Oracle Cloud Infrastructure-Dokumentation

DBMS_MFA_ADMIN-Package

Das Package DBMS_MFA_ADMIN vereinfacht und konfiguriert den SQL-Tokenzugriff.

Übergeordnetes Thema: Von autonomer KI-Datenbank bereitgestellte Packagereferenz

Zusammenfassung der DBMS_MFA_ADMIN-Unterprogramme

Fasst die Unterprogramme zusammen, die im Package DBMS_MFA_ADMIN enthalten sind.

  • Prozedur REGISTER_USER
    Die Prozedur DBMS_MFA_ADMIN.REGISTER_USER registriert einen vorhandenen Datenbankbenutzer für MFA, indem der Benutzer einer E-Mail-Adresse als externe Identität zugeordnet wird. Sie können MFA für Anmeldeauthentifizierung, SQL-Zugriff oder beides aktivieren. Es unterstützt E-Mail-, Slack- und Authentifizierungs-Apps für die Bereitstellung sicherer Zugriffstoken.
  • SET_GLOBAL_TOKEN_ATTRIBUTES-Prozedur
    Die DBMS_MFA_ADMIN.SET_GLOBAL_TOKEN_ATTRIBUTES-Prozedur legt MFA-Attribute für SQL-Zugriffstoken global für alle registrierten Benutzer fest oder aktualisiert sie.
  • Prozedur SET_ATTRIBUTE
    Mit DBMS_MFA_ADMIN.SET_ATTRIBUTE wird ein einzelnes MFA-Attribut für einen registrierten Benutzer festgelegt oder aktualisiert. Außerdem werden alle anwendbaren globalen Standardwerte für dieses Attribut überschrieben.
  • Prozedur SET_ATTRIBUTES
    Die Prozedur DBMS_MFA_ADMIN.SET_ATTRIBUTES legt ein oder mehrere MFA-Attribute für einen registrierten Benutzer fest oder aktualisiert sie. Außerdem werden alle anwendbaren globalen Standardwerte für diese Attribute überschrieben.
  • Prozedur CONFIGURE_NOTIFICATION
    Die Prozedur DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION konfiguriert die Kanäle, über die MFA-Token an registrierte Benutzer gesendet werden. Dazu gehören die Definition der Zustellungsmethode und der kanalspezifischen Eigenschaften, die für die Tokenverteilung erforderlich sind.
  • Prozedur DEREGISTER_USER
    Mit der Prozedur DBMS_MFA_ADMIN.DEREGISTER_USER wird ein Datenbankbenutzer entfernt, der derzeit für MFA registriert ist. Nachdem der Benutzer entfernt wurde, wird MFA nicht mehr für dieses Konto durchgesetzt, und der Benutzer kann sich ohne einen zweiten Faktor authentifizieren.

Übergeordnetes Thema: DBMS_MFA_ADMIN Package

Prozedur REGISTER_USER

Die Prozedur DBMS_MFA_ADMIN.REGISTER_USER registriert einen vorhandenen Datenbankbenutzer für MFA, indem der Benutzer mit einer E-Mail-Adresse als externe Identität verknüpft wird. Sie können MFA für Anmeldeauthentifizierung, SQL-Zugriff oder beides aktivieren. Es unterstützt E-Mail-, Slack- und Authentifizierungs-Apps für die Bereitstellung sicherer Zugriffstoken.

Syntax

DBMS_MFA_ADMIN.REGISTER_USER (       
       username    IN VARCHAR2,
       type        IN VARCHAR2,
       email       IN CLOB DEFAULT NULL,
       attributes  IN CLOB DEFAULT NULL
 );

Parameter

Parameter Beschreibung

username

Gibt den Benutzernamen an, für den die Multifaktor-Authentifizierung durchgesetzt werden muss.

type

Gibt das MFA-Attribut an, das steuert, wann MFA für den Benutzer durchgesetzt wird.

type akzeptiert die folgenden Werte:

  • LOGON: MFA ist erforderlich, wenn Sie sich bei der Datenbank anmelden.

  • SQL ACCESS: MFA ist erforderlich, um SQL- oder DML-Vorgänge in der Datenbank auszuführen.

email

Gibt die E-Mail-Adresse an, die dem Benutzer für MFA zugeordnet werden soll.

attributes

Gibt MFA-Attribute im JSON-Format an.

Verwenden Sie attributes, um die folgenden Attribute zum Generieren von Token anzugeben:

  • auth_method: Gibt die MFA-Methode an, die für die Datenbankbenutzerauthentifizierung verwendet wird. Gültige Werte für diesen Parameter sind:

    • OMA_PUSH: Die MFA "Anmeldung" und "SQL-Zugriff" wird unterstützt.

    • DUO_PUSH: Nur Anmeldungs-MFA wird unterstützt.

    • EMAIL: Nur SQL-Zugriffs-MFA wird unterstützt.

    • SLACK: Nur SQL-Zugriffs-MFA wird unterstützt.

    Hinweis

    type =>'LOGON', auth_method ist das einzige unterstützte Attribut.

  • duration_min: Gibt eine positive Ganzzahldauer in Minuten an, für die das Token gültig ist.

    Der Standardwert für dieses Attribut ist 1440 Minuten (1 Tag).

  • idle_timeout_min: Gibt die maximal zulässige Leerlaufzeit (in Minuten) für eine Session an, bevor das SQL-Zugriffstoken für diese Session abläuft.

    Der Standardwert ist NULL.

  • read_only: Gibt an, ob der registrierte Benutzer schreibgeschützten SQL-Abfragezugriff auf die Datenbank hat.

    Der Standardwert ist FALSE.

    Dieses Attribut gilt nur, wenn der Geltungsbereich auf SESSION gesetzt ist.

  • roles: Gibt ein JSON-Array mit Datenbankrollen an, das dem für den Benutzer generierten SQL-Zugriffstoken zugewiesen werden soll.

    Beispiel: "roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE').

    Der Standardwert für dieses Attribut ist NULL.

  • scope: Gibt den Geltungsbereich an, in dem das SQL-Zugriffstoken gültig ist.

    scope akzeptiert die folgenden Werte:
    • session:

      Das validierte Token erteilt dem SQL-Zugriff nur auf die aktuelle Datenbanksession für die im Attribut duration_min angegebene Dauer.

    • user:

      Das validierte Token erteilt SQL-Zugriff auf die aktuellen und nachfolgenden Datenbanksessions für die im Attribut duration_min angegebene Dauer.

    Der Standardwert für dieses Attribut ist session.

  • enable_authenticator: Gibt an, dass die Authentifizierungsapp für den Benutzer konfiguriert und für SQL-Zugriffstoken verwendet wird.

    Der Standardwert für dieses Attribut ist FALSE.

  • slack_member_id: Gibt die Slack-ID an, an der das SQL-Zugriffstoken über eine Slack-Nachricht zugestellt werden soll.

Beispiele

Beispiel für die Registrierung eines Benutzers für die MFA-Anmeldung:

BEGIN
    DBMS_MFA_ADMIN.REGISTER_USER(
      user_name        => 'SCOTT',
      type             => 'LOGON',
      email            => 'scott@example.com',
      token_attributes => '{"auth_method":"oma_push"}'
   );
END;
/

Beispiel für die Registrierung eines Benutzers für den SQL-Zugriff, indem die MFA-Attribute festgelegt werden.

BEGIN
    DBMS_MFA_ADMIN.REGISTER_USER( 
      user_name   => 'SCOTT',
      type        => 'SQL ACCESS',
      email       => 'scott@example.com',
      attributes  => '{
             "duration_min"   : 720,
             "read_only"      : true,
             "roles"          : ["DEVELOPER_ROLE", "INFRA_ROLE"],
             "scope"          : "SESSION",
             "slack_member_id": "<slack_user_id>"
      }'
   );
END;
/

Hinweise zur Verwendung

  • Um einen Benutzer zu registrieren, müssen Sie als Benutzer ADMIN angemeldet sein oder über Berechtigungen für das Package DBMS_MFA_ADMIN verfügen.

  • Sie können Datenbankbenutzer für MFA mit verschiedenen Providern registrieren, je nach MFA-Typ: Duo und OMA werden für Anmeldezeit-MFA unterstützt, während Slack, OMA und E-Mail für SQL Access Token MFA unterstützt werden.

  • Sie können denselben Benutzer für beide MFA-Typen (MFA-Anmeldung und SQL-Zugriff) registrieren, indem Sie ihn separat für jeden Benutzer registrieren. Sie können für jede Registrierung dieselbe oder eine andere E-Mail-Adresse verwenden. Nach der Konfiguration erhält der Benutzer eine Push-Benachrichtigung an die registrierte E-Mail-Adresse bei der Anmeldung und eine weitere Benachrichtigung an dieselbe Adresse, falls verwendet, wenn der Benutzer INITIALIZE_SESSION für SQL Access ausführt.

Prozedur SET_GLOBAL_TOKEN_ATTRIBUTES

Die Prozedur DBMS_MFA_ADMIN.SET_GLOBAL_TOKEN_ATTRIBUTES legt MFA-Attribute für SQL-Zugriffstoken global für alle registrierten Benutzer fest oder aktualisiert sie.

Syntax

DBMS_MFA_ADMIN.SET_GLOBAL_TOKEN_ATTRIBUTES(       
    attributes IN VARCHAR2
);

Parameter

Parameter Beschreibung

attributes

Gibt Tokenattribute im JSON-Format an, um ein Zugriffstoken zu generieren. Gültige Werte sind:

  • duration_min: Gibt die Dauer in Minuten an, für die das Token gültig ist.

    Der Standardwert ist 1440 Minuten (1 Tag).

  • idle_timeout_min: Gibt die maximal zulässige Leerlaufzeit (in Minuten) für eine Session an, bevor das SQL-Zugriffstoken für diese Session abläuft.

    Der Standardwert ist NULL.

  • read_only: Gibt an, ob der registrierte Benutzer schreibgeschützten SQL-Abfragezugriff auf die Datenbank hat. Der Standardwert ist FALSE. Dieses Attribut gilt nur, wenn der Geltungsbereich auf SESSION gesetzt ist.

  • roles: Gibt ein JSON-Array mit Datenbankrollen an, das dem für den Benutzer generierten SQL-Zugriffstoken zugewiesen werden soll.

    Beispiel: "roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE').

    Der Standardwert ist NULL.

  • scope: Gibt den Geltungsbereich an, in dem das SQL-Zugriffstoken gültig ist.

    Gültige Werte sind:

    • session: Das validierte Token erteilt dem SQL-Zugriff nur auf die aktuelle Datenbanksession für die im Attribut duration_min angegebene Dauer.

    • user: Das validierte Token erteilt SQL-Zugriff auf die aktuellen und nachfolgenden Datenbanksessions für die im Attribut duration_min angegebene Dauer.

    Der Standardwert ist session.

  • enable_authenticator: Gibt an, dass die Authentifizierungsapp für den Benutzer konfiguriert und für SQL-Zugriffstoken verwendet wird.

    Der Standardwert ist FALSE.

Hinweis zur Verwendung

  • Um die Tokenattribute festzulegen, müssen Sie als Benutzer ADMIN angemeldet sein oder über Berechtigungen für das Package DBMS_MFA_ADMIN verfügen.

Prozedur SET_ATTRIBUTE

Mit DBMS_MFA_ADMIN.SET_ATTRIBUTE wird ein einzelnes MFA-Attribut für einen registrierten Benutzer festgelegt oder aktualisiert, und alle anwendbaren globalen Standardwerte für dieses Attribut werden überschrieben.

Hinweis

Bei der MFA zur Anmeldezeit ist auth_method das einzige unterstützte Attribut.

Syntax

DBMS_MFA_ADMIN.SET_ATTRIBUTE(            
  username         IN VARCHAR2,
  type             IN VARCHAR2,
  email            IN VARCHAR2 DEFAULT NULL,
  attribute_name   IN VARCHAR2,
  attribute_value  IN CLOB
);

Parameter

Parameter Beschreibung

username

Gibt den Datenbankbenutzer an, dessen MFA-Attribut aktualisiert werden soll.

type

Gibt das MFA-Attribut an, das steuert, wann MFA für den Benutzer durchgesetzt wird.

Gültige Werte sind:

  • LOGON: MFA ist erforderlich, wenn Sie sich bei einer Oracle-Anwendung anmelden.

  • SQL ACCESS: MFA ist erforderlich, um SQL- oder DML-Vorgänge in der Datenbank auszuführen.

email

Gibt die E-Mail-Adresse an, die dem Benutzer für MFA zugeordnet werden soll.

Dieser Parameter ist optional und standardmäßig NULL.

attribute_name
Gibt den Namen des zu aktualisierenden MFA-Attributs an. Gültige Werte sind:
  • auth_method: Gibt die MFA-Methode an, die für die Datenbankbenutzerauthentifizierung verwendet wird. Gültige Werte für diesen Parameter sind:

    • OMA_PUSH: Die MFA "Anmeldung" und "SQL-Zugriff" wird unterstützt.

    • DUO_PUSH: Nur Anmeldungs-MFA wird unterstützt.

    • EMAIL: Nur SQL-Zugriffs-MFA wird unterstützt.

    • SLACK: Nur SQL-Zugriffs-MFA wird unterstützt.

  • duration_min: Gibt die Dauer in Minuten an, für die das Token gültig ist. Der Standardwert ist 1440 Minuten (1 Tag).

  • idle_timeout_min: Gibt die maximal zulässige Leerlaufzeit (in Minuten) für eine Session an, bevor das SQL-Zugriffstoken für diese Session abläuft.

    Der Standardwert ist NULL.

  • read_only: Gibt an, ob der registrierte Benutzer schreibgeschützten SQL-Abfragezugriff auf die Datenbank hat.

    Der Standardwert ist FALSE.

    Dieses Attribut gilt nur, wenn der Geltungsbereich auf SESSION gesetzt ist.

  • roles: Gibt ein JSON-Array mit Datenbankrollen an, das dem für den Benutzer generierten SQL-Zugriffstoken zugewiesen werden soll.

    Beispiel: "roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE').

    Der Standardwert ist NULL.

  • scope: Gibt den Geltungsbereich an, in dem das SQL-Zugriffstoken gültig ist.

    Gültige Werte sind:
    • session:

      Das validierte Token erteilt dem SQL-Zugriff nur auf die aktuelle Datenbanksession für die im Attribut duration_min angegebene Dauer.

    • user:

      Das validierte Token erteilt SQL-Zugriff auf die aktuellen und nachfolgenden Datenbanksessions für die im Attribut duration_min angegebene Dauer.

    Der Standardwert für dieses Attribut ist session.

  • enable_authenticator: Gibt an, dass die Authentifizierungsapp für den Benutzer konfiguriert und für SQL-Zugriffstoken verwendet wird.

    Der Standardwert für dieses Attribut ist FALSE.

  • slack_member_id: Gibt die Slack-ID an, an der das SQL-Zugriffstoken über eine Slack-Nachricht zugestellt werden soll.

attribute_value

Neuer Wert für das angegebene Attribut.

Beispiel

Beispiel zum Aktualisieren der MFA-Einstellung für Benutzer SCOTT:
BEGIN
  DBMS_MFA_ADMIN.SET_ATTRIBUTE(    
    username         => 'scott',
    type             => 'sql access',
    email            => 'testscott@example.com',
    attribute_name   => 'duration_min',
    attribute_value  => '20');
END;
/

Hinweise zur Verwendung

  • Der Parameter username muss einen vorhandenen Datenbankbenutzer angeben, der für MFA registriert ist.

  • Sie müssen als Benutzer ADMIN angemeldet sein oder über Berechtigungen für das Package DBMS_MFA_ADMIN verfügen, um diese Prozedur ausführen zu können.

Prozedur SET_ATTRIBUTES

Die Prozedur DBMS_MFA_ADMIN.SET_ATTRIBUTES legt ein oder mehrere MFA-Attribute für einen registrierten Benutzer fest oder aktualisiert sie. Außerdem werden alle anwendbaren globalen Standardwerte für diese Attribute überschrieben.

Hinweis

Bei der MFA zur Anmeldezeit ist auth_method das einzige unterstützte Attribut.

Syntax

DBMS_MFA_ADMIN.SET_ATTRIBUTES (          
   username    IN VARCHAR2,
   type        IN VARCHAR2,
   attributes  IN CLOB
);

Parameter

Parameter Beschreibung

username

Gibt den Benutzernamen an, dessen MFA-Attribute aktualisiert werden sollen.

type

Gibt das MFA-Attribut an, das steuert, wann MFA für den Benutzer durchgesetzt wird.

Gültige Werte sind:

  • LOGON: MFA ist erforderlich, wenn Sie sich bei der Datenbank anmelden.

  • SQL ACCESS: MFA ist erforderlich, um SQL- oder DML-Vorgänge in der Datenbank auszuführen.

attributes
Gibt MFA-Attribute im JSON-Format an. Gültige Werte sind:
  • auth_method: Gibt die MFA-Methode an, die für die Datenbankbenutzerauthentifizierung verwendet wird. Gültige Werte für diesen Parameter sind:

    • OMA_PUSH: Die MFA "Anmeldung" und "SQL-Zugriff" wird unterstützt.

    • DUO_PUSH: Nur Anmeldungs-MFA wird unterstützt.

    • EMAIL: Nur SQL-Zugriffs-MFA wird unterstützt.

    • SLACK: Nur SQL-Zugriffs-MFA wird unterstützt.

  • duration_min: Gibt die Dauer in Minuten an, für die das Token gültig ist. Der Standardwert ist 1440 Minuten (1 Tag).

  • idle_timeout_min: Gibt die maximal zulässige Leerlaufzeit (in Minuten) für eine Session an, bevor das SQL-Zugriffstoken für diese Session abläuft.

    Der Standardwert ist NULL.

  • read_only: Gibt an, ob der registrierte Benutzer schreibgeschützten SQL-Abfragezugriff auf die Datenbank hat.

    Der Standardwert ist FALSE.

    Dieses Attribut gilt nur, wenn der Geltungsbereich auf SESSION gesetzt ist.

  • roles: Gibt ein JSON-Array mit Datenbankrollen an, das dem für den Benutzer generierten SQL-Zugriffstoken zugewiesen werden soll.

    Beispiel: "roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE').

    Der Standardwert ist NULL.

  • scope: Gibt den Geltungsbereich an, in dem das SQL-Zugriffstoken gültig ist.

    Gültige Werte sind:
    • session:

      Das validierte Token erteilt dem SQL-Zugriff nur auf die aktuelle Datenbanksession für die im Attribut duration_min angegebene Dauer.

    • user:

      Das validierte Token erteilt SQL-Zugriff auf die aktuellen und nachfolgenden Datenbanksessions für die im Attribut duration_min angegebene Dauer.

    Der Standardwert für dieses Attribut ist session.

  • enable_authenticator: Gibt an, dass die Authentifizierungsapp für den Benutzer konfiguriert und für SQL-Zugriffstoken verwendet wird.

    Der Standardwert für dieses Attribut ist FALSE.

  • slack_member_id: Gibt die Slack-ID an, an der das SQL-Zugriffstoken über eine Slack-Nachricht zugestellt werden soll.

Beispiel

Beispiel zum Aktualisieren der MFA-Einstellung für Benutzer SCOTT:
BEGIN
  DBMS_MFA_ADMIN.SET_ATTRIBUTES(
    username   => 'SCOTT',
    type       => 'SQL ACCESS',
    attributes => json_object(
                    'duration_min'        VALUE 15,
                    'email'               VALUE 'testscott@example.com',
                    'scope'               VALUE 'session',
                    'idle_timeout_min'    VALUE 10)
  );
END;
/

Hinweise zur Verwendung

  • Der Parameter USERNAME muss einen vorhandenen Datenbankbenutzer angeben, der für MFA registriert ist.

  • Sie müssen als Benutzer ADMIN angemeldet sein oder über Berechtigungen für das Package DBMS_MFA_ADMIN verfügen, um diese Prozedur ausführen zu können.

Prozedur CONFIGURE_NOTIFICATION

Die Prozedur DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION konfiguriert die Kanäle, über die MFA-Token an registrierte Benutzer gesendet werden. Dazu gehören die Definition der Zustellungsmethode und der kanalspezifischen Eigenschaften, die für die Tokenverteilung erforderlich sind.

Syntax

DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION (        
    notification_type  IN VARCHAR2,
    attributes         IN CLOB
);

Parameter

Parameter Beschreibung

notification_type

Gibt den Typ des zu konfigurierenden Benachrichtigungskanals an. Gültige Werte sind: EMAIL, SLACK, OMA, DUO.

attributes

Gibt die Konfigurationsdetails für den angegebenen Benachrichtigungskanal im JSON-Format an.

Folgende Attributtypen sind für jeden dieser Benachrichtigungskanäle gültig:

E-MAIL: Für das Setup der MFA-Anmeldung erforderlich. OTP per E-Mail wird nur für SQL Access Token MFA unterstützt

  • credential_name: Der Name des E-Mail-Zugangsdatenobjekts, das in der Datenbank erstellt wurde.

  • sender: Die E-Mail-Adresse des genehmigten Hosts, die als Absender von MFA-Nachrichten angezeigt wird. Diese Adresse muss von Ihrem SMTP-Server zugelassen werden.

  • smtp_host: Der vollqualifizierte Domainname oder die IP-Adresse des SMTP-Servers, der MFA-Benachrichtigungs-E-Mails sendet.

  • smtp_port: Die Portnummer, die für die Verbindung zum SMTP-Server verwendet wird, in der Regel 587 für TLS oder 465 für SSL. Dieser Parameter ist optional und standardmäßig 587.

  • sender_email_display_name: Der Anzeigename, der als Absender angezeigt wird. Dieser Parameter ist optional und standardmäßig NULL.

SLACK: Wird nur für SQL Acccess Token MFA unterstützt

  • credential_name: Der Name der Zugangsdaten, die Authentifizierungsinformationen zum Senden von Token als Slack-Benachrichtigungen enthalten.

OMA: Unterstützung für MFA für Anmelde- und SQL Acccess-Token

  • credential_name: Der Name des Zugangsdatenobjekts, das Authentifizierungsinformationen enthält, mit denen MFA-Benachrichtigungen sicher über OMA gesendet werden.

  • api_endpoint: Die URL der Oracle Identity and Access Management-(IAM-)Domain, die mit diesen Zugangsdaten verknüpft ist. Dieser Endpunkt identifiziert die IAM-Instanz, mit der Benutzer bei der OCI-IAM-Domain registriert, der MFA-Faktor verwaltet und OMA-Authentifizierungsanforderungen verarbeitet werden, einschließlich des Sendens von MFA-Benachrichtigungen an Benutzer.

DUO: Wird nur für Anmeldungs-MFA unterstützt:

  • credential_name: Der Name des Zugangsdatenobjekts, das Authentifizierungsinformationen enthält, mit denen MFA-Benachrichtigungen sicher über OMA gesendet werden.

  • api_endpoint: Der von Duo Security bereitgestellte API-Hostname für Ihre Integration. Beispiel: API-xxxxxxxx.duosecurity.com..

Beispiele

Beispiel: EMAIL-Benachrichtigungskanal konfigurieren

BEGIN
    DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION (
    notification_type => 'EMAIL',
    attributes        => JSON_OBJECT(
                          'credential_name'           VALUE 'EMAIL_CRED',
                          'smtp_host'                 VALUE 'smtp.email.us-phoenix-1.oci.oraclecloud.com',
                          'sender'                    VALUE 'send.email@test.com',
                          'smtp_port'                 VALUE 587,
                          'sender_email_display_name' VALUE 'DB SECURITY')
  );
END;
/

Beispiel: Slack-Benachrichtigungskanal konfigurieren

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
        notification_type => 'SLACK',
        attributes             => JSON_OBJECT('credential_name' VALUE 'SLACK_CRED')
  );
END;
/

Beispiel: OMA-Benachrichtigungskanal konfigurieren

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
    notification_type => 'OMA',
    attributes        => JSON_OBJECT(
                                     'credential_name' VALUE 'OMA_CRED_01',
                                     'api_endpoint'    VALUE 'https://idcs-xyz.identity.oraclecloud.com'
    )
  );
END;
/

Beispiel: DUO-Benachrichtigungskanal konfigurieren

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
    notification_type => 'OMA',
    attributes        => JSON_OBJECT(
                                      'credential_name' VALUE 'OMA_CRED_01',
                                      'api_endpoint'    VALUE 'https://idcs-xyz.identity.oraclecloud.com'
    )
  );
END;
/

Hinweise zur Verwendung

  • Um diese Prozedur ausführen zu können, müssen Sie als Benutzer ADMIN angemeldet sein oder über Berechtigungen für das Package DBMS_MFA_ADMIN verfügen.

  • Legen Sie für Slack-Benachrichtigungen die erforderlichen Zugangsdaten fest, und bestätigen Sie, dass die Slack-Integration in Ihrer Umgebung aktiviert ist. Slack-Benachrichtigungen werden nur für MFA-Vorgänge mit SQL-Zugriff unterstützt.

    • Um die Tokenattribute festzulegen, müssen Sie als Benutzer ADMIN angemeldet sein oder über Berechtigungen für das Package DBMS_MFA_ADMIN verfügen.

    • Für Authenticator-App-basierte Token:

      • Installieren Sie eine unterstützte Authentikator-App auf dem Mobilgerät, das Sie für MFA registrieren wollen.

      • Sie müssen MFA mit einem Gerät einrichten, auf das Sie bei jeder Anmeldung zugreifen können. MFA kann in Ihrem Namen nicht von einem anderen Benutzer aktiviert werden.

      • Um MFA zu aktivieren, verwenden Sie die Authentifizierungsapp auf Ihrem Mobilgerät, um den in der Datenbankaktions-UI generierten QR-Code zu scannen. Weitere Informationen finden Sie unter Oracle Mobile Authenticator konfigurieren.

        Sie können nur ein Mobilgerät für MFA registrieren.

    • Stellen Sie bei der E-Mail-basierten Tokenzustellung sicher, dass die E-Mail-Zustellung aktiviert ist und dass gültige E-Mail-Adressen für Datenbankbenutzer konfiguriert sind. Weitere Informationen finden Sie unter E-Mail an autonome KI-Datenbank senden.
    • Konfigurieren Sie für die Slack-basierte Tokenzustellung das Slack-Plug-in, und registrieren Sie die Slack-ID des Benutzers für die OTP-Zustellung. Weitere Informationen finden Sie unter Slack-Benachrichtigungen aus Autonomous AI Database senden.

Prozedur DEREGISTER_USER

Mit der Prozedur DBMS_MFA_ADMIN.DEREGISTER_USER wird ein Datenbankbenutzer entfernt, der derzeit für MFA registriert ist. Nachdem der Benutzer entfernt wurde, wird MFA nicht mehr für dieses Konto durchgesetzt, und der Benutzer kann sich ohne einen zweiten Faktor authentifizieren.

Syntax

PROCEDURE DBMS_MFA_ADMIN.DEREGISTER_USER (
  username IN VARCHAR2,
  type     IN VARCHAR2,
  email    IN VARCHAR2 DEFAULT NULL
);

Parameter

Parameter Beschreibung

username

Gibt den Benutzernamen an, für den die Multifaktor-Authentifizierung entfernt werden muss.
type

Gibt das MFA-Attribut an, das steuert, wann MFA für den Benutzer durchgesetzt wird. Gültige Werte sind:

  • LOGON: MFA ist erforderlich, wenn Sie sich bei der Datenbank anmelden.
  • SQL ACCESS: MFA ist erforderlich, um SQL- oder DML-Vorgänge in der Datenbank auszuführen.
email

Gibt die E-Mail-Adresse an, die dem Benutzer für MFA zugeordnet ist.

Dieser Parameter ist optional und standardmäßig NULL.

Beispiele

BEGIN
  DBMS_MFA_ADMIN.DEREGISTER_USER(
    username => 'SCOTT',
    type     => 'SQL ACCESS',
    email    => 'scott@example.com'
  );
END;
/

In diesem Beispiel wird die Registrierung des Benutzers SCOTT von der MFA für die angegebene type (SQL ACCESS) aufgehoben, und die zugehörige E-Mail-Identität (scott@example.com) wird aus der MFA-Konfiguration entfernt.

Hinweis zur Verwendung

  • Um diese Prozedur ausführen zu können, müssen Sie als Benutzer ADMIN angemeldet sein oder über Berechtigungen für das Package DBMS_MFA_ADMIN verfügen.

  • Wenn ein Benutzer mit mehreren E-Mail-Adressen registriert ist, heben Sie die Registrierung jeder E-Mail-Adresse einzeln auf.