Microsoft Entra IDでのアプリケーション・ロールの管理

Entra IDでは、Azureユーザーおよびグループに割り当てられ、Oracle Databaseのグローバル・スキーマおよびロールにもマップされるアプリケーション・ロールを作成および管理できます。

Microsoft Entra IDアプリケーション・ロールの作成

データベースに接続する必要のあるAzureユーザー、グループおよびアプリケーションは、データベース・アプリケーション・ロールに割り当てられます。

アプリケーション・ロールの作成方法の詳細なステップは、Microsoft Azureの記事のAzure Active Directoryでのカスタム・ロールの作成および割当てを参照してください。次のステップでは、Oracleデータベースで使用するアプリケーション・ロールを作成する方法について説明します。
  1. アプリケーション・ロールを作成する権限を持つ管理者としてEntra IDにログインします。
  2. 作成したOracle Databaseアプリケーション登録にアクセスします。
    1. 「Directory + subscription」フィルタを使用して、Oracle Databaseアプリ登録を含むEntra IDテナントを見つけます。
    2. 「Azure Active Directory」を選択します。
    3. 「Manage」で、「App registrations」を選択し、以前に登録したOracle Databaseインスタンスを選択します。
  3. 「Manage」で、「App roles」を選択します。
  4. 「App roles」ページで、「Create app role」を選択します。
  5. 「Create app role」ページで、次の情報を入力します:
    • 「Display name」は、ロールの表示名です(HR App Schemaなど)。この名前にはスペースを含めることができます。
    • 「Value」は、ロールの実際の名前です(HR_APPなど)。この設定は、スキーマまたはロールへのデータベース・マッピングで参照される文字列と一致させます。この名前にはスペースを含めないでください。
    • 「Description」では、このロールの目的について説明します。
    • 「Do you want to enable this app role?」では、ロールをアクティブ化できます。
  6. 「適用」をクリックします

    アプリケーション・ロールが「App roles」ペインに表示されます。

    azure-app-roles-creation.pngの説明が続きます

Microsoft Entra IDアプリケーション・ロールへのユーザーおよびグループの割当

Microsoft AzureユーザーがOracleデータベースにアクセスできるようにするには、最初にユーザーをOracle Databaseスキーマのユーザーまたはロールにマップされるアプリケーション・ロールに割り当てる必要があります。

ユーザーおよびグループをアプリケーション・ロールに割り当てる詳細なステップは、Microsoft Azureの記事のアプリケーションへのアプリケーション・ロールの追加とトークンでの受信を参照してください。次のステップでは、Oracleデータベース用にこれを実行する方法について説明します。
  1. AzureユーザーおよびEntra IDグループをアプリケーション・ロールに割り当てる権限を持つ管理者としてEntra IDにログインします。
  2. エンタープライズ・アプリケーションで、作成したOracle Databaseアプリケーション登録の名前を検索します。これは、アプリケーション登録時に自動的に作成されます。
    1. 「Directory + subscription」フィルタを使用して、Oracle接続を含むAzure Active Directoryテナントを検索します。
    2. 「Azure Active Directory」を選択します。
    3. 「Manage」で、「Enterprise applications」を選択し、以前に登録したOracle Databaseアプリケーション登録名を選択します。
  3. 「Getting Started」で、「Assign users and groups」を選択します。
  4. 「Add user/group」を選択します。
  5. 「Add assignment」ウィンドウで、「Users and groups」を選択して、ユーザーおよびセキュリティ・グループのリストを表示します。
  6. このリストから、アプリケーション・ロールに割り当てるユーザーおよびグループを選択し、「Select」をクリックします。
  7. 「Add assignment」ウィンドウで、「Select a role」を選択して、作成したアプリケーション・ロールのリストを表示します。
  8. アプリケーション・ロールを選択し、「Select」を選択します。
  9. 「割当て」をクリックします。

アプリケーション・ロールへのアプリケーションの割当て

クライアント資格証明フローを使用してデータベースに接続する必要があるアプリケーションは、アプリケーション・ロールに割り当てる必要があります。

  1. AzureユーザーおよびEntra IDグループをアプリケーション・ロールに割り当てる権限を持つ管理者としてEntra IDにログインします。
  2. アプリケーションのアプリケーション登録にアクセスします。
  3. 「Manage」で、「API permissions」を選択します。
  4. 「Configured permissions」領域で、「+ Add a permission」を選択します。
  5. 「Request API permission」ペインで、「My APIs」タブを選択します。
  6. このアプリケーションに対してアクセスする権限を付与するOracle Databaseアプリケーションを選択します。次に、「アプリケーション権限」オプションを選択します。
  7. アプリケーションに割り当てるデータベース・アプリケーション・ロールを選択し、画面の下部にある「Add Permission」ボックスをクリックしてアプリケーション・ロールを割り当て、ダイアログ・ボックスを閉じます。割り当てたアプリケーション・ロールが「Configured permissions」の下に表示されていることを確認します。
    azure-grant-consent.pngの説明が続きます
  8. テナンシ・ユーザーに同意を付与するには、「Grant admin consent for tenancyを選択し、確認ダイアログ・ボックスで「Yes」を選択します。