Oracle Cloud Infrastructure-Dokumentation

Microsoft Active Directory mit Autonomous Database verwenden

Sie können Autonomous Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.

Mit dieser Konfiguration können Active Directory-Benutzer mit ihren Active Directory-Zugangsdaten, einschließlich Kennwörtern und Kerberos, auf Autonomous Database zugreifen.

Übergeordnetes Thema: Benutzer verwalten

CMU mit Microsoft Active Directory auf Autonomous Database konfigurieren - Voraussetzungen

Sie können Autonomous Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.

Je nachdem, wo sich die Active Directory-Server befinden, gibt es zwei Optionen für die Konfiguration von Autonomous Database mit zentral verwalteten Benutzern (CMU) mit Microsoft Active Directory:

  • Öffentlich zugängliche Active Directory-(AD-)Server: Die Active Directory-Server sind über das öffentliche Internet von Autonomous Database aus zugänglich.

  • Active Directory-(AD-)Server befinden sich auf einem privaten Endpunkt: Die Active Directory-Server befinden sich auf einem privaten Endpunkt und sind von Autonomous Database über das öffentliche Internet nicht zugänglich. In diesem Fall ist ein zusätzlicher Konfigurationsschritt erforderlich, wie im letzten Schritt unter CMU mit Microsoft Active Directory in Autonomous Database konfigurieren dargestellt, in dem Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS festlegen.

Hinweis

Informationen zur Verwendung von Azure Active Directory mit Autonomous Database finden Sie unter Microsoft Entra-ID mit Autonomous Database verwenden. Die CMU-Option unterstützt Microsoft Active Directory-Server, jedoch nicht den Azure Active Directory-Service.

Die Integration von Autonomous Database mit CMU (Centrally Managed Users, zentral verwaltete Benutzer) ermöglicht die Integration mit Microsoft Active Directory. CMU mit Active Directory ordnet globale Oracle-Datenbankbenutzer und globale Rollen Microsoft Active Directory-Benutzern und -Gruppen zu.

Für die Konfiguration der Verbindung von Autonomous Database zu Active Directory sind die folgenden Voraussetzungen erforderlich:

  • Microsoft Active Directory muss installiert und konfiguriert sein. Weitere Informationen finden Sie unter Erste Schritte mit AD DS.

  • Sie müssen einen Oracle-Serviceverzeichnisbenutzer in Active Directory erstellen. Informationen zum Account des Oracle-Serviceverzeichnisbenutzers finden Sie unter Verbindung zu Microsoft Active Directory herstellen.

  • Ein Active Directory-Systemadministrator muss den Oracle-Kennwortfilter auf den Active Directory-Servern installiert haben und Active Directory-Gruppen mit Active Directory-Benutzern einrichten, um Ihre Anforderungen zu erfüllen.

    Hinweis

    Diese Option ist nicht erforderlich, wenn Sie die Kerberos-Authentifizierung für CMU Active Directory verwenden. Weitere Informationen finden Sie unter Kerberos-Authentifizierung für CMU mit Microsoft Active Directory.

    Wenn Sie die Passwortauthentifizierung mit CMU Active Directory für Autonomous Database verwenden, müssen Sie den Oracle-Passwortfilter auf Active Directory mit dem enthaltenen Utility opwdintg.exe installieren, das Schema erweitern und drei neue ORA_VFR-Gruppen für drei Typen der Passwortverifizierungsgeneration erstellen. Informationen zur Installation des Oracle-Kennwortfilters finden Sie unter Verbindung zu Microsoft Active Directory herstellen.

  • Sie benötigen das CMU-Konfigurationsdatenbank-Wallet cwallet.sso und die CMU-Konfigurationsdatei dsi.ora, um CMU für die autonome Datenbank zu konfigurieren:

    • Wenn Sie CMU für eine On-Premise-Datenbank konfiguriert haben, können Sie diese Konfigurationsdateien vom On-Premise-Datenbankserver abrufen.

    • Wenn Sie CMU nicht für eine On-Premise-Datenbank konfiguriert haben, müssen Sie diese Dateien erstellen. Anschließend laden Sie die Konfigurationsdateien in die Cloud hoch, um CMU auf Ihrer Autonomous Database-Instanz zu konfigurieren. Sie können das Wallet und die Datei dsi.ora validieren, indem Sie CMU für eine On-Premise-Datenbank konfigurieren und prüfen, ob sich ein Active Directory-Benutzer mit diesen Konfigurationsdateien erfolgreich bei der On-Premise-Datenbank anmelden kann.

    Details zur Wallet-Datei für CMU finden Sie unter Wallet für eine sichere Verbindung erstellen und Oracle Wallet prüfen.

    Details zur Datei dsi.ora für CMU finden Sie unter Datei dsi.ora erstellen.

    Weitere Informationen zur Konfiguration von Active Directory für CMU und zur Fehlerbehebung von CMU für On-Premise-Datenbanken finden Sie unter How To Configure Centrally Managed Users For Database Release 18c or Later Releases (Dok.-ID 2462012.1).

  • Port 636 der Active Directory-Server muss für Autonomous Database in Oracle Cloud Infrastructure geöffnet sein. Dadurch kann Autonomous Database auf die Active Directory-Server zugreifen.

  • Wenn sich die Active Directory-Server auf einem öffentlichen Endpunkt befinden:

    • Autonomous Database muss über das öffentliche Internet auf die Active Directory-Server zugreifen können.

    • Sie können Ihr On-Premise-Active Directory auch auf Oracle Cloud Infrastructure erweitern. So können Sie schreibgeschützte Domaincontroller (RODCs) für das On-Premise-Active Directory einrichten. Auf diese Weise können Sie die RODCs in Oracle Cloud Infrastructure verwenden, um On-Premise-Active Directory-Benutzer für den Zugriff auf autonome Datenbanken zu authentifizieren und zu autorisieren.

      Weitere Informationen finden Sie unter Active Directory-Integration in Hybrid Cloud erweitern.

CMU mit Microsoft Active Directory auf Autonomous Database konfigurieren

Sie können Autonomous Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.

So konfigurieren Sie Autonomous Database für CMU für die Verbindung mit Active Directory:

Hinweis

Wenn Sie die Konfigurationsschritte ausführen, melden Sie sich als ADMIN-Benutzer bei der Datenbank an.
  1. Prüfen Sie, ob ein anderes externes Authentifizierungsschema in der Datenbank aktiviert ist, und deaktivieren Sie es.

    Sie können die CMU-AD-Konfiguration auf Kerberos fortsetzen, um CMU-AD-Kerberos-Authentifizierung für Microsoft Active Directory-Benutzer bereitzustellen.

    Weitere Informationen finden Sie unter Kerberos-Authentifizierung für CMU mit Microsoft Active Directory.

  2. Laden Sie die CMU-Konfigurationsdateien, einschließlich der Datenbank-Wallet-Datei cwallet.sso und der CMU-Konfigurationsdatei dsi.ora in den Objektspeicher hoch. Dieser Schritt hängt vom verwendeten Objektspeicher ab.

    Die Konfigurationsdatei dsi.ora enthält die Informationen zum Suchen der Active Directory-Server.

    Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.

  3. Führen Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION aus, und übergeben Sie eine Standort-URI mit dem JSON- Argument params. Sie müssen die Konfigurationsdateien cwallet.sso und dsi.ora in dem im Parameter location_uri angegebenen Speicherort im Objektspeicher ablegen.

    Beispiele:

    BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

    Oracle empfiehlt, die CMU-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.

    In diesem Beispiel ist namespace-string der Oracle Cloud Infrastructure-Objektspeicher-Namespace und bucketname der Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.

    Der credential_name, den Sie in diesem Schritt verwenden, umfasst die Zugangsdaten für den Zugriff auf den Objektspeicher.

    Das Erstellen von Zugangsdaten für den Zugriff auf Oracle Cloud Infrastructure Object Storage ist nicht erforderlich, wenn Sie Ressourcen-Principal-Zugangsdaten aktivieren. Weitere Informationen finden Sie unter Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen verwenden.

    Wenn location_uri eine im Voraus authentifizierte URL oder eine im Voraus signierte URL ist, ist die Angabe von credential_name nicht erforderlich.

    Die Prozedur erstellt ein Verzeichnisobjekt mit dem Namen CMU_WALLET_DIR in der Datenbank und kopiert die CMU-Konfigurationsdateien vom Speicherort in das Verzeichnisobjekt. Diese Prozedur setzt auch die Datenbankeigenschaft CMU_WALLET auf den Wert 'CMU_WALLET_DIR' und den Parameterwert LDAP_DIRECTORY_ACCESS auf den Wert PASSWORD, um den Zugriff von der Autonomous Database-Instanz auf Active Directory zu ermöglichen.

  4. Entfernen Sie nach der Aktivierung der CMU-Authentifizierung die CMU-Konfigurationsdateien, einschließlich des Datenbank-Wallets cwallet.sso und der CMU-Konfigurationsdatei dsi.ora aus dem Objektspeicher. Sie können diese Dateien mit lokalen Objektspeichermethoden entfernen oder mit DBMS_CLOUD.DELETE_OBJECT aus dem Objektspeicher löschen.
  5. Wenn sich Active Directory-Server auf einem privaten Endpunkt befinden, führen Sie zusätzliche Konfigurationsschritte aus, um Zugriff auf den privaten Endpunkt zu gewähren.
    1. Setzen Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf den Wert 'PRIVATE_ENDPOINT'.
    2. Überprüfen Sie, ob die CMU-AD-Konfigurationsdatei dsi.ora Hostnamen enthält. Wenn ROUTE_OUTBOUND_CONNECTIONS auf 'PRIVATE_TARGET' gesetzt ist, können IP-Adressen nicht in dsi.ora angegeben werden.

Hinweis für CMU mit Active Directory auf Autonomous Database:

  • Nur die "Kennwortauthentifizierung" oder Kerberos-Authentifizierung wird für CMU mit Autonomous Database unterstützt. Wenn Sie die CMU-Authentifizierung mit Autonomous Database verwenden, werden andere CMU-Authentifizierungsmethoden wie Azure AD, OCI IAM und PKI nicht unterstützt.

Anweisungen zum Deaktivieren des Zugriffs von Autonomous Database auf Active Directory finden Sie unter Active Directory-Zugriff auf Autonomous Database deaktivieren.

Informationen zu DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION finden Sie unter Prozedur ENABLE_EXTERNAL_AUTHENTICATION.

Weitere Informationen zum Konfigurieren von CMU mit Microsoft Active Directory finden Sie unter Zentral verwaltete Benutzer mit Microsoft Active Directory konfigurieren.

Kerberos-Authentifizierung für CMU mit Microsoft Active Directory

Sie können Autonomous Database so konfigurieren, dass die Kerberos-Authentifizierung für CMU mit Microsoft Active Directory-Benutzern verwendet wird. Mit dieser Konfiguration können CMU-Active Directory-(CMU-AD-)Benutzer mit Kerberos-Zugangsdaten auf eine Autonomous Database-Instanz zugreifen.

Kerberos kann mit oder ohne CMU-AD konfiguriert werden. Wenn Sie nur Kerberos konfigurieren, müssen Sie einen Datenbankbenutzer für jeden Kerberos-Benutzer erstellen und verwalten. Durch die Konfiguration von Kerberos mit CMU können Sie eine Active Directory-Gruppe von Kerberos-Benutzern einem einzelnen Datenbankbenutzer, einem gemeinsamen Schema, zuordnen, sodass der Datenbankzugriff durch die Active Directory-Gruppenmitgliedschaft gesteuert werden kann. Weitere Informationen zum Konfigurieren von Kerberos ohne CMU-AD finden Sie unter Kerberos-Authentifizierung mit Autonomous Database konfigurieren.

Hinweis

Bei der Implementierung der Kerberos-Authentifizierung und der CMU-AD-Autorisierung empfiehlt Oracle, zuerst die Kerberos-Authentifizierung zu implementieren und dann die CMU-AD-Autorisierung hinzuzufügen.
  1. Aktivieren Sie Kerberos in Ihrer Autonomous Database-Instanz mit dem Microsoft Active Directory Kerberos-Server.

    Wenn Sie die Kerberos-Authentifizierung mit CMU-AD konfigurieren, werden nur Kerberos-Kerberos-Server von Microsoft Active Directory unterstützt.

    1. Um die Kerberos-Authentifizierung für Autonomous Database zu aktivieren, benötigen Sie die Kerberos-Konfigurationsdateien: krb.conf und die Serviceschlüsseltabellendatei v5srvtab.

      Um diese Dateien bei der Konfiguration der Kerberos-Authentifizierung mit CMU-AD zu generieren, benötigen Sie den Serverhostnamen. Sie können den Wert des Serverhosts aus dem Attribut PUBLIC_DOMAIN_NAME in der Spalte CLOUD_IDENTITY von V$PDBS abrufen. Dieser Wert unterscheidet sich vom vollqualifizierten Domainnamen (FQDN) für eine Datenbank auf einem privaten Endpunkt.

      Verwenden Sie den folgenden Befehl, um den Serverhostnamen abzurufen:

      SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
    "KSERVICE/KINSTANCE" FROM v$pdbs;

      Sie können einen Befehl wie den folgenden verwenden, um die Serviceschlüsseltabellendatei zu generieren:

      ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                 -pass ACTIVE_DIRECTORY_PASSWORD 
                 -mapuser DATABASE_SERVER_HOST_NAME 
                 -crypto ALL 
                 -ptype KRB5_NT_PRINCIPAL 
                 -out database.keytab

      Beispiele:

      ktpass -princ ORACLE/user.example.com@example.com 
                 -pass password -mapuser dbexamplekrb 
                 -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

      Weitere Informationen zu diesen Dateien und den Schritten, die zum Abrufen dieser Dateien erforderlich sind, finden Sie unter Kerberos-Authentifizierung konfigurieren.

    2. Kopieren Sie die Kerberos-Konfigurationsdateien krb.conf und v5srvtab in einen Bucket in Ihrem Objektspeicher.

      Dieser Schritt unterscheidet sich je nach verwendetem Objektspeicher.

      Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.

    3. Führen Sie DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION aus, um die externe Kerberos-Authentifizierung zu aktivieren.

      Beispiele:

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'KERBEROS',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/
      Hinweis

      Oracle empfiehlt, die Kerberos-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.

      In diesem Beispiel ist namespace-string der Oracle Cloud Infrastructure-Objektspeicher-Namespace und bucketname der Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.

      Als credential_name verwenden Sie in diesem Schritt die Zugangsdaten für den Objektspeicher.

      Weitere Informationen finden Sie unter Kerberos-Authentifizierung in Autonomous Database aktivieren.

    4. Vergewissern Sie sich, dass Kerberos konfiguriert und aktiviert ist.
      SELECT property_value FROM database_properties 
      WHERE property_name='KERBEROS_DIRECTORY';
  2. Aktivieren und konfigurieren Sie CMU-AD in Autonomous Database.
    1. Laden Sie die CMU-Konfigurationsdateien, einschließlich der Datenbank-Wallet-Datei cwallet.sso und der CMU-Konfigurationsdatei dsi.ora in den Objektspeicher hoch.

      Sie laden cwallet.sso hoch, damit die CMU-AD-Konfiguration die Zugangsdaten für die Autonomous Database-Instanz enthält, um eine Verbindung zum Active Directory-Serviceaccount herzustellen.

      Die Konfigurationsdatei dsi.ora enthält die Informationen zum Suchen der Active Directory-Server.

      Dieser Schritt unterscheidet sich je nach verwendetem Objektspeicher.

      Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.

    2. Führen Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION aus, und übergeben Sie eine Standort-URI mit dem JSON- Argument params. Sie müssen die Konfigurationsdateien cwallet.sso und dsi.ora in dem im Parameter location_uri angegebenen Speicherort im Objektspeicher ablegen.

      Beispiele:

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

      Oracle empfiehlt, die CMU-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.

      In diesem Beispiel ist namespace-string der Oracle Cloud Infrastructure-Objektspeicher-Namespace und bucketname der Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.

      Der credential_name, den Sie in diesem Schritt verwenden, umfasst die Zugangsdaten für den Zugriff auf den Objektspeicher.

      Das Erstellen von Zugangsdaten für den Zugriff auf Oracle Cloud Infrastructure Object Storage ist nicht erforderlich, wenn Sie Ressourcen-Principal-Zugangsdaten aktivieren. Weitere Informationen finden Sie unter Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen verwenden.

      Wenn location_uri eine im Voraus authentifizierte URL oder eine im Voraus signierte URL ist, ist die Angabe von credential_name nicht erforderlich.

      Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory auf Autonomous Database.

    3. Vergewissern Sie sich, dass CMU-AD konfiguriert und aktiviert ist.
      SELECT property_value FROM database_properties
      WHERE property_name='CMU_WALLET';
  3. Überprüfen Sie nach Abschluss von Schritt 1 und Schritt 2, ob die Konfiguration der Kerberos-Authentifizierung mit CMU-AD abgeschlossen ist.
    1. Melden Sie sich als Active Directory-Benutzer bei der Autonomous Database-Instanz an, damit die SYS_CONTEXT-Informationen in USERENV aufgefüllt werden.
    2. Fragen Sie SYS_CONTEXT USERENV ab.
      SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')                                 
--------------------------------------------------------------------------------
KERBEROS_GLOBAL

    Wenn Sie die Kerberos-Authentifizierung ohne CMU-AD konfiguriert und aktiviert haben, gibt diese Abfrage Folgendes zurück: KERBEROS. Weitere Informationen finden Sie unter Kerberos-Authentifizierung mit Autonomous Database konfigurieren.

    Wenn Sie die CMU-AD-Authentifizierung ohne Kerberos konfiguriert haben, gibt diese Abfrage Folgendes zurück: PASSWORD_GLOBAL. Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory auf Autonomous Database.

Hinweise zur Verwendung der Kerberos-Authentifizierung mit CMU-AD:

  • Sie müssen den Kennwortfilter nicht hinzufügen, wenn Sie die Kerberos-Authentifizierung mit CMU-AD verwenden. Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory auf Autonomous Database.

  • Das Hinzufügen oder Entfernen von Active Directory-Benutzern wird auf dieselbe Weise wie bei CMU mit Active Directory unterstützt, wenn Sie die Kennwortauthentifizierung verwenden. Weitere Informationen finden Sie unter Microsoft Active Directory-Benutzer in Autonomous Database hinzufügen.

  • Die bestehenden Einschränkungen bei der Authentifizierung gegenüber den integrierten Autonomous Database-Tools mit CMU mit Active Directory-Kennwort gelten auch für CMU mit Active Directory mit Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Tools-Einschränkungen mit Active Directory auf Autonomous Database.

  • Verwenden Sie DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION, um CMU-AD mit Kerberos-Authentifizierung zu deaktivieren. Weitere Informationen finden Sie unter Prozedur DISABLE_EXTERNAL_AUTHENTICATION.

  • Wenn sich die CMU-AD-Server auf einem privaten Endpunkt befinden, muss für die Verwendung von CMU-AD mit Kerberos-Authentifizierung der Serverhostname, der zum Generieren der Registerkarte "Schlüssel" verwendet wird, in der Spalte CLOUD_IDENTITY von V$PDBS auf den Wert des Attributs PUBLIC_DOMAIN_NAME gesetzt werden. Dieser Wert unterscheidet sich vom FQDN für eine private Endpunktdatenbank.

Microsoft Active Directory-Rollen in Autonomous Database hinzufügen

Um Active Directory-Rollen hinzuzufügen, ordnen Sie die globalen Datenbankrollen mit CREATE ROLE- oder ALTER ROLE-Anweisungen Active Directory-Gruppen zu (und fügen Sie die IDENTIFIED GLOBALLY AS-Klausel ein).

So fügen Sie globale Rollen für Active Directory-Gruppen in Autonomous Database hinzu:

  1. Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen CREATE ROLE und ALTER ROLE, die Sie für diese Schritte benötigen).
  2. Legen Sie die Datenbankautorisierung für Autonomous Database-Rollen mit der Anweisung CREATE ROLE oder ALTER ROLE fest. Nehmen Sie die IDENTIFIED GLOBALLY AS-Klausel auf, und geben Sie den DN einer Active Directory-Gruppe an.

    Verwenden Sie die folgende Syntax, um eine Verzeichnisbenutzergruppe einer globalen Datenbankrolle zuzuordnen:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Beispiele:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    In diesem Beispiel sind alle Mitglieder von widget_sales_group mit der Datenbankrolle widget_sales_role autorisiert, wenn sie sich bei der Datenbank anmelden.

  3. Verwenden Sie GRANT-Anweisungen, um der globalen Rolle die erforderlichen Berechtigungen oder andere Rollen zu erteilen.

    Beispiele:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE ist eine vordefinierte Rolle mit definierten allgemeinen Berechtigungen. Informationen zum Festlegen gemeinsamer Berechtigungen für Autonomous Database-Benutzer finden Sie unter Benutzerberechtigungen in Autonomous Database verwalten - Verbindung mit Clienttool herstellen.

  4. Wenn Sie eine vorhandene Datenbankrolle mit einer Active Directory-Gruppe verknüpfen möchten, verwenden Sie die ALTER ROLE-Anweisung, um die vorhandene Datenbankrolle zu ändern und die Rolle einer Active Directory-Gruppe zuzuordnen.

    Mit der folgenden Syntax können Sie eine vorhandene Datenbankrolle ändern, um sie einer Active Directory-Gruppe zuzuordnen:

    ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Wenn Sie zusätzliche globale Rollenzuordnungen für andere Active Directory-Gruppen erstellen möchten, führen Sie die folgenden Schritte für jede Active Directory-Gruppe aus.

Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Autorisierung für zentral verwaltete Benutzer konfigurieren in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 23ai Security Guide.

Microsoft Active Directory-Benutzer in Autonomous Database hinzufügen

Um Active Directory-Benutzer für den Zugriff auf eine Datenbank hinzuzufügen, ordnen Sie globale Datenbankbenutzer mit CREATE USER- oder ALTER USER-Anweisungen (mit der IDENTIFIED GLOBALLY AS-Klausel) Active Directory-Gruppen oder -Benutzern zu.

Für die Integration von Autonomous Database mit Active Directory werden Microsoft Active Directory-Benutzer und -Gruppen direkt globalen Oracle-Datenbankbenutzern und globalen Rollen zugeordnet.

So fügen Sie globale Benutzer für Active Directory-Gruppen oder -Benutzer in Autonomous Database hinzu:

  1. Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen CREATE USER und ALTER USER, die Sie für diese Schritte benötigen).
  2. Legen Sie die Datenbankautorisierung für Autonomous Database-Benutzer mit CREATE USER- oder ALTER USER-Anweisungen fest, und nehmen Sie die IDENTIFIED GLOBALLY AS-Klausel auf, indem Sie den DN eines Active Directory-Benutzers oder einer AD-Gruppe angeben.

    Verwenden Sie die folgende Syntax, um einen Verzeichnisbenutzer einem globalen Datenbankbenutzer zuzuordnen:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Verwenden Sie die folgende Syntax, um eine Verzeichnisgruppe einem globalen Datenbankbenutzer zuzuordnen:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Beispiel: So ordnen Sie eine Verzeichnisgruppe mit dem Namen widget_sales_group in der Organisationseinheit sales der Domain production.example.com einem gemeinsamen globalen Datenbankbenutzer namens WIDGET_SALES zu: 

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Dadurch wird eine gemeinsame globale Benutzerzuordnung erstellt. Die Zuordnung mit dem globalen Benutzer widget_sales gilt für alle Benutzer in der Active Directory-Gruppe. Daher kann sich jedes Mitglied in widget_sales_group mit seinen Active Directory-Zugangsdaten bei der Datenbank anmelden (über die gemeinsame Zuordnung des globalen Benutzers widget_sales).

  3. Wenn Sie möchten, dass Active Directory-Benutzer einen vorhandenen Datenbankbenutzer verwenden sowie Eigentümer des Schemas und der vorhandenen Daten sind, ändern Sie mit ALTER USER einen vorhandenen Datenbankbenutzer, um ihn einer Active Directory-Gruppe oder einem AD-Benutzer zuzuordnen.

    • Mit der folgenden Syntax können Sie einen vorhandenen Datenbankbenutzer ändern, um ihn einem Active Directory-Benutzer zuzuordnen:

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    • Mit der folgenden Syntax können Sie einen vorhandenen Datenbankbenutzer ändern, um ihn einer Active Directory-Gruppe zuzuordnen:

      ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Wenn Sie zusätzliche globale Benutzerzuordnungen für andere Active Directory-Gruppen oder -Benutzer erstellen möchten, führen Sie die folgenden Schritte für jede Active Directory-Gruppe bzw. jeden Benutzer aus.

Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Autorisierung für zentral verwaltete Benutzer konfigurieren in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 23ai Security Guide.

Tooleinschränkungen mit Active Directory auf Autonomous Database

Hinweise zur Verwendung von Autonomous Database-Tools mit Active Directory:

Verbindung zu Autonomous Database mit Active Directory-Benutzerzugangsdaten herstellen

Nachdem der ADMIN-Benutzer die CMU-Konfigurationsschritte für Active Directory abgeschlossen und globale Rollen und Benutzer erstellt hat, melden sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der Datenbank an.

Hinweis

Melden Sie sich nicht mit einem globalen Benutzernamen an. Globale Benutzernamen haben kein Kennwort, und die Verbindung mit einem globalen Benutzernamen ist nicht erfolgreich. Sie benötigen eine globale Benutzerzuordnung in der autonomen Datenbank, um sich bei der Datenbank anmelden zu können. Sie können sich nicht nur mit globalen Rollenzuordnungen bei der Datenbank anmelden.
  1. Melden Sie sich wie folgt mit einem Active Directory-Benutzernamen und -Kennwort bei der Datenbank an:
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Beispiele:

    CONNECT "production\pfitch"/password@adbname_medium;

    Wenn die Active Directory-Domain zusammen mit dem Benutzernamen enthalten ist, müssen Sie doppelte Anführungszeichen setzen. Beispiel: "production\pfitch".

    In diesem Beispiel lautet der Active Directory-Benutzername pfitch in Domain production. Der Active Directory-Benutzer ist Mitglied der Gruppe widget_sales_group, die durch den DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com' identifiziert wird.

Nach der Konfiguration von CMU mit Active Directory in Autonomous Database und der Einrichtung der Active Directory-Autorisierung mit globalen Rollen und Benutzern können Sie eine Verbindung zur Datenbank mit einer der unter Verbindung zu Autonomous Database herstellen beschriebenen Verbindungsmethoden herstellen. Wenn Sie beim Herstellen einer Verbindung einen Active Directory-Benutzer nutzen möchten, verwenden Sie Active Directory-Benutzerzugangsdaten. Beispiel: Geben Sie einen Benutzernamen in diesem Format an: "AD_DOMAIN\AD_USERNAME" (doppelte Anführungszeichen müssen eingeschlossen werden), und verwenden Sie AD_USER_PASSWORD als Kennwort.

Wenn sich die Autonomous Database-Instanz im eingeschränkten Modus befindet, können nur Benutzer mit der Berechtigung RESTRICTED SESSION eine Verbindung zur Datenbank herstellen. Der ADMIN-Benutzer verfügt über diese Berechtigung. Mit dem eingeschränkten Zugriffsmodus können Sie administrative Aufgaben wie Indexierung, Dataloads oder andere geplante Aktivitäten ausführen. Weitere Informationen finden Sie unter Autonomous Database-Betriebsmodus in "Read/Write Read-Only or Restricted" ändern.

Verbindungsinformationen für Active Directory-Benutzer mit Autonomous Database prüfen

Wenn sich Benutzer mit ihrem Active Directory-Namen und -Kennwort bei der Datenbank anmelden, können Sie die Benutzeraktivität prüfen und auditieren.

Beispiel: Wenn sich der Benutzer pfitch anmeldet: 

CONNECT "production\pfitch"/password@exampleadb_medium;

Der Benutzername für die Anmeldung des Active Directory-Benutzers (samAccountName) lautet pfitch, widget_sales_group ist der Active Directory-Gruppenname, und widget_sales ist der globale Benutzer der Datenbank.

Nachdem sich pfitch bei der Datenbank angemeldet hat, zeigt der Befehl SHOW USER den globalen Benutzernamen an: 

SHOW USER;

USER is "WIDGET_SALES"

Der folgende Befehl zeigt den DN (Distinguished Name) des Active Directory-Benutzers an:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Beispiel: Sie können die Unternehmensidentität dieses zentral verwalteten Benutzers prüfen:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

Der folgende Befehl zeigt "AD_DOMAIN\AD_USERNAME" an: 

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Beispiel: Die authentifizierte Active Directory-Benutzeridentität wird erfasst und auditiert, wenn sich der Benutzer bei der Datenbank anmeldet:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Weitere Informationen finden Sie unter Verifying the Centrally Managed User Logon Information im Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.

Active Directory-Benutzer und -Rollen auf Autonomous Database entfernen

Um Active Directory-Benutzer und -Rollen aus autonomen Datenbanken zu entfernen, verwenden Sie standardmäßige Datenbankbefehle. Dadurch werden die zugehörigen Active Directory-Benutzer oder -Gruppen, die den gelöschten Datenbankbenutzern oder -rollen zugeordnet wurden, nicht entfernt.

So entfernen Sie Benutzer oder Rollen aus Autonomous Database:

  1. Melden Sie sich als Benutzer mit der Systemberechtigung DROP USER oder DROP ROLE bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist.
  2. Löschen Sie die globalen Benutzer oder Rollen, die Active Directory-Gruppen oder -Benutzern zugeordnet sind, mit der Anweisung DROP USER oder DROP ROLE.
    Weitere Informationen finden Sie unter Benutzer in Autonomous Database entfernen.

Active Directory-Zugriff auf Autonomous Database deaktivieren

beschreiben die Schritte, um die CMU-Konfiguration aus Autonomous Database zu entfernen (und den LDAP-Zugriff von Autonomous Database auf Active Directory zu deaktivieren)

Nachdem Sie die Autonomous Database-Instanz für den Zugriff auf CMU Active Directory konfiguriert haben, können Sie den Zugriff wie folgt deaktivieren:

  1. Melden Sie sich als ADMIN-Benutzer bei Autonomous Database an.
  2. Verwenden Sie DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION, um die CMU-Authentifizierung zu deaktivieren.
    Hinweis

    Um diese Prozedur auszuführen, müssen Sie als ADMIN-Benutzer angemeldet sein oder die Berechtigung EXECUTE für DBMS_CLOUD_ADMIN besitzen.

    Beispiele:

    BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/

    Dadurch wird die CMU-Authentifizierung auf Ihrer Autonomous Database-Instanz deaktiviert.

Weitere Informationen finden Sie unter Prozedur DISABLE_EXTERNAL_AUTHENTICATION.