2025年8月15日金曜日

SQLclのMCPサーバーのデータベース接続にTOKEN_AUTH=AZURE_INTERACTIVEの設定を使用する

本記事では、SQLclのMCPサーバーからデータベースに接続する際に、Entra IDとの対話型のユーザー認証を行うように構成します(TOKEN_AUTH=AZURE_INTERACTIVE)。

Claude Desktopでは以下のように、MCPサーバーがデータベースに接続するときにブラウがが開いて、ユーザー認証を要求します。


記事「SQLclのMCPサーバーのデータベース接続をMicrosoft Entra IDのOAuth2で認証する」に沿って、Autonomous DatabaseとしてSALESADB、Entra IDにアプリケーションとしてSALESADBが作成されていることを前提とします。

Microsoft Entra IDの設定


Albert Balbekovさんの以下の記事に沿った作業を実施します。

Azure AD (Entra ID) Tokens: 1. Entra ID App Registrations
Register Client in Entra ID

クライアントとなるアプリケーションを作成します。

アプリの登録を開き、新規作成を実行します。


作成するアプリケーションの名前SALESADB-CLIとします。サポートされているアカウントの種類この組織ディレクトリのみに含まれるアカウント (既定のディレクトリ のみ - シングル テナント)を選択します。

リダイレクトURIのタイプとしてパブリック クライアント/ネィティブ(モバイルとデスクトップ)を選択し、リダイレクトURIとしてhttp://localhostを設定します。

以上でアプリケーションを登録します。


アプリケーションSALESADB-CLIが作成されます。

後で参照するため、アプリケーション(クライアント)IDをコピーして保存します。その後に、リダイレクトURIの設定を開き、パブリッククライアントフローの設定を確認します。


設定を開きます。


設定を開くとパブリッククライアントフローを許可するという設定があります。デフォルトでは無効になっています。

この設定を有効に切り替えます。


変更した設定を保存したいのですが、保存ボタンが見つかりません

仕方がないので、To switch to the old experience, please click hereのリンクをクリックし、以前の設定画面に変更します。

詳細設定パブリッククライアントフローを許可する次のモバイルとデスクトップのフローを有効にするはいに変更します。

以上で保存をクリックします。


アプリの登録に戻り、データベースSALESADBに紐づけられているアプリケーションSALESADBを開きます。


APIの公開を開き、クライアントアプリケーションの追加を実行します。


クライアントIDに先ほどコピーしたアプリケーションSALESADB-CLIアプリケーション(クライアント)IDを設定します。

承認済みのスコープチェックし、アプリケーションの追加をクリックします。


承認済みのクライアント・アプリケーションとしてSALESADB-CLIが追加されます。


以上でEntra IDの設定は完了です。


SQLclの構成



データベースへ接続するツールとしてSQLclを使用します。すでにホストにインストールされていて、使用中のSQLclのバージョンを確認します。

sql -version

azure % sql -version


SQLcl: リリース25.2.2.0 Production ビルド: 25.2.2.199.0918

azure % 


SQLclのダウンロード・ページを開き、最新のバージョンかどうか確認します。最新でない場合は、最新のバージョンに入れ替えます。


Entra IDによる認証に必要なライブラリを導入します。SQLclを起動します。

sql /nolog

azure % sql /nolog



SQLcl: 月 8月 25 13:48:00 2025のリリース25.2 Production


Copyright (c) 1982, 2025, Oracle.  All rights reserved.


SQL> 


SDKのインストール状況を確認します。

sdk list

SQL> sdk list

+------------+-----------+---------+----------------------------------------------------------------------+

| SDK        | INSTALLED | VERSION | ドキュメント                                                               |

+------------+-----------+---------+----------------------------------------------------------------------+

| jdbc-oci   | いいえ       | 1.0.6   | https://docs.oracle.com/en/database/oracle/oracle-database/23/jjdbc/ |

| jdbc-azure | いいえ       | 1.0.6   | https://docs.oracle.com/en/database/oracle/oracle-database/23/jjdbc/ |

+------------+-----------+---------+----------------------------------------------------------------------+

SQL> 


jdbc-azureがインストールされていなければ、インストールします。

sdk install jdbc-azure

SQL> sdk install jdbc-azure

ojdbc-provider-azure SDKおよびその依存性をダウンロードしています

jdbc-azure SDKは正常にインストールされました。SQLclを再起動して変更を反映してください

SQL> 


jdbc-azureのSDKが正常にインストールされたことを確認します。

sdk list

SQL> sdk list

+------------+-----------+---------+----------------------------------------------------------------------+

| SDK        | INSTALLED | VERSION | ドキュメント                                                               |

+------------+-----------+---------+----------------------------------------------------------------------+

| jdbc-oci   | いいえ       | 1.0.6   | https://docs.oracle.com/en/database/oracle/oracle-database/23/jjdbc/ |

| jdbc-azure | はい        | 1.0.6   | https://docs.oracle.com/en/database/oracle/oracle-database/23/jjdbc/ |

+------------+-----------+---------+----------------------------------------------------------------------+

SQL> exit

azure % 


SQLclの構成は以上で完了です。


TOKEN_AUTH=AZURE_DEVICE_CODEでの接続



tnsnames.oraの記述を更新するため、Wallet_SALESADB.zipを解凍します。

unzip -d tns_admin Wallet_SALESADB.zip

azure % unzip -d tns_admin Wallet_SALESADB.zip 

Archive:  Wallet_SALESADB.zip

  inflating: tns_admin/ewallet.pem   

  inflating: tns_admin/README        

  inflating: tns_admin/cwallet.sso   

  inflating: tns_admin/tnsnames.ora  

  inflating: tns_admin/truststore.jks  

  inflating: tns_admin/ojdbc.properties  

  inflating: tns_admin/sqlnet.ora    

  inflating: tns_admin/ewallet.p12   

  inflating: tns_admin/keystore.jks  

azure %


展開したディレクトリを環境変数TNS_ADMINに設定します。

export TNS_ADMIN=$PWD/tns_admin

azure % export TNS_ADMIN=$PWD/tns_admin

% 


今までの設定でデータベースに接続できるか確認するため、管理者ユーザーADMINSALESADBに接続します。

sql admin@salesadb_low

azure % sql admin@salesadb_low



SQLcl: 金 8月 15 15:13:56 2025のリリース25.2 Production


Copyright (c) 1982, 2025, Oracle.  All rights reserved.


パスワード (**********?) **************

Last Successful login time: 金 8月  15 2025 15:14:02 +09:00


接続先:

Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems

Version 23.9.0.25.08


SQL> exit

Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems

Version 23.9.0.25.08から切断されました

azure %


データベースSALESADBに接続できました。

TOKEN_AUTH=AZURE_DEVICE_CODEを指定する際に必要なTENANT_IDCLIENT_IDAZURE_DB_APP_ID_URIの値を、Entra IDの画面から取得します。

アプリケーションSALESADB概要を開き、アプリケーションIDのURIの値をコピーします。この値をAZURE_DB_APP_ID_URIとして設定します。


アプリケーションSALESADB-CLI概要を開き、アプリケーション(クライアント)IDの値をコピーします。この値をCLIENT_IDとして設定します。次にディレクトリ(テナント)IDの値をコピーします。この値をTENANT_IDとして設定します。


tns_admin/tnsnames.oraTOKEN_AUTHTENANT_IDCLIENT_IDAZURE_DB_APP_ID_URIの指定を加えた、以下のようなエントリSALESADB_AZCODEを追加します。
salesadb_azcode = (
    description = (retry_count=20)(retry_delay=3)
    (address = (protocol=tcps)(port=1522)(host=adb.ca-toronto-1.oraclecloud.com))
    (connect_data = (service_name=g____________f_salesadb_low.adb.oraclecloud.com))
    (security = (ssl_server_dn_match=yes)(TOKEN_AUTH=AZURE_DEVICE_CODE)
               (TENANT_ID=3940511e-****-****-****-01b080952758)
               (CLIENT_ID=0133b47d-****-****-****-2a5dcacd41a0)
               (AZURE_DB_APP_ID_URI=api://c276626e-****-****-****-a87ff322acb6))
)
追加したTNS名SALESADB_AZCODEを使って、データベースSALESADBに接続します。

sql /@salesadb_azcode

azure % sql /@salesadb_azcode    



SQLcl: 金 8月 15 15:35:50 2025のリリース25.2 Production


Copyright (c) 1982, 2025, Oracle.  All rights reserved.


To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code NW2ALBJQ8 to authenticate.



ブラウザでhttps://microsoft.com/deviceloginを開き、表示されているコードを入力します。

次へ進みます。


Entra IDに登録されたユーザーでサインインします。以下のスクリーンショットは、すでにサインインしているため、サインイン済みのユーザーを選択しています。


アプリケーションSALESADB-CLIにサインインします。

続行をクリックします。


アプリケーションSALESADB-CLIにサインインできました。


SCLclでは、データベースへの接続が完了しています。

azure % sql /@salesadb_azcode    



SQLcl: 金 8月 15 15:35:50 2025のリリース25.2 Production


Copyright (c) 1982, 2025, Oracle.  All rights reserved.


To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code NW2ALBJQ8 to authenticate.

接続先:

Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems

Version 23.9.0.25.08


SQL> 


以下のSELECT文を実行し、接続ユーザーを確認します。
select
    sys_context('userenv','session_user') as session_user,
    sys_context('userenv','current_user') as current_user,
    sys_context('userenv','authenticated_identity') as azure_user
from dual;

SQL> select

  2      sys_context('userenv','session_user') as session_user,

  3      sys_context('userenv','current_user') as current_user,

  4      sys_context('userenv','authenticated_identity') as azure_user

  5* from dual;


SESSION_USER    CURRENT_USER    AZURE_USER                                                    

_______________ _______________ _____________________________________________________________ 

MCPUSER         MCPUSER         yu__._______outlook.com_EXT_@_______soutlook.onmicrosoft.com    


SQL> exit

Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems

Version 23.9.0.25.08から切断されました

azure % 


システム・コンテキストUSERENVAUTHENTICATED_IDENTITYに、Entra IDでのupnの値が設定されていることが確認できます。

以上で、TOKEN_AUTH=AZURE_DEVICE_CODEでの認証を確認できました。


TOKEN_AUTH=AZURE_INTERACTIVEでの接続



tns_admin/tnsnames.oraにエントリSALESADB_AZCODETOKEN_AUTHAZURE_INTERACTIVEに変更したエントリSALESADB_AZINTを作成します。
salesadb_azint = (
    description = (retry_count=20)(retry_delay=3)
    (address = (protocol=tcps)(port=1522)(host=adb.ca-toronto-1.oraclecloud.com))
    (connect_data = (service_name=g____________f_salesadb_low.adb.oraclecloud.com))
    (security = (ssl_server_dn_match=yes)(TOKEN_AUTH=AZURE_INTERACTIVE)
               (TENANT_ID=3940511e-****-****-****-01b080952758)
               (CLIENT_ID=0133b47d-****-****-****-2a5dcacd41a0)
               (AZURE_DB_APP_ID_URI=api://c276626e-****-****-****-a87ff322acb6))
)

追加したTNS名SALESADB_AZINTを使って、データベースSALESADBに接続します。

sql /@salesadb_azint

azure % sql /@salesadb_azint



SQLcl: 金 8月 15 15:58:45 2025のリリース25.2 Production


Copyright (c) 1982, 2025, Oracle.  All rights reserved.



ブラウザが起動してユーザーのサインインを求められるところまでは進むのですが、そこから先に進めません。


AZURE_DEVICE_CODEではユーザー認証できるため、Entra IDおよびデータベースの設定に不備はないはずです。

調べたところ、AZURE_INTERACTIVEでブラウザが開かれた時のURLは以下で始まります。

https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize?scope=openid+

このorganizationsの指定が曖昧なため、サインインに失敗する模様です。organizationsの部分を、URLを直接編集してテナントIDに置き換えます。

置き換えた後にEnterを入力してページを更新します。


ページの表示は変わりませんが、URLは変更されています。先ほどのEnterの入力時は、HTTPのGETリクエストが発行されてページが更新されています。

今度はユーザーを選択し、変更したURLにPOSTリクエストを発行します。これがユーザー認証のリクエストになります。


Authentication complete. You can close the browser and return to the application.と表示されます。


SQLclを確認すると、データベースへの接続が確立されています。

AZURE_DEVICE_CODEのときと同様のSELECT文を実行し、AUTHENTICATED_IDENTITYを確認します。

Entra IDのユーザーで認証されていることが確認できます。

SQL> select

  2      sys_context('userenv','session_user') as session_user,

  3      sys_context('userenv','current_user') as current_user,

  4      sys_context('userenv','authenticated_identity') as azure_user

  5* from dual;


SESSION_USER    CURRENT_USER    AZURE_USER                                                    

_______________ _______________ _____________________________________________________________ 

MCPUSER         MCPUSER         yuji.________outlook.com_EXT_@_________kksoutlook.onmicrosoft.com    


SQL> 


あまり実用的でないワークアラウンドですが、かろうじてTOKEN_AUTH=AZURE_INTERACTIVEでの接続が確認できました。


MCPサーバーの確認



TOKEN_AUTH=AZURE_INTERACTIVEでの接続を、MCPサーバーで使用できるように保存します。

保存する名前はsalesadb-azとします。

conn -save salesadb-az -savepwd /@salesadb_azint

azure % sql /nolog          



SQLcl: 金 8月 15 17:38:11 2025のリリース25.2 Production


Copyright (c) 1982, 2025, Oracle.  All rights reserved.


SQL> conn -save salesadb-az -savepwd /@salesadb_azint

名前: salesadb-az

接続文字列: salesadb_azint

ユーザー: 

パスワード: 未保存

接続しました.

SQL> exit

Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems

Version 23.9.0.25.08から切断されました

azure % 


connmgr listを実行し、接続salesadb-azが保存されていることを確認します。

azure % sql /nolog



SQLcl: 金 8月 15 17:42:44 2025のリリース25.2 Production


Copyright (c) 1982, 2025, Oracle.  All rights reserved.


SQL> connmgr list

.

├── adb-free-23ai-freepdb1-wksp_apexdev

├── local-23ai-freepdb1-sys

├── local-23ai-freepdb1-wskp_apexdev

├── mydb

└── salesadb-az

SQL> exit

azure % 


環境変数TNS_ADMINが必ず設定されるように、以下のスクリプトを作成します。TNS_ADMINおよびSQLclのバイナリの指定はフルパスで指定します。
#!/bin/sh

WD=/Users/xxxxxxxxxx/Documents/azure
export TNS_ADMIN=$WD/tns_admin
~/sqlcl/bin/sql -mcp
WDに設定するディレクトリは、それぞれの環境に合わせて変更します。作成したスクリプトに、実行権限を付与します。

chmod 755 sql-mcp.sh

azure % chmod 755 sql-mcp.sh 

azure % 


Claude DesktopにMCPサーバーとして登録します。実行するcommandとして、先ほど作成したsql-mcp.shをフルパスで記述します。
{
  "mcpServers": {
    "sqlcl": {
      "command": "/Users/xxxxxxxxx/Documents/azure/sql-mcp.sh"
    }
  }
}
Claude DesktopでMCPサーバーsqlclを有効にして、salesadb-azに接続します。

ユーザー認証が必要なときは、ブラウザが開きます。前の章で紹介したURLのorganizationsテナントIDに変更すると、ユーザー認証に成功します。

ユーザー認証に成功すると、Claude Desktopからデータベースにアクセスできるようになります。


きちんと使用するにはあと少し足りませんが、データベース・ユーザーではなくEntra IDに個人として登録したユーザーによって、オラクル・データベースにアクセスできるようになりました。

Oracle Databaseには仮想プライベート・データベースやReal Application Securityといった、認識した個人ごとにデータベースへのアクセスを制限する機能があります。また、Unified Auditingでは監査レコードにAUTHENTICATED_IDENTITYの値を記録することもできます。

今回の記事は以上になります。

投稿者 時刻:
ラベル: , , ,