専用Exadataインフラストラクチャ上のAutonomous DatabaseでのMicrosoft Active Directoryの使用

Autonomous DatabaseでMicrosoft Active Directoryを使用してCMUを構成するための前提条件

Autonomous DatabaseからActive Directoryへの接続を構成するために必要な前提条件は次のとおりです:

Microsoft Active Directoryをインストールして構成しておく必要があります。詳細は、AD DSの開始を参照してください。
Oracleサービス・ディレクトリ・ユーザーをActive Directory内に作成する必要があります。See Step 1: Create an Oracle Service Directory User Account on Microsoft Active Directory and Grant Permissions in Oracle Database 19c Security Guide or Oracle Database 23ai Security Guide for information on the Oracle service directory user account.
Active Directoryシステム管理者は、Active DirectoryサーバーにOracleパスワード・フィルタをインストールし、要件に合うようにActive Directoryユーザーを含むActive Directoryグループを設定しておく必要があります。

Autonomous DatabaseでCMUを使用する場合はパスワード認証のみがサポートされているため、付属のユーティリティopwdintg.exeを使用してOracleパスワード・フィルタをActive Directoryにインストールし、スキーマを拡張して、3つのタイプのパスワード確認生成に対する3つの新しいORA_VFRグループを作成する必要があります。Oracleパスワード・フィルタのインストールの詳細は、Oracle Database 19cセキュリティ・ガイドのステップ2: パスワード認証、パスワード・フィルタのインストールおよびMicrosoft Active Directoryスキーマの拡張またはOracle Database 23aiセキュリティ・ガイドを参照してください。
Active Directoryサーバーには、Autonomous Databaseからパブリック・インターネットを介してアクセスできる必要があります。また、Autonomous Databaseがインターネットを介してTLS/SSLを介してActive DirectoryサーバーへのセキュアなLDAPアクセスができるように、Active Directoryサーバーのポート636がOracle Cloud InfrastructureのAutonomous Databaseに対してオープンされている必要があります。

また、オンプレミスのActive DirectoryをOracle Cloud Infrastructureまで拡張して、そこにオンプレミスのActive Directoryの読取り専用ドメイン・コントローラ(RODC)を設定することもできます。これにより、Oracle Cloud InfrastructureでこれらのRODCを使用して、Autonomous DatabaseにアクセスするオンプレミスのActive Directoryユーザーを認証および認可できます。

詳細は、Hybrid CloudでのActive Directory統合の拡張を参照してください。
Autonomous DatabaseにCMUを構成するには、CMU構成データベース・ウォレットcwallet.ssoおよびCMU構成ファイルdsi.oraが必要です:
- オンプレミス・データベースにCMUをすでに構成した場合は、オンプレミス・データベース・サーバーからこれらの構成ファイルを取得できます。
- オンプレミス・データベースにCMUを構成していない場合は、これらのファイルを作成する必要があります。次に、構成ファイルをクラウドにアップロードして、Autonomous DatabaseインスタンスにCMUを構成します。ウォレットおよびdsi.oraを検証するには、オンプレミス・データベースにCMUを構成し、Active Directoryユーザーがこれらの構成ファイルを使用してオンプレミス・データベースに正常にログオンできることを確認します。次に、Autonomous DatabaseにCMUを構成するために、これらの構成ファイルをクラウドにアップロードします。
CMUのウォレットファイルの詳細は、次を参照してください。
- Oracle Database 19cセキュリティ・ガイドまたはOracle Database 23aiセキュリティ・ガイドのステップ6: セキュアな接続のためのWalletの作成
- Oracle Database 19cセキュリティ・ガイドおよびOracle Database 23aiセキュリティ・ガイドのステップ8: Oracle Walletの検証。
CMUのdsi.oraファイルの詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 23aiセキュリティ・ガイド』のdsi.oraファイルの作成を参照してください。

CMUに対するActive Directoryの構成、およびオンプレミス・データベースでのCMUに関するトラブルシューティングの詳細は、データベース・リリース18c以降での一元管理ユーザーの構成方法(ドキュメントID 2462012.1)を参照してください。

Autonomous DatabaseでのMicrosoft Active Directoryを使用したCMUの構成

Active Directoryサーバーに接続するようにCMUのAutonomous Databaseを構成するには:

ADMINユーザーとしてAutonomous Databaseに接続します。
データベースで別の外部認証スキームが有効になっているかどうかを確認し、無効にします。

ノート:
Kerberos上でCMU-AD構成を続行して、Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供できます。
データベース・ウォレット・ファイルを含むCMU構成ファイルcwallet.ssoおよびCMU構成ファイルdsi.oraをオブジェクト・ストアにアップロードします。このステップは、使用するオブジェクト・ストアによって異なります。

dsi.ora構成ファイルには、Active Directoryサーバーを検出するための情報が含まれています。

Oracle Cloud Infrastructure Object Storeを使用している場合は、オブジェクト・ストレージへのデータの配置を参照して、ファイルのアップロードの詳細を確認してください。
Autonomous Databaseで、新しいディレクトリ・オブジェクトを作成するか、既存のディレクトリ・オブジェクトを選択します。これは、Active Directoryに接続するためのウォレットおよび構成ファイルを格納するディレクトリです:
たとえば次のようにします。
```
CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
```
次のSQL文を使用して、ディレクトリ・オブジェクトのファイル・システム・ディレクトリ・パスを問い合せます:
```
SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
   DIRECTORY_NAME='directory_object_name';
```
たとえば次のようにします。
```
SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
   DIRECTORY_NAME='CMU_WALLET_DIR';


DIRECTORY_PATH
----------------------------------------------------------------------------
/file_system_directory_path_example/cmu_wallet
```
ノート:
ディレクトリ・オブジェクトの作成時に大/小文字が保持されていないため、問合せのディレクトリ・オブジェクト名は大文字にする必要があります。
ディレクトリ・オブジェクト名の大/小文字を保持する場合は、その名前を二重引用符で囲む必要があります。たとえば次のようにします。
```
CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
```
DBMS_CLOUD.GET_OBJECTを使用して、CMU構成ファイル、データベース・ウォレットcwallet.ssoおよびdsi.oraをオブジェクト・ストアから、前述のステップ4で作成または選択したディレクトリにコピーします。
たとえば、次のように、DBMS_CLOUD.GET_OBJECTを使用してオブジェクト・ストアからCMU_WALLET_DIRにファイルをコピーします:
```
BEGIN
   DBMS_CLOUD.GET_OBJECT(
      credential_name => 'DEF_CRED_NAME',
      object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
      directory_name => 'CMU_WALLET_DIR');
   DBMS_CLOUD.GET_OBJECT(
      credential_name => 'DEF_CRED_NAME',
      object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
      directory_name => 'CMU_WALLET_DIR');
END;
/
```
この例では、namespace-stringはOracle Cloud Infrastructureオブジェクト・ストレージ・ネームスペースで、bucketnameはバケット名です。詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。
詳細は、GET_OBJECTプロシージャを参照してください。
次のSQL文を使用して、ディレクトリにコピーされたファイルを問い合せます。
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');
```
たとえば次のようにします。
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
```
ディレクトリ・オブジェクトが作成されたときに大/小文字が保持されていないため、この問合せのディレクトリ・オブジェクト名は大文字にする必要があります。
DBMS_CLOUD_ADMINパッケージを使用して、Autonomous DatabaseでCMU-ADを有効にします。
ノート:
次の例のディレクトリ名を、使用している環境用に選択したディレクトリ名に置き換えます。このコマンドを実行する前に、ADMINユーザーとしてログインしていることを確認してください。
```
BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     => 'CMU',
    params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
  ); 
END;
/ 
```
セキュリティを維持するには、データベース・ウォレットを含むCMU構成ファイルcwallet.ssoおよびCMU構成ファイルdsi.oraをオブジェクト・ストアから削除します。ローカル・オブジェクト・ストア・メソッドを使用してこれらのファイルを削除するか、DBMS_CLOUD.DELETE_OBJECTを使用してオブジェクト・ストアからファイルを削除できます。
DBMS_CLOUD.DELETE_OBJECTの詳細は、DELETE_OBJECTプロシージャを参照してください。

ノート:

Autonomous DatabaseからActive Directoryへのアクセスを無効にする手順は、「Autonomous DatabaseでのActive Directoryアクセスの無効化」を参照してください。

詳細は、Oracle Database 19cセキュリティ・ガイドまたはOracle Database 19cセキュリティ・ガイドのMicrosoft Active Directoryを使用した一元管理ユーザーの構成を参照してください。

Exadata Cloud@CustomerでのMicrosoft Active Directoryを使用したCMUの構成

適用対象: Exadata Cloud@Customerのみ

Oracle Object Storeサービスを使用せずにCMUがActive Directoryサーバーに接続するようにExadata Cloud@CustomerでAutonomous Databaseを構成するには:

ADMINユーザーとしてAutonomous Databaseに接続します。
データベースで別の外部認証スキームが有効になっているかどうかを確認し、次のSQLコマンドを使用して無効にしてください。
```
BEGIN
  DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
```
CMU-ADには、Autonomous Exadata VMクラスタ(AVMC)上のローカル・ファイル・システム上のActive Directory接続ウォレットcwallet.ssoおよびdsi.oraファイルが必要です。これを実現するには、これらのファイルをOracle Cloud InfrastructureのOracle Object Storeサービスでホストし、DBMS_CLOUDパッケージを使用してローカルにコピーします。このプロセスの詳細は、Autonomous DatabaseでのMicrosoft Active Directoryを使用したCMUの構成を参照してください。
クラウド・ストレージでcwallet.ssoおよびdsi.oraをホストできない場合は、データ・センターでネットワーク・ファイル・システム(NFS)共有を使用してこれらのファイルをホストし、データベース・ファイル・システム(DBFS)の下のデータベース・ディレクトリに移動できます。これを行うには、次に示すように、まずローカルで使用可能なNFS共有をAutonomous Databaseディレクトリ・オブジェクトにアタッチする必要があります:
1. SQLクライアントから次のSQLコマンドを使用して、Autonomous Databaseインスタンスにデータベース・ディレクトリを作成します:
```
create or replace directory TMPFSSDIR as 'tmpfssdir';
```
2. Autonomous Databaseで使用可能なDBMS_CLOUD_ADMINパッケージを使用して、NFS共有をこのディレクトリにマウントします。
  
  ヒント :
  NFS共有を使用できるようにするには、ネットワーク管理者またはストレージ管理者と作業する必要がある場合があります。
```
BEGIN
  DBMS_CLOUD_ADMIN.attach_file_system(
    file_system_name => <some_name_you_assign>,
    file_system_location => <your_nfs_fs_path>,
    directory_name => <tmpfssdir_created_above>,
    description => ‘Any_desc_you_like_to_give’
  );
END
```
  たとえば次のようにします。
```
BEGIN 
  DBMS_CLOUD_ADMIN.attach_file_system(
    file_system_name => 'AD-FSS',
    file_system_location => acme.com:/nfs/mount1',
    directory_name => 'TMPFSSDIR',
    description => ‘nfs to host AD files’
  );
END;
```
CMUで使用可能なcwallet.ssoおよびdsi.oraファイルに対するNFS共有への依存を回避するには、データベース・ディレクトリ・マッピングを使用してローカル・ファイル・システム・フォルダに移動します。Autonomous Databaseはローカル・ファイル・システムへのアクセスを制限するため、次に示すようにutl_fileを使用してコピー・プロシージャを作成します:
1. SQLクライアントから次のSQLコマンドを使用して、Autonomous Databaseインスタンスにデータベース・ディレクトリを作成します:
```
CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
```
2. 次のSQLコマンドを使用して、前述のディレクトリ・パスを確認します。
```
SELECT DIRECTORY_PATH 
FROM DBA_DIRECTORIES 
WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';
```
  ノート:
  ディレクトリ・オブジェクトの作成中に大/小文字が保持されていないため、ディレクトリ・オブジェクト名は問合せで大文字にする必要があります。
3. UTL_FILEユーティリティを使用して、dsi.oraおよびcwallet.ssoをNFSディレクトリからローカルのCMU Walletディレクトリにコピーします。
  たとえば次のようにします。
  次に示すように、copyfileというストアド・プロシージャを作成します。
```
CREATE OR REPLACE PROCEDURE copyfile(
  in_loc_dir IN VARCHAR2,
  in_filename IN VARCHAR2,
  out_loc_dir IN VARCHAR2,
  out_filename IN VARCHAR2
)
IS
  in_file UTL_FILE.file_type;
  out_file UTL_FILE.file_type;
  buffer_size CONSTANT INTEGER := 32767;
  buffer RAW (32767);
  buffer_length INTEGER; 
BEGIN
  in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
  out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
  UTL_FILE.get_raw (in_file, buffer, buffer_size);
  buffer_length := UTL_RAW.LENGTH (buffer);

  WHILE buffer_length > 0
  LOOP 
    UTL_FILE.put_raw (out_file, buffer, TRUE);

    IF buffer_length = buffer_size
      THEN
        UTL_FILE.get_raw (in_file, buffer, buffer_size);
        buffer_length := UTL_RAW.LENGTH (buffer);
      ELSE
        buffer_length := 0;
      END IF;
  END LOOP;

  UTL_FILE.fclose (in_file);
  UTL_FILE.fclose (out_file);
EXCEPTION
  WHEN NO_DATA_FOUND
  THEN
    UTL_FILE.fclose (in_file);
    UTL_FILE.fclose (out_file);
END;
/ 
```
  copyfileストアド・プロシージャをコンパイルします。正常にコンパイルされたら、次に示すように、copyfileプロシージャを1回実行して、NFSディレクトリからローカルのCMU Walletディレクトリにdsi.oraおよびcwallet.ssoをコピーします。
```
EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
```
```
EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
```
4. 次のSQL問合せを実行して、ファイルがローカルCMU Walletディレクトリに正常にコピーされたかどうかを検証します。
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
```
次のコマンドを使用して、NFS共有をデタッチします。これは、ファイルがローカル・ディレクトリにコピーされた後、CMU-ADでは不要であるためです。
```
exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
```
DBMS_CLOUD_ADMINパッケージを使用して、Autonomous DatabaseでCMU-ADを有効にします。
ノート:
次の例のディレクトリ名を、使用している環境用に選択したディレクトリ名に置き換えます。このコマンドを実行する前に、ADMINユーザーとしてログインしていることを確認してください。
```
BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     => 'CMU',
    params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
  ); 
END;
/ 
```

次に示すように、データベース・プロパティCMU_WALLETのプロパティ値を問い合せて検証します。

SELECT PROPERTY_VALUE
FROM DATABASE_PROPERTIES
WHERE PROPERTY_NAME = 'CMU_WALLET';

例:

SELECT PROPERTY_VALUE
FROM DATABASE_PROPERTIES
WHERE PROPERTY_NAME='CMU_WALLET';

PROPERTY_VALUE
--------------
CMU_WALLET_DIR

これで、Microsoft Active Directoryを介した外部認証をExadata Cloud@Customer上のAutonomous Databaseで使用するようにCMU-ADを構成しました。

Autonomous DatabaseでのMicrosoft Active Directoryロールの追加

Active Directoryロールを追加するには、CREATE ROLE文またはALTER ROLE文を使用して(また、IDENTIFIED GLOBALLY AS句も含めて)データベース・グローバル・ロールをActive Directoryグループにマップします。

Autonomous DatabaseでActive Directoryグループのグローバル・ロールを追加するには:

ADMINユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします(ADMINユーザーには、これらのステップに必要なCREATE ROLEおよびALTER ROLEシステム権限があります)。
CREATE ROLE文またはALTER ROLE文を使用して、Autonomous Databaseロールにデータベース認可を設定します。IDENTIFIED GLOBALLY AS句を含めて、Active DirectoryグループのDNを指定します。
次の構文を使用して、ディレクトリ・ユーザー・グループをデータベース・グローバル・ロールにマップします:
```
CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
たとえば次のようにします。
```
CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
```
この例では、widget_sales_groupのすべてのメンバーが、データベースにログインするとデータベース・ロールwidget_sales_roleで認可されます。
GRANT文を使用して、必要な権限やその他のロールをグローバル・ロールに付与します。
たとえば次のようにします。
```
GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;
```
DWROLEは、共通権限が定義されている事前定義済ロールです。Autonomous Databaseユーザーに対する共通権限の設定の詳細は、「データベース・ユーザー権限の管理」を参照してください。
既存のデータベース・ロールをActive Directoryグループに関連付ける場合は、ALTER ROLE文を使用して既存のデータベース・ロールを変更し、そのロールをActive Directoryグループにマップします。
次の構文を使用して、既存のデータベース・ロールを変更し、それをActive Directoryグループにマップします:
```
ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
他のActive Directoryグループに追加のグローバル・ロール・マッピングを作成する場合は、Active Directoryグループごとにこれらのステップに従います。

Microsoft Active Directoryを使用したロールの構成の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 23aiセキュリティ・ガイド』の集中管理ユーザーの認可の構成を参照してください。

Autonomous DatabaseでのMicrosoft Active Directoryユーザーの追加

Active Directoryユーザーを追加してAutonomous Databaseにアクセスするには、CREATE USER文またはALTER USER文を(IDENTIFIED GLOBALLY AS句とともに)使用して、データベース・グローバル・ユーザーをActive Directoryのグループまたはユーザーにマップします。

Autonomous DatabaseとActive Directoryの統合を機能させるためには、Microsoft Active DirectoryのユーザーおよびグループをOracleデータベースのグローバル・ユーザーおよびグローバル・ロールに直接マップします。

Autonomous DatabaseでActive Directoryのグループまたはユーザーのグローバル・ユーザーを追加するには:

ADMINユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします(ADMINユーザーには、これらのステップに必要なCREATE USERおよびALTER USERシステム権限があります)。
CREATE USERまたはALTER USER文でIDENTIFIED GLOBALLY AS句も含めてAutonomous Databaseユーザーのデータベース認可を設定し、Active DirectoryのユーザーまたはグループのDNを指定します。
次の構文を使用して、ディレクトリ・ユーザーをデータベース・グローバル・ユーザーにマップします:
```
CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
```
次の構文を使用して、ディレクトリ・グループをデータベース・グローバル・ユーザーにマップします:
```
CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
たとえば、production.example.comドメインのsales組織単位のwidget_sales_groupという名前のディレクトリ・グループを、WIDGET_SALESという名前の共有データベース・グローバル・ユーザーにマップするには:
```
CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
```
これにより、共有グローバル・ユーザー・マッピングが作成されます。グローバル・ユーザーwidget_salesを使用するマッピングは、Active Directoryグループ内のすべてのユーザーに対して有効です。したがって、widget_sales_groupのメンバーは、(widget_salesグローバル・ユーザーの共有マッピングを介して) Active Directory資格証明を使用してデータベースにログインできます。
Active Directoryユーザーが既存のデータベース・ユーザーを使用し、各自のスキーマを所有し、その既存のデータを所有できるようにするには、ALTER USERを使用して既存のデータベース・ユーザーを変更し、そのユーザーをActive Directoryグループまたはユーザーにマップします。
- 次の構文を使用して、既存のデータベース・ユーザーを変更してActive Directoryユーザーにマップします:
```
ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
```
- 次の構文を使用して、既存のデータベース・ユーザーを変更してActive Directoryグループにマップします:
```
ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
他のActive Directoryグループまたはユーザーに追加のグローバル・ユーザー・マッピングを作成する場合は、Active Directoryのグループまたはユーザーごとにこれらのステップに従います。

Microsoft Active Directoryを使用したロールの構成の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 23aiセキュリティ・ガイド』の集中管理ユーザーの認可の構成を参照してください。

Active Directoryユーザー資格証明を使用したAutonomous Databaseへの接続

ADMINユーザーがCMU Active Directory構成ステップを完了してグローバル・ロールおよびグローバル・ユーザーを作成した後、ユーザーはActive Directoryのユーザー名とパスワードを使用してAutonomous Databaseにログインします。

ノート:

グローバルユーザー名を使用してログインしないでください。グローバル・ユーザー名はパスワードを持たないため、グローバル・ユーザー名を使用して接続しても成功しません。データベースにログインするためには、Autonomous Databaseにグローバル・ユーザー・マッピングが必要です。グローバル・ロール・マッピングのみでデータベースにログインすることはできません。

Active Directoryのユーザー名とパスワードを使用してAutonomous Databaseにログインするには、次のように接続します:
```
CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;
```
たとえば次のようにします。
```
CONNECT "production\pfitch"/password@adbname_medium;
```
次の例のように、Active Directoryドメインをユーザー名とともに指定する場合は、二重引用符で囲む必要があります: "production\pfitch"。

この例では、ドメインproductionのActive Directoryユーザー名は、pfitchです。Active Directoryユーザーは、そのDN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'で指定されたwidget_sales_groupグループのメンバーです。

Autonomous DatabaseでActive DirectoryとともにCMUを構成し、グローバル・ロールおよびグローバル・ユーザーを使用してActive Directory認可を設定した後、専用Autonomous Databaseへの接続についてで説明されているいずれかの接続方法を使用してAutonomous Databaseに接続できます。接続時にActive Directoryユーザーを使用する場合は、Active Directoryユーザー資格証明を使用します。たとえば、AD_DOMAIN\AD_USERNAMEという形式でユーザー名を指定し(二重引用符で囲む必要があります)、パスワードにAD_USER_PASSWORDを使用します。

Autonomous Databaseを使用したActive Directoryユーザー接続情報の確認

ユーザーがActive Directoryのユーザー名とパスワードを使用してAutonomous Databaseにログインすると、ユーザー・アクティビティを確認および監査できます。

たとえば、ユーザーpfitchがログインした場合:

CONNECT "production\pfitch"/password@exampleadb_medium;

Active Directoryユーザーのログオン・ユーザー名(samAccountName)はpfitchで、widget_sales_groupがActive Directoryグループ名、widget_salesがAutonomous Databaseグローバル・ユーザーです。

pfitchがデータベースにログインした後は、コマンドSHOW USERを実行するとグローバル・ユーザー名が表示されます:

SHOW USER;

USER is "WIDGET_SALES"

次のコマンドは、Active DirectoryユーザーのDN (識別名)を表示します:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

たとえば、この一元管理ユーザーのエンタープライズ・アイデンティティを確認できます:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

次のコマンドは、"AD_DOMAIN\AD_USERNAME"を表示します:

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

たとえば、ユーザーがデータベースにログオンすると、Active Directoryの認証済ユーザー・アイデンティティが取得および監査されます:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

詳細は、『Oracle Database 19cセキュリティ・ガイド』の集中管理ユーザー・ログオン情報の確認または『Oracle Database 23aiセキュリティ・ガイド』を参照してください。

Autonomous DatabaseでのActive Directoryのユーザーおよびロールの削除

Autonomous DatabaseからActive Directoryのユーザーおよびロールを削除するには、標準のデータベース・コマンドを使用します。これを行っても、削除したデータベース・ユーザーまたはロールからマップされていた関連するActive Directoryのユーザーまたはグループは削除されません。

Autonomous Databaseからユーザーまたはロールを削除するには:

DROP USERまたはDROP ROLEシステム権限を付与されたユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします。
DROP USERまたはDROP ROLE文を使用して、Active Directoryのグループまたはユーザーにマップされたグローバル・ユーザーまたはグローバル・ロールを削除します。
詳細は、「データベース・ユーザーの削除」を参照してください。

Autonomous DatabaseでのActive Directoryアクセスの無効化

Autonomous DatabaseからCMU構成を削除する(およびAutonomous DatabaseからActive DirectoryへのLDAPアクセスを無効にする)ステップについて説明します。

CMU Active DirectoryにアクセスするようにAutonomous Databaseインスタンスを構成した後、次のようにしてアクセスを無効にできます:

ADMINユーザーとしてAutonomous Databaseに接続します。
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATIONを使用して、CMU認証を無効にします。

ノート:
このプロシージャを実行するには、ADMINユーザーでログインするか、DBMS_CLOUD_ADMINに対するEXECUTE権限を持っている必要があります。
たとえば次のようにします。
```
BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
```
これにより、Autonomous DatabaseインスタンスでのCMU認証が無効になります。

詳細は、DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。

Autonomous DatabaseでのMicrosoft Active Directoryの制限事項

Autonomous DatabaseでActive Directoryを使用するCMUには、次の制限が適用されます:

Autonomous Databaseを使用したCMUでは、「パスワード認証」および「Kerberos」のみがサポートされます。Autonomous DatabaseでCMU認証を使用している場合、Azure AD、OCI IAM、PKIなどの他の認証方式はサポートされません。
Oracle Application Expressおよびデータベース・アクションは、Autonomous Databaseを使用するActive Directoryユーザーではサポートされていません。