Autonomous Databaseを使用したユーザー・プロファイルの管理

Autonomous Databaseでユーザー・プロファイルを作成および変更できます。プロファイルを作成または変更した後、CREATE USERまたはALTER USERを使用してプロファイル句を指定できます。Oracle Data Pump Importを使用して、別の環境から既存のユーザー・プロファイルをインポートすることもできます。

ノート

Autonomous Databaseでは、プロファイル句に制限があります。CREATE PROFILEおよびALTER PROFILE制限の詳細は、「SQLコマンド」を参照してください。

DEFAULTプロファイルを含むプロファイルのパスワード・パラメータを追加、変更または削除するには、ALTER PROFILEシステム権限が必要です。

  1. プロファイルを追加または変更する場合は、ADMINユーザーとしてCREATE PROFILEまたはALTER PROFILEを実行します。たとえば:
    CREATE PROFILE new_profile
      LIMIT PASSWORD_REUSE_MAX 10
      PASSWORD_LOCK_TIME 5;

    ADMINユーザーでない場合、CREATE PROFILEを実行するにはCREATE PROFILE権限が必要です。ALTER PROFILEを実行する場合は、ALTER PROFILE権限が必要です。

  2. CREATE USERまたはALTER USERコマンドで、新規プロファイルまたは変更されたプロファイルを使用します。たとえば:
    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
    GRANT CREATE SESSION TO new_user;

これにより、プロファイルnew_profileおよび接続権限を持つnew_userが作成されます。これで、new_userがデータベースに接続し、問合せを実行できるようになります。ユーザーに追加権限を付与するには、「Autonomous Databaseでのユーザー権限の管理 - クライアント・ツールを使用した接続」を参照してください。

CREATE PROFILEまたはALTER PROFILEの使用の詳細は、「CREATE PROFILE」を参照してください。

Oracle Data Pump Import (impdp)を使用して、他の環境で作成された既存のプロファイルをインポートできます。データベース・ユーザーとの既存のプロファイルの関連付けは、Autonomous Databaseへのインポート後も保持されます。Oracle Data Pumpインポートから新規に作成されたユーザーが初めてログインしようとすると、ログインは次のように処理されます。

  • パスワードの複雑性の制限は、Autonomous Databaseのすべてのユーザーに対する制限と同じです
  • ユーザーのパスワードがパスワードの複雑性の要件に違反している場合、アカウントは30日間の猶予期間で期限切れになります。この場合、ユーザーは猶予期間が終了する前にパスワードを変更する必要があります。

ノート

プロファイルORA_PROTECTED_PROFILEおよびORA_ADMIN_PROFILEを持つユーザーのプロファイル割当ては変更できません。

次のユーザーはORA_PROTECTED_PROFILEプロファイルを共有しており、これらのユーザーのプロファイル割当ては変更できません。

  • ADBSNMP
  • ADB_APP_STORE
  • DCAT_ADMIN
  • GGADMIN
  • RMAN$CATALOG

ADMINユーザーがORA_ADMIN_PROFILEに割り当てられます。

プロファイルを作成または変更するときに、パスワード検証ファンクション(PVF)を指定してパスワードの複雑性を管理できます。詳細は、「Autonomous Databaseでのパスワード複雑度の管理」を参照してください。

Autonomous Databaseでのパスワードの複雑性の管理

パスワード検証ファンクション(PVF)を作成し、PVFをプロファイルに関連付けて、ユーザー・パスワードの複雑性を管理できます。

ノート

ユーザー指定のPVFのパスワードの最小長は8文字で、大文字、小文字および数字を1つ以上含める必要があります。DEFAULTプロファイルの最小パスワード長は12文字です(DEFAULTプロファイルではCLOUD_VERIFY_FUNCTION PVFが使用されます)。パスワードにはユーザー名を含めることはできません。

最低限12文字のパスワードを使用することをお薦めします。プロファイルのPVFを定義し、最小パスワード長を12文字未満に設定した場合、Oracle Database Security Assessment Tool (DBSAT)やQualysなどのツールでは、これがデータベース・セキュリティ・リスクとして報告されます。

たとえば、プロファイルにPVFを指定するには、次のコマンドを使用します:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

ADMINユーザー以外のユーザーによってプロファイルが作成または変更される場合は、PVFに対するEXECUTE権限を付与する必要があります。PVFを作成するときに、パスワード・チェックに失敗した場合は、ORA-28219エラーがレポートされます。

次のいずれかのOracle提供PVFを指定できます:

  • CLOUD_VERIFY_FUNCTION (これはAutonomous Databaseのデフォルトのパスワード検証ファンクションです:

    このファンクションでは、ユーザーがパスワードを作成または変更したときに、次の要件をチェックします。

    • パスワードは、12文字から30文字までの長さとし、大文字、小文字および数字をそれぞれ1文字以上含める必要があります。

    • パスワードにはユーザー名を含めることはできません。

    • 同じユーザー名に、過去4回のパスワードを使用することはできません。

    • パスワードに二重引用符(")文字を含めることはできません。

    • パスワードを、設定してから24時間経過していないパスワードと同じにすることはできません。

  • ORA12C_STIG_VERIFY_FUNCTION

    このファンクションでは、ユーザーがパスワードを作成または変更したときに、次の要件をチェックします。

    • パスワードが15文字以上であること。

    • パスワードに少なくとも1文字以上の小文字と、1文字以上の大文字が含まれていること。

    • パスワードに少なくとも1つの数字が含まれていること。

    • パスワードに少なくとも1つの特殊文字が含まれていること。

    • 以前のパスワードとの違いが8文字以上あること。

    詳細は、「ora12c_stig_verify_functionのパスワード要件」を参照してください。

作成してプロファイルに割り当てるパスワード検証ファンクション(PVF)には、次の制限事項があります:

  • ユーザー・プロファイルを指定する場合、パスワードの最小長は、次のように、関連するPVFの定義方法によって異なります:

    • PVFが定義されている場合、強制されるパスワードの最小長は8文字で、大文字、小文字および数字が1つ以上あります。パスワードにはユーザー名を含めることはできません。

    • PVFがNULLとして定義されている場合、最小パスワード長は8文字で、少なくとも1つの大文字、1つの小文字および1つの数字を使用します。パスワードにはユーザー名を含めることはできません。

    • プロファイルにPVFが定義されていない場合は、DEFAULTプロファイルのPVF (CLOUD_VERIFY_FUNCTION)が割り当てられ、最小パスワード長は12文字です。

  • デフォルトのCLOUD_VERIFY_FUNCTIONよりも厳密なパスワード検証ファンクション(PVF)を指定すると、新しい検証ファンクションが使用されます。
  • 作成するPVFは、DEFINER RIGHTS PL/SQLファンクションとして作成する必要があります。CREATEまたはALTER PROFILEへの入力としてINVOKER権限PVFが指定されると、ORA-28220エラーがスローされます。

  • 作成するPVFをADMINユーザー・スキーマに作成する必要があります。CREATEまたはALTER PROFILEへの入力としてADMIN権限PVF以外のユーザーが所有するPVFが指定されると、ORA-28220エラーがスローされます。

  • 管理者以外のユーザーはPVFを変更または削除できません。つまり、CREATEまたはDROP ANY PROCEDURE権限を持つユーザーはPVFを変更または削除できません。

  • プロファイルに関連付けられているPVFが削除された場合、そのプロファイルでPVFを使用するユーザーのパスワードを変更しようとすると、エラーORA-7443がスローされます。ユーザーは、自分のプロファイルに関連付けられたPVFが削除されても引き続きログインできます。ただし、ユーザーのパスワードが期限切れでPVFが削除された場合、ユーザーはログインできません。

    ORA-7443エラーからリカバリするには、ADMINユーザーが削除されたPVFを再作成してプロファイルを割り当てるか、既存のPVFをプロファイルに割り当てる必要があります。これにより、ユーザーはパスワードを変更してログインできるようになります。

  • PVFのセキュリティのために、CREATE ANY PROCEDUREシステム権限およびDROP ANY PROCEDUREシステム権限が監査されます。詳細は、「システムおよびオブジェクト権限のリスト」PROCEDURESリストを参照してください。

詳細は、「パスワードの複雑度の管理」を参照してください。

アプリケーションの段階的データベース・パスワード・ロールオーバー

管理者が停止時間をスケジュールしなくても、アプリケーションのデータベース・パスワードを変更できます。

これを行うため、PASSWORD_ROLLOVER_TIMEパスワード・プロファイル・パラメータにはゼロ以外の制限を持つプロファイルを、アプリケーション・スキーマに関連付けることができます。これにより、PASSWORD_ROLLOVER_TIME制限で指定された期間、古いパスワードを有効なままにしながら、アプリケーション・ユーザーのデータベース・パスワードを変更できます。ロールオーバー期間中、アプリケーション・インスタンスは古いパスワードまたは新しいパスワードのいずれかを使用してデータベース・サーバーに接続できます。ロールオーバー時間が経過すると、新しいパスワードのみが許可されます。

詳細は、「アプリケーションの段階的データベース・パスワード・ロールオーバーの管理」を参照してください。