Autonomous Databaseを使用したユーザー・プロファイルの管理
Autonomous Databaseでユーザー・プロファイルを作成および変更できます。プロファイルを作成または変更した後、CREATE USER
またはALTER USER
を使用してプロファイル句を指定できます。Oracle Data Pump Importを使用して、既存のユーザー・プロファイルを別の環境からインポートすることもできます。
DEFAULT
プロファイルを含むプロファイルのパスワード・パラメータを追加、変更または削除するには、ALTER PROFILE
システム権限が必要です。
これにより、プロファイルnew_profile
および接続権限を持つnew_user
が作成されます。これで、new_user
がデータベースに接続され、問合せを実行できるようになります。ユーザーに追加権限を付与するには、Autonomous Databaseでのユーザー権限の管理- クライアント・ツールを使用した接続を参照してください。
CREATE PROFILE
またはALTER PROFILE
の使用の詳細は、CREATE PROFILEを参照してください。
他の環境で作成された既存のプロファイルは、Oracle Data Pump Import (impdp
)を使用してインポートできます。データベース・ユーザーとの既存のプロファイルの関連付けは、Autonomous Databaseへのインポート後も保持されます。Oracle Data Pumpインポートから作成された新規作成ユーザーが初めてログインしようとすると、ログインは次のように処理されます。
- パスワードの複雑性の制限は、Autonomous Databaseのすべてのユーザーに対する制限と同じです。
-
ユーザーのパスワードがパスワードの複雑さの要件に違反した場合、アカウントは30日間の猶予期間で期限切れになります。この場合、ユーザーは猶予期間が終了する前にパスワードを変更する必要があります。
プロファイル
ORA_PROTECTED_PROFILE
およびORA_ADMIN_PROFILE
を持つユーザーのプロファイル割当ては変更できません
次のユーザーがORA_PROTECTED_PROFILE
プロファイルを共有しており、これらのユーザーのプロファイル割当ては変更できません。
ADBSNMP
ADB_APP_STORE
DCAT_ADMIN
GGADMIN
RMAN$CATALOG
ADMIN
ユーザーはORA_ADMIN_PROFILE
に割り当てられます。
プロファイルを作成または変更するときに、パスワード検証ファンクション(PVF)を指定してパスワードの複雑度を管理できます。詳細は、Autonomous Databaseでのパスワード複雑度の管理に関する項を参照してください。
- Autonomous Databaseでのパスワードの複雑性の管理
パスワード検証ファンクション(PVF)を作成し、PVFをプロファイルに関連付けて、ユーザー・パスワードの複雑性を管理できます。 - アプリケーションの段階的データベース・パスワード・ロールオーバー
親トピック: ユーザーの管理
Autonomous Databaseでのパスワード複雑性の管理
パスワード検証ファンクション(PVF)を作成し、PVFをプロファイルに関連付けて、ユーザー・パスワードの複雑性を管理できます。
ユーザーが指定したPVFのパスワードの最小長は8文字で、少なくとも1つの大文字、1つの小文字および1つの数字を含める必要があります。DEFAULTプロファイルの最小パスワード長は12文字です(DEFAULTプロファイルでは
CLOUD_VERIFY_FUNCTION
PVFが使用されます)。パスワードにユーザー名を含めることはできません。
Oracleでは、12文字以上のパスワード長を使用することをお薦めします。プロファイルのPVFを定義し、最小パスワード長を12文字未満に設定すると、Oracle Database Security Assessment Tool (DBSAT)やQualysなどのツールでは、これがデータベース・セキュリティ・リスクとして報告されます。
たとえば、プロファイルにPVFを指定するには、次のコマンドを使用します:
CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF
ADMINユーザー以外のユーザーによってプロファイルを作成または変更する場合は、PVFに対するEXECUTE
権限を付与する必要があります。PVFを作成し、パスワード・チェックに失敗した場合は、ORA-28219
エラーがレポートされます。
次のいずれかのOracle提供PVFを指定できます:
CLOUD_VERIFY_FUNCTION
(これはAutonomous Databaseのデフォルトのパスワード検証ファンクションです):このファンクションでは、ユーザーによるパスワードの作成または変更時に、次の要件をチェックします:
-
パスワードは、12文字から30文字までの長さとし、大文字、小文字および数字をそれぞれ1文字以上含める必要があります。
-
パスワードにユーザー名を含めることはできません。
-
同じユーザー名に、過去4回のパスワードを使用することはできません。
-
パスワードに二重引用符(")文字を含めることはできません。
-
パスワードを、設定してから24時間経過していないパスワードと同じにすることはできません。
-
ORA12C_STIG_VERIFY_FUNCTION
このファンクションでは、ユーザーによるパスワードの作成または変更時に、次の要件をチェックします:
-
パスワードが15文字以上です。
-
パスワードに少なくとも1文字以上の小文字と、1文字以上の大文字が含まれていること。
-
パスワードに少なくとも1つの数字が含まれていること。
-
パスワードに少なくとも1つの特殊文字が含まれていること。
-
以前のパスワードとの違いが8文字以上あること。
詳細は、ora12c_stig_verify_functionパスワード要件を参照してください。
-
作成してプロファイルに割り当てるパスワード検証ファンクション(PVF)には、次の制限事項があります:
-
ユーザー・プロファイルを指定する場合、パスワードの最小長は、次のように、関連するPVFの定義方法によって異なります:
-
PVFが定義されている場合、適用されるパスワードの最小長は、少なくとも1つの大文字、1つの小文字、および1つの数字を含む8文字です。パスワードにユーザー名を含めることはできません。
-
PVFが
NULL
と定義されている場合、適用されるパスワードの最小長は8文字で、少なくとも1つの大文字、1つの小文字および1つの数字が含まれます。パスワードにユーザー名を含めることはできません。 -
プロファイルにPVFが定義されていない場合は、DEFAULTプロファイルのPVF (
CLOUD_VERIFY_FUNCTION
)が割り当てられ、最小パスワード長は12文字です。
-
- デフォルトの
CLOUD_VERIFY_FUNCTION
よりも厳格なパスワード検証ファンクション(PVF)を指定すると、新しい検証ファンクションが使用されます。 -
作成するPVFは、
DEFINER RIGHTS
PL/SQLファンクションとして作成する必要があります。CREATE
またはALTER
PROFILE
への入力としてINVOKER
権限PVFが指定されると、ORA-28220
エラーがスローされます。 -
作成するPVFは、ADMINユーザー・スキーマに作成する必要があります。
CREATE
またはALTER
PROFILE
への入力として非ADMINユーザーが所有するPVFが指定されると、ORA-28220
エラーがスローされます。 -
非管理ユーザーはPVFを変更または削除できません。つまり、
CREATE
またはDROP
ANY PROCEDURE
権限を持つユーザーはPVFを変更または削除できません。 -
プロファイルに関連付けられているPVFが削除された場合、そのプロファイルでPVFを使用するユーザーのパスワードを変更すると、エラー
ORA-7443
がスローされます。ユーザーは、自分のプロファイルに関連付けられたPVFを削除しても引き続きログインできます。ただし、ユーザーのパスワードが期限切れでPVFが削除された場合、ユーザーはログインできません。ORA-7443
エラーからリカバリするには、ADMINユーザーが削除されたPVFを再作成してプロファイルに割り当てるか、既存のPVFをプロファイルに割り当てる必要があります。これにより、ユーザーはパスワードを変更してログインできるようになります。 -
PVFのセキュリティのために、
CREATE ANY PROCEDURE
システム権限およびDROP ANY PROCEDURE
システム権限が監査されます。詳細は、システムおよびオブジェクト権限のリストのPROCEDURES
リストを参照してください。
詳細については、Managing the Complexity of Passwordsを参照してください。
アプリケーションの段階的データベース・パスワード・ロールオーバー
アプリケーションのデータベース・パスワードは、管理者が停止時間をスケジュールしなくても変更できます。
そのためには、PASSWORD_ROLLOVER_TIME
パスワード・プロファイル・パラメータにゼロ以外の制限が指定されたプロファイルをアプリケーション・スキーマに関連付けます。これにより、PASSWORD_ROLLOVER_TIME
制限で指定された期間、古いパスワードを有効なままにしながら、アプリケーション・ユーザーのデータベース・パスワードを変更できます。ロールオーバー期間中、アプリケーション・インスタンスは古いパスワードまたは新しいパスワードのいずれかを使用してデータベース・サーバーに接続できます。ロールオーバー時間が経過すると、新しいパスワードのみが許可されます。
詳細は、アプリケーションの段階的データベース・パスワード・ロールオーバーの管理に関する項を参照してください。