Autonomous DatabaseでのMicrosoft Active Directoryの使用
この構成により、Active Directoryユーザーは、パスワードやKerberosなどのActive Directory資格証明を使用してAutonomous Databaseにアクセスできます。
- Autonomous DatabaseでMicrosoft Active Directoryを使用してCMUを構成するための前提条件
Microsoft Active Directoryユーザーを認証および認可するようにAutonomous Databaseを構成できます。 - Autonomous DatabaseでのMicrosoft Active Directoryを使用したCMUの構成
Microsoft Active Directoryユーザーを認証および認可するようにAutonomous Databaseを構成できます。 - Microsoft Active Directoryを使用したCMUのKerberos認証
Microsoft Active DirectoryユーザーでCMUにKerberos認証を使用するようにAutonomous Databaseを構成できます。この構成により、CMU Active Directory (CMU-AD)ユーザーは、Kerberos資格証明を使用してAutonomous Databaseインスタンスにアクセスできます。 - Autonomous DatabaseでのMicrosoft Active Directoryロールの追加
Active Directoryロールを追加するには、CREATE ROLE
文またはALTER ROLE
文を使用して(また、IDENTIFIED GLOBALLY AS
句も含めて)データベース・グローバル・ロールをActive Directoryグループにマップします。 - Autonomous DatabaseでのMicrosoft Active Directoryユーザーの追加
Active Directoryユーザーを追加してデータベースにアクセスするには、CREATE USER
文またはALTER USER
文を(IDENTIFIED GLOBALLY AS
句とともに)使用して、データベース・グローバル・ユーザーをActive Directoryのグループまたはユーザーにマップします。 - Autonomous DatabaseでのActive Directoryに関するツールの制限事項
- Active Directoryユーザー資格証明を使用したAutonomous Databaseへの接続
ADMINユーザーがCMU Active Directory構成ステップを完了してグローバル・ロールおよびグローバル・ユーザーを作成した後、ユーザーはActive Directoryのユーザー名とパスワードを使用してデータベースにログインします。 - Autonomous Databaseを使用したActive Directoryユーザー接続情報の確認
ユーザーがActive Directoryのユーザー名とパスワードを使用してデータベースにログインすると、ユーザー・アクティビティを確認および監査できます。 - Autonomous DatabaseでのActive Directoryのユーザーおよびロールの削除
Active DirectoryのユーザーおよびロールをAutonomous Databasesから削除するには、標準のデータベース・コマンドを使用します。これを行っても、削除したデータベース・ユーザーまたはロールからマップされていた関連するActive Directoryのユーザーまたはグループは削除されません。 - Autonomous DatabaseでのActive Directoryアクセスの無効化
Autonomous DatabaseからCMU構成を削除する(およびAutonomous DatabaseからActive DirectoryへのLDAPアクセスを無効にする)ステップについて説明します。
親トピック: ユーザーの管理
Autonomous DatabaseでCMUをMicrosoft Active Directoryで構成するための前提条件
Active Directoryサーバーが存在する場所に応じて、Microsoft Active Directoryで一元管理ユーザー(CMU)を使用してAutonomous Databaseを構成するための2つのオプションがあります:
-
Active Directory (AD)サーバーにパブリックにアクセス可能: Active Directoryサーバーは、パブリック・インターネットを介してAutonomous Databaseからアクセスできます。
-
プライベート・エンドポイントに存在するActive Directory (AD)サーバー: Active Directoryサーバーはプライベート・エンドポイントにあり、パブリック・インターネットを介してAutonomous Databaseからアクセスすることはできません。この場合、データベース・プロパティ
ROUTE_OUTBOUND_CONNECTIONS
を設定するAutonomous DatabaseでのMicrosoft Active Directoryを使用したCMUの構成の最後のステップに示すように、追加の構成ステップが必要です。
Autonomous DatabaseでのAzure Active Directoryの使用の詳細は、Autonomous DatabaseでのAzure Active Directory (Azure AD)の使用を参照してください。CMUオプションはMicrosoft Active Directoryサーバーをサポートしていますが、Azure Active Directoryサービスはサポートしていません。
Autonomous Databaseと一元管理ユーザー(CMU)の統合によって、Microsoft Active Directoryとの統合が提供されます。CMUをActive Directoryと連携動作させるには、Oracleデータベースのグローバル・ユーザーおよびグローバル・ロールをMicrosoft Active Directoryのユーザーおよびグループにマップします。
Autonomous DatabaseからActive Directoryへの接続を構成するために必要な前提条件は次のとおりです:
-
Microsoft Active Directoryをインストールして構成しておく必要があります。詳細は、AD DSの開始を参照してください。
-
Oracleサービス・ディレクトリ・ユーザーをActive Directory内に作成する必要があります。Oracleサービス・ディレクトリ・ユーザー・アカウントの詳細は、Microsoft Active Directoryへの接続を参照してください。
-
Active Directoryシステム管理者は、Active DirectoryサーバーにOracleパスワード・フィルタをインストールし、要件に合うようにActive Directoryユーザーを含むActive Directoryグループを設定しておく必要があります。
ノート
CMU Active DirectoryにKerberos認証を使用している場合、これは必要ありません。詳細は、Microsoft Active Directoryを使用したCMUのKerberos認証を参照してください。Autonomous DatabaseのCMU Active Directoryでパスワード認証を使用する場合は、付属のユーティリティ
opwdintg.exe
を使用してOracleパスワード・フィルタをActive Directoryにインストールし、スキーマを拡張して、3つのタイプのパスワード・ベリファイア生成用に3つの新しいORA_VFR
グループを作成する必要があります。Oracleパスワード・フィルタのインストールの詳細は、Microsoft Active Directoryへの接続を参照してください。 -
Autonomous DatabaseにCMUを構成するには、
cwallet.sso
およびCMU構成ファイルdsi.ora
が必要です:-
オンプレミス・データベースにCMUをすでに構成した場合は、オンプレミス・データベース・サーバーからこれらの構成ファイルを取得できます。
-
オンプレミス・データベースにCMUを構成していない場合は、これらのファイルを作成する必要があります。次に、構成ファイルをクラウドにアップロードして、Autonomous DatabaseインスタンスにCMUを構成します。ウォレットおよび
dsi.ora
を検証するには、オンプレミス・データベースにCMUを構成し、Active Directoryユーザーがこれらの構成ファイルを使用してオンプレミス・データベースに正常にログオンできることを確認します。
CMUのウォレット・ファイルの詳細は、セキュアな接続のためのウォレットの作成およびOracle Walletの確認を参照してください。
CMUの
dsi.ora
ファイルの詳細は、dsi.oraファイルの作成を参照してください。CMUに対するActive Directoryの構成、およびオンプレミス・データベースでのCMUに関するトラブルシューティングの詳細は、データベース・リリース18c以降での一元管理ユーザーの構成方法(ドキュメントID 2462012.1)を参照してください。
-
-
Oracle Cloud InfrastructureのAutonomous Databaseに対して、Active Directoryサーバーのポート636がオープンしている必要があります。これにより、Autonomous DatabaseはActive Directoryサーバーにアクセスできます。
-
Active Directoryサーバーがパブリック・エンドポイント上にある場合:
-
Active Directoryサーバーは、パブリック・インターネットを介してAutonomous Databaseからアクセスできる必要があります。
-
また、オンプレミスのActive DirectoryをOracle Cloud Infrastructureまで拡張して、そこにオンプレミスのActive Directoryの読取り専用ドメイン・コントローラ(RODC)を設定することもできます。これにより、Oracle Cloud InfrastructureのRODCを使用して、Autonomous DatabasesにアクセスするオンプレミスのActive Directoryユーザーを認証および認可できます。
詳細は、Hybrid CloudでのActive Directory統合の拡張を参照してください。
-
Autonomous DatabaseでのMicrosoft Active Directoryを使用したCMUの構成
Active Directoryに接続するようにCMUのAutonomous Databaseを構成するには:
構成ステップを実行するときは、ADMINユーザーとしてデータベースに接続してください。
Autonomous Database上のActive Directoryを使用したCMUに関するノート:
-
Autonomous Databaseを使用したCMUでは、「パスワード認証」および「Kerberos」のみがサポートされています。Autonomous DatabaseでCMU認証を使用している場合、PKIなどの他のCMU認証方式はサポートされません。
Autonomous DatabaseからActive Directoryへのアクセスを無効にする手順は、Autonomous DatabaseでのActive Directoryアクセスの無効化を参照してください。
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
の詳細は、ENABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。
Microsoft Active Directoryを使用したCMUの構成の詳細は、Microsoft Active Directoryを使用した一元管理ユーザーの構成を参照してください。
Microsoft Active DirectoryでのCMUのKerberos認証
Kerberosは、CMU-ADの有無にかかわらず構成できます。Kerberosを構成するだけで、すべてのKerberosユーザーのデータベース・ユーザーを作成および保守する必要があります。CMUを使用して Kerberosを構成すると、Kerberosユーザーの Active Directoryグループを単一のデータベースユーザー(共有スキーマ)にマップできるため、Active Directoryグループメンバーシップによってデータベースアクセスを制御できます。CMU-ADを使用しないKerberosの構成の詳細は、Autonomous Databaseを使用したKerberos認証の構成を参照してください。
Kerberos認証と認可用のCMU-ADの両方を実装する場合、Oracleでは、最初にKerberos認証を実装し、次にCMU-AD認可を追加することをお薦めします。
CMU-ADでのKerberos認証の使用に関するノート:
-
CMU-ADでKerberos認証を使用する場合、パスワード・フィルタを追加する必要はありません。詳細は、Autonomous DatabaseでCMUをMicrosoft Active Directoryで構成するための前提条件を参照してください。
-
Active Directoryユーザーの追加または削除は、パスワード認証を使用しているときに Active Directoryを使用するCMUと同じ方法でサポートされます。詳細は、Autonomous DatabaseでのMicrosoft Active Directoryユーザーの追加を参照してください。
-
Active Directoryパスワードを使用したCMUを使用したAutonomous Database組込みツールに対する認証に関する既存の制限は、Kerberos認証を使用したActive Directoryを使用したCMUにも適用されます。詳細は、Autonomous DatabaseでのActive Directoryに関するツール制限を参照してください。
-
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
を使用して、Kerberos認証でCMU-ADを無効にします。詳細は、DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。 -
CMU-ADサーバーがプライベート・エンドポイント上にある場合、Kerberos認証でCMU-ADを使用するには、キー・タブの生成に使用されるサーバー・ホスト名を、
V$PDBS
のCLOUD_IDENTITY
列で属性PUBLIC_DOMAIN_NAME
の値に設定する必要があります。この値は、プライベート・エンドポイント・データベースのFQDNとは異なります。
Autonomous DatabaseでのMicrosoft Active Directoryロールの追加
Active Directoryロールを追加するには、CREATE ROLE
文またはALTER ROLE
文を使用して(また、IDENTIFIED GLOBALLY AS
句も含めて)データベース・グローバル・ロールをActive Directoryグループにマップします。
Autonomous DatabaseでActive Directoryグループのグローバル・ロールを追加するには:
Microsoft Active Directoryを使用したロールの構成の詳細は、一元管理ユーザーの認可の構成を参照してください。
Autonomous DatabaseでのMicrosoft Active Directoryユーザーの追加
Active Directoryユーザーを追加してデータベースにアクセスするには、CREATE USER
またはALTER USER
文を(IDENTIFIED GLOBALLY AS
句とともに)使用して、データベース・グローバル・ユーザーをActive Directoryのグループまたはユーザーにマップします。
Autonomous DatabaseとActive Directoryの統合を機能させるためには、Microsoft Active DirectoryのユーザーおよびグループをOracleデータベースのグローバル・ユーザーおよびグローバル・ロールに直接マップします。
Autonomous DatabaseでActive Directoryのグループまたはユーザーのグローバル・ユーザーを追加するには:
Microsoft Active Directoryを使用したユーザーの構成の詳細は、一元管理ユーザーの認可の構成を参照してください。
Autonomous DatabaseでのActive Directoryに関するツールの制限事項
Active DirectoryでAutonomous Databaseツールを使用する際のノート:
- Oracle APEXは、Autonomous Databaseを使用するActive Directoryユーザーにはサポートされません。Autonomous Databaseでの通常のデータベース・ユーザーの使用の詳細は、Autonomous DatabaseでのOracle APEXワークスペースの作成を参照してください。
-
データベース・アクションは、Autonomous Databaseを使用するActive Directoryユーザーに対してサポートされていません。Autonomous Databaseでの通常のデータベース・ユーザーの使用の詳細は、データベース・ユーザーへのデータベース・アクション・アクセス権の付与を参照してください。
-
Oracle Machine Learningのノートブックは、Autonomous Databaseを使用するActive Directoryユーザーに対してサポートされていません。Autonomous Databaseでの通常のデータベース・ユーザーの使用の詳細は、Oracle Machine Learningコンポーネントへの既存のデータベース・ユーザー・アカウントの追加を参照してください。
Active Directoryユーザー資格証明を使用したAutonomous Databaseへの接続
ADMINユーザーがCMU Active Directory構成ステップを完了し、グローバル・ロールおよびグローバル・ユーザーを作成した後、ユーザーはActive Directoryのユーザー名とパスワードを使用してデータベースにログインします。
グローバル・ユーザー名を使用してログインしないでください。グローバル・ユーザー名はパスワードを持たないため、グローバル・ユーザー名を使用して接続しても成功しません。データベースにログインするためには、Autonomous Databaseにグローバル・ユーザー・マッピングが必要です。グローバル・ロール・マッピングのみでデータベースにログインすることはできません。
Autonomous DatabaseでActive DirectoryとともにCMUを構成し、グローバル・ロールおよびグローバル・ユーザーを使用してActive Directory認可を設定した後は、Autonomous Databaseへの接続で説明されているいずれかの接続方法を使用してデータベースに接続できます。接続時にActive Directoryユーザーを使用する場合は、Active Directoryユーザー資格証明を使用します。たとえば、"AD_DOMAIN\AD_USERNAME"という形式でユーザー名を指定し(二重引用符で囲む必要があります)、パスワードにAD_USER_PASSWORDを使用します。
Autonomous Databaseインスタンスが制限モードの場合、このモードでは、RESTRICTED SESSION
権限を持つユーザーにのみがデータベースに接続できます。ADMINユーザーはこの権限を持ちます。索引付け、データ・ロード、その他の計画アクティビティなどの管理タスクは、制限アクセス・モードを使用して実行できます。詳細は、Autonomous Database操作モードを読取り/書込み、読取り専用または制限付きに変更を参照してください。
Autonomous Databaseを使用したActive Directoryユーザー接続情報の確認
ユーザーがActive Directoryのユーザー名およびパスワードを使用してデータベースにログインすると、ユーザー・アクティビティを確認および監査できるようになります。
たとえば、ユーザーpfitch
がログインした場合:
CONNECT "production\pfitch"/password@exampleadb_medium;
Active Directoryユーザーのログオン・ユーザー名(samAccountName)はpfitch
で、widget_sales_group
はActive Directoryグループ名、widget_sales
はデータベース・グローバル・ユーザーです。
pfitch
がデータベースにログインした後は、コマンドSHOW USER
を実行するとグローバル・ユーザー名が表示されます:
SHOW USER;
USER is "WIDGET_SALES"
次のコマンドは、Active DirectoryユーザーのDN (識別名)を表示します:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
たとえば、この一元管理ユーザーのエンタープライズ・アイデンティティを確認できます:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
次のコマンドは、"AD_DOMAIN\AD_USERNAME
"を表示します:
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
たとえば、ユーザーがデータベースにログオンすると、Active Directoryの認証済ユーザー・アイデンティティが取得および監査されます:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
詳細は、一元管理ユーザーのログオン情報の確認を参照してください。
Autonomous DatabaseでのActive Directoryのユーザーおよびロールの削除
Autonomous DatabaseからActive Directoryのユーザーおよびロールを削除するには、標準のデータベース・コマンドを使用します。これを行っても、削除したデータベース・ユーザーまたはロールからマップされていた関連するActive Directoryのユーザーまたはグループは削除されません。
Autonomous Databaseからユーザーまたはロールを削除するには:
Autonomous DatabaseでのActive Directoryアクセスの無効化
Autonomous DatabaseからCMU構成を削除する(およびAutonomous DatabaseからActive DirectoryへのLDAPアクセスを無効にする)ステップについて説明します。
CMU Active DirectoryにアクセスするようにAutonomous Databaseインスタンスを構成した後、次のようにしてアクセスを無効にできます:
詳細は、DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。