Autonomous Databaseに対するIdentity and Access Management (IAM)認証について
ユーザーのOracle Cloud Infrastructure (IAM)認証および認可を使用できるようにAutonomous Databaseインスタンスを有効にできます。
Autonomous DatabaseとOracle Cloud Infrastructure IAMの統合は、アイデンティティ・ドメインを含む商用リージョンおよびアイデンティティ・ドメインを含まないレガシーIAMでサポートされています。アイデンティティ・ドメインを含むIAMは、2021年11月8日より後に作成された新しいOracle Cloud Infrastructureテナンシで導入されました。Autonomous Databaseは、デフォルトおよびデフォルト以外のアイデンティティ・ドメイン内のユーザーおよびグループをサポートしています。
Oracle Cloud Infrastructure IAMとAutonomous Databaseの統合では、次がサポートされます:
Autonomous DatabaseでIAMユーザーを使用するためのアーキテクチャの詳細は、Oracle Autonomous Databaseに対するIAMユーザーの認証と認可を参照してください。
- IAMデータベース・パスワード認証
Autonomous Databaseインスタンスで、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)によるユーザー・アクセスを可能にできます。 - Identity and Access Management (IAM) SSOトークン・ベース認証
Autonomous DatabaseインスタンスでOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用できます。
IAMデータベース・パスワード認証
(パスワード・ベリファイアを使用して) Oracle Cloud Infrastructure IAMデータベース・パスワードでユーザー・アクセスを許可するようにAutonomous Databaseインスタンスを有効にできます。
サポートされている12c以上のデータベース・クライアントは、Autonomous DatabaseへのIAMデータベースのパスワード・アクセスに使用できます。
Oracle Cloud Infrastructure IAMデータベース・パスワードを使用すると、Oracle Databaseユーザーが通常ユーザー名とパスワードでログインするように、IAMユーザーがAutonomous Databaseインスタンスにログインできます。ユーザーは、IAMユーザー名およびIAMデータベース・パスワードを入力します。IAMデータベースのパスワードは、Oracle Cloud Infrastructureコンソールのパスワードとは異なります。パスワード・ベリファイアを利用してIAMユーザーを使用する場合、サポートされているどのデータベース・クライアントでもAutonomous Databaseにログインできます。
パスワード・ベリファイアのデータベース・アクセスのために、Autonomous DatabaseインスタンスへのIAMユーザーおよびOCIアプリケーションのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメインにあります。
Identity and Access Management (IAM) SSOトークン・ベース認証
Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用するようにAutonomous Databaseインスタンスを有効にできます。
トークン・ベリファイアのデータベース・アクセスのために、Autonomous DatabaseインスタンスへのIAMユーザーおよびOCIアプリケーションのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメインにあります。
データベース・クライアントがIAMデータベース・トークンを取得するには、いくつかの方法があります:
-
クライアント・アプリケーションまたはツールは、IAMからユーザーのデータベース・トークンをリクエストでき、クライアントAPIを介してデータベース・トークンを渡すことができます。APIを使用してトークンを送信すると、データベース・クライアント内の他の設定がオーバーライドされます。IAMトークンを使用するには、最新のOracle Databaseクライアント19c (19.16以上)が必要です。一部の以前のクライアントは、トークン・アクセス用の限られた一連の機能を提供します。
-
アプリケーションまたはツールがクライアントAPIを介したIAMデータベース・トークンのリクエストをサポートしていない場合、IAMユーザーはまずOracle Cloud Infrastructureコマンドライン・インタフェース(CLI)を使用してIAMデータベース・トークンを取得し、ファイルの場所に保存できます。たとえば、この接続方法を使用してSQL*Plusおよびその他のアプリケーションおよびツールを使用するには、最初にOracle Cloud Infrastructure (OCI)コマンドライン・インタフェース(CLI)を使用してデータベース・トークンを取得します。データベース・クライアントがIAMデータベース・トークン用に構成されている場合、ユーザーがスラッシュ・ログイン形式でログインすると、データベース・ドライバは、デフォルトまたは指定されたファイルの場所に保存されたIAMデータベース・トークンを使用します。
-
クライアント・アプリケーションまたはツールは、Oracle Cloud Infrastructure IAMインスタンス・プリンシパルまたはリソース・プリンシパルを使用してIAMデータベース・トークンを取得し、IAMデータベース・トークンを使用してAutonomous Databaseインスタンスに自己認証できます。
-
IAMユーザーおよびOCIアプリケーションは、APIキーの使用など、いくつかの方法でIAMからデータベース・トークンをリクエストできます。例については、IAMトークンを使用するSQL*Plusのクライアント接続の構成を参照してください。OCIクラウド・シェル内での委任トークンの使用など、その他の方法の詳細は、Oracle Autonomous Databaseに対するIAMユーザーの認証と認可についてを参照してください。