データベース・セッション・アイデンティティおよびロール伝播
Database Tools MCP Serverを介してカスタムSQLツールまたはSQLレポートを実行すると、サーバーはエンド・ユーザーIDをデータベース・セッションに伝播します。
アイデンティティ属性は、データベース・セッション・コンテキスト・ネームスペースCLIENTCONTEXTに格納されます。
SQLまたはPL/SQLでは、SYS_CONTEXTファンクションを使用してこれらの値を取得できます。
SYS_CONTEXT('CLIENTCONTEXT', '<PARAMETER_NAME>')SQLまたはPL/SQLでCLIENTCONTEXT値を使用して、アプリケーション・ロールに基づいてアクセス制御を実装し、行レベルのフィルタリングを適用し、ユーザー固有の結果を返すことができます。これにより、データベース・アクティビティを元のIAMユーザーに関連付けることで監査も改善されます。
伝播されたアイデンティティ属性は、Oracle Database統合監査を使用して取得し、OCI監査ログと相関付けて、MCPリクエストの完全なトレーサビリティを提供することもできます。詳細は、Auditingを参照してください。
次の表のすべてのパラメータがネームスペースの下にあります: CLIENTCONTEXT
CLIENTCONTEXT |
|||
|---|---|---|---|
| パラメータ | 摘要 | 例 | ソース |
| 自動サブ・タイプ | Subjectタイプ | ユーザー | sub_type要求 |
| 自動サブ | 件名 | first.last@example.com | サブ請求 |
| OAUTH_USER_OCID | ユーザーOCID | ocid1.user.oc1..xxxx | user_ocid要求 |
| OAUTH_CLIENT_OCID | クライアントOCID | ocid1.domainapp.oc1.iad.xxxx | client_ocid要求 |
| OAUTHクライアントの名前 | クライアント名 | クライン | client_name要求 |
| OAUTH_CA_OCID | クラウド・アカウントOCID | ocid1.tenancy.oc1..xxxx | c_ocid要求 |
| OAUTH_CA_NAME | クラウド・アカウント名 | オークフリード | カテゴリ名要求 |
| 自動ドメインID | ドメインID | ocid1.domain.oc1..xxxx | domain_id要求 |
| OAUTHドメイン名 | ドメイン名 | dbtools-mcp | ドメイン・クレーム |
| IAM_DOMAIN_APP_ROLES | アプリケーション・ロールが割り当てられました | MCP_User、MCP_Operator | 件名に割り当てられたアプリケーション・ロール |
| RESOURCE_OCID | データベース・ツールMCPサーバーOCID | ocid1.databasetoolsmcpserver.oc1.phx.xxxx | データベース・ツールMCPサーバーOCID |
| リソース_COMPARTMENT_OCID | データベース・ツールMCPサーバーのコンパートメントOCID | ocid1.compartment.oc1..xxxx | データベース・ツールMCPサーバー・コンパートメントOCID |