Oracle Cloud Infrastructure-Dokumentation

Microsoft Active Directory mit Autonomous Database verwenden

Sie können Autonomous Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.

Mit dieser Konfiguration können Active Directory-Benutzer mit ihren Active Directory-Zugangsdaten, einschließlich Kennwörtern und Kerberos, auf Autonomous Database zugreifen.

Übergeordnetes Thema: Benutzer verwalten

Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory auf Autonomous Database

Sie können Autonomous Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.

Je nachdem, wo sich die Active Directory-Server befinden, gibt es zwei Optionen für die Konfiguration von Autonomous Database mit Centrally Managed Users (CMU) mit Microsoft Active Directory:

  • Active Directory-(AD-)Server, die öffentlich zugänglich sind: Auf die Active Directory-Server kann über das öffentliche Internet von Autonomous Database aus zugegriffen werden.

  • Active Directory-(AD-)Server befinden sich auf einem privaten Endpunkt: Die Active Directory-Server befinden sich auf einem privaten Endpunkt und sind von Autonomous Database über das öffentliche Internet nicht zugänglich. In diesem Fall ist ein zusätzlicher Konfigurationsschritt erforderlich, wie im letzten Schritt unter CMU mit Microsoft Active Directory in Autonomous Database konfigurieren gezeigt, in dem Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS festlegen.

Hinweis

Informationen zur Verwendung von Azure Active Directory mit Autonomous Database finden Sie unter Microsoft Entra-ID mit Autonomous Database verwenden. Die CMU-Option unterstützt Microsoft Active Directory-Server, jedoch nicht den Azure Active Directory-Service.

Die Integration von Autonomous Database mit CMU (Centrally Managed Users, zentral verwaltete Benutzer) ermöglicht die Integration mit Microsoft Active Directory. CMU mit Active Directory ordnet globale Oracle-Datenbankbenutzer und globale Rollen Microsoft Active Directory-Benutzern und -Gruppen zu.

Voraussetzungen, bevor Sie die Verbindung von Autonomous Database zu Active Directory konfigurieren:

  • Microsoft Active Directory muss installiert und konfiguriert sein. Weitere Informationen finden Sie unter Erste Schritte mit AD DS.

  • Sie müssen einen Oracle-Serviceverzeichnisbenutzer in Active Directory erstellen. Informationen zum Account des Oracle-Serviceverzeichnisbenutzers finden Sie unter Verbindung zu Microsoft Active Directory herstellen.

  • Ein Active Directory-Systemadministrator muss den Oracle-Kennwortfilter auf den Active Directory-Servern installiert haben und Active Directory-Gruppen mit Active Directory-Benutzern einrichten, um Ihre Anforderungen zu erfüllen.

    Hinweis

    Dies ist nicht erforderlich, wenn Sie die Kerberos-Authentifizierung für CMU Active Directory verwenden. Weitere Informationen finden Sie unter Kerberos-Authentifizierung für CMU mit Microsoft Active Directory.

    Wenn Sie die Kennwortauthentifizierung mit CMU Active Directory for Autonomous Database verwenden, müssen Sie das enthaltene Utility opwdintg.exe verwenden, um den Oracle-Kennwortfilter auf Active Directory zu installieren, das Schema zu erweitern und drei neue ORA_VFR-Gruppen für drei Arten der Passwortverifizierunggenerierung zu erstellen. Informationen zur Installation des Oracle-Kennwortfilters finden Sie unter Verbindung zu Microsoft Active Directory herstellen.

  • Sie benötigen das CMU-Konfigurationsdatenbank-Wallet cwallet.sso und die CMU-Konfigurationsdatei dsi.ora, um CMU für die autonome Datenbank zu konfigurieren:

    • Wenn Sie CMU für eine On-Premise-Datenbank konfiguriert haben, können Sie diese Konfigurationsdateien vom On-Premise-Datenbankserver abrufen.

    • Wenn Sie CMU nicht für eine On-Premise-Datenbank konfiguriert haben, müssen Sie diese Dateien erstellen. Anschließend laden Sie die Konfigurationsdateien in die Cloud hoch, um CMU in der Autonomous Database-Instanz zu konfigurieren. Sie können das Wallet und die Datei dsi.ora validieren, indem Sie CMU für eine On-Premise-Datenbank konfigurieren und prüfen, ob sich ein Active Directory-Benutzer mit diesen Konfigurationsdateien erfolgreich bei der On-Premise-Datenbank anmelden kann.

    Details zur Wallet-Datei für CMU finden Sie unter Wallet für eine sichere Verbindung erstellen und Oracle Wallet prüfen.

    Details zur Datei dsi.ora für CMU finden Sie unter Datei dsi.ora erstellen.

    Weitere Informationen zur Konfiguration von Active Directory für CMU und zur Fehlerbehebung von CMU für On-Premise-Datenbanken finden Sie unter How To Configure Centrally Managed Users For Database Release 18c or Later Releases (Dok.-ID 2462012.1).

  • Port 636 der Active Directory-Server muss für Autonomous Database in Oracle Cloud Infrastructure geöffnet sein. Dadurch kann Autonomous Database auf die Active Directory-Server zugreifen.

  • Wenn sich die Active Directory-Server auf einem öffentlichen Endpunkt befinden:

    • Der Zugriff auf die Active Directory-Server muss über das öffentliche Internet von Autonomous Database aus möglich sein.

    • Sie können Ihr On-Premise-Active Directory auch auf Oracle Cloud Infrastructure erweitern. So können Sie schreibgeschützte Domaincontroller (RODCs) für das On-Premise-Active Directory einrichten. Dadurch können Sie die RODCs in Oracle Cloud Infrastructure verwenden, um Active Directory-On-Premise-Benutzer für den Zugriff auf autonome Datenbanken zu authentifizieren und zu autorisieren.

      Weitere Informationen finden Sie unter Active Directory-Integration in Hybrid Cloud erweitern.

CMU mit Microsoft Active Directory auf Autonomous Database konfigurieren

Sie können Autonomous Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.

So konfigurieren Sie Autonomous Database für die Verbindung mit Active Directory mit CMU:

Hinweis

Wenn Sie die Konfigurationsschritte ausführen, melden Sie sich als ADMIN-Benutzer bei der Datenbank an.
  1. Prüfen Sie, ob ein anderes externes Authentifizierungsschema in der Datenbank aktiviert ist, und deaktivieren Sie es.

    Sie können die CMU-AD-Konfiguration auf Kerberos fortsetzen, um CMU-AD-Kerberos-Authentifizierung für Microsoft Active Directory-Benutzer bereitzustellen.

    Weitere Informationen finden Sie unter Kerberos-Authentifizierung für CMU mit Microsoft Active Directory.

  2. Laden Sie die CMU-Konfigurationsdateien, einschließlich der Datenbank-Wallet-Datei, cwallet.sso und der CMU-Konfigurationsdatei dsi.ora in den Objektspeicher herunter. Dieser Schritt hängt vom verwendeten Objektspeicher ab.

    Die Konfigurationsdatei dsi.ora enthält die Informationen zum Suchen der Active Directory-Server.

    Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.

  3. Führen Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION aus, und übergeben Sie eine Standort-URI mit dem JSON-Argument params. Sie müssen die Konfigurationsdateien cwallet.sso und dsi.ora im Object Storage-Speicherort ablegen, der im Parameter location_uri angegeben ist.

    Beispiel:

    BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

    Oracle empfiehlt, die CMU-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.

    In diesem Beispiel ist namespace-string der Oracle Cloud Infrastructure-Objektspeicher-Namespace und bucketname der Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.

    Die credential_name, die Sie in diesem Schritt verwenden, sind die Zugangsdaten für den Zugriff auf den Objektspeicher.

    Das Erstellen von Zugangsdaten für den Zugriff auf den Oracle Cloud Infrastructure-Objektspeicher ist nicht erforderlich, wenn Sie Resource-Principal-Zugangsdaten aktivieren. Weitere Informationen finden Sie unter Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen.

    Wenn die location_uri eine vorab authentifizierte URL oder eine vorab signierte URL ist, ist die Angabe einer credential_name nicht erforderlich.

    Die Prozedur erstellt ein Verzeichnisobjekt namens CMU_WALLET_DIR in der Datenbank und kopiert die CMU-Konfigurationsdateien aus dem Objektspeicherverzeichnis in das Verzeichnisobjekt. Mit dieser Prozedur wird auch die Datenbankeigenschaft CMU_WALLET auf den Wert 'CMU_WALLET_DIR' gesetzt und der Parameterwert LDAP_DIRECTORY_ACCESS auf den Wert PASSWORD gesetzt, um den Zugriff von der Autonomous Database-Instanz auf Active Directory zu ermöglichen.

  4. Nachdem Sie die CMU-Authentifizierung aktiviert haben, entfernen Sie die CMU-Konfigurationsdateien, einschließlich des Datenbank-Wallets cwallet.sso und der CMU-Konfigurationsdatei dsi.ora aus dem Objektspeicher. Sie können diese Dateien mit lokalen Objektspeichermethoden entfernen oder mit DBMS_CLOUD.DELETE_OBJECT aus dem Objektspeicher löschen.
  5. Wenn sich Active Directory-Server auf einem privaten Endpunkt befinden, führen Sie zusätzliche Konfigurationsschritte aus, um den Zugriff auf den privaten Endpunkt zu ermöglichen.
    1. Setzen Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf den Wert 'PRIVATE_ENDPOINT'.
    2. Validieren Sie, ob die CMU-AD-Konfigurationsdatei dsi.ora Hostnamen enthält. Wenn ROUTE_OUTBOUND_CONNECTIONS auf 'PRIVATE_TARGET' gesetzt ist, können IP-Adressen nicht in dsi.ora angegeben werden.

Hinweis für CMU mit Active Directory auf Autonomous Database:

  • Nur die "Kennwortauthentifizierung" oder Kerberos-Authentifizierung wird für CMU mit Autonomous Database unterstützt. Wenn Sie die CMU-Authentifizierung mit Autonomous Database verwenden, werden andere CMU-Authentifizierungsmethoden wie Azure AD, OCI IAM und PKI nicht unterstützt.

Anweisungen zum Deaktivieren des Zugriffs von Autonomous Database auf Active Directory finden Sie unter "Active Directory-Zugriff auf Autonomous Database deaktivieren".

Informationen zu DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION finden Sie unter Prozedur ENABLE_EXTERNAL_AUTHENTICATION.

Weitere Informationen zum Konfigurieren von CMU mit Microsoft Active Directory finden Sie unter Zentral verwaltete Benutzer mit Microsoft Active Directory konfigurieren.

Kerberos Authentifizierung für CMU mit Microsoft Active Directory

Sie können Autonomous Database so konfigurieren, dass die Kerberos-Authentifizierung für CMU mit Microsoft Active Directory-Benutzern verwendet wird. Mit dieser Konfiguration können CMU-Active Directory-(CMU-AD-)Benutzer mit Kerberos-Zugangsdaten auf eine Autonomous Database-Instanz zugreifen.

Kerberos kann mit oder ohne CMU-AD konfiguriert werden. Wenn Sie nur Kerberos konfigurieren, müssen Sie für jeden Kerberos-Benutzer einen Datenbankbenutzer erstellen und verwalten. Wenn Sie Kerberos mit CMU konfigurieren, können Sie eine Active Directory-Gruppe von Kerberos-Benutzern einem einzelnen Datenbankbenutzer (Shared Schema) zuordnen, sodass der Datenbankzugriff durch die Active Directory-Gruppenmitgliedschaft gesteuert werden kann. Weitere Informationen zum Konfigurieren von Kerberos ohne CMU-AD finden Sie unter Kerberos-Authentifizierung mit Autonomous Database konfigurieren.

Hinweis

Bei der Implementierung der Kerberos-Authentifizierung und CMU-AD zur Autorisierung empfiehlt Oracle, zuerst die Kerberos-Authentifizierung und anschließend die CMU-AD-Autorisierung zu implementieren.
  1. Aktivieren Sie Kerberos in Ihrer Autonomous Database-Instanz mit dem Kerberos-Server von Microsoft Active Directory.

    Nur Microsoft Active Directory-Kerberos-Server werden für Kerberos unterstützt, wenn Sie die Kerberos-Authentifizierung mit CMU-AD konfigurieren.

    1. Um die Kerberos-Authentifizierung für Autonomous Database zu aktivieren, müssen Sie die Kerberos-Konfigurationsdateien krb.conf und die Serviceschlüsseltabellendatei v5srvtab abrufen.

      Um diese Dateien zu generieren, wenn Sie die Kerberos-Authentifizierung mit CMU-AD konfigurieren, benötigen Sie den Serverhostnamen. Sie können den Wert des Serverhosts aus dem Attribut PUBLIC_DOMAIN_NAME in der Spalte CLOUD_IDENTITY von V$PDBS abrufen. Dieser Wert unterscheidet sich vom vollqualifizierten Domainnamen (FQDN) für eine Datenbank auf einem privaten Endpunkt.

      Verwenden Sie den folgenden Befehl, um den Serverhostnamen abzurufen:

      SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
    "KSERVICE/KINSTANCE" FROM v$pdbs;

      Sie können einen Befehl wie den folgenden zum Generieren der Serviceschlüsseltabellendatei verwenden:

      ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                 -pass ACTIVE_DIRECTORY_PASSWORD 
                 -mapuser DATABASE_SERVER_HOST_NAME 
                 -crypto ALL 
                 -ptype KRB5_NT_PRINCIPAL 
                 -out database.keytab

      Beispiel:

      ktpass -princ ORACLE/user.example.com@example.com 
                 -pass password -mapuser dbexamplekrb 
                 -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

      Weitere Informationen über diese Dateien und die erforderlichen Schritte zum Abrufen dieser Datei finden Sie unter Kerberos-Authentifizierung konfigurieren.

    2. Kopieren Sie die Kerberos-Konfigurationsdateien krb.conf und v5srvtab in einen Bucket im Objektspeicher.

      Dieser Schritt unterscheidet sich je nach verwendetem Objektspeicher.

      Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.

    3. Führen Sie DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION aus, um die externe Kerberos-Authentifizierung zu aktivieren.

      Beispiel:

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'KERBEROS',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/
      Hinweis

      Oracle empfiehlt, die Kerberos-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.

      In diesem Beispiel ist namespace-string der Oracle Cloud Infrastructure-Objektspeicher-Namespace und bucketname der Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.

      Die credential_name, die Sie in diesem Schritt verwenden, sind die Zugangsdaten für den Objektspeicher.

      Weitere Informationen finden Sie unter Kerberos-Authentifizierung in Autonomous Database aktivieren.

    4. Stellen Sie sicher, dass Kerberos konfiguriert und aktiviert ist.
      SELECT property_value FROM database_properties 
      WHERE property_name='KERBEROS_DIRECTORY';
  2. Aktivieren und konfigurieren Sie CMU-AD in Autonomous Database.
    1. Laden Sie die CMU-Konfigurationsdateien, einschließlich der Datenbank-Wallet-Datei, cwallet.sso und der CMU-Konfigurationsdatei dsi.ora in den Objektspeicher herunter.

      Sie laden die Datei cwallet.sso hoch, damit die CMU-AD-Konfiguration die Zugangsdaten für die Autonomous Database-Instanz für die Verbindung zum Active Directory-Serviceaccount aufweist.

      Die Konfigurationsdatei dsi.ora enthält die Informationen zum Suchen der Active Directory-Server.

      Dieser Schritt unterscheidet sich je nach verwendetem Objektspeicher.

      Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.

    2. Führen Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION aus, und übergeben Sie eine Standort-URI mit dem JSON-Argument params. Sie müssen die Konfigurationsdateien cwallet.sso und dsi.ora im Object Storage-Speicherort ablegen, der im Parameter location_uri angegeben ist.

      Beispiel:

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

      Oracle empfiehlt, die CMU-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.

      In diesem Beispiel ist namespace-string der Oracle Cloud Infrastructure-Objektspeicher-Namespace und bucketname der Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.

      Die credential_name, die Sie in diesem Schritt verwenden, sind die Zugangsdaten für den Zugriff auf den Objektspeicher.

      Das Erstellen von Zugangsdaten für den Zugriff auf den Oracle Cloud Infrastructure-Objektspeicher ist nicht erforderlich, wenn Sie Resource-Principal-Zugangsdaten aktivieren. Weitere Informationen finden Sie unter Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen.

      Wenn die location_uri eine vorab authentifizierte URL oder eine vorab signierte URL ist, ist die Angabe einer credential_name nicht erforderlich.

      Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory auf Autonomous Database.

    3. Vergewissern Sie sich, dass CMU-AD konfiguriert und aktiviert ist.
      SELECT property_value FROM database_properties
      WHERE property_name='CMU_WALLET';
  3. Prüfen Sie nach Abschluss von Schritt 1 und Schritt 2, ob die Konfiguration der Kerberos-Authentifizierung mit CMU-AD abgeschlossen ist.
    1. Melden Sie sich bei der Autonomous Database-Instanz als Active Directory-Benutzer an, sodass SYS_CONTEXT-Informationen in USERENV aufgefüllt werden.
    2. Fragen Sie SYS_CONTEXT USERENV ab.
      SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')                                 
--------------------------------------------------------------------------------
KERBEROS_GLOBAL

    Wenn die Kerberos-Authentifizierung ohne CMU-AD konfiguriert und aktiviert ist, gibt diese Abfrage Folgendes zurück: KERBEROS. Weitere Informationen finden Sie unter Kerberos-Authentifizierung mit Autonomous Database konfigurieren.

    Wenn die CMU-AD-Authentifizierung ohne Kerberos konfiguriert ist, gibt diese Abfrage PASSWORD_GLOBAL zurück. Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory auf Autonomous Database.

Hinweise zur Verwendung der Kerberos-Authentifizierung mit CMU-AD:

  • Sie müssen den Kennwortfilter nicht hinzufügen, wenn Sie die Kerberos-Authentifizierung mit CMU-AD verwenden. Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory auf Autonomous Database.

  • Das Hinzufügen oder Entfernen von Active Directory-Benutzern wird auf die gleiche Weise unterstützt wie bei CMU mit Active Directory, wenn Sie die Kennwortauthentifizierung verwenden. Weitere Informationen finden Sie unter Microsoft Active Directory-Benutzer in Autonomous Database hinzufügen.

  • Die bestehenden Einschränkungen für die Authentifizierung mit den integrierten Autonomous Database-Tools mit CMU mit Active Directory-Kennwort gelten auch für CMU mit Active Directory mit Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Tooleinschränkungen mit Active Directory auf Autonomous Database

  • Verwenden Sie DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION, um CMU-AD mit Kerberos-Authentifizierung zu deaktivieren. Weitere Informationen finden Sie unter Prozedur DISABLE_EXTERNAL_AUTHENTICATION.

  • Wenn sich die CMU-AD-Server auf einem privaten Endpunkt befinden, muss für die Verwendung von CMU-AD mit Kerberos-Authentifizierung der Serverhostname, der zum Generieren der Registerkarte "Schlüssel" verwendet wird, auf den Wert des Attributs PUBLIC_DOMAIN_NAME in der Spalte CLOUD_IDENTITY von V$PDBS gesetzt werden. Dieser Wert unterscheidet sich vom FQDN für eine private Endpunktdatenbank.

Microsoft Active Directory-Rollen in Autonomous Database hinzufügen

Um Active Directory-Rollen hinzuzufügen, ordnen Sie die globalen Datenbankrollen mit CREATE ROLE- oder ALTER ROLE-Anweisungen Active Directory-Gruppen zu (und fügen Sie die IDENTIFIED GLOBALLY AS-Klausel ein).

So fügen Sie globale Rollen für Active Directory-Gruppen in Autonomous Database hinzu:

  1. Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen CREATE ROLE und ALTER ROLE, die Sie für diese Schritte benötigen).
  2. Legen Sie die Datenbankautorisierung für Autonomous Database-Rollen mit der Anweisung CREATE ROLE oder ALTER ROLE fest. Schließen Sie die IDENTIFIED GLOBALLY AS-Klausel ein, und geben Sie den DN einer Active Directory-Gruppe ein.

    Verwenden Sie die folgende Syntax, um eine Verzeichnisbenutzergruppe einer globalen Datenbankrolle zuzuordnen:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Beispiel:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    In diesem Beispiel sind alle Mitglieder von widget_sales_group mit der Datenbankrolle widget_sales_role autorisiert, wenn sie sich bei der Datenbank anmelden.

  3. Verwenden Sie GRANT-Anweisungen, um der globalen Rolle die erforderlichen Berechtigungen oder andere Rollen zu erteilen.

    Beispiel:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE ist eine vordefinierte Rolle mit definierten allgemeinen Berechtigungen. Informationen zum Festlegen gemeinsamer Berechtigungen für Autonomous Database-Benutzer finden Sie unter Benutzerberechtigungen in Autonomous Database verwalten - Verbindung mit einem Clienttool herstellen.

  4. Wenn Sie eine vorhandene Datenbankrolle mit einer Active Directory-Gruppe verknüpfen möchten, verwenden Sie die ALTER ROLE-Anweisung, um die vorhandene Datenbankrolle zu ändern und die Rolle einer Active Directory-Gruppe zuzuordnen.

    Mit der folgenden Syntax können Sie eine vorhandene Datenbankrolle ändern, um sie einer Active Directory-Gruppe zuzuordnen:

    ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Wenn Sie zusätzliche globale Rollenzuordnungen für andere Active Directory-Gruppen erstellen möchten, führen Sie die folgenden Schritte für jede Active Directory-Gruppe aus.

Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Configuring Authorization for Centrally Managed Users in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 23ai Security Guide.

Microsoft Active Directory-Benutzer in Autonomous Database hinzufügen

Um Active Directory-Benutzer für den Zugriff auf eine Datenbank hinzuzufügen, ordnen Sie globale Datenbankbenutzer mit CREATE USER- oder ALTER USER-Anweisungen (mit IDENTIFIED GLOBALLY AS-Klausel) Active Directory-Gruppen oder -Benutzern zu.

Für die Integration von Autonomous Database mit Active Directory werden Microsoft Active Directory-Benutzer und -Gruppen direkt globalen Oracle-Datenbankbenutzern und globalen Rollen zugeordnet.

So fügen Sie globale Benutzer für Active Directory-Gruppen oder -Benutzer in Autonomous Database hinzu:

  1. Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen CREATE USER und ALTER USER, die Sie für diese Schritte benötigen).
  2. Legen Sie die Datenbankautorisierung für Autonomous Database-Benutzer mit CREATE USER- oder ALTER USER-Anweisungen fest, und nehmen Sie die IDENTIFIED GLOBALLY AS-Klausel auf, indem Sie den DN eines Active Directory-Benutzers oder einer AD-Gruppe angeben.

    Verwenden Sie die folgende Syntax, um einen Verzeichnisbenutzer einem globalen Datenbankbenutzer zuzuordnen:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Verwenden Sie die folgende Syntax, um eine Verzeichnisgruppe einem globalen Datenbankbenutzer zuzuordnen:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Beispiel: So ordnen Sie eine Verzeichnisgruppe mit dem Namen widget_sales_group in der Organisationseinheit sales der Domain production.example.com einem gemeinsamen globalen Datenbankbenutzer namens WIDGET_SALES zu: 

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Dadurch wird eine gemeinsame globale Benutzerzuordnung erstellt. Die Zuordnung mit dem globalen Benutzer widget_sales gilt für alle Benutzer in der Active Directory-Gruppe. Daher kann sich jedes Mitglied in widget_sales_group mit seinen Active Directory-Zugangsdaten bei der Datenbank anmelden (über die gemeinsame Zuordnung des globalen Benutzers widget_sales).

  3. Wenn Sie möchten, dass Active Directory-Benutzer einen vorhandenen Datenbankbenutzer verwenden sowie Eigentümer des Schemas und der vorhandenen Daten sind, ändern Sie mit ALTER USER einen vorhandenen Datenbankbenutzer, um ihn einer Active Directory-Gruppe oder einem AD-Benutzer zuzuordnen.

    • Mit der folgenden Syntax können Sie einen vorhandenen Datenbankbenutzer ändern, um ihn einem Active Directory-Benutzer zuzuordnen:

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    • Mit der folgenden Syntax können Sie einen vorhandenen Datenbankbenutzer ändern, um ihn einer Active Directory-Gruppe zuzuordnen:

      ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Wenn Sie zusätzliche globale Benutzerzuordnungen für andere Active Directory-Gruppen oder -Benutzer erstellen möchten, führen Sie die folgenden Schritte für jede Active Directory-Gruppe bzw. jeden Benutzer aus.

Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Configuring Authorization for Centrally Managed Users in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 23ai Security Guide.

Tooleinschränkungen mit Active Directory auf Autonomous Database

Hinweise zur Verwendung von Autonomous Database-Tools mit Active Directory:

Verbindung zu Autonomous Database mit Active Directory-Benutzerzugangsdaten herstellen

Nachdem der ADMIN-Benutzer die CMU Active Directory-Konfigurationsschritte abgeschlossen und globale Rollen und globale Benutzer erstellt hat, melden sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der Datenbank an.

Hinweis

Melden Sie sich nicht mit einem globalen Benutzernamen an. Globale Benutzernamen haben kein Kennwort, und die Verbindung mit einem globalen Benutzernamen ist nicht erfolgreich. Sie benötigen eine globale Benutzerzuordnung in der autonomen Datenbank, um sich bei der Datenbank anmelden zu können. Sie können sich nicht nur mit globalen Rollenzuordnungen bei der Datenbank anmelden.
  1. Um sich mit einem Active Directory-Benutzernamen und -Kennwort bei der Datenbank anzumelden, melden Sie sich wie folgt an:
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Beispiel:

    CONNECT "production\pfitch"/password@adbname_medium;

    Wenn die Active Directory-Domain zusammen mit dem Benutzernamen enthalten ist, müssen Sie doppelte Anführungszeichen setzen. Beispiel: "production\pfitch".

    In diesem Beispiel lautet der Active Directory-Benutzername pfitch in Domain production. Der Active Directory-Benutzer ist Mitglied der Gruppe widget_sales_group, die durch den DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com' identifiziert wird.

Nachdem Sie CMU mit Active Directory auf Autonomous Database konfiguriert und die Active Directory-Autorisierung mit globalen Rollen und globalen Benutzern eingerichtet haben, können Sie eine Verbindung zu Ihrer Datenbank mit einer der unter Verbindung zu Autonomous Database herstellen beschriebenen Verbindungsmethoden herstellen. Wenn Sie beim Herstellen einer Verbindung einen Active Directory-Benutzer nutzen möchten, verwenden Sie Active Directory-Benutzerzugangsdaten. Beispiel: Geben Sie einen Benutzernamen in diesem Format an: "AD_DOMAIN\AD_USERNAME" (doppelte Anführungszeichen müssen eingeschlossen werden), und verwenden Sie AD_USER_PASSWORD als Kennwort.

Wenn sich die Autonomous Database-Instanz im eingeschränkten Modus befindet, können nur Benutzer mit der Berechtigung RESTRICTED SESSION eine Verbindung zur Datenbank herstellen. Der ADMIN-Benutzer verfügt über diese Berechtigung. Mit dem eingeschränkten Zugriffsmodus können Sie administrative Aufgaben wie Indexierung, Dataloads oder andere geplante Aktivitäten ausführen. Autonomous Database-Betriebsmodus in "Lesen/Schreiben", "Schreibgeschützt" oder "Eingeschränkt" ändern für weitere Informationen.

Verbindungsinformationen für Active Directory-Benutzer mit Autonomous Database prüfen

Wenn sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der Datenbank anmelden, können Sie die Benutzeraktivität prüfen und prüfen.

Beispiel: Wenn sich der Benutzer pfitch anmeldet: 

CONNECT "production\pfitch"/password@exampleadb_medium;

Der Anmeldename des Active Directory-Benutzers (samAccountName) lautet pfitch, und widget_sales_group ist der Active Directory-Gruppenname, und widget_sales ist der globale Datenbankbenutzer.

Nachdem sich pfitch bei der Datenbank angemeldet hat, zeigt der Befehl SHOW USER den globalen Benutzernamen an: 

SHOW USER;

USER is "WIDGET_SALES"

Der folgende Befehl zeigt den DN (Distinguished Name) des Active Directory-Benutzers an:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Beispiel: Sie können die Unternehmensidentität dieses zentral verwalteten Benutzers prüfen:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

Der folgende Befehl zeigt "AD_DOMAIN\AD_USERNAME" an: 

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Beispiel: Die authentifizierte Active Directory-Benutzeridentität wird erfasst und auditiert, wenn sich der Benutzer bei der Datenbank anmeldet:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Weitere Informationen finden Sie unter Verifying the Centrally Managed User Logon Information in der Dokumentation Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.

Active Directory-Benutzer und -Rollen auf Autonomous Database entfernen

Um Active Directory-Benutzer und -Rollen aus autonomen Datenbanken zu entfernen, verwenden Sie standardmäßige Datenbankbefehle. Dadurch werden die zugehörigen Active Directory-Benutzer oder -Gruppen, die den gelöschten Datenbankbenutzern oder -rollen zugeordnet wurden, nicht entfernt.

So entfernen Sie Benutzer oder Rollen aus Autonomous Database:

  1. Melden Sie sich als Benutzer mit der Systemberechtigung DROP USER oder DROP ROLE bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist.
  2. Löschen Sie die globalen Benutzer oder Rollen, die Active Directory-Gruppen oder -Benutzern zugeordnet sind, mit der Anweisung DROP USER oder DROP ROLE.
    Weitere Informationen finden Sie unter Benutzer in Autonomous Database entfernen.

Active Directory-Zugriff auf Autonomous Database deaktivieren

Beschreibt die Schritte zum Entfernen der CMU-Konfiguration aus Autonomous Database (und zum Deaktivieren des LDAP-Zugriffs von Autonomous Database auf Active Directory).

Nachdem Sie die Autonomous Database-Instanz für den Zugriff auf CMU Active Directory konfiguriert haben, können Sie den Zugriff wie folgt deaktivieren:

  1. Stellen Sie als ADMIN-Benutzer eine Verbindung zu Autonomous Database her.
  2. Verwenden Sie DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION, um die CMU-Authentifizierung zu deaktivieren.
    Hinweis

    Um diese Prozedur ausführen zu können, müssen Sie als ADMIN-Benutzer angemeldet sein oder die Berechtigung EXECUTE für DBMS_CLOUD_ADMIN besitzen.

    Beispiel:

    BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/

    Dadurch wird die CMU-Authentifizierung in Ihrer Autonomous Database-Instanz deaktiviert.

Weitere Informationen finden Sie unter Prozedur DISABLE_EXTERNAL_AUTHENTICATION.