IAM認証でのプロキシ認証の使用
IAM認証でプロキシ認証を使用できます。この設定では、次のことが行われます。
- IAMは、プロキシ・ユーザー(たとえば、proxy_user@example.com)を認証します。
- Oracle Databaseでは、データベースおよび接続設定に基づいて、セッションがプロキシ・クライアント・ユーザー(proxy_client1またはproxy_client2)として確立されます。
データベース設定
-
プロキシ・クライアント・ユーザーを作成します。
CREATE USER proxy_client1 IDENTIFIED BY 'password'; CREATE USER proxy_client2 IDENTIFIED BY 'password'; -
IAMによって認証されたプロキシ・ユーザーを作成します。
CREATE USER proxy_user_iam IDENTIFIED GLOBALLY AS 'IAM_PRINCIPAL_NAME=proxy_user@example.com'; -
プロキシ・ユーザーがプロキシ・クライアント・ユーザーに接続できるようにします。
ALTER USER proxy_client1 GRANT CONNECT THROUGH proxy_user_iam; -
(オプション)プロキシ経由で接続するときに、有効なロールを認証および制限するようプロキシ・クライアントに要求します。
ALTER USER proxy_client2 GRANT CONNECT THROUGH proxy_user_iam WITH ROLE role1, role2 AUTHENTICATION REQUIRED;
データベース・ツールの接続設定
ユース・ケースに一致するオプションを選択します。
- オプション1: プロキシ・クライアント・ユーザーの指定
このオプションは、セッションで使用する必要があるプロキシ・クライアント・ユーザー名がわかっている場合に使用します。
次の拡張接続プロパティを追加します。
oracle.jdbc.proxyClientName = <proxy_client_user> - オプション2: プロキシ・クライアント資格証明の指定およびロールの制御
このオプションは、データベースでプロキシ・クライアントによる認証(
AUTHENTICATION REQUIREDなど)が必要で、有効にするロールを制御する必要がある場合に使用します。データベース・ツールの「接続の作成」ページで、「プロキシ認証」の値(プロキシ・クライアントのユーザー名とパスワード)を入力し、必要に応じてロール・オプションを選択します。接続の作成の詳細は、「接続の作成」を参照してください。
-
オプション3: プロキシ・クライアントの自動検出(ダブル・セッション)
プロキシ・ユーザーがプロキシ・クライアント認証を必要とせずにプロキシ・クライアント・ユーザーに接続でき、データベース・ツールで正しいプロキシ・クライアント・ユーザーを自動的に決定する場合に、このオプションを使用します。
この設定では、プロキシ・クライアント・ユーザーには、
AUTHENTICATION REQUIRED句を指定せずにCONNECT THROUGHが付与されます。-
「接続の作成」ページで、「拡張オプション」を展開し、「認証」を展開します。
-
「プロキシ認証タイプ」で、「ダブル・セッション(ユーザー、ロールの自動検出)」を選択します。
データベース・ツールは、データベース・ビュー
USER_PROXIESをチェックして、プロキシ・ユーザーにマップされているプロキシ・クライアントを判別します。1つのプロキシ・クライアント・ユーザーが見つかった場合は、データベース・ツールによって自動的に選択されます。 -
IAM認証およびプロキシ認証の詳細は、Oracle AI DatabaseのIAMユーザーの認証および認可を参照してください