専用Exadataインフラストラクチャ上のAutonomous AI DatabaseでのMicrosoft Active Directoryの使用

Autonomous AI DatabaseでMicrosoft Active Directoryを使用してCMUを構成するための前提条件

Autonomous AI DatabaseからActive Directoryへの接続を構成するには、次の前提条件が必要です:

Microsoft Active Directoryをインストールして構成しておく必要があります。詳細は、AD DSの開始を参照してください。
Oracleサービス・ディレクトリ・ユーザーをActive Directory内に作成する必要があります。See Step 1: Create an Oracle Service Directory User Account on Microsoft Active Directory and Grant Permissions in Oracle Database 19c Security Guide or Oracle Database 26ai Security Guide for information on the Oracle service directory user account.
Active Directoryシステム管理者は、Active DirectoryサーバーにOracleパスワード・フィルタをインストールし、要件に合うようにActive Directoryユーザーを含むActive Directoryグループを設定しておく必要があります。

Autonomous AI DatabaseでCMUを使用する場合はパスワード認証のみがサポートされているため、付属のユーティリティopwdintg.exeを使用するとOracleパスワード・フィルタをActive Directoryにインストールし、スキーマを拡張して、3つのタイプのパスワード確認生成に対する3つの新しいORA_VFRグループを作成する必要があります。Oracleパスワード・フィルタのインストールの詳細は、『Oracle Database 19cセキュリティ・ガイド』の「ステップ2: パスワード認証、パスワード・フィルタのインストールおよびMicrosoft Active Directoryスキーマの拡張」または『Oracle Database 26aiセキュリティ・ガイド』を参照してください。
The Active Directory servers must be accessible from Autonomous AI Database through the public internet and the port 636 of the Active Directory servers must be open to Autonomous AI Database in Oracle Cloud Infrastructure, so that Autonomous AI Database can have secured LDAP access over TLS/SSL to the Active Directory servers through the internet.

また、オンプレミスのActive DirectoryをOracle Cloud Infrastructureまで拡張して、そこにオンプレミスのActive Directoryの読取り専用ドメイン・コントローラ(RODC)を設定することもできます。これにより、Oracle Cloud InfrastructureでこれらのRODBCを使用して、Autonomous AI DatabaseにアクセスするオンプレミスのActive Directoryユーザーを認証および認可できます。

詳細は、Hybrid CloudでのActive Directory統合の拡張を参照してください。
Autonomous AI DatabaseにCMUを構成するには、CMU構成データベース・ウォレットcwallet.ssoおよびCMC構成ファイルdsi.oraが必要です。
- オンプレミス・データベースにCMUをすでに構成した場合は、オンプレミス・データベース・サーバーからこれらの構成ファイルを取得できます。
- オンプレミス・データベースにCMUを構成していない場合は、これらのファイルを作成する必要があります。次に、Autonomous AI DatabaseインスタンスにCMUを構成するために、構成ファイルをクラウドにロードします。ウォレットおよびdsi.oraを検証するには、オンプレミス・データベースにCMUを構成し、Active Directoryユーザーがこれらの構成ファイルを使用してオンプレミス・データベースに正常にログオンできることを確認します。次に、Autonomous AI DatabaseにCMUを構成するために、これらの構成ファイルをクラウドにロードします。
CMUのウォレットファイルの詳細は、次を参照してください。
- Oracle Database 19cセキュリティ・ガイドまたはOracle Database 26aiセキュリティ・ガイドのステップ6: セキュアな接続のためのWalletの作成
- Oracle Database 19cセキュリティ・ガイドおよびOracle Database 26aiセキュリティ・ガイドのステップ8: Oracle Walletの確認。
CMUのdsi.oraファイルの詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 26aiセキュリティ・ガイド』のdsi.oraファイルの作成に関する項を参照してください。

CMUに対するActive Directoryの構成、およびオンプレミス・データベースでのCMUに関するトラブルシューティングの詳細は、データベース・リリース18c以降での一元管理ユーザーの構成方法(ドキュメントID 2462012.1)を参照してください。

Autonomous AI DatabaseでのMicrosoft Active Directoryを使用したCMUの構成

Active Directoryサーバーに接続するようにCMUのAutonomous AI Databaseを構成するには:

ADMINユーザーとしてAutonomous AI Databaseに接続します。
データベースで別の外部認証スキームが有効になっているかどうかを確認し、無効にします。

ノート:
Kerberos上でCMU-AD構成を続行して、Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供できます。
データベース・ウォレット・ファイルを含むCMU構成ファイルcwallet.ssoおよびCMU構成ファイルdsi.oraをオブジェクト・ストアにアップロードします。このステップは、使用するオブジェクト・ストアによって異なります。

dsi.ora構成ファイルには、Active Directoryサーバーを検出するための情報が含まれています。

Oracle Cloud Infrastructure Object Storeを使用している場合は、オブジェクト・ストレージへのデータの配置を参照して、ファイルのアップロードの詳細を確認してください。
Autonomous AI Databaseで、新しいディレクトリ・オブジェクトを作成するか、既存のディレクトリ・オブジェクトを選択します。これは、Active Directoryに接続するためのウォレットおよび構成ファイルを格納するディレクトリです:
たとえば次のようにします。
```
CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
```
次のSQL文を使用して、ディレクトリ・オブジェクトのファイル・システム・ディレクトリ・パスを問い合せます:
```
SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
   DIRECTORY_NAME='directory_object_name';
```
たとえば次のようにします。
```
SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
   DIRECTORY_NAME='CMU_WALLET_DIR';


DIRECTORY_PATH
----------------------------------------------------------------------------
/file_system_directory_path_example/cmu_wallet
```
ノート:
ディレクトリ・オブジェクトの作成時に大/小文字が保持されていないため、問合せのディレクトリ・オブジェクト名は大文字にする必要があります。
ディレクトリ・オブジェクト名の大/小文字を保持する場合は、その名前を二重引用符で囲む必要があります。たとえば次のようにします。
```
CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
```
DBMS_CLOUD.GET_OBJECTを使用して、CMU構成ファイル、データベース・ウォレットcwallet.ssoおよびdsi.oraをオブジェクト・ストアから、前述のステップ4で作成または選択したディレクトリにコピーします。
たとえば、次のように、DBMS_CLOUD.GET_OBJECTを使用してオブジェクト・ストアからCMU_WALLET_DIRにファイルをコピーします:
```
BEGIN
   DBMS_CLOUD.GET_OBJECT(
      credential_name => 'DEF_CRED_NAME',
      object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
      directory_name => 'CMU_WALLET_DIR');
   DBMS_CLOUD.GET_OBJECT(
      credential_name => 'DEF_CRED_NAME',
      object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
      directory_name => 'CMU_WALLET_DIR');
END;
/
```
この例では、namespace-stringはOracle Cloud Infrastructureオブジェクト・ストレージ・ネームスペースで、bucketnameはバケット名です。詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。
詳細は、GET_OBJECTプロシージャを参照してください。
次のSQL文を使用して、ディレクトリにコピーされたファイルを問い合せます。
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');
```
たとえば次のようにします。
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
```
ディレクトリ・オブジェクトが作成されたときに大/小文字が保持されていないため、この問合せのディレクトリ・オブジェクト名は大文字にする必要があります。
DBMS_CLOUD_ADMINパッケージを使用して、Autonomous AI DatabaseでCMU-ADを有効にします。
ノート:
次の例のディレクトリ名を、使用している環境用に選択したディレクトリ名に置き換えます。このコマンドを実行する前に、ADMINユーザーとしてログインしていることを確認してください。
```
BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     => 'CMU',
    params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
  ); 
END;
/ 
```
セキュリティを維持するには、データベース・ウォレットを含むCMU構成ファイルcwallet.ssoおよびCMU構成ファイルdsi.oraをオブジェクト・ストアから削除します。ローカル・オブジェクト・ストア・メソッドを使用してこれらのファイルを削除するか、DBMS_CLOUD.DELETE_OBJECTを使用してオブジェクト・ストアからファイルを削除できます。
DBMS_CLOUD.DELETE_OBJECTの詳細は、DELETE_OBJECTプロシージャを参照してください。

ノート:

Autonomous AI DatabaseからActive Directoryへのアクセスを無効にする手順は、Autonomous AI DatabaseでのActive Directoryのアクセスの無効化を参照してください。

詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 26aiセキュリティ・ガイド』のMicrosoft Active Directoryによる集中管理ユーザーの構成に関する項を参照してください。

Exadata Cloud@CustomerでのMicrosoft Active Directoryを使用したCMUの構成

適用対象: Exadata Cloud@Customerのみ

Oracle Object Storeサービスを使用せずに、CMUがActive Directoryサーバーに接続するようにExadata Cloud@CustomerでAutonomous AI Databaseを構成するには:

ADMINユーザーとしてAutonomous AI Databaseに接続します。
データベースで別の外部認証スキームが有効になっているかどうかを確認し、次のSQLコマンドを使用して無効にしてください。
```
BEGIN
  DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
```
CMU-ADには、Autonomous Exadata VMクラスタ(AVMC)上のローカル・ファイル・システム上のActive Directory接続ウォレットcwallet.ssoおよびdsi.oraファイルが必要です。これを実現するには、Oracle Cloud InfrastructureのOracle Object Storeサービスでこれらのファイルをホストし、DBMS_CLOUDパッケージを使用してローカルにコピーします。このプロセスの詳細なステップと例は、Autonomous AI DatabaseでのMicrosoft Active Directoryを使用したCMUの構成を参照してください。
クラウド・ストレージでcwallet.ssoおよびdsi.oraをホストできない場合は、データ・センター内のネットワーク・ファイル・システム(NFS)共有を使用してこれらのファイルをホストし、それらをデータベース・ファイル・システム(DBFS)の下のデータベース・ディレクトリに移動できます。そのためには、次に示すように、最初にローカルで使用可能なNFS共有をAutonomous AI Databaseディレクトリ・オブジェクトにアタッチする必要があります:
1. SQLクライアントから次のSQLコマンドを使用して、Autonomous AI Databaseインスタンスにデータベース・ディレクトリを作成します:
```
create or replace directory TMPFSSDIR as 'tmpfssdir';
```
2. Autonomous AI Databaseで使用可能なDBMS_CLOUD_ADMINパッケージを使用して、NFS共有をこのディレクトリにマウントします。
  
  ヒント :
  NFS共有を使用できるようにするには、ネットワーク管理者またはストレージ管理者と作業する必要がある場合があります。
```
BEGIN
  DBMS_CLOUD_ADMIN.attach_file_system(
    file_system_name => <some_name_you_assign>,
    file_system_location => <your_nfs_fs_path>,
    directory_name => <tmpfssdir_created_above>,
    description => ‘Any_desc_you_like_to_give’
  );
END
```
  たとえば次のようにします。
```
BEGIN 
  DBMS_CLOUD_ADMIN.attach_file_system(
    file_system_name => 'AD-FSS',
    file_system_location => acme.com:/nfs/mount1',
    directory_name => 'TMPFSSDIR',
    description => ‘nfs to host AD files’
  );
END;
```
cwallet.ssoおよびdsi.oraファイルがCMUで使用可能になるようにNFS共有に依存しないようにするには、データベース・ディレクトリ・マッピングを使用して、それらをローカル・ファイル・システム・フォルダに移動します。Autonomous AI Databaseはローカル・ファイル・システムへのアクセスを制限するため、次に示すようにutl_fileを使用してコピー・プロシージャを作成します:
1. SQLクライアントから次のSQLコマンドを使用して、Autonomous AI Databaseインスタンスにデータベース・ディレクトリを作成します:
```
CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
```
2. 次のSQLコマンドを使用して、前述のディレクトリ・パスを確認します。
```
SELECT DIRECTORY_PATH 
FROM DBA_DIRECTORIES 
WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';
```
  ノート:
  ディレクトリ・オブジェクトの作成中に大/小文字が保持されていないため、ディレクトリ・オブジェクト名は問合せで大文字にする必要があります。
3. UTL_FILEユーティリティを使用して、dsi.oraおよびcwallet.ssoをNFSディレクトリからローカルのCMU Walletディレクトリにコピーします。
  たとえば次のようにします。
  次に示すように、copyfileというストアド・プロシージャを作成します。
```
CREATE OR REPLACE PROCEDURE copyfile(
  in_loc_dir IN VARCHAR2,
  in_filename IN VARCHAR2,
  out_loc_dir IN VARCHAR2,
  out_filename IN VARCHAR2
)
IS
  in_file UTL_FILE.file_type;
  out_file UTL_FILE.file_type;
  buffer_size CONSTANT INTEGER := 32767;
  buffer RAW (32767);
  buffer_length INTEGER; 
BEGIN
  in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
  out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
  UTL_FILE.get_raw (in_file, buffer, buffer_size);
  buffer_length := UTL_RAW.LENGTH (buffer);

  WHILE buffer_length > 0
  LOOP 
    UTL_FILE.put_raw (out_file, buffer, TRUE);

    IF buffer_length = buffer_size
      THEN
        UTL_FILE.get_raw (in_file, buffer, buffer_size);
        buffer_length := UTL_RAW.LENGTH (buffer);
      ELSE
        buffer_length := 0;
      END IF;
  END LOOP;

  UTL_FILE.fclose (in_file);
  UTL_FILE.fclose (out_file);
EXCEPTION
  WHEN NO_DATA_FOUND
  THEN
    UTL_FILE.fclose (in_file);
    UTL_FILE.fclose (out_file);
END;
/ 
```
  copyfileストアド・プロシージャをコンパイルします。正常にコンパイルされたら、次に示すように、copyfileプロシージャを1回実行して、NFSディレクトリからローカルのCMU Walletディレクトリにdsi.oraおよびcwallet.ssoをコピーします。
```
EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
```
```
EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
```
4. 次のSQL問合せを実行して、ファイルがローカルCMU Walletディレクトリに正常にコピーされたかどうかを検証します。
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
```
次のコマンドを使用して、NFS共有をデタッチします。これは、ファイルがローカル・ディレクトリにコピーされた後、CMU-ADでは不要であるためです。
```
exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
```
DBMS_CLOUD_ADMINパッケージを使用して、Autonomous AI DatabaseでCMU-ADを有効にします。
ノート:
次の例のディレクトリ名を、使用している環境用に選択したディレクトリ名に置き換えます。このコマンドを実行する前に、ADMINユーザーとしてログインしていることを確認してください。
```
BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     => 'CMU',
    params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
  ); 
END;
/ 
```

次に示すように、データベース・プロパティCMU_WALLETのプロパティ値を問い合せて検証します。

SELECT PROPERTY_VALUE
FROM DATABASE_PROPERTIES
WHERE PROPERTY_NAME = 'CMU_WALLET';

例:

SELECT PROPERTY_VALUE
FROM DATABASE_PROPERTIES
WHERE PROPERTY_NAME='CMU_WALLET';

PROPERTY_VALUE
--------------
CMU_WALLET_DIR

これで、Microsoft Active Directoryを介した外部認証をExadata Cloud@Customer上のAutonomous AI Databaseで使用するようにCMU-ADが構成されました。

Autonomous AI DatabaseでのMicrosoft Active Directoryロールの追加

Active Directoryロールを追加するには、CREATE ROLE文またはALTER ROLE文を使用して(また、IDENTIFIED GLOBALLY AS句も含めて)データベース・グローバル・ロールをActive Directoryグループにマップします。

Autonomous AI DatabaseでActive Directoryグループのグローバル・ロールを追加するには:

ADMINユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします(ADMINユーザーには、これらのステップに必要なCREATE ROLEおよびALTER ROLEシステム権限があります)。
CREATE ROLE文またはALTER ROLE文で、Autonomous AI Databaseロールにデータベース認可を設定します。IDENTIFIED GLOBALLY AS句を含めて、Active DirectoryグループのDNを指定します。
次の構文を使用して、ディレクトリ・ユーザー・グループをデータベース・グローバル・ロールにマップします:
```
CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
たとえば次のようにします。
```
CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
```
この例では、widget_sales_groupのすべてのメンバーが、データベースにログインするとデータベース・ロールwidget_sales_roleで認可されます。
GRANT文を使用して、必要な権限やその他のロールをグローバル・ロールに付与します。
たとえば次のようにします。
```
GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;
```
DWROLEは、共通権限が定義されている事前定義済ロールです。Autonomous AI Databaseユーザーに対する共通権限の設定の詳細は、「データベース・ユーザー特権の管理」を参照してください。
既存のデータベース・ロールをActive Directoryグループに関連付ける場合は、ALTER ROLE文を使用して既存のデータベース・ロールを変更し、そのロールをActive Directoryグループにマップします。
次の構文を使用して、既存のデータベース・ロールを変更し、それをActive Directoryグループにマップします:
```
ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
他のActive Directoryグループに追加のグローバル・ロール・マッピングを作成する場合は、Active Directoryグループごとにこれらのステップに従います。

Microsoft Active Directoryでのロールの構成の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 26aiセキュリティ・ガイド』の「集中管理ユーザーの認可の構成」を参照してください。

Autonomous AI DatabaseでのMicrosoft Active Directoryユーザーの追加

Autonomous AI DatabaseにアクセスするためにActive Directoryユーザーを追加するには、データベース・グローバル・ユーザーを(IDENTIFIED GLOBALLY AS句も含めて)CREATE USER文またはALTER USER文を使用して、Active Directoryグループまたはユーザーにマップします。

Autonomous AI DatabaseとActive Directoryの統合を機能させるには、Microsoft Active DirectoryのユーザーおよびグループをOracleデータベースのグローバル・ユーザーおよびグローバル・ロールに直接マッピングします。

Autonomous AI DatabaseでActive Directoryのグループまたはユーザーのグローバル・ユーザーとして追加するには:

ADMINユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします(ADMINユーザーには、これらのステップに必要なCREATE USERおよびALTER USERシステム権限があります)。
CREATE USERまたはALTER USER文でAutonomous AI Databaseユーザーのデータベース認可を設定し、Active DirectoryユーザーまたはグループのDNを指定してIDENTIFIED GLOBALLY AS句を含めます。
次の構文を使用して、ディレクトリ・ユーザーをデータベース・グローバル・ユーザーにマップします:
```
CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
```
次の構文を使用して、ディレクトリ・グループをデータベース・グローバル・ユーザーにマップします:
```
CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
たとえば、production.example.comドメインのsales組織単位のwidget_sales_groupという名前のディレクトリ・グループを、WIDGET_SALESという名前の共有データベース・グローバル・ユーザーにマップするには:
```
CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
```
これにより、共有グローバル・ユーザー・マッピングが作成されます。グローバル・ユーザーwidget_salesを使用するマッピングは、Active Directoryグループ内のすべてのユーザーに対して有効です。したがって、widget_sales_groupのメンバーは、(widget_salesグローバル・ユーザーの共有マッピングを介して) Active Directory資格証明を使用してデータベースにログインできます。
Active Directoryユーザーが既存のデータベース・ユーザーを使用し、各自のスキーマを所有し、その既存のデータを所有できるようにするには、ALTER USERを使用して既存のデータベース・ユーザーを変更し、そのユーザーをActive Directoryグループまたはユーザーにマップします。
- 次の構文を使用して、既存のデータベース・ユーザーを変更してActive Directoryユーザーにマップします:
```
ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
```
- 次の構文を使用して、既存のデータベース・ユーザーを変更してActive Directoryグループにマップします:
```
ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
他のActive Directoryグループまたはユーザーに追加のグローバル・ユーザー・マッピングを作成する場合は、Active Directoryのグループまたはユーザーごとにこれらのステップに従います。

Microsoft Active Directoryでのロールの構成の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 26aiセキュリティ・ガイド』の「集中管理ユーザーの認可の構成」を参照してください。

Active Directoryユーザー資格証明を使用したAutonomous AI Databaseへの接続

ADMINユーザーがCMU Active Directory構成ステップを完了し、グローバル・ロールおよびグローバル・サービスを作成した後で、ユーザーはActive Directoryのユーザー名およびパスワードを使用してAutonomous AI Databaseにログインします。

ノート:

グローバル・ユーザー名を使用してログインしないでください。グローバル・ユーザー名はパスワードを持たないため、グローバル・ユーザー名を使用して接続しても成功しません。データベースにログインするためには、Autonomous AI Databaseにグローバル・ユーザー・マッピングが必要です。グローバル・ロール・マッピングのみでデータベースにログインすることはできません。

Active Directoryのユーザー名とパスワードを使用してAutonomous AI Databaseにログインするために、次のように接続します:
```
CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;
```
たとえば次のようにします。
```
CONNECT "production\pfitch"/password@adbname_medium;
```
次の例のように、Active Directoryドメインをユーザー名とともに指定する場合は、二重引用符で囲む必要があります: "production\pfitch"。

この例では、ドメインproductionのActive Directoryユーザー名は、pfitchです。Active Directoryユーザーは、そのDN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'で指定されたwidget_sales_groupグループのメンバーです。

Autonomous AI DatabaseでActive Directoryを使用してCMUを構成し、グローバル・ロールおよびグローバル・ユーザーを使用してActive Directory認可を設定した後、Autonomous AI Databaseに接続するには、「専用Autonomous AI Databaseへの接続について」で説明されている接続方法のいずれかを使用します。接続時にActive Directoryユーザーを使用する場合は、Active Directoryユーザー資格証明を使用します。たとえば、"AD_DOMAIN\AD_USERNAME"という形式でユーザー名を指定し(二重引用符で囲む必要があります)、パスワードにAD_USER_PASSWORDを使用します。

Autonomous AI Databaseを使用したActive Directoryユーザー接続情報の確認

ユーザーがActive Directoryのユーザー名とパスワードを使用してAutonomous AI Databaseにログインすると、ユーザー・アクティビティを検証および監査できるようになります。

たとえば、ユーザーpfitchがログインした場合:

CONNECT "production\pfitch"/password@exampleadb_medium;

Active Directoryユーザーのログオン・ユーザー名(samAccountName)はpfitchで、widget_sales_groupはActive Directoryグループ名、widget_salesは自律型AIデータベース・グローバル・ユーザー。

pfitchがデータベースにログインした後は、コマンドSHOW USERを実行するとグローバル・ユーザー名が表示されます:

SHOW USER;

USER is "WIDGET_SALES"

次のコマンドは、Active DirectoryユーザーのDN (識別名)を表示します:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

たとえば、この一元管理ユーザーのエンタープライズ・アイデンティティを確認できます:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

次のコマンドは、"AD_DOMAIN\AD_USERNAME"を表示します:

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

たとえば、ユーザーがデータベースにログオンすると、Active Directoryの認証済ユーザー・アイデンティティが取得および監査されます:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

詳細は、Oracle Database 19cセキュリティ・ガイドの集中管理ユーザー・ログオン情報の確認またはOracle Database 26aiセキュリティ・ガイドを参照してください。

Autonomous AI DatabaseでのActive Directoryのユーザーおよびロールの削除

Autonomous AI DatabaseからActive Directoryのユーザーおよびロールを削除するには、標準のデータベース・コマンドを使用します。これを行っても、削除したデータベース・ユーザーまたはロールからマップされていた関連するActive Directoryのユーザーまたはグループは削除されません。

Autonomous AI Databaseからユーザーまたはロールを削除するには:

DROP USERまたはDROP ROLEシステム権限を付与されたユーザーとして、Active Directoryを使用するように構成されたデータベースにログインします。
DROP USERまたはDROP ROLE文を使用して、Active Directoryのグループまたはユーザーにマップされたグローバル・ユーザーまたはグローバル・ロールを削除します。
詳細は、「データベース・ユーザーの削除」を参照してください。

Autonomous AI DatabaseでのActive Directoryアクセスの無効化

Autonomous AI DatabaseからCMU構成を削除する(また、Autonomous AI DatabaseからActive DirectoryへのLDAPアクセスを無効にする)ステップについて説明します。

Autonomous AI Databaseインスタンスを構成してCMU Active Directoryにアクセスした後、次のようにしてアクセスを無効にできます:

ADMINユーザーとしてAutonomous AI Databaseに接続します。
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATIONを使用して、CMU認証を無効にします。

ノート:
このプロシージャを実行するには、ADMINユーザーでログインするか、DBMS_CLOUD_ADMINに対するEXECUTE権限を持っている必要があります。
たとえば次のようにします。
```
BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
```
これにより、Autonomous AI DatabaseインスタンスでのCMU認証が無効になります。

詳細は、DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。

Autonomous AI DatabaseでのMicrosoft Active Directoryの制限事項

Autonomous AI DatabaseでActive Directoryを使用するCMUには、次の制限が適用されます。

Autonomous AI DatabaseでCMUについてサポートされているのは、「パスワード認証」およびKerberosのみです。Autonomous AI DatabaseでCMU認証を使用している場合、Azure AD、OCI IAM、PKIなどの他の認証方法はサポートされていません。
Oracle Application Expressおよびデータベース・アクションは、Autonomous AI Databaseを使用するActive Directoryユーザーではサポートされていません。