Autonomous Databaseを使用したユーザー・プロファイルの管理
Autonomous Databaseでユーザー・プロファイルを作成および変更できます。プロファイルを作成または変更した後、CREATE USER
またはALTER USER
を使用してプロファイル句を指定できます。Oracle Data Pump Importを使用して、別の環境から既存のユーザー・プロファイルをインポートすることもできます。
DEFAULT
プロファイルを含むプロファイルのパスワード・パラメータを追加、変更または削除するには、ALTER PROFILE
システム権限が必要です。
これにより、プロファイルnew_profile
および接続権限を持つnew_user
が作成されます。これで、new_user
がデータベースに接続し、問合せを実行できるようになります。ユーザーに追加権限を付与するには、「Autonomous Databaseでのユーザー権限の管理 - クライアント・ツールを使用した接続」を参照してください。
CREATE PROFILE
またはALTER PROFILE
の使用の詳細は、「CREATE PROFILE」を参照してください。
Oracle Data Pump Import (impdp
)を使用して、他の環境で作成された既存のプロファイルをインポートできます。データベース・ユーザーとの既存のプロファイルの関連付けは、Autonomous Databaseへのインポート後も保持されます。Oracle Data Pumpインポートから新規に作成されたユーザーが初めてログインしようとすると、ログインは次のように処理されます。
- パスワードの複雑性の制限は、Autonomous Databaseのすべてのユーザーに対する制限と同じです
-
ユーザーのパスワードがパスワードの複雑性の要件に違反している場合、アカウントは30日間の猶予期間で期限切れになります。この場合、ユーザーは猶予期間が終了する前にパスワードを変更する必要があります。
プロファイル
ORA_PROTECTED_PROFILE
およびORA_ADMIN_PROFILE
を持つユーザーのプロファイル割当ては変更できません。
次のユーザーはORA_PROTECTED_PROFILE
プロファイルを共有しており、これらのユーザーのプロファイル割当ては変更できません。
ADBSNMP
ADB_APP_STORE
DCAT_ADMIN
GGADMIN
RMAN$CATALOG
ADMIN
ユーザーがORA_ADMIN_PROFILE
に割り当てられます。
プロファイルを作成または変更するときに、パスワード検証ファンクション(PVF)を指定してパスワードの複雑性を管理できます。詳細は、「Autonomous Databaseでのパスワード複雑度の管理」を参照してください。
- Autonomous Databaseでのパスワードの複雑性の管理
パスワード検証ファンクション(PVF)を作成し、PVFをプロファイルに関連付けて、ユーザー・パスワードの複雑性を管理できます。 - アプリケーションの段階的データベース・パスワード・ロールオーバー
親トピック: ユーザーの管理
Autonomous Databaseでのパスワードの複雑性の管理
パスワード検証ファンクション(PVF)を作成し、PVFをプロファイルに関連付けて、ユーザー・パスワードの複雑性を管理できます。
ユーザー指定のPVFのパスワードの最小長は8文字で、大文字、小文字および数字を1つ以上含める必要があります。DEFAULTプロファイルの最小パスワード長は12文字です(DEFAULTプロファイルでは
CLOUD_VERIFY_FUNCTION
PVFが使用されます)。パスワードにはユーザー名を含めることはできません。
最低限12文字のパスワードを使用することをお薦めします。プロファイルのPVFを定義し、最小パスワード長を12文字未満に設定した場合、Oracle Database Security Assessment Tool (DBSAT)やQualysなどのツールでは、これがデータベース・セキュリティ・リスクとして報告されます。
たとえば、プロファイルにPVFを指定するには、次のコマンドを使用します:
CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF
ADMINユーザー以外のユーザーによってプロファイルが作成または変更される場合は、PVFに対するEXECUTE
権限を付与する必要があります。PVFを作成するときに、パスワード・チェックに失敗した場合は、ORA-28219
エラーがレポートされます。
次のいずれかのOracle提供PVFを指定できます:
CLOUD_VERIFY_FUNCTION
(これはAutonomous Databaseのデフォルトのパスワード検証ファンクションです:このファンクションでは、ユーザーがパスワードを作成または変更したときに、次の要件をチェックします。
-
パスワードは、12文字から30文字までの長さとし、大文字、小文字および数字をそれぞれ1文字以上含める必要があります。
-
パスワードにはユーザー名を含めることはできません。
-
同じユーザー名に、過去4回のパスワードを使用することはできません。
-
パスワードに二重引用符(")文字を含めることはできません。
-
パスワードを、設定してから24時間経過していないパスワードと同じにすることはできません。
-
ORA12C_STIG_VERIFY_FUNCTION
このファンクションでは、ユーザーがパスワードを作成または変更したときに、次の要件をチェックします。
-
パスワードが15文字以上であること。
-
パスワードに少なくとも1文字以上の小文字と、1文字以上の大文字が含まれていること。
-
パスワードに少なくとも1つの数字が含まれていること。
-
パスワードに少なくとも1つの特殊文字が含まれていること。
-
以前のパスワードとの違いが8文字以上あること。
詳細は、「ora12c_stig_verify_functionのパスワード要件」を参照してください。
-
作成してプロファイルに割り当てるパスワード検証ファンクション(PVF)には、次の制限事項があります:
-
ユーザー・プロファイルを指定する場合、パスワードの最小長は、次のように、関連するPVFの定義方法によって異なります:
-
PVFが定義されている場合、強制されるパスワードの最小長は8文字で、大文字、小文字および数字が1つ以上あります。パスワードにはユーザー名を含めることはできません。
-
PVFが
NULL
として定義されている場合、最小パスワード長は8文字で、少なくとも1つの大文字、1つの小文字および1つの数字を使用します。パスワードにはユーザー名を含めることはできません。 -
プロファイルにPVFが定義されていない場合は、DEFAULTプロファイルのPVF (
CLOUD_VERIFY_FUNCTION
)が割り当てられ、最小パスワード長は12文字です。
-
- デフォルトの
CLOUD_VERIFY_FUNCTION
よりも厳密なパスワード検証ファンクション(PVF)を指定すると、新しい検証ファンクションが使用されます。 -
作成するPVFは、
DEFINER RIGHTS
PL/SQLファンクションとして作成する必要があります。CREATE
またはALTER
PROFILE
への入力としてINVOKER
権限PVFが指定されると、ORA-28220
エラーがスローされます。 -
作成するPVFをADMINユーザー・スキーマに作成する必要があります。
CREATE
またはALTER
PROFILE
への入力としてADMIN権限PVF以外のユーザーが所有するPVFが指定されると、ORA-28220
エラーがスローされます。 -
管理者以外のユーザーはPVFを変更または削除できません。つまり、
CREATE
またはDROP
ANY PROCEDURE
権限を持つユーザーはPVFを変更または削除できません。 -
プロファイルに関連付けられているPVFが削除された場合、そのプロファイルでPVFを使用するユーザーのパスワードを変更しようとすると、エラー
ORA-7443
がスローされます。ユーザーは、自分のプロファイルに関連付けられたPVFが削除されても引き続きログインできます。ただし、ユーザーのパスワードが期限切れでPVFが削除された場合、ユーザーはログインできません。ORA-7443
エラーからリカバリするには、ADMINユーザーが削除されたPVFを再作成してプロファイルを割り当てるか、既存のPVFをプロファイルに割り当てる必要があります。これにより、ユーザーはパスワードを変更してログインできるようになります。 -
PVFのセキュリティのために、
CREATE ANY PROCEDURE
システム権限およびDROP ANY PROCEDURE
システム権限が監査されます。詳細は、「システムおよびオブジェクト権限のリスト」のPROCEDURES
リストを参照してください。
詳細は、「パスワードの複雑度の管理」を参照してください。
アプリケーションの段階的データベース・パスワード・ロールオーバー
管理者が停止時間をスケジュールしなくても、アプリケーションのデータベース・パスワードを変更できます。
これを行うため、PASSWORD_ROLLOVER_TIME
パスワード・プロファイル・パラメータにはゼロ以外の制限を持つプロファイルを、アプリケーション・スキーマに関連付けることができます。これにより、PASSWORD_ROLLOVER_TIME
制限で指定された期間、古いパスワードを有効なままにしながら、アプリケーション・ユーザーのデータベース・パスワードを変更できます。ロールオーバー期間中、アプリケーション・インスタンスは古いパスワードまたは新しいパスワードのいずれかを使用してデータベース・サーバーに接続できます。ロールオーバー時間が経過すると、新しいパスワードのみが許可されます。
詳細は、「アプリケーションの段階的データベース・パスワード・ロールオーバーの管理」を参照してください。