Oracle Cloud Infrastructure-Dokumentation

Microsoft Entra ID-Authentifizierung in Autonomous Database aktivieren

Ein Microsoft Entra ID-Administrator und ein Autonomous Database-Administrator führen Schritte aus, um die Entra ID-Authentifizierung in Autonomous Database zu konfigurieren.

Übergeordnetes Thema: Microsoft Entra-ID mit Autonomous Database verwenden

Microsoft Entra ID v2-Zugriffstoken aktivieren

Oracle Database unterstützt die Integration mit dem v1- und v2 Azure AD-Zugriffstoken OAuth2.

Oracle Database unterstützt das Entra-ID-Token v2 sowie das Standardtoken v1. Um das Entra-ID-Token v2 zu verwenden, müssen Sie jedoch einige zusätzliche Schritte ausführen, um sicherzustellen, dass es mit Oracle Database funktioniert. Sie können dieses Token mit Anwendungen verwenden, die im Azure-Portal mit der Erfahrung App-Registrierungen registriert sind.
Wenn Sie das Azure AD-Zugriffstoken v2 OAuth2 verwenden, funktioniert der Zugangsdatenfluss ohne Änderungen weiter wie zuvor. Der Claim upn: muss jedoch hinzugefügt werden, wenn Sie v2-Token mit dem interaktiven Ablauf verwenden.
  1. Prüfen Sie die Version des Entra-ID-Zugriffstokens, das Sie verwenden.
  2. Melden Sie sich beim Microsoft Entra ID-Portal an.
  3. Suchen Sie nach ID einbeziehen, und wählen Sie sie aus.
  4. Wählen Sie unter Verwalten die Option Anwendungsregistrierungen aus.
  5. Wählen Sie die Anwendung aus, für die Sie optionale Ansprüche basierend auf Ihrem Szenario und dem gewünschten Ergebnis konfigurieren möchten.
  6. Wählen Sie unter Verwalten die Option Tokenkonfiguration aus.
  7. Klicken Sie auf Optionalen Claim hinzufügen, und wählen Sie upn aus.
Wenn Sie v2-Token verwenden, spiegelt der aud:-Claim nur den Wert der APP-ID wider. Sie müssen das Präfix https:domain nicht auf die APP-ID-URI setzen, wenn v2-Token verwendet werden. Dadurch wird die Konfiguration für die Datenbank vereinfacht, da die standardmäßige APP-ID-URI verwendet werden kann.

Verwandte Themen

Übergeordnetes Thema: Microsoft Entra ID-Authentifizierung in Autonomous Database aktivieren

Entra-ID-Zugriffstokenversion prüfen

Sie können die Version des Entra-ID-Zugriffstokens prüfen, das Ihre Website verwendet, indem Sie die JSON-Web-Token-Website verwenden.

Standardmäßig wird das Zugriffstoken Entra ID v1 verwendet. Möglicherweise hat Ihre Site jedoch v2 verwendet. Oracle Database unterstützt v1-Token und Autonomous Database Serverless unterstützt auch v2-Token. Wenn Sie die v2-Zugriffstoken verwenden möchten, können Sie deren Verwendung für die Oracle-Datenbank aktivieren. Um die Version des Entra-ID-Zugriffstokens zu finden, das Sie verwenden, können Sie sich entweder an Ihren Entra-ID-Administrator wenden oder die Version von der JSON Web Tokens-Website wie folgt bestätigen.
  1. Gehen Sie zur Website für JSON-Web-Token. 
    https://jwt.io/
  2. Kopieren Sie die Tokenzeichenfolge, und fügen Sie sie in das Feld Kodiert ein.
  3. Aktivieren Sie das Feld Decodiert, in dem Informationen zur Tokenzeichenfolge angezeigt werden.
    In der Nähe oder am unteren Rand des Feldes wird ein Anspruch mit dem Titel ver angezeigt, der eine der folgenden Versionen angibt:
    • "ver": "1.0"
    • "ver": "2.0"

Microsoft Entra-ID als externen Identitätsprovider für Autonomous Database konfigurieren

Ein Autonomous Database-Administrator kann Entra ID als externen Identitätsprovider in einer Autonomous Database-Instanz aktivieren.

So aktivieren Sie Entra ID als externen Identitätsprovider:

  1. Melden Sie sich bei der Autonomous Database-Instanz als Benutzer mit der Berechtigung EXECUTE für das PL/SQL-Package DBMS_CLOUD_ADMIN an. Der ADMIN-Benutzer verfügt über diese Berechtigung.
  2. Führen Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION mit den erforderlichen Entra-ID-Parametern aus.
    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                            'application_id' VALUE 'application_id',
                            'application_id_uri' VALUE 'application_id_uri'),
      force => TRUE
  );
END;

    In diesem Verfahren sind die Entra-ID-Parameter:

    • type: Gibt den externen Authentifizierungsprovider an. Verwenden Sie für Entra-ID wie gezeigt 'AZURE_AD'.
    • params: Werte für die erforderlichen Entra-ID-Parameter sind im Azure-Portal im Bereich "Überblick" der App-Registrierung für Azure Active Directory verfügbar. Die erforderliche params für die Entra-ID lautet:
      • tenant_id: Mandanten-ID des Azure-Accounts. Die Mandanten-ID gibt die Entra-ID-Anwendungsregistrierung der Autonomous Database-Instanz an.
      • application_id: Azure-Anwendungs-ID, die in Entra-ID erstellt wurde, um Rollen-/Schemazuordnungen für die externe Authentifizierung in der Autonomous Database-Instanz zuzuweisen.
      • application_id_uri: Eindeutige URI, die der Azure-Anwendung zugewiesen ist.

        Dies ist die ID für die Autonomous Database-Instanz. Der Name muss domainqualifiziert sein (unterstützt mandantenübergreifenden Ressourcenzugriff).

        Die maximale Länge für diesen Parameter beträgt 256 Zeichen.

    • force: Setzen Sie diesen Parameter auf TRUE, wenn eine andere EXTERNAL AUTHENTICATION-Methode für die Autonomous Database-Instanz konfiguriert ist und Sie ihn deaktivieren möchten.

    Beispiel:

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                            'application_id' VALUE '11aa1a11-aaa',
                            'application_id_uri' VALUE 'https://example.com/111aa1aa'),
      force  => TRUE
  );
END;

    Dadurch wird der Systemparameter IDENTITY_PROVIDER_TYPE festgelegt.

    Beispiel: Mit dem folgenden Befehl können Sie IDENTITY_PROVIDER_TYPE prüfen: 

    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
 
NAME                   VALUE   
---------------------- -------- 
identity_provider_type AZURE_AD

    Weitere Informationen finden Sie unter Prozedur ENABLE_EXTERNAL_AUTHENTICATION.