Oracle Cloud Infrastructure-Dokumentation

Microsoft Entra ID-Authentifizierung in Autonomous Database aktivieren

Ein Microsoft Entra ID-Administrator und ein Autonomous Database-Administrator führen die Schritte zum Konfigurieren der Entra ID-Authentifizierung in Autonomous Database aus.

Übergeordnetes Thema: Microsoft Entra-ID mit Autonomous Database verwenden

Zugriffstoken für Microsoft Entra ID v2 aktivieren

Oracle Database unterstützt die Integration mit dem Azure AD-Zugriffstoken OAuth2 und v1 v2.

Oracle Database unterstützt das Token v2 der Entra-ID sowie das Standardtoken v1. Um das Token v2 der Entra-ID zu verwenden, müssen Sie jedoch einige zusätzliche Schritte ausführen, um sicherzustellen, dass es mit der Oracle Database funktioniert. Sie können dieses Token mit Anwendungen verwenden, die im Azure-Portal registriert sind, indem Sie die App-Registrierungen verwenden.
Wenn Sie das Azure AD-Zugriffstoken v2 OAuth2 verwenden, funktioniert der Zugangsdatenfluss weiterhin wie zuvor ohne Änderungen. Der upn:-Claim muss jedoch hinzugefügt werden, wenn Sie v2-Token mit dem interaktiven Ablauf verwenden.
  1. Prüfen Sie die Version des verwendeten Entra-ID-Zugriffstokens.
  2. Melden Sie sich beim Microsoft Entra ID-Portal an.
  3. Suchen Sie nach Entra-ID, und wählen Sie sie aus.
  4. Wählen Sie unter Manage die Option App registrations aus.
  5. Wählen Sie die Anwendung aus, für die Sie optionale Ansprüche basierend auf Ihrem Szenario und dem gewünschten Ergebnis konfigurieren möchten.
  6. Wählen Sie unter Verwalten die Option Tokenkonfiguration aus.
  7. Klicken Sie auf Add optional claim, und wählen Sie upn aus.
Wenn Sie v2-Token verwenden, spiegelt der aud:-Claim nur den Wert der APP-ID wider. Sie müssen das Präfix https:domain nicht auf die APP-ID-URI setzen, wenn v2-Token verwendet werden. Dadurch wird die Konfiguration für die Datenbank vereinfacht, da die Standard-APP-ID-URI verwendet werden kann.

Verwandte Themen

Übergeordnetes Thema: Microsoft Entra-ID-Authentifizierung in Autonomous Database aktivieren

Entra-ID-Zugriffstokenversion prüfen

Sie können die Version des Entra-ID-Zugriffstokens, das Ihre Site verwendet, mit der JSON Web Tokens-Website prüfen.

Standardmäßig wird das Zugriffstoken Entra-ID v1 verwendet, aber Ihre Site hat möglicherweise v2 verwendet. Oracle Database unterstützt v1-Token und Autonomous Database Serverless unterstützt auch v2-Token. Wenn Sie die Zugriffstoken v2 verwenden möchten, können Sie deren Verwendung für die Oracle-Datenbank aktivieren. Um die Version des Entra-ID-Zugriffstokens zu finden, das Sie verwenden, können Sie entweder mit Ihrem Entra-ID-Administrator Kontakt aufnehmen oder die Version auf der JSON Web Tokens-Website wie folgt bestätigen.
  1. Gehen Sie zur Website von JSON Web Tokens. 
    https://jwt.io/
  2. Kopieren Sie die Tokenzeichenfolge, und fügen Sie sie in das Feld Verschlüsselt ein.
  3. Prüfen Sie das Feld Decoded, in dem Informationen zur Tokenzeichenfolge angezeigt werden.
    In der Nähe oder am Ende des Feldes wird ein Anspruch mit dem Titel ver angezeigt, der eine der folgenden Versionen angibt:
    • "ver": "1.0"
    • "ver": "2.0"

Microsoft Entra-ID als externen Identitätsprovider für Autonomous Database konfigurieren

Ein Autonomous Database-Administrator kann Entra ID als externen Identitätsprovider auf einer Autonomous Database-Instanz aktivieren.

So aktivieren Sie Entra ID als externen Identitätsprovider:

  1. Melden Sie sich bei der Autonomous Database-Instanz als Benutzer mit der Berechtigung EXECUTE für das PL/SQL-Package DBMS_CLOUD_ADMIN an. Der Benutzer ADMIN verfügt über diese Berechtigung.
  2. Führen Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION mit den erforderlichen Parametern für die Entra-ID aus.
    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                            'application_id' VALUE 'application_id',
                            'application_id_uri' VALUE 'application_id_uri'),
      force => TRUE
  );
END;

    In diesem Verfahren lauten die Entra-ID-Parameter:

    • type: Gibt den externen Authentifizierungsprovider an. Verwenden Sie für die Entra-ID wie dargestellt 'AZURE_AD'.
    • params: Werte für die erforderlichen Entra-ID-Parameter sind im Azure-Portal im Übersichtsbereich für die App-Registrierung für Azure Active Directory verfügbar. Die erforderliche params für die Entra-ID lautet:
      • tenant_id: Mandanten-ID des Azure-Accounts. Die Mandanten-ID gibt die Entra-ID-Anwendungsregistrierung der Autonomous Database-Instanz an.
      • application_id: Azure-Anwendungs-ID, die in der Entra-ID erstellt wird, um Rollen-/Schemazuordnungen für die externe Authentifizierung in der Autonomous Database-Instanz zuzuweisen.
      • application_id_uri: Die der Azure-Anwendung zugewiesene eindeutige URI.

        Dies ist die ID für die Autonomous Database-Instanz. Der Name muss domainqualifiziert sein (dadurch wird der mandantenübergreifende Ressourcenzugriff unterstützt).

        Die maximale Länge für diesen Parameter beträgt 256 Zeichen.

    • force: Setzen Sie diesen Parameter auf TRUE, wenn eine andere EXTERNAL AUTHENTICATION-Methode für die Autonomous Database-Instanz konfiguriert ist und Sie diese deaktivieren möchten.

    Beispiele:

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                            'application_id' VALUE '11aa1a11-aaa',
                            'application_id_uri' VALUE 'https://example.com/111aa1aa'),
      force  => TRUE
  );
END;

    Dadurch wird der Systemparameter IDENTITY_PROVIDER_TYPE festgelegt.

    Beispiel: Sie können IDENTITY_PROVIDER_TYPE verwenden: 

    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
 
NAME                   VALUE   
---------------------- -------- 
identity_provider_type AZURE_AD

    Weitere Informationen finden Sie unter Prozedur ENABLE_EXTERNAL_AUTHENTICATION.