| 永久ユーザー |
- ユーザーに直接権限を付与します。
- ロールを作成し、それらに権限を付与します。その後、1つ以上のロールのメンバーシップを各ユーザーに付与します(推奨)。
|
| ディレクトリ ベースのユーザー |
- 各ディレクトリ ユーザーを、データベース権限をすでに持っている1人以上のデータベース ユーザーにマップします。
- オプションで外部ロールを作成し、それらに権限を付与することができます。次に、各ディレクトリ ユーザーを1つ以上の外部ロールにマッピングします。
ディレクトリ ユーザーによって作成されたオブジェクトは、マップされた永久ユーザーを所有者兼作成者としてデータ ディクショナリに登録されます。
|
| 自動的にプロビジョニングされるユーザー |
- AutoProvision DBSControlフラグをtrueに設定します。
- ディレクトリで、自動プロビジョニングされるユーザーの外部ロールまたはプロファイルを作成します。
- データベースで、一致するロールとプロファイルを作成します。
- 外部ロールを作成した場合は、外部ロールに権限を付与します。
- ディレクトリ ユーザーを外部ロールまたはプロファイルにマップします。
自動プロビジョニングされたアカウントに付与される権限は、ディレクトリ ユーザーが割り当てられている外部ロールによって決まります。自動プロビジョニングされたディレクトリ ユーザーが外部ロールに割り当てられ、データベースにもロールが付与されている場合、ユーザーは両方のロールの権限を持つことができます。ただし、ユーザーは外部から認証されているため、セッションで有効になるのは外部ロールだけです。割り当てられたロールは明示的に有効にする必要があります。ディレクトリ プリンシパルがロールに割り当てられていない場合、ユーザーはEXTERNAL_AP(システム ユーザー)から権限を継承します。
|
| プロキシ ユーザー |
- プロキシ ユーザーが永久データベース ユーザーまたはデータベースから認識できないユーザーのいずれかである場合、プロキシを定義するGRANT CONNECT THROUGH文に1つ以上のロールを指定できます。
- 永久データベース ユーザーでもあるプロキシ ユーザーの場合:
- WITHOUT ROLEを指定することで、永久ユーザーに付与された権限を使用できます。
- 永久ユーザーまたはユーザー プロファイルに行レベル セキュリティ制約を割り当てることができます。プロキシ ユーザー セッションは、割り当てられている場合はプロファイル制約を使用します。プロファイルに制約が割り当てられていない場合、セッションはユーザー制約を使用します。ユーザーはSET SESSION CONSTRAINTコマンドを使用して、割り当てられたセキュリティ制約にアクセスすることもできます。
|