1. Oracle AI Database新機能
  2. 認証

認証

Microsoft Azure Active Directory統合

Microsoft Azure Active Directory (Azure AD)シングル・サインオンのOAuth2アクセス・トークンを使用してOracle AI Databaseにログインできます。この機能は、Oracle Database 19cリリース19.16以降(Oracle Database 21cを除く)にバックポートされています。

Oracle AI Database 26aiの新機能には、Azure AD v2トークンのサポート、およびOracle AI Databaseクライアントでのそれらのトークンの直接取得が含まれます。OAuth2対話型フローを使用する場合、エンド・ユーザーのトークンを取得するためのスクリプトの使用は必要ありません。

このマルチクラウド機能では、Azure ADとOracle AI Databaseの間で認証と認可が統合されます。

ドキュメントの表示に関する項

ODP.NET: Azure Active Directoryシングル・サインオン

ODP.NETでは、Microsoft Azure Active Directory (Azure AD) OAuth 2.0アクセス・トークンを使用してOracle AI Databaseにログインできます。ユーザーは、Azure ADを使用して1回サインオンし、そのトークンを取得し、オンプレミスおよびクラウドベースのOracle AI Databaseにアクセスできます。この機能は、ODP.NET CoreおよびManaged ODP.NETで使用できます。

このマルチクラウド機能により、ユーザー・アクセスおよび管理が簡略化されることで、Azure ADとOracle AI Databaseの間での認証と認可が容易になります。

ドキュメントの表示に関する項

Oracle AI Databaseのパスワード長の増加

Oracle AI Databaseでは、最大1024バイトの長さのパスワードがサポートされるようになりました。以前のリリースでは、そのパスワードの長さ、およびセキュア・ロールのパスワードの長さは最大30バイトでした。

パスワードを長くすると、より強力な認証を目指す業界全体のトレンドがサポートされます。パスワードを使用する必要がある場合、長さを伸ばすと、より推測しにくいパスワードになります。

ドキュメントの表示に関する項

JDBC-Thinでの長いパスワードのサポート

データベース・ユーザー認証のパスワードは1024文字までです。

この機能により、クラウドおよびオンプレミス環境でのJavaアプリケーションの認証セキュリティが強化されます。

ドキュメントの表示に関する項

Oracle Data Pump ExportおよびImportによるより長い暗号化パスワードのサポート

Oracle Data Pumpでは、最大1024バイトの暗号化パスワードを使用してエクスポート・ファイルを保護できます。

Oracle Data Pumpは、最大1024バイトの暗号化パスワードをサポートすることで、セキュリティを強化します。

ドキュメントの表示に関する項

Oracle Call Interface (OCI)およびOracle C++ Call Interface (OCCI)のパスワードの長さの増加

Oracle Call Interface (OCI)およびOracle C++ Call Interface (OCCI)は、最大1024バイトの長さのデータベース・ユーザー認証のパスワードをサポートするようになりました。

この機能により、セキュリティを向上させるために使用するパスワードが長くなります。また、長いパスワードを生成するツールでデータベースの使用を支援します。

ドキュメントの表示に関する項

Kerberosライブラリの更新とその他の改善点

Oracle AI Databaseでは、MIT Kerberosライブラリ・バージョン1.21.2がサポートされており、他のドメインにあるリソースへのアクセスのためにクロスドメイン・サポートが提供されています。

このKerberos機能拡張により、セキュリティが向上し、Kerberosをより多くのOracle AI Database環境で使用できるようになります。

ドキュメントの表示に関する項

RADIUS構成の拡張

RADIUSは、Oracle AI Databaseのマルチファクタ認証(MFA)を提供するために頻繁に使用されます。Oracle AI Database 26aiでは、RADIUSについてのRFC 6613および6614のガイドラインがサポートされるようになり、デフォルトでTCP over Transport Layer Security (TLS)が実装されるようになりました。この機能拡張により、新しい標準に対応する新しいRADIUS関連のsqlnet.oraのパラメータが導入されました。この機能拡張により、新しい標準に対応するために必要でなくなったいくつかのRADIUS関連のsqlnet.oraパラメータも非推奨になります。

このRADIUS標準サポートの更新により、RADIUSベースの認証を使用する顧客のセキュリティが向上します。

ドキュメントの表示に関する項

UTL_HTTPによるSHA-256およびその他のダイジェスト認証標準のサポート

UTL_HTTPは、ダイジェスト認証でSHA-256とSHA-512/256の両方をサポートするように拡張され、上位互換性を確保します。

UTL_HTTPは、標準ブラウザと同様に、クライアント側のHTTPアクセス用のAPIとみなすことができます。ダイジェスト認証用にSHA-256とSHA-512/256の両方をサポートすることで、UTL_HTTPを他の標準ブラウザと同等にすることができます。

ドキュメントの表示に関する項

XDB HTTP SHA512ダイジェスト認証

Oracle XDB HTTPプロトコル・サーバーは、ダイジェスト認証のSHA512認証をサポートするようになりました。これは、MD5よりもセキュアなダイジェスト・アルゴリズムです。

この機能により、WebからOracle XDBを使用するときのセキュリティが向上します。

ドキュメントの表示に関する項

OCIおよびInstant ClientがMicrosoft Entra ID (Azure AD) OAuth2トークンを直接取得する機能

Oracle Call Interface (OCI)およびOracle Database Instant Clientでは、Microsoft Entra ID (以前のAzure AD) OAuth2トークンを、別のスクリプトまたはプロセスに依存してトークンを最初に取得するのではなく、Entra IDから直接取得できるようになりました。

この設計により、ユーザーがデータベース(SQL*Plusなど)に接続する場合に、データベース・サーバーとクライアント間の対話型フローが向上します。

この機能拡張により、トークンを取得するためにエンドユーザーが実行する必要がある構成が簡略化されます。以前のリリースでは、エンド・ユーザーは、SQL*Plusまたはその他のOCIユーティリティを起動する前に、Entra IDからトークンを取得するスクリプトを実行する必要がありました。現在、トークンの取得はOCIの一部です。この拡張機能は、JDBCシン・クライアント、ODP.NETコア・クライアントおよび管理対象クライアントの最近の拡張機能に似ています。

ドキュメントの表示に関する項

Oracle FPPサーバー認証のカスタム証明書

Oracle Grid Infrastructure 26ai以降、Oracle Fleet Patching and Provisioning (Oracle FPP)サーバーとクライアント間の認証用にカスタム・セキュリティ証明書を指定できます。デフォルトでは、Oracle FPPはSSL/TLS証明書を使用します。任意の認証局によって割り当てられた任意のセキュリティ証明書を使用できます。

カスタム・セキュリティ証明書を選択して、組織で設定された厳格なセキュリティ・ポリシーおよび規制を満たすことができます。

ドキュメントの表示に関する項

AIX、SolarisおよびHPUXでのMicrosoft Entra ID (Azure AD)統合の追加サポート

サーバーのオペレーティング・システム・プラットフォームに関係なく、すべてのOracle AI Databaseユーザーが、Microsoft Entra ID (以前のAzure AD)統合を使用できるようになりました。

新しくサポートされるAIX、SolarisおよびHPUXプラットフォームに加えて、LinuxおよびWindowsも引き続きサポートされます。この機能は、WindowsおよびLinux上のOracle Cloud Infrastructure (OCI)フル・クライアントおよびインスタント・クライアントでのみサポートされています。

ドキュメントの表示に関する項

データベース認証のマルチファクタ認証

ユーザーに対してマルチファクタ認証を有効にすることで、Oracle AI Databaseのセキュリティを強化できます。Cisco DuoまたはOracle Mobile Authenticatorアプリケーションを介してプッシュ通知を使用するか、ユーザー名とパスワードをPKI (公開キー・インフラストラクチャ)証明書ベースの認証と組み合せることができます。

マルチファクタ認証は、多くのデータベースに必要なセキュリティ要件です(特に、データベースで機密データが保持されている場合)。

ドキュメントの表示に関する項

ウォレット証明書およびキーを指定する新しいパラメータ

orapkiコマンドライン・ユーティリティで、Oracleウォレットに別名およびサムプリント署名を格納できるようになりました。

これらの機能改善により、ユーザーは次のことを実行できます:

  • これらの秘密キーを、接続文字列内でサムプリントまたは別名を使用して指定します。
  • サムプリントを使用して、Microsoft証明書ストア(MCS)で秘密キーを指定します。
  • 証明書の指定や証明書の削除を簡素化するために、証明書をシリアル番号とともに格納します。

この拡張は、orapki wallet addorapki wallet removeおよびorapki wallet displayコマンドに影響します。この機能の利点は、新しいサムプリント、別名およびシリアル番号パラメータによるウォレットの管理と、証明書の選択を簡略化することです。

この機能の利点は、新しいサムプリント、別名およびシリアル番号パラメータによるウォレットの管理と、証明書の選択を簡略化することです。

ドキュメントの表示に関する項

orapkiに含まれるmkstore機能

mkstore の機能は、Oracle AI Databaseのウォレット、証明書およびシークレットの管理を簡略化するために、orapkiコマンドライン・ユーティリティに組み込まれています。

orapkiの新しいコマンドは、mkstoreの次の機能をサポートしています:

  • シークレット・ストアの資格証明およびエントリを作成、変更および削除する機能
  • 特定のシークレット・ストアの資格証明およびエントリをリストする機能
  • ウォレットを削除する機能

この機能は、orapki secretstoreコマンドでサポートされています。

mkstoreユーティリティは非推奨になりました。かわりにorapkiを使用することを推奨します。

ドキュメントの表示に関する項