Oracle Cloud Infrastructureドキュメント

Autonomous AI Databaseに対するIdentity and Access Management (IAM)認証について

Autonomous AI DatabaseインスタンスでユーザーにOracle Cloud Infrastructure (IAM)認証および認可を使用できるようにすることができます。

ノート

ノート: Autonomous AI DatabaseとOracle Cloud Infrastructure IAMの統合は、アイデンティティ・ドメインを持つ商業リージョンおよびアイデンティティ・ドメインを含まないレガシーIAMでサポートされています。アイデンティティ・ドメインを含むIAMは、2021年11月8日以降に作成された新しいOracle Cloud Infrastructureテナンシで導入されました。Autonomous AI Databaseでは、デフォルトおよびデフォルト以外のアイデンティティ・ドメインのユーザーおよびグループがサポートされます。

Oracle Cloud Infrastructure IAMとAutonomous AI Databaseの統合では、次のものがサポートされます:

  • IAMデータベース・パスワード認証

  • Identity and Access Management (IAM) SSOトークン・ベース認証

Autonomous AI DatabaseでIAMユーザーを使用するためのアーキテクチャの詳細は、Oracle Autonomous AIデータベースのIAMユーザーの認証および認可を参照してください。

IAMデータベース・パスワード認証

Autonomous AI Databaseインスタンスを有効にして、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)によるユーザー・アクセスを可能にすることができます。

ノート

ノート:サポートされている12c以降のデータベース・クライアントは、Autonomous AI DatabaseへのIAMデータベースのパスワード・アクセスに使用できます。

An Oracle Cloud Infrastructure IAM database password allows an IAM user to log in to an Autonomous AI Database instance as Oracle AI Database users typically log in with a user name and password. ユーザーは、IAMユーザー名およびIAMデータベース・パスワードを入力します。IAMデータベースのパスワードは、Oracle Cloud Infrastructureコンソールのパスワードとは異なります。パスワード・ベリファイアを使用してIAMユーザーを使用すると、サポートされているどのデータベース・クライアントでもAutonomous AI Databaseにログインできます。

パスワード・ベリファイアのデータベース・アクセスのために、IAMユーザーおよびOCIアプリケーションのAutonomous AI Databaseインスタンスへのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメイン内に存在できます。

Identity and Access Management (IAM) SSOトークン・ベース認証

Autonomous AI DatabaseインスタンスでOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用できるようにすることができます。

トークン・ベリファイア・データベース・アクセスの場合は、IAMユーザーおよびOCIアプリケーションのAutonomous AI Databaseインスタンスへのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメイン内に存在できます。

データベース・クライアントがIAMデータベース・トークンを取得するには、いくつかの方法があります:

  • クライアント・アプリケーションまたはツールは、IAMからユーザーのデータベース・トークンをリクエストでき、クライアントAPIを介してデータベース・トークンを渡すことができます。APIを使用してトークンを送信すると、データベース・クライアント内の他の設定がオーバーライドされます。IAMトークンを使用するには、最新のOracle Databaseクライアント19c (19.16以上)が必要です。一部の以前のクライアントでは、トークン・アクセス用の制限された機能セットが提供されます。

  • アプリケーションまたはツールがクライアントAPIを介したIAMデータベース・トークンのリクエストをサポートしていない場合、IAMユーザーはまずOracle Cloud Infrastructureコマンドライン・インタフェース(CLI)を使用してIAMデータベース・トークンを取得し、ファイルの場所に保存できます。たとえば、この接続方法を使用してSQL*Plusおよびその他のアプリケーションおよびツールを使用するには、最初にOracle Cloud Infrastructure (OCI)コマンドライン・インタフェース(CLI)を使用してデータベース・トークンを取得します。データベース・クライアントがIAMデータベース・トークン用に構成されている場合、ユーザーがスラッシュ・ログイン形式でログインすると、データベース・ドライバは、デフォルトまたは指定されたファイルの場所に保存されたIAMデータベース・トークンを使用します。

  • クライアント・アプリケーションまたはツールは、Oracle Cloud Infrastructure IAMインスタンス・プリンシパルまたはリソース・プリンシパルを使用してIAMデータベース・トークンを取得し、IAMデータベース・トークンを使用してAutonomous AI Databaseインスタンスに対して自己認証できます。

  • IAMユーザーおよびOCIアプリケーションは、APIキーの使用など、いくつかの方法でIAMからデータベース・トークンをリクエストできます。例については、IAMトークンを使用するSQL*Plusのクライアント接続の構成を参照してください。OCIクラウド・シェル内での委任トークンの使用など、その他の方法の詳細は、Oracle Autonomous AI Databaseに対するIAMユーザーの認証と認可についてを参照してください。