IAMデータベース・ユーザー名およびパスワードの作業
データベース・エンド・ユーザーは、引き続き既知の認証メソッドを使用してデータベースにアクセスできるため、IAMデータベース・パスワードを簡単に使用できます。OCIプロファイルで管理するデータベース・パスワードにアクセスできるのは、OCIに対する認証に成功した後になります。
ユーザーがデータベース・パスワードにアクセスするか管理する前に、IAM管理者は、マルチファクタ認証の管理を使用してマルチファクタ認証を強制することで追加の保護レイヤーを作成できます。たとえば、FIDOオーセンティケータを使用したり、オーセンティケータ・アプリケーションを使用して通知をプッシュしたりできます。
IAMデータベース・パスワード・セキュリティ
IAMデータベース・ユーザー名およびIAMデータベース・パスワードを使用してデータベースにアクセスすると、IAM管理者は、各データベースでローカルに作業するかわりに、IAM内でユーザーおよびデータベース・パスワードへのユーザー・アクセスを一元的に管理できるため、セキュリティが向上します。ユーザーが組織を離れると、そのIAMアカウントは一時停止されるため、すべてのデータベースへのアクセスも自動的に一時停止されます。この方法により、ユーザーが離れた後で、データベース・サーバーに権限のないアカウントが残される可能性がなくなります。詳細は、IAMデータベース・パスワードを参照してください。IAMユーザーがOCIデータベースに対して認証および認可する方法の詳細は、Oracle Databaseセキュリティ・ガイドのOracle DBaaSデータベースに対するIAMユーザーの認証および認可を参照してください。
IAMデータベース・ユーザー名
OCI IAMデータベース・ユーザー名が128バイトを超える場合は、128バイト未満の別のデータベース・ユーザー名およびデータベース・パスワードを設定する必要があります。IAMでは、テナンシ内のデータベース・ユーザー名の一意性が強制されます。データベース・ユーザー名は大文字と小文字が区別されず、IAMユーザー名と同じ文字(ASCII文字、数字、ハイフン、期間、アンダースコア、+、および@)を使用できます。これは、データベースの文字セットによって制御されるローカル・データベース・ユーザー名よりも制限的です。詳細は、データベース・オブジェクト名および修飾子を参照してください。
IAMデータベース・ユーザー名を作成、変更および削除するには、IAMデータベース・ユーザー名の作業を参照してください。
代替IAMデータベース・ユーザー名
文字と数字のみを含む代替IAMデータベース・ユーザー名を作成し、特殊文字を含めず、通常のIAMデータベース・ユーザー名より短くすることができます。
代替IAMデータベース・ユーザー名を作成できます:
- ユーザー名が長すぎるか入力が困難な場合
- 特殊文字を使用しないユーザー名を使用してサインインを簡単にするため
IAMデータベース・パスワードの仕様
IAMデータベース・パスワードの複雑さについては、コンソール・パスワード用にIAMでサポートされているものと同じルールが使用されます(IAMパスワードでは二重引用符["]は使用できません)。詳細は、IAMデータベース・パスワードの作成を参照してください。
失敗したログインのロックアウト
失敗したログインの詳細は、IAMデータベース・パスワードのロックアウトを参照してください。
パスワード・ロールオーバー
アプリケーションは、ウォレットなどのセキュアなメカニズムおよびデータベースにパスワードを保持します。データベース・パスワードを変更する場合は、アプリケーション・ウォレットのパスワードも変更する必要があります。通常、これはアプリケーションの停止時間中に実行します。ただし、2番目のパスワードを保持すると、アプリケーションの停止時間なしでパスワードを変更できます。両方のパスワードが使用可能であるため、アプリケーション管理者は、必要に応じてアプリケーション・ウォレット・ファイルのパスワードを交換して、後でIAMから古いパスワードを削除できます。これは、データベースの段階的なパスワード・ロールオーバー・ステータスとは関係ありません。データベースは引き続きオープン・ステータスを反映します。つまり、「オープンおよびロールオーバー中」ではありません。