Microsoft Entra ID-Authentifizierung in autonomer KI-Datenbank aktivieren

Ein Microsoft Entra ID-Administrator und ein Autonomous AI Database-Administrator führen Schritte aus, um die Entra ID-Authentifizierung in einer autonomen KI-Datenbank zu konfigurieren.

Oracle AI Database-Instanz bei einem Microsoft Entra ID-Mandanten registrieren

Ein Benutzer mit Entra ID-Administratorberechtigungen verwendet die Microsoft Entra ID, um die Oracle AI Database-Instanz beim Microsoft Entra ID-Mandanten zu registrieren.

  1. Melden Sie Sich beim Azure-Portal als Administrator an, der über die Microsoft Entra-ID-Berechtigungen zum Registrieren von Anwendungen verfügt.

  2. Wählen Sie auf der Administrationsseite des Azure Active-Verzeichnisses in der linken Navigationsleiste die Option Azure Active Directory aus.

  3. Wählen Sie auf der Seite "MS-App-Registrierungen" in den linken Navigationsleiste die Option App-Registrierungen aus.

  4. Wählen Sie Neue Registrierung aus.

    Das Fenster "Register an application" wird angezeigt.

  5. Geben Sie in der Seite "Registrieren an application" die folgenden Registrierungsinformationen für die in Oracle AI Database verwendete Instanz ein:

    • Geben Sie im Feld Name einen Namen für die Oracle AI Database-Instanzverbindung (z.B. Example Database) ein.

    • Wählen Sie unter "Supported account types" den Accounttyp aus, der Ihrem Anwendungsfall entspricht.

      • Accounts nur in diesem Organisationsverzeichnis (nur tenant_name - Einzelner Mandant)

      • Accounts in jedem Organisationsverzeichnis (Beliebiges Entra ID-Verzeichnis - Mehrmandantenfähig)

      • Konten in jedem Organisationsverzeichnis (Jedes Entra ID-Verzeichnis - Mehrmandantenfähig) und persönliche Microsoft-Konten (z.B. Skype, Xbox)

      • Nur persönliche Microsoft-Konten

  6. Übergehen Sie die Einstellungen unter "Redirect URI (Optional)". Sie müssen keine Umleitungs-URI erstellen, da keine Umleitungs-URI für den Datenbankserver erforderlich ist.

  7. Klicken Sie auf Registrieren.

    Nachdem Sie auf Registrieren geklickt haben, zeigt Entra ID den Übersichtsbereich für die Anwendungsregistrierung an, in dem die Anwendungs-(Client-)ID unter "Essentials" angezeigt wird. Dieser Wert ist eine eindeutige ID für die Anwendung in der Microsoft-Identitätsplattform. Beachten Sie, dass sich der Begriff "Anwendung" auf die Oracle AI Database-Instanz bezieht.

  8. Registrieren Sie einen Geltungsbereich für die Datenbankanwendungsregistrierung.

    Ein Geltungsbereich ist eine Berechtigung für den Zugriff auf die Datenbank. Jede Datenbank benötigt einen Geltungsbereich, damit Clients eine Vertrauensstellung mit der Datenbank herstellen können, indem sie die Berechtigung zur Verwendung des Datenbankgeltungsbereichs anfordern. Dadurch kann der Datenbankclient Zugriffstoken für die Datenbank abrufen.

    1. Wählen Sie in der linken Navigationsleiste die Option Expose an API aus.

    2. Geben Sie unter "Set the App ID URI" im Feld Application ID URI die App-ID-URI für die Datenbankverbindung im folgenden Format an, und klicken Sie dann auf Save:

      your_tenancy_url/application_(client)_id

      In dieser Spezifikation:

      • your_tenancy_url muss https als Präfix und den vollqualifizierten Domainnamen Ihres Entra-ID-Mandanten enthalten.

      • application_(client)_id ist die ID, die generiert wurde, als Sie die Oracle AI Database-Instanz bei Entra ID registriert haben. Sie wird im Übersichtsbereich der Anwendungsregistrierung angezeigt.

      Beispiel:

      https://sales_west.example.com/1aa11111-1a1z-1a11-1a1a-11aa11a1aa1a
    3. Wählen Sie Geltungsbereich hinzufügen aus, und geben Sie die folgenden Einstellungen an:

Nachdem Sie diese Schritte ausgeführt haben, können Sie eine oder mehrere Azure-Anwendungsrollen hinzufügen und dann die Zuordnungen von Oracle-Schemas und -Rollen ausführen.

Microsoft Entra ID v2-Zugriffstoken aktivieren

Oracle AI Database unterstützt die Integration mit dem v1- und v2-Zugriffstoken OAuth2 von Azure AD.

Oracle AI Database unterstützt das Entra-ID-v2-Token sowie das v1-Standardtoken. Um das Entra ID v2-Token zu verwenden, müssen Sie jedoch einige zusätzliche Schritte ausführen, um sicherzustellen, dass es mit der Oracle AI Database funktioniert. Sie können dieses Token mit Anwendungen verwenden, die im Azure-Portal mit der Erfahrung App-Registrierungen registriert sind.

Wenn Sie das Zugriffstoken Azure AD v2 OAuth2 verwenden, funktioniert der Zugangsdatenfluss ohne Änderungen weiter wie zuvor. Der Claim upn: muss jedoch hinzugefügt werden, wenn Sie v2-Token mit dem interaktiven Ablauf verwenden.

  1. Prüfen Sie die Version des Entra-ID-Zugriffstokens, das Sie verwenden.

  2. Melden Sie sich beim Microsoft Entra ID-Portal an.

  3. Suchen Sie ID einbeziehen, und wählen Sie sie aus.

  4. Wählen Sie unter Verwalten die Option App-Registrierungen aus.

  5. Wählen Sie die Anwendung aus, für die Sie optionale Ansprüche basierend auf Ihrem Szenario und dem gewünschten Ergebnis konfigurieren möchten.

  6. Wählen Sie unter Verwalten die Option Tokenkonfiguration aus.

  7. Klicken Sie auf Optionalen Claim hinzufügen, und wählen Sie upn aus.

Wenn Sie v2-Token verwenden, spiegelt der aud:-Claim nur den Wert der APP-ID wider. Sie müssen das Präfix https:domain nicht auf die APP-ID-URI setzen, wenn v2-Token verwendet werden. Dadurch wird die Konfiguration für die Datenbank vereinfacht, da die standardmäßige APP-ID-URI verwendet werden kann.

Sie können die Version des Entra-ID-Zugriffstokens prüfen, das Ihre Website verwendet, indem Sie die JSON-Web-Token-Website verwenden.

Entra-ID-Zugriffstokenversion prüfen

Sie können die Version des Entra-ID-Zugriffstokens prüfen, das Ihre Website verwendet, indem Sie die JSON-Web-Token-Website verwenden.

Standardmäßig Zugriffstoken für Entra ID v1, Ihre Site hat jedoch möglicherweise v2 verwendet. Oracle AI Database unterstützt v1-Token und Autonomous AI Database Serverless unterstützt auch v2-Token. Wenn Sie die v2-Zugriffstoken verwenden möchten, können Sie deren Verwendung für die Oracle AI Database aktivieren. Um die Version des Entra-ID-Zugriffstokens zu finden, das Sie verwenden, können Sie sich entweder an Ihren Entra-ID-Administrator wenden oder die Version von der JSON Web Tokens-Website wie folgt bestätigen.

  1. Gehen Sie zur Website für JSON-Web-Token.

    https://jwt.io/
  2. Kopieren Sie die Tokenzeichenfolge, und fügen Sie sie in das Feld Kodiert ein.

  3. Aktivieren Sie das Feld Decodiert, in dem Informationen zur Tokenzeichenfolge angezeigt werden.

    In der Nähe oder am unteren Rand des Feldes wird ein Anspruch mit dem Titel ver angezeigt, der eine der folgenden Versionen angibt:

    • "ver": "1.0"

    • "ver": "2.0"

Anwendungsrollen in Microsoft Entra ID verwalten

In der Entra-ID können Sie Anwendungsfunktionen erstellen und verwalten, die Azure-Benutzern und Gruppen zugewiesen und auch globalen Oracle AI Database-Schemas und -Rollen zugeordnet werden.

Microsoft Entra ID-Anwendungsrolle erstellen

Azure-Benutzer, -Gruppen und -Anwendungen, die eine Verbindung zur Datenbank herstellen müssen, werden den Datenbankanwendungsrollen zugewiesen.

Ausführliche Schritte zum Erstellen einer Anwendungsrolle finden Sie im Microsoft Azure-Artikel Create and assign a custom role in Azure Active Directory. Die folgenden Schritte beschreiben, wie Sie die Anwendungsrolle zur Verwendung mit einer Oracle AI Database erstellen.

  1. Melden Sie sich bei Entra ID als Administrator an, der über Berechtigungen zum Erstellen von Anwendungsrollen verfügt.

  2. Rufen Sie die von Ihnen erstellte Oracle AI Database-Anwendungsregistrierung auf.

    1. Verwenden Sie den Filter Directory + subscription, um den Entra-ID-Mandanten zu suchen, der die Oracle AI Database-Anwendungsregistrierung enthält.

    2. Wählen Sie Azure Active Directory aus.

    3. Wählen Sie unter Verwalten die Option App-Registrierungen und dann die zuvor registrierte Oracle AI Database-Instanz aus.

  3. Wählen Sie unter Verwalten die Option Anwendungsrollen aus.

  4. Wählen Sie auf der Seite "App-Rollen" die Option Anwendungsrolle erstellen aus.

  5. Geben Sie auf der Seite "Create app role" die folgenden Informationen ein:

    • Anzeigename ist der Anzeigename der Rolle (z.B. HR App Schema). Sie können Leerzeichen in diesem Namen verwenden.

    • Wert ist der tatsächliche Name der Rolle (z.B. HR_APP). Stellen Sie sicher, dass diese Einstellung genau mit der Zeichenfolge übereinstimmt, die in der Datenbankzuordnung zu einem Schema oder einer Rolle referenziert wird. Verwenden Sie in diesem Namen keine Leerzeichen.

    • Beschreibung enthält eine Beschreibung des Zwecks dieser Rolle.

    • Möchten Sie diese App-Rolle aktivieren? Hiermit können Sie die Rolle aktivieren.

  6. Klicken Sie auf Anwenden.

    Die Anwendungsrolle wird im Fensterbereich "App roles" angezeigt.

Benutzer und Gruppen der Anwendungsrolle "Microsoft Entra ID" zuweisen

Bevor Microsoft Azure-Benutzer auf die Oracle AI Database zugreifen können, müssen sie zunächst die Anwendungsrollen zugewiesen werden, die Oracle AI Database-Schemabenutzern oder -rollen zugeordnet werden.

Ausführliche Schritte zum Zuweisen von Benutzern und Gruppen zu einer Anwendungsrolle finden Sie im Microsoft Azure-Artikel Add app roles to your application and receive them in the token. Die folgenden Schritte erläutern, wie dies für eine Oracle AI Database durchgeführt wird:

  1. Melden Sie sich bei Entra ID als Administrator an, der über Berechtigungen zum Zuweisen von Azure-Benutzern und Entra ID-Gruppen zu Anwendungsrollen verfügt.

  2. Suchen Sie in Unternehmensanwendungen den Namen der von Ihnen erstellten Oracle AI Database-Anwendungsregistrierung. Dies wird automatisch erstellt, wenn Sie eine App-Registrierung erstellen.

    1. Verwenden Sie den Filter Directory + subscription, um den Azure Active Directory-Mandanten zu suchen, der die Oracle-Verbindung enthält.

    2. Wählen Sie Azure Active Directory aus.

    3. Wählen Sie unter Verwalten die Option Enterprise-Anwendungen und dann den Registrierungsnamen der zuvor registrierten Oracle AI Database-Anwendung aus.

  3. Wählen Sie unter "Erste Schritte" die Option Benutzer und Gruppen zuweisen aus.

  4. Wählen Sie Benutzer/Gruppe hinzufügen aus.

  5. Wählen Sie im Fenster "Zuweisung hinzufügen" die Option Benutzer und Gruppen aus, um eine Liste der Benutzer und Sicherheitsgruppen anzuzeigen.

  6. Klicken Sie in dieser Liste auf die Benutzer und Gruppen, die Sie der Anwendungsrolle zuweisen möchten. Klicken Sie dann auf Auswählen.

  7. Wählen Sie im Fenster "Zuweisung hinzufügen" die Option Select a role aus, um eine Liste der von Ihnen erstellten App-Rollen anzuzeigen.

  8. Wählen Sie die App-Rolle und dann Select aus.

  9. Klicken Sie auf Zuweisen.

Anwendung einer App-Rolle zuweisen

Eine Anwendung, die über den Clientzugangsdatenfluss eine Verbindung zur Datenbank herstellen muss, muss einer Anwendungsrolle zugewiesen werden.

  1. Melden Sie sich bei Entra ID als Administrator an, der über Berechtigungen zum Zuweisen von Azure-Benutzern und Entra ID-Gruppen zu Anwendungsrollen verfügt.

  2. Greifen Sie auf die Anwendungsregistrierung für die Anwendung zu.

  3. Wählen Sie unter "Verwalten" die Option API-Berechtigungen.

  4. Wählen Sie im Bereich "Konfigurierte Berechtigungen" die Option + Berechtigung hinzufügen.

  5. Wählen Sie im Bereich "Request API permission" die RegisterkarteMy APIs aus.

  6. Wählen Sie die Oracle AI Database-App aus, für die Sie dieser Anwendung Zugriffsberechtigungen erteilen möchten. Wählen Sie dann die Option Anwendungsberechtigungen aus.

  7. Wählen Sie die Datenbankanwendungsrollen, die der Anwendung zugewiesen werden sollen, und klicken Sie unten auf dem Bildschirm auf das Kontrollkästchen Berechtigung hinzufügen, um die Anwendungsrolle zuzuweisen und das Dialogfeld zum Schließen. Stellen Sie sicher, dass die gerade zugewiesenen Anwendungsrollen unter "Configured permissions" angezeigt werden.

  8. Wählen Sie Admin-Zustimmung für Mandant erteilen aus, um den Mandantenbenutzern die Zustimmung zu erteilen. Wählen Sie dann im Bestätigungsdialogfeld Ja aus.

Siehe auch: Workflow für Admin-Zustimmung konfigurieren

Microsoft Entra-ID als externen Identitätsprovider für autonome KI-Datenbank konfigurieren

Ein Administrator einer autonomen KI-Datenbank kann Entra ID als externen Identitätsprovider auf einer autonomen KI-Datenbankinstanz aktivieren.

So aktivieren Sie Entra ID als externen Identitätsprovider:

  1. Melden Sie sich bei der autonomen AI-Datenbankinstanz als Benutzer mit der Berechtigung EXECUTE für das PL/SQL-Package DBMS_CLOUD_ADMIN an. Der ADMIN-Benutzer verfügt über diese Berechtigung.

  2. Führen Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION mit den erforderlichen Entra-ID-Parametern aus.

    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
          type   =>'AZURE_AD',
          params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                                'application_id' VALUE 'application_id',
                                'application_id_uri' VALUE 'application_id_uri'),
          force => TRUE
      );
    END;

    In diesem Verfahren sind die Entra-ID-Parameter:

    • type: Gibt den externen Authentifizierungsprovider an. Verwenden Sie für Entra-ID wie gezeigt 'AZURE_AD'.

    • params: Werte für die erforderlichen Entra-ID-Parameter sind im Azure-Portal im Überblicksbereich für die App-Registrierung für Azure Active Directory verfügbar. Die erforderliche params für die Entra-ID lautet:

      • tenant_id: Mandanten-ID des Azure-Accounts. Die Mandanten-ID gibt die Entra-ID-Anwendungsregistrierung der autonomen KI-Datenbankinstanz an.

      • application_id: In Entra-ID erstellte Azure-Anwendungs-ID, um Rollen-/Schemazuordnungen für die externe Authentifizierung in der Instanz der autonomen KI-Datenbank zuzuweisen.

      • application_id_uri: Eindeutige URI, die der Azure-Anwendung zugewiesen ist.

        Dies ist die ID für die Instanz der autonomen KI-Datenbank. Der Name muss domainqualifiziert sein (unterstützt mandantenübergreifenden Ressourcenzugriff).

        Die maximale Länge für diesen Parameter beträgt 256 Zeichen.

    • force: Setzen Sie diesen Parameter auf TRUE, wenn eine andere EXTERNAL AUTHENTICATION-Methode für die Instanz der autonomen KI-Datenbank konfiguriert ist und Sie ihn deaktivieren möchten.

    Beispiel:

    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
          type   =>'AZURE_AD',
          params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                                'application_id' VALUE '11aa1a11-aaa',
                                'application_id_uri' VALUE 'https://example.com/111aa1aa'),
          force  => TRUE
      );
    END;

    Dadurch wird der Systemparameter IDENTITY_PROVIDER_TYPE festgelegt.

    Beispiel: Sie können Folgendes verwenden, um IDENTITY_PROVIDER_TYPE zu prüfen:

    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
    
    NAME                   VALUE
    
    ---------------------- --------
    identity_provider_type AZURE_AD

    Weitere Informationen finden Sie unter Prozedur ENABLE_EXTERNAL_AUTHENTICATION.

Zugehöriger Inhalt