Autonomous Databaseに対するIdentity and Access Management (IAM)認証について
ユーザーのOracle Cloud Infrastructure (IAM)認証および認可を使用できるようにAutonomous Databaseインスタンスを有効にできます。
Autonomous DatabaseとOracle Cloud Infrastructure IAMの統合は、アイデンティティ・ドメインを含む商用リージョンおよびアイデンティティ・ドメインを含まないレガシーIAMでサポートされています。アイデンティティ・ドメインを含むIAMは、2021年11月8日より後に作成された新しいOracle Cloud Infrastructureテナンシで導入されました。Autonomous Databaseは、デフォルトおよびデフォルト以外のアイデンティティ・ドメイン内のユーザーおよびグループをサポートしています。
Oracle Cloud Infrastructure IAMとAutonomous Databaseの統合では、次がサポートされます:
Autonomous DatabaseでIAMユーザーを使用するためのアーキテクチャの詳細は、Oracle Autonomous Databaseに対するIAMユーザーの認証と認可を参照してください。
- IAMデータベース・パスワード認証
Autonomous Databaseインスタンスで、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)によるユーザー・アクセスを可能にできます。 - Identity and Access Management (IAM) SSOトークン・ベース認証
Autonomous DatabaseインスタンスでOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用できます。
IAMデータベース・パスワード認証 🔗
(パスワード・ベリファイアを使用して) Oracle Cloud Infrastructure IAMデータベース・パスワードでユーザー・アクセスを許可するようにAutonomous Databaseインスタンスを有効にできます。
サポートされている12c以上のデータベース・クライアントは、Autonomous DatabaseへのIAMデータベースのパスワード・アクセスに使用できます。
Oracle Cloud Infrastructure IAMデータベース・パスワードを使用すると、Oracle Databaseユーザーが通常ユーザー名とパスワードでログインするように、IAMユーザーがAutonomous Databaseインスタンスにログインできます。ユーザーは、IAMユーザー名およびIAMデータベース・パスワードを入力します。IAMデータベースのパスワードは、Oracle Cloud Infrastructureコンソールのパスワードとは異なります。パスワード・ベリファイアを利用してIAMユーザーを使用する場合、サポートされているどのデータベース・クライアントでもAutonomous Databaseにログインできます。
パスワード・ベリファイアのデータベース・アクセスのために、Autonomous DatabaseインスタンスへのIAMユーザーおよびOCIアプリケーションのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメインにあります。
Identity and Access Management (IAM) SSOトークン・ベース認証 🔗
Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用するようにAutonomous Databaseインスタンスを有効にできます。
トークン・ベリファイアのデータベース・アクセスのために、Autonomous DatabaseインスタンスへのIAMユーザーおよびOCIアプリケーションのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメインにあります。
データベース・クライアントがIAMデータベース・トークンを取得するには、いくつかの方法があります:
-
クライアント・アプリケーションまたはツールは、IAMからユーザーのデータベース・トークンをリクエストでき、クライアントAPIを介してデータベース・トークンを渡すことができます。APIを使用してトークンを送信すると、データベース・クライアント内の他の設定がオーバーライドされます。IAMトークンを使用するには、最新のOracle Databaseクライアント19c (19.16以上)が必要です。一部の以前のクライアントは、トークン・アクセス用の限られた一連の機能を提供します。
-
アプリケーションまたはツールがクライアントAPIを介したIAMデータベース・トークンのリクエストをサポートしていない場合、IAMユーザーはまずOracle Cloud Infrastructureコマンドライン・インタフェース(CLI)を使用してIAMデータベース・トークンを取得し、ファイルの場所に保存できます。たとえば、この接続方法を使用してSQL*Plusおよびその他のアプリケーションおよびツールを使用するには、最初にOracle Cloud Infrastructure (OCI)コマンドライン・インタフェース(CLI)を使用してデータベース・トークンを取得します。データベース・クライアントがIAMデータベース・トークン用に構成されている場合、ユーザーがスラッシュ・ログイン形式でログインすると、データベース・ドライバは、デフォルトまたは指定されたファイルの場所に保存されたIAMデータベース・トークンを使用します。
-
クライアント・アプリケーションまたはツールは、Oracle Cloud Infrastructure IAMインスタンス・プリンシパルまたはリソース・プリンシパルを使用してIAMデータベース・トークンを取得し、IAMデータベース・トークンを使用してAutonomous Databaseインスタンスに自己認証できます。
-
IAMユーザーおよびOCIアプリケーションは、APIキーの使用など、いくつかの方法でIAMからデータベース・トークンをリクエストできます。例については、IAMトークンを使用するSQL*Plusのクライアント接続の構成を参照してください。OCIクラウド・シェル内での委任トークンの使用など、その他の方法の詳細は、Oracle Autonomous Databaseに対するIAMユーザーの認証と認可についてを参照してください。