IAMユーザーは、IAMデータベース・パスワード・ベリファイアまたはIAMトークンを使用してデータベース・インスタンスに接続できます。

IAMデータベース・パスワード・ベリファイアの使用は、データベース・パスワード認証プロセスと似ています。ただし、パスワード・ベリファイア(パスワードの暗号化されたハッシュ)がデータベースに格納されるかわりに、ベリファイアはOCI IAMユーザー・プロファイルの一部として格納されます。

データベースにIAMトークンを使用する2つ目の接続方法は、より先進的です。トークンベースのアクセスの使用は、Exadata Cloud InfrastructureのOracle Databaseなどのクラウド・リソースに適しています。トークンは、IAMエンドポイントで強制できる強度に基づきます。これはマルチファクタ認証である可能性があり、パスワードのみを使用するよりも強力です。トークンを使用するもう1つの利点は、パスワード・ベリファイア(機密とみなされる)がメモリーに格納されず、メモリーで使用できないことです。

Oracle Cloud Infrastructure IAMとOracle Exadata Database Service on Dedicated Infrastructureとの統合によって、次のことがサポートされます:

• Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)データベース・パスワード・ベリファイア認証
• Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークン・ベース認証

Oracle Exadata Database Service on Dedicated InfrastructureでIAMユーザーを使用するためのアーキテクチャの詳細は、Oracle Database 19cセキュリティ・ガイドおよびOracle Database 23aiセキュリティ・ガイドのOracle DBaaSデータベースに対するIAMユーザーの認証と認可を参照してください。

Oracle Databaseインスタンスで、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)によるユーザー・アクセスを可能にすることができます。

Oracle Cloud Infrastructure IAMデータベース・パスワードを使用すると、Oracle Databaseユーザーが通常ユーザー名とパスワードでログインするようにOracle Databaseインスタンスにログインできます。ユーザーは、IAMユーザー名およびIAMデータベース・パスワードを入力します。IAMデータベースのパスワードは、Oracle Cloud Infrastructureコンソールのパスワードとは異なります。IAMユーザーとパスワード・ベリファイアを使用すると、サポートされている任意のデータベース・クライアントでOracle Databaseにログインできます。

パスワード・ベリファイアのデータベース・アクセスのために、Oracle DatabaseインスタンスへのIAMユーザーおよびOCIアプリケーションのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメイン内に存在できます。

IAMデータベース・パスワードの管理の詳細は、ユーザー資格証明の管理を参照してください。

データベースへのIAMトークン・アクセスの場合、クライアント・アプリケーションまたはツールは、IAMからIAMユーザーのデータベース・トークンをリクエストします。

クライアント・アプリケーションは、データベース・クライアントAPIを介してデータベース・トークンを直接データベース・クライアントに渡します。

アプリケーションまたはツールがIAMトークンをリクエストするよう更新されていない場合、IAMユーザーはOCI CLIを使用して、データベース・トークンをリクエストおよび格納できます。次の資格証明を使用して、データベース・アクセス・トークン(db-token)をリクエストできます:

• セキュリティ・トークン(IAM認証あり)、委任トークン(OCIクラウド・シェル内)およびAPI-keys(認証を有効にするためのIAMユーザーを表す資格証明)
• インスタンス・プリンシパル・トークン。認証後にインスタンスを認可済アクター(またはプリンシパル)にし、OCIリソースに対してアクションを実行できるようにします
• リソース・プリンシパル・トークン。アプリケーションが他のOCIサービスに対して自身を認証できるようにする資格証明です
• IAMユーザー名およびIAMデータベース・パスワードの使用(データベース・クライアントのみがリクエスト可能)

IAMユーザーがスラッシュ(/)ログインでクライアントにログインし、OCI_IAMパラメータが構成されている(sqlnet.ora、tnsnames.oraまたは接続文字列の一部として)場合、データベース・クライアントはファイルからデータベース・トークンを取得します。IAMユーザーがユーザー名とパスワードを送信する場合、接続では、IAMデータベース・パスワード・ベリファイアを使用するクライアント接続について記述されたIAMデータベース・ベリファイア・アクセスが使用されます。パラメータPASSWORD_AUTH=OCI_TOKENの場合、データベース・ドライバは、かわりにユーザー名とパスワードを使用してIAMに直接接続し、データベース・トークンをリクエストします。このガイドの手順は、OCI CLIをデータベース・トークンのヘルパーとして使用する方法を示しています。アプリケーションまたはツールがIAMと連携するように更新されている場合は、アプリケーションまたはツールの手順に従います。一般的なユース・ケースには、SQL*Plusオンプレミス、SQLclオンプレミス、クラウド・シェルのSQL*Plus、SEPウォレットを使用するアプリケーションなどがあります。

ユーザーがログインするためにユーザー名/パスワードを入力した場合、データベース・ドライバはパスワード・ベリファイアを使用してデータベースにアクセスします。パラメータPASSWORD_AUTH=OCI_TOKENの場合、データベース・ドライバは、かわりにユーザー名とパスワードを使用してIAMに直接接続し、データベース・トークンをリクエストします。

Exadata Cloud Infrastructureのデータベース上でIAM認証を使用する前に、ネットワーキング・サービスを使用して、データベース・リソースが存在するVirtual Cloud Network (VCN)およびサブネットにサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを追加する必要があります。

1. OCIドキュメントのタスク1: サービス・ゲートウェイの作成の手順に従って、データベース・リソースが存在するVCN内にサービス・ゲートウェイを作成します。
2. サービス・ゲートウェイを作成したら、データベース・リソースが存在する(VCN内の)各サブネットにルート・ルールおよびエグレス・セキュリティ・ルールを追加して、これらのリソースがゲートウェイを使用してIAM認証を使用できるようにします:
   1. サブネットの「サブネットの詳細」ページに移動します。
   2. 「サブネット情報」タブで、サブネットの「ルート表」の名前をクリックして、その「ルート表の詳細」ページを表示します。
   3. 既存のルート・ルールの表で、次の特性を持つルールがすでに存在するかどうかを確認します:
      • 宛先: Oracle Services NetworkのすべてのIADサービス
      • ターゲット・タイプ: サービス・ゲートウェイ
      • ターゲット: VCN内に作成したサービス・ゲートウェイの名前

      そのようなルールが存在しない場合は、「ルート・ルールの追加」をクリックし、これらの特性を持つルート・ルールを追加します。

   4. サブネットの「サブネットの詳細」ページに戻ります。
   5. サブネットの「セキュリティ・リスト」表で、サブネットのセキュリティ・リストの名前をクリックして、その「セキュリティ・リストの詳細」ページを表示します。
   6. サイド・メニューの「リソース」で、「エグレス・ルール」をクリックします。
   7. 既存のエグレス・ルールの表で、次の特性を持つルールがすでに存在するかどうかを確認します:
      • ステートレス: いいえ
      • 宛先: Oracle Services NetworkのすべてのIADサービス
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 443
   8. そのようなルールが存在しない場合は、「エグレス・ルールの追加」をクリックし、これらの特性を持つエグレス・ルールを追加します。

IAMユーザーによるOracle Databaseへのアクセスを有効にするための前提条件を確認します。

データベースで別の外部認証スキームが有効になっている場合は、Oracle DatabaseインスタンスでIAMを使用することを確認します。ある時点において有効化できる外部認証スキームは1つのみです。

IAMを使用し、別の外部認証スキームが有効な場合は、まず他の外部認証スキームを無効にする必要があります。

データベース・クライアントからデータベース・サーバーにIAMトークンを送信する場合は、TLS接続を確立する必要があります。ExaDB-Dサービス・インスタンスのデータベース証明書を含むTLSウォレットは、WALLET_ROOTの場所に格納する必要があります。WALLET_ROOT/<PDB GUID>/tlsのようになるようにtlsディレクトリを作成します。

データベース・クライアントとサーバー間にTLSを構成する場合は、いくつかのオプションを検討する必要があります。

• 自己署名データベース・サーバー証明書と、既知の認証局によって署名されたデータベース・サーバー証明書の使用の比較
• 一方向TLS (TLS)と相互または双方向TLS (mTLS)の比較
• クライアントのウォレットの有無

自己署名証明書

自己署名証明書を使用することは、内部でITリソースに接続する場合の一般的なプラクティスです。これらは独自に作成でき、無料であるためです。リソース(この場合はデータベース・サーバー)には、データベース・クライアントに対して自身を認証するための自己署名証明書があります。自己署名証明書とルート証明書は、データベース・サーバー・ウォレットに格納されます。データベース・クライアントがデータベース・サーバー証明書を認識できるようにするには、ルート証明書のコピーがクライアントにも必要です。この自己作成ルート証明書は、クライアント側のウォレットに格納することも、クライアント・システムのデフォルト証明書ストアにインストールすることもできます(WindowsおよびLinuxのみ)。セッションが確立されると、データベース・クライアントは、データベース・サーバーによって送信された証明書が同じルート証明書によって署名されていることを確認します。

既知の認証局

既知のルート認証局を使用すると、ルート証明書がすでにクライアント・システムのデフォルト証明書ストアに格納されている可能性が高いという点でいくつかの利点があります。一般的なルート証明書の場合、クライアントがルート証明書を格納するための追加のステップはありません。欠点は、通常、これに関連付けられたコストがあることです。

一方向TLS

標準のTLSセッションでは、サーバーのみがクライアントに証明書を提供し、自身の認証を行います。クライアントは、サーバーに対して自身を認証するために個別のクライアント証明書を必要としません(HTTPSセッションの確立方法と同様)。データベースにはサーバー証明書を格納するためのウォレットが必要ですが、クライアントに必要なのはサーバー証明書の署名に使用されるルート証明書のみです。

双方向TLS (相互TLS、mTLSとも呼ばれる)

mTLSでは、クライアントとサーバーの両方に、相互に提供されるアイデンティティ証明書があります。ほとんどの場合、同じルート証明書がこれらの証明書の両方に署名するため、データベース・サーバーおよびクライアントで同じルート証明書を使用して他の証明書を認証できます。mTLSは、ユーザー・アイデンティティが証明書を介してデータベース・サーバーによって認証されるため、ユーザーの認証に使用されることがあります。これは、IAMトークンを渡すためには不要ですが、IAMトークンを渡すときに使用できます。

ウォレットありのクライアント

クライアント証明書を格納するためにmTLSを使用する場合、クライアント・ウォレットは必須です。ただし、ルート証明書は、同じウォレットまたはシステムのデフォルト証明書ストアのいずれかに格納できます。

ウォレットなしのクライアント

次の条件でTLSを使用する場合、ウォレットなしでクライアントを構成できます: 1)クライアントに独自の証明書がない状態で一方向TLSが構成されており、2)データベース・サーバー証明書に署名したルート証明書がシステムのデフォルト証明書ストアに格納されています。サーバー証明書が一般的な認証局によって署名されている場合、ルート証明書はすでに存在している可能性があります。自己署名証明書の場合は、クライアント・ウォレットを使用しないように、システムのデフォルト証明書ストアにルート証明書をインストールする必要があります。

データベース・クライアントとデータベース・サーバー間のTLSを構成する方法の詳細(前述のオプションを含む)は、『Oracle Databaseセキュリティ・ガイド』のTransport Layer Security認証の構成を参照してください。

自己署名証明書の使用および追加のウォレット関連タスクの詳細は、『Oracle Databaseセキュリティ・ガイド』の公開キー・インフラストラクチャ(PKI)要素の管理を参照してください。

IAMユーザーによるOracle Databaseへのアクセスを有効化または再有効化するステップを確認します。

1. Oracle DatabaseでのIAM認可および認証の前提条件を実行します。詳細は、Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証の前提条件を参照してください。
2. ALTER SYSTEMコマンドを使用して、Oracle Cloud Infrastructure (IAM)認証および認可を有効にします。

   ALTER SYSTEM SET IDENTITY_PROVIDER_TYPE=OCI_IAM SCOPE=BOTH;

3. IDENTITY_PROVIDER_TYPEシステム・パラメータの値を確認します。

   SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';

   
   NAME                     VALUE
   ----------------------   -------
   identity_provider_type   OCI_IAM

Oracle Databaseに対するIAM外部認証ユーザー・アクセスを無効にするステップについて説明します。

Oracle DatabaseインスタンスでのIAMユーザー・アクセスを無効にするには:

1. ALTER SYSTEMコマンドを使用して、IAM統合を無効にします。

   ALTER SYSTEM RESET IDENTITY_PROVIDER_TYPE SCOPE=BOTH;

2. データベース・アクセスを許可するIAMポリシーも削除する場合は、IAMユーザーによるデータベースへのアクセスを許可するために設定したIAMグループおよびポリシーを確認して変更または削除する必要があります。

IAM認証を有効にした状態でOracle Databaseツールを使用する場合の注意事項を確認します。

• Oracle APEXは、Oracle Databaseを使用するIAMユーザーではサポートされていません。
• データベース・アクションは、Oracle Databaseを使用するIAMユーザーではサポートされていません。Oracle Databaseでの通常のデータベース・ユーザーの使用の詳細は、データベース・ユーザーへのデータベース・アクションのアクセス権の付与を参照してください。
• Oracle Machine Learning Notebooksおよびその他のコンポーネントは、Oracle Databaseを使用するIAM認可ユーザーではサポートされていません。Oracle Databaseでの通常のデータベース・ユーザーの使用の詳細は、Oracle Machine Learningコンポーネントへの既存のデータベース・ユーザー・アカウントの追加を参照してください。

IAMグループのポリシー・ステートメントを記述し、IAMユーザーがIAMデータベース・トークンを使用してOracle Cloud Infrastructureリソース(特にOracle Databaseインスタンス)にアクセスできるようにするステップを確認します。

ポリシーは、特定のリソースにアクセスできるユーザーとその方法を指定するステートメントのグループです。アクセスは、テナンシ全体、コンパートメント内のデータベースまたは個々のデータベースに対して付与できます。つまり、特定のコンパートメント内の特定のタイプのリソースへの特定のアクセス・タイプを特定のグループに付与するポリシー・ステートメントを記述します。

ノート: IAMトークンを使用してOracle Databaseにアクセスするには、ポリシーの定義が必要です。IAMデータベース・パスワード・ベリファイアを使用してOracle Databaseにアクセスする場合、ポリシーは不要です。

1. データベースにアクセスするIAMユーザーのIAMグループを作成します。グループの作成およびIAMユーザーのグループへの追加については、OCI IAMドキュメントを確認してください。

   たとえば、グループDBUsersを作成します。詳細は、グループの管理を参照してください。

2. Oracle Cloud Infrastructureリソースへのアクセスを有効にするポリシー・ステートメントを記述します。
   1. Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」をクリックし、「ポリシー」をクリックします。
   2. ポリシーを記述するには、「ポリシーの作成」をクリックし、「名前」および「説明」を入力します。
   3. ポリシー・ビルダーを使用してポリシーを作成します。たとえば、IAMグループDBUsersのユーザーがテナンシ内のOracle Databaseにアクセスできるようにするポリシーを作成するには:

      Allow group DBUsers to use database-connections in tenancy

      ここで、database-connectionsはデータベースに接続するためのOCIリソース名です。Useは、データベースへのアクセスを許可する最小動詞です。useとmanageの両方を使用できます。

      たとえば、DBUsersグループのメンバーがコンパートメントtesting_compartment内のOracle Databaseにのみアクセスするように制限するポリシーを作成するには:

      allow group DBUsers to use database-connections in compartment testing_compartment

      たとえば、グループのアクセスをコンパートメント内の単一データベースに制限するポリシーを作成するには:

      allow group DBUsers to use database-connections in compartment testing_compartment where target.database.id = 'ocid1.database.oc1.iad.aaaabbbbcccc'

   4. 「作成」をクリックします。

      ポリシーの詳細は、「ポリシーの管理」を参照してください。

Oracle DatabaseインスタンスでIAMユーザーを認可するステップを確認します。

IAMユーザーにOracle Databaseへのアクセスを許可するには、IDENTIFIED GLOBALLY AS句を指定したCREATE USERまたはALTER USER文を使用してデータベース・グローバル・ユーザーをIAMグループにマップするか、IAMユーザーに直接マップします。

IAMユーザーのOracle Databaseインスタンスへの認可は、IAMグローバル・ユーザー(スキーマ)をIAMユーザー(排他マッピング)またはIAMグループ(共有スキーマ・マッピング)にマップすることで機能します。

データベース・インスタンスでIAMユーザーを認可するには:

1. DBA権限を持つユーザーとして、IAMを使用できるデータベースにログインします。DBAロールを持つユーザーには、これらのステップに必要なCREATE USERおよびALTER USERシステム権限が必要です。
2. CREATE USER文またはALTER USER文を使用してOracle Databaseユーザー(スキーマ)間のマッピングを作成し、IAMグループ名を指定してIDENTIFIED GLOBALLY AS句を含めます。グローバル・ユーザーをIAMグループにマップするには、次の構文を使用します:

   CREATE USER global_user IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_NAME';

   たとえば、db_sales_groupという名前のIAMグループをsales_groupという名前の共有データベース・グローバル・ユーザーにマップするには:

   CREATE USER sales_group IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=db_sales_group';

   これにより、共有グローバル・ユーザー・マッピングが作成されます。グローバル・ユーザーsales_groupを使用したマッピングは、IAMグループ内のすべてのユーザーに対して有効です。したがって、db_sales_groupのユーザーは、sales_groupグローバル・ユーザーの共有マッピングを介してIAM資格証明を使用してデータベースにログインできます。

   他のIAMグループまたはユーザーの追加のグローバル・ユーザー・マッピングを作成する場合は、各IAMグループまたはユーザーについて次のステップに従います。

   ノート
   
   IDENTIFIED GLOBALLYではないデータベース・ユーザーは、Oracle DatabaseでIAM認証が有効になっている場合でも、以前と同様にログインできます。

ローカルIAMユーザーをOracle Databaseグローバル・ユーザーに排他的にマップできます。

1. DBA権限を持つユーザーとして、IAMを使用できるデータベースにログインします。DBAロールを持つユーザーには、これらのステップに必要なCREATE USERおよびALTER USERシステム権限が必要です。
2. CREATE USER文またはALTER USER文を使用してOracle Databaseユーザー(スキーマ)間のマッピングを作成し、IAMローカルIAMユーザー名を指定してIDENTIFIED GLOBALLY AS句を含めます。たとえば、peter_fitchという名前の新しいデータベース・グローバル・ユーザーを作成し、このユーザーをpeterfitchという名前の既存のローカルIAMユーザーにマップするには:

   CREATE USER peter_fitch IDENTIFIED GLOBALLY AS 'IAM_PRINCIPAL_NAME=peterfitch'

インスタンス・プリンシパルまたはリソース・プリンシパルのいずれかを使用して、データベース・トークンを取得し、アプリケーションからOracle Databaseインスタンスへの接続を確立できます。

インスタンス・プリンシパルまたはリソース・プリンシパルを使用する場合は、動的グループをマップする必要があります。したがって、インスタンス・プリンシパルおよびリソース・プリンシパルを排他的にマップすることはできません。共有マッピングと、インスタンスまたはリソース・インスタンスのIAM動的グループへの配置によってのみ、これらをマッピングすることができます

オプションで、複数のIAMユーザーが同じ共有グローバル・ユーザーにマップされている場合に、追加のデータベース・ロールおよび権限をIAMユーザーに提供するグローバル・ロールを作成します。

グローバル・ロールの作成はオプションですが、共有スキーマにユーザーを割り当てるときに便利です。

グローバル・ロールを使用して、同じ共有スキーマを使用するユーザーを任意に区別できます。たとえば、一連のユーザーがすべて同じ共有スキーマを持ち、共有スキーマにCREATE SESSION権限を設定できます。その後、グローバル・ロールを使用して、すべてのユーザーが同じ共有スキーマを使用する異なるユーザー・グループに異なる権限およびロールを割り当てることができます。

Oracle DatabaseのIAMユーザーへの追加のロールの付与は、Oracle Databaseグローバル・ロールをIAMグループにマッピングすることで機能します。

1. DBA権限を持つユーザーとして、IAMを使用できるデータベースにログインします。これらのステップには、DBA権限CREATE ROLEおよびALTER ROLEシステム権限を持つユーザーが必要です。
2. CREATE ROLEまたはALTER ROLE文を使用してOracle Databaseロールのデータベース認可を設定し、IAMグループ名を指定してIDENTIFIED GLOBALLY AS句を含めます。次の構文を使用して、グローバル・ロールをIAMグループにマップします:

   CREATE ROLE global_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';

   たとえば、ExporterGroupという名前のIAMグループをexport_roleという名前の共有データベース・グローバル・ロールにマップするには:

   CREATE ROLE export_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=ExporterGroup';

3. GRANT文を使用して、必要な権限またはその他のロールをグローバル・ロールに付与します。

   GRANT CREATE SESSION TO export_role;
   GRANT DWROLE TO export_role;

4. 既存のデータベース・ロールをIAMグループに関連付ける場合は、ALTER ROLE文を使用して、既存のデータベース・ロールを変更し、ロールをIAMグループにマップします。次の構文を使用して、既存のデータベース・ロールを変更してIAMグループにマップします:

   ALTER ROLE existing_database_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_Group_Name';

IAMグループごとにこれらのステップに従って、他のIAMグループに追加のグローバル・ロール・マッピングを追加します。

IAMユーザーを追加し、IAMユーザーがユーザー名とパスワードを指定してOracle Databaseにログインできるようにするには、IAMデータベース・パスワードを作成する必要があります。

詳細は、IAMデータベース・パスワードの使用を参照してください。

関連トピック

• IAMデータベース・パスワードの使用

IAMデータベース・パスワード・ベリファイアを使用するようにSQL*Plusを構成できます。

CONNECT user_name@db_connect_string
Enter password: password

この指定では、user_nameはIAMユーザー名です。domain_name/user_nameの組合せには128バイトの制限があります。

sqlplus /nolog
connect peter_fitch@db_connect_string
Enter password: password

"peter_fitch@example.com"@db_connect_string

"IAM database password"

IAMトークンを使用するSQL*Plusのクライアント接続を構成できます。

1. IAMユーザー・アカウントがあることを確認します。
2. IAM管理者およびデータベース管理者に問い合せて、コンパートメントまたはテナンシ内のデータベースへのアクセスを許可するポリシーがあり、データベース内のグローバル・スキーマにマップされていることを確認します。
3. アプリケーションまたはツールが直接IAM統合をサポートしていない場合は、OCI CLIをダウンロード、インストールおよび構成します。(OCIコマンドライン・インタフェースのクイックスタートを参照。)OCI CLI構成の一部としてAPIキーを設定し、デフォルト値を選択します。
   1. IAMユーザーのAPIキー・アクセスを設定します。
   2. db-tokenを取得します。例:
      • OCI CLIを使用して、API-keyでdb-tokenを取得します:

        oci iam db-token get

      • セキュリティ(またはセッション)・トークンを使用してdb-tokenを取得します:

        oci iam db-token get --auth security_token

      • 委任トークンを使用してdb-tokenを取得します: クラウド・シェルにログインすると、委任トークンが自動的に生成され、/etcディレクトリに配置されます。このトークンを取得するには、OCI CLIで次のコマンドを実行します:

        oci iam db-token get

      • OCI CLIでインスタンス・プリンシパルを使用してdb-tokenを取得します:

        oci iam db-token get --auth instance_principal

      セキュリティ・トークンが期限切れになると、ユーザーがOCIに再度ログインできるようにウィンドウが表示されます。これにより、ユーザーのセキュリティ・トークンが生成されます。OCI CLIでは、このリフレッシュされたトークンを使用してdb-tokenを取得します。

      詳細は、必要なキーとOCIDを参照してください。

4. Oracle Databaseクライアント・リリース19cの最新リリース更新を使用していることを確認します。

   この構成は、Oracle Databaseクライアント・リリース19cでのみ機能します。

5. 既存のプロセスに従ってデータベースからウォレットをダウンロードし、SQL*Plusで使用する構成手順に従います。
   1. sqlnet.oraでSSL_SERVER_DN_MATCH=ONを検索して、DN一致が有効であることを確認します。
   2. TOKEN_AUTH=OCI_TOKENをsqlnet.oraファイルに追加して、IAMトークンを使用するようにデータベース・クライアントを構成します。データベース・トークン・ファイルのデフォルトの場所を使用するため、トークンの場所を含める必要はありません。
   tnsnames.ora接続文字列のTOKEN_AUTHおよびTOKEN_LOCATION値は、その接続のsqlnet.ora設定より優先されます。たとえば、接続文字列について、トークンがデフォルトの場所(Linuxの場合は~/.oci/db-token)にあるとします:

   (description= 
     (retry_count=20)(retry_delay=3)
     (address=(protocol=tcps)(port=1522)
     (host=example.us-phoenix-1.oraclecloud.com))
     (connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
     (security=(ssl_server_cert_dn="CN=example.uscom-east-1.oraclecloud.com, 
        OU=Oracle BMCS US, O=Example Corporation, 
        L=Redwood City, ST=California, C=US")
     (TOKEN_AUTH=OCI_TOKEN)))

connect /@exampledb_high

connect /@(description= 
  (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)
  (host=example.us-phoenix-1.oraclecloud.com))
  (connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
  (security=(ssl_server_cert_dn="CN=example.uscom-east-1.oraclecloud.com, 
     OU=Oracle BMCS US, O=Example Corporation, 
     L=Redwood City, ST=California, C=US")
  (TOKEN_AUTH=OCI_TOKEN)))

TOKEN_AUTHはsqlnet.oraファイルまたは接続文字列のいずれかですでに設定されているため、データベース・クライアントはdb-tokenを取得するようにすでに構成されています。データベース・クライアントは、db-tokenを取得し、秘密キーを使用して署名してから、トークンをデータベースに送信します。スラッシュ(/)のかわりにIAMユーザー名およびIAMデータベース・パスワードが指定されている場合、データベース・クライアントはdb-tokenを使用するかわりに、パスワードを使用して接続します。

IAMユーザー名およびデータベース・パスワードでリクエストされたトークンを使用するクライアント接続を作成できます。

• IAMユーザーは、IAMユーザー名およびIAMデータベース・パスワードを使用して取得されたIAMトークンを使用して、Oracle DBaaSインスタンスに接続できます。

  詳細は、IAMユーザー名およびデータベース・パスワードでリクエストされたトークンを使用するクライアント接続についてを参照してください

• これらのパラメータを設定するには、sqlnet.oraファイルまたはtnsnames.oraファイルのいずれかを変更します。

  詳細は、IAMユーザー名およびデータベース・パスワードでリクエストされたトークンを使用するクライアント接続に設定するパラメータを参照してください

• 指定されたIAMユーザー名およびIAMデータベース・パスワードを使用して、IAMデータベース・トークンを取得するようにデータベース・クライアントを構成できます。

  詳細は、IAMユーザー名およびデータベース・パスワードを使用してトークンを取得するためのデータベース・クライアントの構成を参照してください

• IAMユーザー名およびセキュアな外部パスワード・ストア(SEPS)を有効にして、IAMデータベース・トークンをリクエストできます。

  詳細は、IAMトークンを取得するための安全性の高い外部パスワード・ストア・ウォレットの構成を参照してください

ADMINユーザーがデータベースでOCI IAMを有効にすると、アプリケーションはインスタンス・プリンシパルを使用してOCI IAMデータベース・トークンを介してデータベースにアクセスできます。

詳細は、インスタンス・プリンシパルを使用したOracle Cloud Infrastructure APIへのアクセスを参照してください。

詳細は、インスタンス・プリンシパルまたはリソース・プリンシパルを使用したデータベースへのアクセスを参照してください。

プロキシ認証により、IAMユーザーは、アプリケーションのメンテナンスなどのタスクのためにデータベース・スキーマにプロキシできます。

プロキシ認証は、通常、実際のユーザーを認証し、アプリケーションを管理するためにスキーマ権限およびロールを持つデータベース・スキーマの使用を認可するために使用されます。アプリケーション・スキーマ・パスワードの共有などの代替方法は、安全性が低いと考えられ、実際にどのユーザーがアクションを実行したかを監査できません。

ユース・ケースとしては、アプリケーション・データベース管理者である名前付きIAMユーザーが資格証明を使用して認証し、データベース・スキーマ・ユーザー(hrappなど)にプロキシするような環境が考えられます。この認証により、IAM管理者は、アプリケーションのメンテナンスを実行するためにhrapp権限およびロールをユーザーhrappとして使用でき、認証にはIAM資格証明を使用できます。アプリケーション・データベース管理者は、データベースにサインインし、アプリケーション・スキーマにプロキシしてこのスキーマを管理できます。

パスワード認証とトークン認証の両方の方法にプロキシ認証を構成できます。

IAMユーザーのプロキシ認証の構成

IAMユーザーにプロキシ認証を構成するには、IAMユーザーにすでにグローバル・スキーマへのマッピング(排他的マッピングまたは共有マッピング)がある必要があります。IAMユーザーのプロキシ先の個別のデータベース・スキーマが使用可能である必要もあります。

このタイプのユーザーがあることを確認したら、IAMユーザーにプロキシを許可するようにデータベース・ユーザーを変更します。

1. ALTER USERシステム権限を持つユーザーとしてデータベース・インスタンスにログインします。
2. IAMユーザーにローカル・データベース・ユーザー・アカウントへのプロキシ権限を付与します。IAMユーザーはコマンドで参照できないため、データベース・グローバル・ユーザー(IAMユーザーにマップされている)とターゲット・データベース・ユーザーの間でプロキシを作成する必要があります。次の例では、hrappがプロキシ先のデータベース・スキーマで、peterfitch_schemaがユーザーpeterfitchに排他的にマップされているデータベース・グローバル・ユーザーです。

   ALTER USER hrapp GRANT CONNECT THROUGH peterfitch_schema;

IAMユーザー・プロキシ認証の検証

パスワード認証方法とトークン認証方法の両方についてIAMユーザー・プロキシ構成を検証できます。

1. IAMユーザーとして接続し、データベース・ユーザーにプロキシされます。SHOW USERおよびSELECT SYS_CONTEXTコマンドを実行します。

   たとえば、データベース・ユーザーhrappにプロキシされる場合のIAMユーザーpeterfitchのプロキシ認証を確認するとします。ここに示す様々なタイプの認証方法を使用してデータベースに接続する必要がありますが、実行したコマンドの出力はすべてのタイプで同じになります。

   • パスワード認証の場合:

     CONNECT peterfitch[hrapp]/password\!@connect_string SHOW USER;

     --The output should be USER is "HRAPP" 
     SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
     --The output should be "PASSWORD_GLOBAL" 
     SELECT SYS_CONTEXT('USERENV','PROXY_USER') FROM DUAL; 
     --The output should be "PETERFITCH_SCHEMA" 
     SELECT SYS_CONTEXT('USERENV','CURRENT_USER') FROM DUAL;
     --The output should be "HRAPP"

   • トークン認証の場合:

     CONNECT [hrapp]/@connect_string
     SHOW USER;
     

     --The output should be USER is "HRAPP "
     SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
     --The output should be "TOKEN_GLOBAL"
     SELECT SYS_CONTEXT('USERENV','PROXY_USER') FROM DUAL;
     --The output should be "PETERFITCH_SCHEMA"
     SELECT SYS_CONTEXT('USERENV','CURRENT_USER') FROM DUAL;
     --The output should be "HRAPP"

データベース・リンクを使用して、あるデータベース・インスタンスから別のデータベース・インスタンスにOCI IAMユーザーとして接続できます。

接続ユーザーまたは固定ユーザーのデータベース・リンクを使用して、OCI IAMユーザーとしてデータベースに接続できます。

• 接続ユーザー・データベース・リンク: 接続ユーザー・データベース・リンクの場合、IAMユーザーは、データベース・リンクによって接続されたソース・データベースとターゲット・データベースの両方のスキーマにマップされている必要があります。データベース・パスワード・ベリファイアまたはIAMデータベース・トークンを使用して、接続ユーザー・データベース・リンクを使用できます。

• 固定ユーザー・データベース・リンク: 固定ユーザー・データベース・リンクは、データベース・ユーザーまたはIAMユーザーを使用して作成できます。IAMユーザーを固定ユーザー・データベース・リンクとして使用する場合、IAMユーザーはターゲット・データベースにスキーマ・マッピングを持っている必要があります。データベース・リンクのIAMユーザーは、パスワード・ベリファイアでのみ構成できます。