専用Exadataインフラストラクチャ上のAutonomous DatabaseでのMicrosoft Active Directoryの使用
Microsoft Active Directoryユーザーを認証および認可するようにAutonomous Database on Dedicated Exadata Infrastructureを構成できます。この構成により、Active DirectoryユーザーはActive Directory資格証明を使用してAutonomous Databaseにアクセスできます。
Autonomous DatabaseでのAzure Active Directoryの使用の詳細は、Autonomous DatabaseでのAzure Active Directory (Azure AD)の使用を参照してください。CMUオプションはMicrosoft Active Directoryサーバーをサポートしていますが、Azure Active Directoryサービスはサポートしていません。
Autonomous Databaseと一元管理ユーザー(CMU)の統合によって、Microsoft Active Directoryとの統合が提供されます。CMUをActive Directoryと連携動作させるには、Oracleデータベースのグローバル・ユーザーおよびグローバル・ロールをMicrosoft Active Directoryのユーザーおよびグループにマップします。
- Autonomous DatabaseでCMUをMicrosoft Active Directoryで構成するための前提条件
- Autonomous DatabaseでのMicrosoft Active Directoryを使用したCMUの構成
- Exadata Cloud@CustomerでのMicrosoft Active Directoryを使用したCMUの構成
- Autonomous DatabaseでのMicrosoft Active Directoryロールの追加
Active Directoryロールを追加するには、CREATE ROLE
文またはALTER ROLE
文を使用して(また、IDENTIFIED GLOBALLY AS
句も含めて)データベース・グローバル・ロールをActive Directoryグループにマップします。 - Autonomous DatabaseでのMicrosoft Active Directoryユーザーの追加
Autonomous DatabaseにアクセスするためにActive Directoryユーザーを追加するには、CREATE USER
文またはALTER USER
文を(IDENTIFIED GLOBALLY AS
句とともに)使用して、データベース・グローバル・ユーザーをActive Directoryのグループまたはユーザーにマップします。 - Active Directoryユーザー資格証明を使用したAutonomous Databaseへの接続
ADMINユーザーがCMU Active Directory構成ステップを完了してグローバル・ロールおよびグローバル・ユーザーを作成した後、ユーザーはActive Directoryのユーザー名とパスワードを使用してAutonomous Databaseにログインします。 - Autonomous Databaseを使用したActive Directoryユーザー接続情報の確認
ユーザーがActive Directoryのユーザー名とパスワードを使用してAutonomous Databaseにログインすると、ユーザー・アクティビティを確認および監査できます。 - Autonomous DatabaseでのActive Directoryのユーザーおよびロールの削除
Active DirectoryのユーザーおよびロールをAutonomous Databasesから削除するには、標準のデータベース・コマンドを使用します。これを行っても、削除したデータベース・ユーザーまたはロールからマップされていた関連するActive Directoryのユーザーまたはグループは削除されません。 - Autonomous DatabaseでのActive Directoryアクセスの無効化
Autonomous DatabaseからCMU構成を削除する(およびAutonomous DatabaseからActive DirectoryへのLDAPアクセスを無効にする)ステップについて説明します。 - Autonomous DatabaseでのMicrosoft Active Directoryの制限事項
親トピック: ユーザーの管理
Autonomous DatabaseでCMUをMicrosoft Active Directoryで構成するための前提条件
Autonomous DatabaseからActive Directoryへの接続を構成するために必要な前提条件は次のとおりです:
-
Microsoft Active Directoryをインストールして構成しておく必要があります。詳細は、AD DSの開始を参照してください。
-
Oracleサービス・ディレクトリ・ユーザーをActive Directory内に作成する必要があります。Oracleサービス・ディレクトリ・ユーザー・アカウントの詳細は、Microsoft Active Directoryへの接続を参照してください。
-
Active Directoryシステム管理者は、Active DirectoryサーバーにOracleパスワード・フィルタをインストールし、要件に合うようにActive Directoryユーザーを含むActive Directoryグループを設定しておく必要があります。
Autonomous DatabaseでCMUを使用する場合はパスワード認証のみがサポートされているため、付属のユーティリティ
opwdintg.exe
を使用してOracleパスワード・フィルタをActive Directoryにインストールし、スキーマを拡張して、3つのタイプのパスワード確認生成に対する3つの新しいORA_VFR
グループを作成する必要があります。Oracleパスワード・フィルタのインストールの詳細は、Microsoft Active Directoryへの接続を参照してください。 -
Active Directoryサーバーには、Autonomous Databaseからパブリック・インターネットを介してアクセスできる必要があります。また、Autonomous Databaseがインターネットを介してTLS/SSL経由でActive Directoryサーバーへの安全なLDAPアクセスができるように、Active Directoryサーバーのポート636がOracle Cloud InfrastructureのAutonomous Databaseに対して開かれている必要があります。
また、オンプレミスのActive DirectoryをOracle Cloud Infrastructureまで拡張して、そこにオンプレミスのActive Directoryの読取り専用ドメイン・コントローラ(RODC)を設定することもできます。これにより、Oracle Cloud InfrastructureでこれらのRODCを使用して、Autonomous DatabasesにアクセスするオンプレミスのActive Directoryユーザーを認証および認可できます。
詳細は、Hybrid CloudでのActive Directory統合の拡張を参照してください。
-
Autonomous DatabaseにCMUを構成するには、
cwallet.sso
およびCMU構成ファイルdsi.ora
が必要です:-
オンプレミス・データベースにCMUをすでに構成した場合は、オンプレミス・データベース・サーバーからこれらの構成ファイルを取得できます。
-
オンプレミス・データベースにCMUを構成していない場合は、これらのファイルを作成する必要があります。次に、構成ファイルをクラウドにアップロードして、Autonomous DatabaseインスタンスにCMUを構成します。ウォレットおよび
dsi.ora
を検証するには、オンプレミス・データベースにCMUを構成し、Active Directoryユーザーがこれらの構成ファイルを使用してオンプレミス・データベースに正常にログオンできることを確認します。次に、Autonomous DatabaseにCMUを構成するために、これらの構成ファイルをクラウドにアップロードします。
CMUのウォレット・ファイルの詳細は、セキュアな接続のためのウォレットの作成およびOracle Walletの確認を参照してください。
CMUの
dsi.ora
ファイルの詳細は、dsi.oraファイルの作成を参照してください。CMUに対するActive Directoryの構成、およびオンプレミス・データベースでのCMUに関するトラブルシューティングの詳細は、データベース・リリース18c以降での一元管理ユーザーの構成方法(ドキュメントID 2462012.1)を参照してください。
-
Autonomous DatabaseでのMicrosoft Active Directoryを使用したCMUの構成
Active Directoryサーバーに接続するようにCMUのAutonomous Databaseを構成するには:
Autonomous DatabaseからActive Directoryへのアクセスを無効にする手順については、Autonomous DatabaseでのActive Directoryアクセスの無効化を参照してください。
Microsoft Active Directoryを使用したCMUの構成の詳細は、Microsoft Active Directoryを使用した一元管理ユーザーの構成を参照してください。
Exadata Cloud@CustomerでのMicrosoft Active Directoryを使用したCMUの構成
適用対象: Exadata Cloud@Customerのみ
Oracle Object Storeサービスを使用せずにActive Directoryサーバーに接続するようにCMU用にExadata Cloud@Customer上のAutonomous Databaseを構成するには:
これで、Microsoft Active Directoryを介した外部認証をExadata Cloud@Customer上のAutonomous Databaseとともに使用するようにCMU-ADを構成しました。
Autonomous DatabaseでのMicrosoft Active Directoryロールの追加
Active Directoryロールを追加するには、CREATE ROLE
文またはALTER ROLE
文を使用して(また、IDENTIFIED GLOBALLY AS
句も含めて)データベース・グローバル・ロールをActive Directoryグループにマップします。
Autonomous DatabaseでActive Directoryグループのグローバル・ロールを追加するには:
Microsoft Active Directoryを使用したロールの構成の詳細は、一元管理ユーザーの認可の構成を参照してください。
Autonomous DatabaseでのMicrosoft Active Directoryユーザーの追加
Autonomous DatabaseにアクセスするためにActive Directoryユーザーを追加するには、CREATE USER
文またはALTER USER
文を(IDENTIFIED GLOBALLY AS
句とともに)使用して、データベース・グローバル・ユーザーをActive Directoryのグループまたはユーザーにマップします。
Autonomous DatabaseとActive Directoryの統合を機能させるためには、Microsoft Active DirectoryのユーザーおよびグループをOracleデータベースのグローバル・ユーザーおよびグローバル・ロールに直接マップします。
Autonomous DatabaseでActive Directoryのグループまたはユーザーのグローバル・ユーザーを追加するには:
Microsoft Active Directoryを使用したユーザーの構成の詳細は、一元管理ユーザーの認可の構成を参照してください。
Active Directoryユーザー資格証明を使用したAutonomous Databaseへの接続
ADMINユーザーがCMU Active Directory構成ステップを完了し、グローバル・ロールおよびグローバル・ユーザーを作成した後、ユーザーはActive Directoryのユーザー名とパスワードを使用してAutonomous Databaseにログインします。
グローバル・ユーザー名を使用してログインしないでください。グローバル・ユーザー名はパスワードを持たないため、グローバル・ユーザー名を使用して接続しても成功しません。データベースにログインするためには、Autonomous Databaseにグローバル・ユーザー・マッピングが必要です。グローバル・ロール・マッピングのみでデータベースにログインすることはできません。
Autonomous DatabaseでActive DirectoryとともにCMUを構成し、グローバル・ロールおよびグローバル・ユーザーを使用してActive Directory認可を設定した後は、専用Autonomous Databaseへの接続についてで説明されているいずれかの接続方法を使用してAutonomous Databaseに接続できます。接続時にActive Directoryユーザーを使用する場合は、Active Directoryユーザー資格証明を使用します。たとえば、"AD_DOMAIN\AD_USERNAME"という形式でユーザー名を指定し(二重引用符で囲む必要があります)、パスワードにAD_USER_PASSWORDを使用します。
Autonomous Databaseを使用したActive Directoryユーザー接続情報の確認
ユーザーがActive Directoryのユーザー名とパスワードを使用してAutonomous Databaseにログインすると、ユーザー・アクティビティを確認および監査できます。
たとえば、ユーザーpfitch
がログインした場合:
CONNECT "production\pfitch"/password@exampleadb_medium;
Active Directoryユーザーのログオン・ユーザー名(samAccountName)はpfitch
で、widget_sales_group
がActive Directoryグループ名、widget_sales
がAutonomous Databaseグローバル・ユーザーです。
pfitch
がデータベースにログインした後は、コマンドSHOW USER
を実行するとグローバル・ユーザー名が表示されます:
SHOW USER;
USER is "WIDGET_SALES"
次のコマンドは、Active DirectoryユーザーのDN (識別名)を表示します:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
たとえば、この一元管理ユーザーのエンタープライズ・アイデンティティを確認できます:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
次のコマンドは、"AD_DOMAIN\AD_USERNAME
"を表示します:
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
たとえば、ユーザーがデータベースにログオンすると、Active Directoryの認証済ユーザー・アイデンティティが取得および監査されます:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
詳細は、一元管理ユーザーのログオン情報の確認を参照してください。
Autonomous DatabaseでのActive Directoryのユーザーおよびロールの削除
Autonomous DatabaseからActive Directoryのユーザーおよびロールを削除するには、標準のデータベース・コマンドを使用します。これを行っても、削除したデータベース・ユーザーまたはロールからマップされていた関連するActive Directoryのユーザーまたはグループは削除されません。
Autonomous Databaseからユーザーまたはロールを削除するには:
Autonomous DatabaseでのActive Directoryアクセスの無効化
Autonomous DatabaseからCMU構成を削除する(およびAutonomous DatabaseからActive DirectoryへのLDAPアクセスを無効にする)ステップについて説明します。
CMU Active DirectoryにアクセスするようにAutonomous Databaseインスタンスを構成した後、次のようにしてアクセスを無効にできます:
詳細は、DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。
Autonomous DatabaseでのMicrosoft Active Directoryの制限事項
Autonomous DatabaseでActive Directoryを使用するCMUには、次の制限が適用されます:
-
Autonomous Databaseを使用したCMUでは、「パスワード認証」および「Kerberos」のみがサポートされています。Autonomous DatabaseでCMU認証を使用している場合、Azure AD、OCI IAM、PKIなどの他の認証方式はサポートされません。
-
Oracle Application Expressおよびデータベース・アクションは、Autonomous Databaseを使用するActive Directoryユーザーではサポートされていません。