専用Exadataインフラストラクチャ上のAutonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI Database on Dedicated Exadata Infrastructureを構成して、Microsoft Active Directoryユーザーを認証および認可できます。この構成により、Active Directoryユーザーは、Active Directory資格証明を使用してAutonomous AIデータベースにアクセスできます。

ノート: Autonomous AI DatabaseでAzure Active Directoryを使用する方法の詳細は、Autonomous AI DatabaseでのAzure Active Directory (Azure AD)の使用を参照してください。CMUオプションはMicrosoft Active Directoryサーバーをサポートしていますが、Azure Active Directoryサービスはサポートしていません。

Autonomous AI Databaseと一元管理ユーザー(CMU)の統合によって、Microsoft Active Directoryとの統合が提供されます。CMUをActive Directoryと連携動作させるには、Oracleデータベースのグローバル・ユーザーおよびグローバル・ロールをMicrosoft Active Directoryのユーザーおよびグループにマップします。

Autonomous AI DatabaseでCMUをMicrosoft Active Directoryで構成するための前提条件

Autonomous AI DatabaseからActive Directoryへの接続を構成するには、次の前提条件が必要です:

Autonomous AI DatabaseでのMicrosoft Active DirectoryによるCMUの構成

CMUのAutonomous AI Databaseを構成してActive Directoryサーバーに接続するには:

  1. ADMINユーザーとしてAutonomous AI Databaseに接続します。

  2. データベースで別の外部認証スキームが有効になっているかどうかを確認し、無効にします。

    ノート: Kerberos上でCMU-AD構成を続行して、Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供できます。

  3. CMU構成ファイル(データベース・ウォレット・ファイルcwallet.ssoおよびCMU構成ファイルdsi.oraなど)をオブジェクト・ストアにアップロードします。このステップは、使用するオブジェクト・ストアによって異なります。

    dsi.ora構成ファイルには、Active Directoryサーバーを検出するための情報が含まれています。

    Oracle Cloud Infrastructure Object Storeを使用している場合は、オブジェクト・ストレージへのデータの配置を参照して、ファイルのアップロードの詳細を確認してください。

  4. Autonomous AI Databaseで、新しいディレクトリ・オブジェクトを作成するか、既存のディレクトリ・オブジェクトを選択します。これは、Active Directoryに接続するためのウォレットおよび構成ファイルを格納するディレクトリです:

    たとえば:

     CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';

    次のSQL文を使用して、ディレクトリ・オブジェクトのファイル・システム・ディレクトリ・パスを問い合せます:

     SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
    DIRECTORY_NAME='directory_object_name';

    たとえば:

     SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
    DIRECTORY_NAME='CMU_WALLET_DIR';

     DIRECTORY_PATH

 ----------------------------------------------------------------------------
 /file_system_directory_path_example/cmu_wallet

    ノート:ディレクトリ・オブジェクトが作成されたときに大/小文字は保持されなかったため、問合せのディレクトリ・オブジェクト名は大/小文字にする必要があります。

    ディレクトリ・オブジェクト名の大文字と小文字を保持する場合は、その名前を二重引用符で囲む必要があります。たとえば:

     CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';

  5. DBMS_CLOUD.GET_OBJECTを使用して、CMU構成ファイル、データベース・ウォレットcwallet.ssoおよびdsi.oraを、オブジェクト・ストアから、前述のステップ4で作成または選択したディレクトリにコピーします。

    たとえば、次のように、DBMS_CLOUD.GET_OBJECTを使用して、ファイルをオブジェクト・ストアからCMU_WALLET_DIRにコピーします:

     BEGIN
    DBMS_CLOUD.GET_OBJECT(
       credential_name => 'DEF_CRED_NAME',
       object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
       directory_name => 'CMU_WALLET_DIR');
    DBMS_CLOUD.GET_OBJECT(
       credential_name => 'DEF_CRED_NAME',
       object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
       directory_name => 'CMU_WALLET_DIR');
 END;
 /

    この例では、*namespace-string*はOracle Cloud Infrastructureオブジェクト・ストレージ・ネームスペースで、bucketnameはバケット名です。詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。

    詳細は、GET_OBJECTプロシージャを参照してください。

    次のSQL文を使用して、ディレクトリにコピーされたファイルを問い合せます。

     SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');

    たとえば:

     SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');

    ディレクトリ・オブジェクトが作成されたときに大/小文字が保持されていないため、この問合せのディレクトリ・オブジェクト名は大文字にする必要があります。

  6. DBMS_CLOUD_ADMINパッケージを使用して、Autonomous AI DatabaseでCMU-ADを有効にします。

    ノート:次の例のディレクトリ名を、使用している環境に選択したものに置き換えます。このコマンドを実行する前に、ADMINユーザーとしてログインしていることを確認してください。

     BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
     type     => 'CMU',
     params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
   );
 END;
 /

  7. セキュリティを維持するには、CMU構成ファイル(データベース・ウォレットcwallet.ssoおよびCMU構成ファイルdsi.oraを含む)をオブジェクト・ストアから削除します。ローカル・オブジェクト・ストア・メソッドを使用してこれらのファイルを削除するか、DBMS_CLOUD.DELETE_OBJECTを使用してオブジェクト・ストアからファイルを削除できます。

    DBMS_CLOUD.DELETE_OBJECTの詳細は、「DELETE_OBJECTプロシージャ」を参照してください。

ノート: Autonomous AI DatabaseからActive Directoryへのアクセスを無効にする手順については、Autonomous AI DatabaseでのActive Directoryアクセスの無効化を参照してください。

詳細は、『Oracle Database 19cセキュリティ・ガイド』Microsoft Active Directoryによる集中管理ユーザーの構成に関する項または『Oracle Database 26aiセキュリティ・ガイド』を参照してください。

Exadata Cloud@CustomerでのMicrosoft Active Directoryを使用したCMUの構成

適用先: 適用可能 Exadata Cloud@Customerのみ

Oracle Object Storeサービスを使用せずにActive Directoryサーバーに接続するようにCMU用のExadata Cloud@CustomerでAutonomous AI Databaseを構成するには:

  1. ADMINユーザーとしてAutonomous AI Databaseに接続します。

  2. 別の外部認証スキームがデータベースで有効になっているかどうかを確認し、次のSQLコマンドを使用して無効にします。

     BEGIN
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
 END;
 /

  3. CMU-ADには、Autonomous Exadata VMクラスタ(AVMC)上のローカル・ファイル・システム上のActive Directory接続ウォレットcwallet.ssoおよびdsi.oraファイルが必要です。これを実現するには、これらのファイルをOracle Cloud Infrastructure上のOracle Object Storeサービスでホストし、DBMS_CLOUDパッケージを使用してローカルにコピーします。このプロセスは、Autonomous AI DatabaseでのMicrosoft Active Directoryを使用したCMUの構成の詳細なステップと例とともに確認できます。

  4. クラウド・ストレージでcwallet.ssoおよびdsi.oraをホストできない場合は、データ・センターでネットワーク・ファイル・システム(NFS)共有を使用してこれらのファイルをホストし、それらをデータベース・ファイル・システム(DBFS)の下のデータベース・ディレクトリに移動できます。そのためには、次に示すように、まずローカルで使用可能なNFS共有をAutonomous AI Databaseディレクトリ・オブジェクトにアタッチする必要があります:

    1. SQLクライアントから次のSQLコマンドを使用して、Autonomous AI Databaseインスタンスにデータベース・ディレクトリを作成します:

       create or replace directory TMPFSSDIR as 'tmpfssdir';

    2. Autonomous AI Databaseで使用可能なDBMS_CLOUD_ADMINパッケージを使用して、NFS共有をこのディレクトリにマウントします。

      ヒント: NFS共有を使用可能にするには、ネットワーク管理者またはストレージ管理者と連携する必要がある場合があります。

       BEGIN
   DBMS_CLOUD_ADMIN.attach_file_system(
     file_system_name => <some_name_you_assign>,
     file_system_location => <your_nfs_fs_path>,
     directory_name => <tmpfssdir_created_above>,
     description => 'Any_desc_you_like_to_give'
   );
 END

      たとえば:

       BEGIN
   DBMS_CLOUD_ADMIN.attach_file_system(
     file_system_name => 'AD-FSS',
     file_system_location => acme.com:/nfs/mount1',
     directory_name => 'TMPFSSDIR',
     description => 'nfs to host AD files'
   );
 END;

  5. cwallet.ssoファイルおよびdsi.oraファイルをCMUで使用できるようにするためのNFS共有への依存を回避するには、データベース・ディレクトリ・マッピングを使用してそれらをローカル・ファイル・システム・フォルダに移動します。Autonomous AI Databaseはローカル・ファイル・システムへのアクセスを制限するため、次に示すようにutl_fileを使用してコピー・プロシージャを作成します:

    1. SQLクライアントから次のSQLコマンドを使用して、Autonomous AI Databaseインスタンスにデータベース・ディレクトリを作成します:

       CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';

    2. 次のSQLコマンドを使用して、前述の作成済ディレクトリのディレクトリ・パスを確認します。

       SELECT DIRECTORY_PATH
 FROM DBA_DIRECTORIES
 WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';

      ノート:ディレクトリ・オブジェクトの作成時にその大/小文字が保持されなかったため、問合せではディレクトリ・オブジェクト名を大文字にする必要があります。

    3. UTL_FILEユーティリティを使用して、dsi.oraおよびcwallet.ssoをNFSディレクトリからローカルのCMU Walletディレクトリにコピーします。

      たとえば:

      次に示すように、copyfileというストアド・プロシージャを作成します。

       CREATE OR REPLACE PROCEDURE copyfile(
   in_loc_dir IN VARCHAR2,
   in_filename IN VARCHAR2,
   out_loc_dir IN VARCHAR2,
   out_filename IN VARCHAR2
 )
 IS
   in_file UTL_FILE.file_type;
   out_file UTL_FILE.file_type;
   buffer_size CONSTANT INTEGER := 32767;
   buffer RAW (32767);
   buffer_length INTEGER;
 BEGIN
   in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
   out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
   UTL_FILE.get_raw (in_file, buffer, buffer_size);
   buffer_length := UTL_RAW.LENGTH (buffer);

   WHILE buffer_length > 0
   LOOP
     UTL_FILE.put_raw (out_file, buffer, TRUE);

     IF buffer_length = buffer_size
       THEN
         UTL_FILE.get_raw (in_file, buffer, buffer_size);
         buffer_length := UTL_RAW.LENGTH (buffer);
       ELSE
         buffer_length := 0;
       END IF;
   END LOOP;

   UTL_FILE.fclose (in_file);
   UTL_FILE.fclose (out_file);
 EXCEPTION
   WHEN NO_DATA_FOUND
   THEN
     UTL_FILE.fclose (in_file);
     UTL_FILE.fclose (out_file);
 END;
 /

      copyfileストアド・プロシージャをコンパイルします。正常にコンパイルされたら、次に示すように、copyfileプロシージャを1回実行して、NFSディレクトリからローカルのCMU Walletディレクトリにdsi.oraおよびcwallet.ssoをコピーします。

       EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');

       EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');

    4. 次のSQL問合せを実行して、ファイルがローカルのCMU Walletディレクトリに正常にコピーされたかどうかを検証します。

       SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');

  6. 次のコマンドを使用してNFS共有をデタッチします。これは、ファイルがローカル・ディレクトリにコピーされた後、CMU-ADでは必要ないためです。

     exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);

  7. DBMS_CLOUD_ADMINパッケージを使用して、Autonomous AI DatabaseでCMU-ADを有効にします。

    ノート:次の例のディレクトリ名を、使用している環境に選択したものに置き換えてください。このコマンドを実行する前に、ADMINユーザーとしてログインしていることを確認してください。

     BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
     type     => 'CMU',
     params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
   );
 END;
 /

  8. 次に示すように、データベース・プロパティCMU_WALLETのプロパティ値を問い合せて検証します。

     SELECT PROPERTY_VALUE
 FROM DATABASE_PROPERTIES
 WHERE PROPERTY_NAME = 'CMU_WALLET';

    例: 

     SELECT PROPERTY_VALUE
 FROM DATABASE_PROPERTIES
 WHERE PROPERTY_NAME='CMU_WALLET';

     PROPERTY_VALUE

 --------------
 CMU_WALLET_DIR

これで、Exadata Cloud@Customer上のAutonomous AI DatabaseでMicrosoft Active Directoryを介した外部認証を使用するようにCMU-ADを構成しました。

Autonomous AI DatabaseでのMicrosoft Active Directoryロールの追加

Active Directoryロールを追加するには、CREATE ROLE文またはALTER ROLE文を使用して(また、IDENTIFIED GLOBALLY AS句も含めて)データベース・グローバル・ロールをActive Directoryグループにマップします。

Autonomous AI DatabaseでActive Directoryグループのグローバル・ロールを追加するには:

  1. ADMINユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします(ADMINユーザーには、これらのステップに必要なCREATE ROLEおよびALTER ROLEシステム権限があります)。

  2. CREATE ROLE文またはALTER ROLE文を使用して、Autonomous AI Databaseロールにデータベース認可を設定します。IDENTIFIED GLOBALLY AS句を含めて、Active DirectoryグループのDNを指定します。

    次の構文を使用して、ディレクトリ・ユーザー・グループをデータベース・グローバル・ロールにマップします:

     CREATE ROLE global_role IDENTIFIED GLOBALLY AS
      'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    たとえば:

     CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
      'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    この例では、widget_sales_groupのすべてのメンバーが、データベースにログインするとデータベース・ロールwidget_sales_roleで認可されます。

  3. GRANT文を使用して、必要な権限やその他のロールをグローバル・ロールに付与します。

    たとえば:

     GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
 GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLEは、共通権限が定義されている事前定義済ロールです。Autonomous AI Databaseユーザーに対する共通権限の設定の詳細は、「データベース・ユーザー特権の管理」を参照してください。

  4. 既存のデータベース・ロールをActive Directoryグループに関連付ける場合は、ALTER ROLE文を使用して既存のデータベース・ロールを変更し、そのロールをActive Directoryグループにマップします。

    次の構文を使用して、既存のデータベース・ロールを変更し、それをActive Directoryグループにマップします:

     ALTER ROLE existing_database_role
    IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

  5. 他のActive Directoryグループに追加のグローバル・ロール・マッピングを作成する場合は、Active Directoryグループごとにこれらのステップに従います。

Microsoft Active Directoryを使用したロールの構成の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 26aiセキュリティ・ガイド』集中管理ユーザーの認可の構成に関する項を参照してください。

Autonomous AI DatabaseでのMicrosoft Active Directoryユーザーの追加

Autonomous AI DatabaseにアクセスするためにActive Directoryユーザーを追加するには、CREATE USERまたはALTER USER文を(IDENTIFIED GLOBALLY AS句とともに)使用してデータベース・グローバル・ユーザーをActive Directoryグループまたはユーザーにマップします。

Autonomous AI DatabaseとActive Directoryの統合は、Microsoft Active DirectoryのユーザーおよびグループをOracleデータベースのグローバル・ユーザーおよびグローバル・ロールに直接マッピングすることで機能します。

Active Directoryのグループまたはユーザーのグローバル・ユーザーをAutonomous AIデータベースに追加するには:

  1. ADMINユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします(ADMINユーザーには、これらのステップに必要なCREATE USERおよびALTER USERシステム権限があります)。

  2. CREATE USERまたはALTER USER文でAutonomous AI Databaseユーザーのデータベース認可を設定し、Active DirectoryのユーザーまたはグループのDNを指定してIDENTIFIED GLOBALLY AS句を指定します。

    次の構文を使用して、ディレクトリ・ユーザーをデータベース・グローバル・ユーザーにマップします:

     CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    次の構文を使用して、ディレクトリ・グループをデータベース・グローバル・ユーザーにマップします:

     CREATE USER global_user IDENTIFIED GLOBALLY AS
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    たとえば、production.example.comドメインのsales組織単位のwidget_sales_groupという名前のディレクトリ・グループを、WIDGET_SALESという名前の共有データベース・グローバル・ユーザーにマップするには:

     CREATE USER widget_sales IDENTIFIED GLOBALLY AS
      'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    これにより、共有グローバル・ユーザー・マッピングが作成されます。グローバル・ユーザーwidget_salesを使用するマッピングは、Active Directoryグループ内のすべてのユーザーに対して有効です。したがって、widget_sales_groupのメンバーは、(widget_salesグローバル・ユーザーの共有マッピングを介して) Active Directory資格証明を使用してデータベースにログインできます。

  3. Active Directoryユーザーが既存のデータベース・ユーザーを使用し、各自のスキーマを所有し、その既存のデータを所有できるようにするには、ALTER USERを使用して既存のデータベース・ユーザーを変更し、そのユーザーをActive Directoryグループまたはユーザーにマップします。

    • 次の構文を使用して、既存のデータベース・ユーザーを変更してActive Directoryユーザーにマップします:

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    • 次の構文を使用して、既存のデータベース・ユーザーを変更してActive Directoryグループにマップします:

      ALTER USER existing_database_user
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

  4. 他のActive Directoryグループまたはユーザーに追加のグローバル・ユーザー・マッピングを作成する場合は、Active Directoryのグループまたはユーザーごとにこれらのステップに従います。

Microsoft Active Directoryを使用したロールの構成の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 26aiセキュリティ・ガイド』集中管理ユーザーの認可の構成に関する項を参照してください。

Active Directoryユーザー資格証明を使用したAutonomous AIデータベースへの接続

ADMINユーザーがCMU Active Directory構成ステップを完了し、グローバル・ロールおよびグローバル・システムを作成した後、ユーザーはActive Directoryのユーザー名とパスワードを使用してAutonomous AIデータベースにログインします。

ノート:グローバル・ユーザー名を使用してログインしないでください。グローバル・ユーザー名はパスワードを持たないため、グローバル・ユーザー名を使用して接続しても成功しません。データベースにログインするためには、Autonomous AI Databaseにグローバル・ユーザー・マッピングが必要です。グローバル・ロール・マッピングのみでデータベースにログインすることはできません。

Active Directoryのユーザー名とパスワードを使用してAutonomous AIデータベースにログインするには、次のように接続します:

CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

たとえば:

CONNECT "production\pfitch"/password@adbname_medium;

次の例のように、Active Directoryドメインをユーザー名とともに指定する場合は、二重引用符で囲む必要があります: "production\pfitch"

この例では、ドメインproductionのActive Directoryユーザー名は、pfitchです。Active Directoryユーザーは、そのDN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'で指定されたwidget_sales_groupグループのメンバーです。

Autonomous AI DatabaseでActive Directoryを使用してCMUを構成し、グローバル・ロールおよびグローバル・ユーザーを使用してActive Directory認可を設定した後、専用Autonomous AIデータベースへの接続についてで説明されている接続方法のいずれかを使用してAutonomous AI Databaseに接続できます。接続時にActive Directoryユーザーを使用する場合は、Active Directoryユーザー資格証明を使用します。たとえば、"AD_DOMAIN\AD_USERNAME"という形式でユーザー名を指定し(二重引用符で囲む必要があります)、パスワードにAD_USER_PASSWORDを使用します。

Autonomous AI Databaseを使用したActive Directoryユーザー接続情報の確認

ユーザーがActive Directoryのユーザー名およびパスワードを使用してAutonomous AIデータベースにログインすると、ユーザー・アクティビティを検証および監査できるようになります。

たとえば、ユーザーpfitchがログインした場合:

CONNECT "production\pfitch"/password@exampleadb_medium;

Active Directoryユーザーのログオン・ユーザー名(samAccountName)はpfitchで、widget_sales_groupはActive Directoryグループ名、widget_salesはAutonomous AI Databaseグローバル・ユーザーである。

pfitchがデータベースにログインした後は、コマンドSHOW USERを実行するとグローバル・ユーザー名が表示されます:

SHOW USER;
USER is "WIDGET_SALES"

次のコマンドは、Active DirectoryユーザーのDN (識別名)を表示します:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

たとえば、この一元管理ユーザーのエンタープライズ・アイデンティティを確認できます:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

次のコマンドは、"AD_DOMAIN\AD_USERNAME"を表示します:

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

たとえば、ユーザーがデータベースにログオンすると、Active Directoryの認証済ユーザー・アイデンティティが取得および監査されます:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

詳細は、Oracle Database 19cセキュリティ・ガイド集中管理ユーザー・ログオン情報の検証またはOracle Database 26aiセキュリティ・ガイドを参照してください。

Autonomous AI DatabaseでのActive Directoryのユーザーおよびロールの削除

Autonomous AI DatabaseからActive Directoryのユーザーおよびロールを削除するには、標準のデータベース・コマンドを使用します。これを行っても、削除したデータベース・ユーザーまたはロールからマップされていた関連するActive Directoryのユーザーまたはグループは削除されません。

Autonomous AI Databaseからユーザーまたはロールを削除するには:

  1. DROP USERまたはDROP ROLEシステム権限を付与されたユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします。

  2. DROP USERまたはDROP ROLE文を使用して、Active Directoryのグループまたはユーザーにマップされたグローバル・ユーザーまたはグローバル・ロールを削除します。

    詳細は、「データベース・ユーザーの削除」を参照してください。

Autonomous AI DatabaseでのActive Directoryアクセスの無効化

Autonomous AI DatabaseからCMU構成を削除する(およびAutonomous AI DatabaseからActive DirectoryへのLDAPアクセスを無効にする)ステップについて説明します。

CMU Active DirectoryにアクセスするようにAutonomous AI Databaseインスタンスを構成した後、次のようにそのアクセスを無効にできます:

  1. ADMINユーザーとしてAutonomous AI Databaseに接続します。

  2. CMU認証を無効にするには、DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATIONを使用します。

    ノート:このプロシージャを実行するには、ADMINユーザーとしてログインしているか、DBMS_CLOUD_ADMINに対するEXECUTE権限を持っている必要があります。

    たとえば:

       BEGIN
     DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
   END;
   /

    これにより、Autonomous AI DatabaseインスタンスのCMU認証が無効になります。

詳細は、DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。

Autonomous AI Database上のMicrosoft Active Directoryに関する制限事項

Autonomous AI DatabaseでActive Directoryを使用しているCMUには、次の制限が適用されます。