Microsoft Active DirectoryでCMUを構成する方法の詳細は、「Microsoft Active Directoryによる集中管理ユーザーの構成」を参照してください。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Microsoft Active Directoryを使用したCMUのKerberos認証

Microsoft Active DirectoryユーザーとのCMUにKerberos認証を使用するようにAutonomous AI Databaseを構成できます。 この構成により、CMU Active Directory (CMU-AD)ユーザーは、Kerberos資格証明を使用してAutonomous AI Databaseインスタンスにアクセスできます。

Kerberosは、CMU-ADを使用して、またはCMU-ADなしで構成できます。 Kerberosを構成するだけで、すべてのKerberosユーザーのデータベース・ユーザーを作成してメンテナンスする必要があります。 CMUでKerberosを構成すると、KerberosユーザーのActive Directoryグループを単一のデータベース・ユーザー(共有スキーマ)にマップできるため、Active Directoryグループ・メンバーシップによってデータベース・アクセスを制御できます。 CMU-ADを使用しないKerberosの構成の詳細は、Autonomous AI Databaseを使用したKerberos認証の構成を参照してください。

ノート:

Kerberos認証とCMU-ADの両方を認可のために実装する場合、Oracleでは最初にKerberos認証を実装してから、CMU-AD認可を追加することをお薦めします。
  1. Microsoft Active Directory Kerberosサーバーを使用して、Autonomous AI DatabaseインスタンスでKerberosを有効にします。

    CMU-ADでKerberos認証を構成する場合、Kerberosでサポートされるのは、Microsoft Active Directory Kerberosサーバーのみです。

    1. Autonomous AI DatabaseのKerberos認証を有効にするには、Kerberos構成ファイル(krb.confおよびサービス・キー表ファイルv5srvtab)を取得する必要があります。

      CMU-ADでKerberos認証を構成するときにこれらのファイルを生成するには、サーバーのホスト名が必要です。 サーバー・ホストの値は、V$PDBSCLOUD_IDENTITY列の属性PUBLIC_DOMAIN_NAMEから取得できます。 この値は、プライベート・エンドポイント上のデータベースの完全修飾ドメイン名(FQDN)とは異なります。

      サーバーのホスト名を取得するには、次のコマンドを使用します:

      SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
    "KSERVICE/KINSTANCE" FROM v$pdbs;

      次のようなコマンドを使用して、サービス・キー表ファイルを生成できます:

      ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                 -pass ACTIVE_DIRECTORY_PASSWORD 
                 -mapuser DATABASE_SERVER_HOST_NAME 
                 -crypto ALL 
                 -ptype KRB5_NT_PRINCIPAL 
                 -out database.keytab

      たとえば:

      ktpass -princ ORACLE/user.example.com@example.com 
                 -pass password -mapuser dbexamplekrb 
                 -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

      これらのファイルおよび取得に必要なステップの詳細は、「Kerberos認証の構成」を参照してください。

    2. Kerberos構成ファイルkrb.confおよびv5srvtabをオブジェクト・ストアのバケットにコピーします。

      このステップは、使用するオブジェクト・ストアによって異なります。

      Oracle Cloud Infrastructureオブジェクト・ストアを使用している場合、ファイルのアップロードの詳細は「データのオブジェクト・ストレージへの格納」を参照してください。

    3. DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONを実行して、Kerberos外部認証を有効にします。

      たとえば:

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'KERBEROS',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

      ノート:

      Oracleでは、Kerberos構成ファイルをオブジェクト・ストア内のプライベート・バケットに格納することをお薦めします。

      この例では、namespace-stringがOracle Cloud Infrastructureオブジェクト・ストレージのネームスペースで、bucketnameがバケット名です。 詳細については、「オブジェクト・ストレージのネームスペースについて」を参照してください。

      このステップで使用するcredential_nameは、オブジェクト・ストアの資格証明です。

      詳細は、Autonomous AI DatabaseでのKerberos認証の有効化を参照してください。

    4. Kerberosが構成され、有効になっていることを確認します。
      SELECT property_value FROM database_properties 
      WHERE property_name='KERBEROS_DIRECTORY';
  2. Autonomous AI DatabaseでCMU-ADを有効化および構成します。
    1. データベース・ウォレット・ファイル、cwallet.ssoおよびCMU構成ファイルdsi.oraを含むCMU構成ファイルをオブジェクト・ストアにアップロードします。

      cwallet.ssoをアップロードして、CMU-AD構成にActive Directoryサービス・アカウントに接続するためのAutonomous AI Databaseインスタンスの資格証明が含まれるようにします。

      dsi.ora構成ファイルには、Active Directoryサーバーを見つけるための情報が含まれています。

      このステップは、使用するオブジェクト・ストアによって異なります。

      Oracle Cloud Infrastructureオブジェクト・ストアを使用している場合、ファイルのアップロードの詳細は「データのオブジェクト・ストレージへの格納」を参照してください。

    2. DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONプロシージャを実行し、params JSON引数を指定してロケーションURIを渡します。 構成ファイルcwallet.ssoおよびdsi.oraは、location_uriパラメータで指定されたオブジェクト・ストレージのロケーションに配置する必要があります。

      たとえば:

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

      Oracleでは、CMU構成ファイルをオブジェクト・ストア内のプライベート・バケットに格納することをお薦めします。

      この例では、namespace-stringがOracle Cloud Infrastructureオブジェクト・ストレージのネームスペースで、bucketnameがバケット名です。 詳細については、「オブジェクト・ストレージのネームスペースについて」を参照してください。

      このステップで使用するcredential_nameは、オブジェクト・ストアにアクセスするための資格証明です。

      リソース・プリンシパル資格証明を有効にした場合、Oracle Cloud Infrastructureオブジェクト・ストアにアクセスするための資格証明の作成は必要ありません。 詳細については、「リソース・プリンシパルを使用したOracle Cloud Infrastructureリソースへのアクセス」を参照してください。

      location_uriが事前認証済URLまたは事前署名済URLの場合、credential_nameを指定する必要はありません。

      詳細は、Autonomous AI DatabaseでMicrosoft Active Directoryを使用してCMUを構成するための前提条件を参照してください。

    3. CMU-ADが構成され、有効になっていることを確認します。
      SELECT property_value FROM database_properties
      WHERE property_name='CMU_WALLET';
  3. ステップ1およびステップ2を完了した後、CMU-ADでのKerberos認証の構成が完了していることを確認します。
    1. SYS_CONTEXT情報がUSERENVに移入されるように、Active DirectoryユーザーとしてAutonomous AI Databaseインスタンスにログインします。
    2. SYS_CONTEXT USERENVを問い合せます。
      SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')                                 
--------------------------------------------------------------------------------
KERBEROS_GLOBAL

    CMU-ADを使用せずにKerberos認証を構成して有効にした場合、この問合せは次を返します: KERBEROS 詳細は、Autonomous AI DatabaseでのKerberos認証の構成を参照してください。

    Kerberosを使用せずにCMU-AD認証を構成した場合、この問合せは次を返します: PASSWORD_GLOBAL 詳細は、Autonomous AI DatabaseでMicrosoft Active Directoryを使用してCMUを構成するための前提条件を参照してください。

CMU-ADでKerberos認証を使用するためのノート:

  • CMU-ADでKerberos認証を使用する場合、パスワード・フィルタを追加する必要はありません。 詳細は、Autonomous AI DatabaseでMicrosoft Active Directoryを使用してCMUを構成するための前提条件を参照してください。

  • パスワード認証を使用している場合、Active DirectoryのCMUと同じ方法で、Active Directoryユーザーの追加または削除がサポートされています。 詳細は、Autonomous AI DatabaseでのMicrosoft Active Directoryユーザーの追加を参照してください。

  • Active Directoryパスワードを使用したCMUを使用したAutonomous AI Database組込みツールに対する認証に関する既存の制限は、Kerberos認証を使用したActive Directoryを使用したCMUにも適用されます。 詳細は、Autonomous AI DatabaseでのActive Directoryによるツールの制限を参照してください。

  • DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATIONを使用して、Kerberos認証でCMU-ADを無効にします。 詳細については、「DISABLE_EXTERNAL_AUTHENTICATIONプロシージャ」を参照してください。

  • CMU-ADサーバーがプライベート・エンドポイント上にある場合、CMU-ADをKerberos認証とともに使用するには、キー・タブの生成に使用されるサーバー・ホスト名を、V$PDBSCLOUD_IDENTITY列の属性PUBLIC_DOMAIN_NAMEの値に設定する必要があります。 この値は、プライベート・エンドポイント・データベースのFQDNとは異なります。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI DatabaseでのMicrosoft Active Directoryロールの追加

Active Directoryロールを追加するには、CREATE ROLEまたはALTER ROLE文を使用してデータベース・グローバル・ロールをActive Directoryグループにマップします(IDENTIFIED GLOBALLY AS句を含めます)。

Autonomous AI DatabaseでActive Directoryグループのグローバル・ロールを追加するには:

  1. Active Directoryを使用するように構成されているデータベースにADMINユーザーとしてログインします(ADMINユーザーには、これらのステップに必要なCREATE ROLEおよびALTER ROLEシステム権限があります)。
  2. CREATE ROLE文またはALTER ROLE文を使用して、Autonomous AI Databaseロールのデータベース認可を設定します。 IDENTIFIED GLOBALLY AS句を含め、Active DirectoryグループのDNを指定します。

    ディレクトリ・ユーザー・グループをデータベース・グローバル・ロールにマップする場合は、次の構文を使用します:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    たとえば:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    この例では、データベースにログインすると、widget_sales_groupのすべてのメンバーがデータベース・ロールwidget_sales_roleで認可されます。

  3. GRANT文を使用して、必要な権限または他のロールをグローバル・ロールに付与します。

    たとえば:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLEは、共通の権限が定義済の事前定義済ロールです。 Autonomous AI Databaseユーザーの共通権限の設定の詳細は、Autonomous AI Databaseでのユーザー権限の管理- クライアント・ツールを使用した接続を参照してください。

  4. 既存のデータベース・ロールをActive Directoryグループに関連付ける場合は、ALTER ROLE文を使用して既存のデータベース・ロールを変更し、そのロールをActive Directoryグループにマップします。

    既存のデータベース・ロールを変更してActive Directoryグループにマップするには、次の構文を使用します:

    ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. その他のActive Directoryグループに対して追加のグローバル・ロール・マッピングを作成する場合は、Active Directoryグループごとに次のステップを実行します。

Microsoft Active Directoryでのロールの構成の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 26aiセキュリティ・ガイド』「集中管理ユーザーの認可の構成」を参照してください。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI DatabaseでのMicrosoft Active Directoryユーザーの追加

「データベース」にアクセスするためにActive Directoryユーザーを追加するには、CREATE USER文またはALTER USER文(IDENTIFIED GLOBALLY AS句を使用)を使用して、データベース・グローバル・ユーザーをActive Directoryグループまたはユーザーにマップします。

Autonomous AI DatabaseとActive Directoryの統合は、Microsoft Active DirectoryのユーザーおよびグループをOracleデータベースのグローバル・ユーザーおよびグローバル・ロールに直接マッピングすることで機能します。

Autonomous AI DatabaseでActive Directoryグループまたはユーザーのグローバル・ユーザーを追加するには:

  1. Active Directoryを使用するように構成されているデータベースにADMINユーザーとしてログインします(ADMINユーザーには、これらのステップに必要なCREATE USERおよびALTER USERシステム権限が必要です)。
  2. CREATE USER文またはALTER USER文を使用してAutonomous AI Databaseユーザーのデータベース認可を設定し、Active DirectoryユーザーまたはグループのDNを指定してIDENTIFIED GLOBALLY AS句を含めます。

    ディレクトリ・ユーザーをデータベース・グローバル・ユーザーにマップする場合は、次の構文を使用します:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    次の構文を使用して、ディレクトリ・グループをデータベース・グローバル・ユーザーにマップします:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    たとえば、production.example.comドメインのsales組織単位にあるwidget_sales_groupという名前のディレクトリ・グループを、WIDGET_SALESという名前の共有データベース・グローバル・ユーザーにマップするには、次を実行します: 

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    これにより、共有グローバル・ユーザー・マッピングが作成されます。 マッピングは、グローバル・ユーザーwidget_salesとともに、Active Directoryグループ内のすべてのユーザーに対して有効です。 したがって、widget_sales_groupのすべてのユーザーは、widget_salesグローバル・ユーザーの共有マッピングを通じて、Active Directory資格証明を使用してデータベースにログインできます。

  3. Active Directoryユーザーが既存のデータベース・ユーザーを使用し、そのスキーマを所有して、その既存データを所有するようにするには、ALTER USERを使用して既存のデータベース・ユーザーを変更し、そのユーザーをActive Directoryのグループまたはユーザーにマップします。

    • 既存のデータベース・ユーザーを変更してActive Directoryユーザーにマップするには、次の構文を使用します:

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    • 既存のデータベース・ユーザーを変更してActive Directoryグループにマップするには、次の構文を使用します:

      ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. 他のActive Directoryグループまたはユーザーに追加のグローバル・ユーザー・マッピングを作成する場合は、Active Directoryグループまたはユーザーごとにこれらのステップに従います。

Microsoft Active Directoryでのロールの構成の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 26aiセキュリティ・ガイド』「集中管理ユーザーの認可の構成」を参照してください。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI DatabaseでのActive Directoryに関するツールの制限事項

Active DirectoryでAutonomous AI Databaseツールを使用するためのノート:

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Active Directoryユーザー資格証明を使用したAutonomous AI Databaseへの接続

ADMINユーザーがCMU Active Directory構成ステップを完了し、グローバル・ロールおよびグローバル・ユーザーを作成した後、ユーザーはActive Directoryのユーザー名とパスワードを使用してデータベースにログインします。

ノート:

グローバル・ユーザー名を使用してログインしないでください。 グローバル・ユーザー名にパスワードがなく、グローバル・ユーザー名と接続できません。 データベースにログインするには、Autonomous AI Databaseにグローバル・ユーザー・マッピングが必要です。 グローバル・ロール・マッピングのみを使用してデータベースにログインすることはできません。
  1. Active Directoryのユーザー名とパスワードを使用してデータベースにログインするには、次のように接続します:
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    たとえば:

    CONNECT "production\pfitch"/password@adbname_medium;

    次の例に示すように、Active Directoryドメインがユーザー名とともに含まれる場合に二重引用符を含める必要があります: "production\pfitch"

    この例では、Active Directoryユーザー名は、ドメインproductionpfitchです。 Active Directoryユーザーは、DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'で識別されるwidget_sales_groupグループのメンバーです。

Autonomous AI DatabaseでActive Directoryを使用してCMUを構成し、グローバル・ロールおよびグローバル・ユーザーでActive Directory認可を設定した後、Autonomous AI Databaseへの接続で説明されている接続方法のいずれかを使用してデータベースに接続できます。 接続時に、Active Directoryユーザーを使用する場合は、Active Directoryのユーザー資格証明を使用します。 たとえば、AD_DOMAIN \AD_USERNAMEという形式でユーザー名を指定し、パスワードにAD_USER_PASSWORDを使用します。

Autonomous AI Databaseインスタンスが制限モードの場合、このモードでは、RESTRICTED SESSION権限を持つユーザーのみがデータベースに接続できます。 ADMINユーザーにはこの権限があります。 制限付きアクセス・モードを使用して、索引付け、データ・ロード、その他の計画アクティビティなどの管理タスクを実行できます。 詳細は、「Autonomous AI Database操作モードを読取り/書込み読取り専用または制限済に変更」を参照してください。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI Databaseを使用したActive Directoryユーザー接続情報の確認

ユーザーがActive Directoryのユーザー名とパスワードを使用してデータベースにログインすると、ユーザー・アクティビティを検証および監査できます。

たとえば、ユーザーpfitchがログインした場合は、次のようになります: 

CONNECT "production\pfitch"/password@exampleadb_medium;

Active Directoryユーザーのログオン・ユーザー名(samAccountName)はpfitchで、widget_sales_groupはActive Directoryグループ名、widget_salesデータベースグローバル・ユーザーです。

pfitchがデータベースにログインすると、コマンドSHOW USERに次のグローバル・ユーザー名が表示されます: 

SHOW USER;

USER is "WIDGET_SALES"

次のコマンドは、Active DirectoryユーザーのDN (識別名)を表示します:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

たとえば、集中管理されたこのユーザーのエンタープライズ・アイデンティティを確認できます:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

次のコマンドは、AD_DOMAIN\AD_USERNAMEを示します: 

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

たとえば、Active Directoryの認証されたユーザーのアイデンティティは、ユーザーがデータベースにログオンすると取得および監査されます:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

詳細は、Oracle Database 19cセキュリティ・ガイド集中管理ユーザー・ログオン情報の確認またはOracle Database 26aiセキュリティ・ガイドを参照してください。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI DatabaseでのActive Directoryのユーザーおよびロールの削除

Autonomous AI DatabaseからActive Directoryのユーザーおよびロールを削除するには、標準のデータベース・コマンドを使用します。 これにより、削除されたデータベース・ユーザーまたはロールからマップされた関連するActive Directoryユーザーまたはグループは削除されません。

Autonomous AI Databaseからユーザーまたはロールを削除するには:

  1. DROP USERまたはDROP ROLEシステム権限を付与されたユーザーとして、Active Directoryを使用するように構成されているデータベースにログインします。
  2. DROP USERまたはDROP ROLE文を持つActive Directoryグループまたはユーザーにマップされるグローバル・ユーザーまたはグローバル・ロールを削除します。
    詳細は、Autonomous AI Databaseでのユーザーの削除を参照してください。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI DatabaseでのActive Directoryアクセスの無効化

Autonomous AI DatabaseからCMU構成を削除する(およびAutonomous AI DatabaseからActive DirectoryへのLDAPアクセスを無効にする)ステップについて説明します。

CMU Active DirectoryにアクセスするようにAutonomous AI Databaseインスタンスを構成した後、次のようにアクセスを無効にできます:

  1. ADMINユーザーとしてAutonomous AI Databaseに接続します。
  2. CMU認証を無効にするには、DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATIONを使用します。

    ノート:

    このプロシージャを実行するには、ADMINユーザーとしてログインするか、DBMS_CLOUD_ADMINに対するEXECUTE権限を持っている必要があります。

    たとえば:

    BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/

    これにより、Autonomous AI DatabaseインスタンスでのCMU認証が無効になります。

詳細については、「DISABLE_EXTERNAL_AUTHENTICATIONプロシージャ」を参照してください。

親トピック: Autonomous AI DatabaseでのMicrosoft Active Directoryの使用