Oracle Cloud Infrastructureドキュメント

データベース・ユーザー管理(Oracle)との統合

Database User Managementコネクタは、Oracle Access GovernanceをOracle Databaseのデータベース・ユーザー管理表と統合します。接続の詳細を入力し、コネクタを構成することで、Oracle DatabaseとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能なOrchestrated Systems機能を使用します。

前提条件

データベース・ユーザー管理(Oracle)のオーケストレート済システムをインストールおよび構成する前に、次の前提条件およびタスクを考慮する必要があります。

動作保証されたコンポーネント

次のいずれかのOracle DatabaseタイプをOracle Access Governanceと統合できます。

  • Exadata V2
  • Oracle Database 12c(単一データベース、プラガブル・データベース(PDB)、Oracle RAC実装の場合)
  • Oracle Database 18c(単一データベース、プラガブル・データベース(PDB)、Oracle RAC実装の場合)。
  • Oracle Database 19c as single database, pluggable database (PDB), or Oracle RAC implementation.
  • Oracle Database 23ai(単一データベース、プラガブル・データベース(PDB)またはOracle RAC実装の場合)
  • Oracle Autonomous Database

サポートされている操作

データベース・ユーザー管理(Oracle)オーケストレート済システムでは、次の操作がサポートされます。

  • ユーザーの作成
  • パスワードのリセット
  • ロールの追加
  • ロールの失効
  • 権限の追加
  • 権限の取消

デフォルトのサポートされる属性

データベース・ユーザー管理(Oracle)オーケストレート済システムでは、次のデフォルト属性がサポートされます。

デフォルト属性- 権限モードの管理
DBUMユーザー・エンティティ ターゲット取引先属性 Oracle Access Governanceアカウント属性
IDを戻す uid
ユーザ名 名前
認証タイプ authenticationType
グローバルDN globalDN
デフォルト表領域 defaultTablespace
デフォルト表領域割当て制限(MB) defaultTablespaceQuotaInMB
一時表領域 temporaryTablespace
プロファイル名 profileName
アカウント・ステータス accountStatus
ステータス ステータス
パスワード パスワード

役割

DBUM (Oracle)ロールは、Oracle Access Governanceの権限にマップされます
adminOption roleAdminOption

権限

DBUM (Oracle)権限はOracle Access Governance権限にマップされます
adminOption privilegeAdminOption

デフォルト照合ルール

データベース・ユーザー管理(Oracle)オーケストレート済システムのデフォルト照合ルール

が:
デフォルト照合ルール
モード デフォルト照合ルール
権限を管理 userNameOracle = userLogin

データベース・ユーザー管理(Oracle)オーケストレート済システム操作のターゲット・システム・ユーザー・アカウントの作成

Oracle Access Governanceでは、サービス操作中にシステムにアクセスするためにユーザー・アカウントが必要です。使用しているシステムに応じて、ユーザーを作成し、そのユーザーに特定の権限とロールを割り当てることができます。

Oracleデータベースの場合:

  1. 次のSQL文を使用してサービス・ユーザーを作成します。
    CREATE USER agserviceuser IDENTIFIED BY password
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp QUOTA UNLIMITED ON users;
  2. 作成したサービス・ユーザーに次の権限とロールを割り当てます。
    GRANT SELECT on dba_role_privs TO agserviceuser;
GRANT SELECT on dba_sys_privs TO agserviceuser;
GRANT SELECT on dba_ts_quotas TO agserviceuser;
GRANT SELECT on dba_tablespaces TO agserviceuser;
GRANT SELECT on dba_users TO agserviceuser;
GRANT CREATE USER TO agserviceuser;
GRANT ALTER ANY TABLE TO agserviceuser;
GRANT GRANT ANY PRIVILEGE TO agserviceuser;
GRANT GRANT ANY ROLE TO agserviceuser;
GRANT DROP USER TO agserviceuser;
GRANT SELECT on dba_roles TO agserviceuser;
GRANT SELECT ON dba_profiles TO agserviceuser;
GRANT ALTER USER TO agserviceuser;
GRANT CREATE ANY TABLE TO agserviceuser;
GRANT DROP ANY TABLE TO agserviceuser;
GRANT CREATE ANY PROCEDURE TO agserviceuser;
GRANT DROP ANY PROCEDURE TO agserviceuser;

構成

接続の詳細を入力し、データベース環境を構成することで、Oracle DatabaseとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能なOrchestrated Systems機能を使用します。

「Orchestrated Systems」ページに移動します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、オンボーディングするシステムのタイプを指定します。「検索」フィールドを使用して、名前で必要なシステムを検索できます。

  1. 「データベース・ユーザー管理(Oracle DB)」タイルを選択します。選択すると、「Database User Management (Oracle DB)」の値が「What I've selected」の右側に表示されます。
  2. 「次へ」をクリックします。

詳細の入力

ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:
  1. 「名前」フィールドに、接続先のシステムの名前を入力します。
  2. 「説明」フィールドに、システムの説明を入力します。
  3. このオーケストレート済システムが信頼できるソースかどうか、および次のチェック・ボックスを設定してOracle Access Governanceが権限を管理できるかどうかを決定します。
    • これは私のアイデンティティの認証ソースです

      次の項目から選択します。

      • アイデンティティとその属性のソース: システムは、ソース・アイデンティティおよび関連する属性として機能します。新しいアイデンティティは、このオプションを使用して作成されます。
      • アイデンティティ属性のソースのみ: 追加のアイデンティティ属性の詳細が取り込まれ、既存のアイデンティティに適用されます。このオプションは、新規アイデンティティ・レコードを取込みまたは作成しません。
    • このシステムの権限を管理します
    各ケースのデフォルト値は「未選択」です。
  4. 「次へ」を選択します。

所有者の追加

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウント設定

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
  1. 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
  2. アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
    • ユーザー
    • ユーザー・マネージャ
  3. 既存のアカウントの構成
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
    1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
      • アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
    2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
        ノート

        特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
      • アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
  4. アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。

    アカウントに対する次のアクションのいずれかを選択します。

    • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    • 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
      • 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
    • アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
    ノート

    これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
  5. アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
    • 削除
    • 使用不可
    • 処理なし
  6. アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

ワークフローの「統合設定」ステップで、指定したデータベースへのOracle Access Governanceの接続を許可するために必要な構成の詳細を入力します。

  1. 「データベースの簡易接続URL」フィールドに、Oracle Access Governanceと統合するデータベースの接続文字列を入力します。Oracle Databaseの場合は、host/port/database service/sidの形式を使用します。Oracle Autonomous Databaseの場合は、jdbc:oracle:thin:@<SERVICE_NAME>という形式を使用しますか。TNS_ADMIN=<WALLET-DIR>Autonomous Database統合のためのWalletの構成を参照してください。
  2. 「ユーザー名」フィールドに、データベースへの接続に使用するDBユーザーを入力します。これは、Create a Target System User Account for Database User Management (Oracle) Orchestrated System Operationsで作成したユーザーです。
  3. 「パスワード」フィールドに、ターゲット・データベース・ユーザーのパスワードを入力します。「パスワードの確認」フィールドで、パスワードを確認します。
  4. 「接続プロパティ」で、接続プロパティをprop1=val1#prop2=val2の形式で入力します。
  5. 右側のペインに「選択した内容」が表示されます。入力した詳細に問題がなければ、「追加」を選択してオーケストレート済システムを作成します。

完了

ワークフローの「終了」ステップで、Oracle Access GovernanceとOracle Databaseの間のインタフェースに使用するエージェントをダウンロードするように求められます。「ダウンロード」リンクを選択して、エージェントが実行される環境にエージェント・zipファイルをダウンロードします。

エージェントをダウンロードしたら、エージェント管理の記事で説明されている手順に従います。

最後に、データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

構成後処理

Autonomous Database統合のためのWalletの構成

Oracle Autonomous Databaseへの接続には、エージェントとデータベース・サービス間のSSL通信をサポートするようにクライアント(この場合はOracle Access Governanceエージェント)を構成する必要があります。この機能を有効にするには、自律型データベース・ウォレットをエージェント・ホストにダウンロードし、オーケストレートされたシステム構成の「データベースの簡易接続URL」フィールドを更新する必要があります。この機能を構成するには、次のステップを実行します。

  1. データベース・ユーザー管理(Oracle)オーケストレート済システムを作成し、エージェントを構成します。
  2. クライアント資格証明(ウォレット)のダウンロードの手順を使用して、自律型データベース・ウォレットをダウンロードします。
  3. インストール済エージェント・フォルダ<PERSISTENT_VOLUME_LOCATION><WALLET-DIR>内にウォレット・ディレクトリを作成します。例:
    mkdir /myagent/install/db-wallet
  4. ステップ2でダウンロードしたウォレットを含むZipfileを<PERSISTENT_VOLUME_LOCATION><WALLET-DIR>にコピーし、次のコマンドを使用して解凍します。 
    cp -rf Wallet_<DATABASENAME>.zip <PERSISTENT_VOLUME_LOCATION><WALLET-DIR>
  5. 解凍されたウォレット・ファイルには、Oracle Autonomous Databaseで使用可能なサービス名を含むtnsnames.oraファイルが含まれます。ワークロードに応じて、次のいずれかを選択します。
    • databasename緊急
    • databasename_tp
    • databasename_high
    • databasename_medium
    • databasename_low
    Oracle Autonomous Databaseサービス名の詳細は、「Autonomous Transaction ProcessingとAutonomous JSONデータベースのデータベース・サービス名」を参照してください。
  6. 「オーケストレート済システムの設定の構成」の手順に従って、オーケストレート済システムの統合設定を編集します。前のステップで選択したサービス名に基づいて、「データベースの簡易接続URL」フィールドをデータベースの接続文字列で更新します。接続文字列の形式は次のとおりです。
    jdbc:oracle:thin:@<SERVICE_NAME>?TNS_ADMIN=<WALLET-DIR>
    例:
    jdbc:oracle:thin:@MYAUTDB_TP?TNS_ADMIN=/agent/install