Microsoft Active Directory mit Autonomous AI Database verwenden
Sie können Autonomous AI Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.
Mit dieser Konfiguration können Active Directory-Benutzer über ihre Active Directory-Zugangsdaten, einschließlich Kennwörtern und Kerberos, auf Autonomous AI Database zugreifen.
Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory in einer autonomen KI-Datenbank
Sie können Autonomous AI Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.
Je nachdem, wo sich die Active Directory-Server befinden, gibt es zwei Optionen für die Konfiguration der Autonomous AI Database mit Centrally Managed Users (CMU) mit Microsoft Active Directory:
-
Öffentlich zugängliche Active Directory-(AD-)Server: Die Active Directory-Server sind über das öffentliche Internet von der Autonomous AI Database aus zugänglich.
-
Active Directory-(AD-)Server befinden sich auf einem privaten Endpunkt: Die Active Directory-Server befinden sich auf einem privaten Endpunkt und sind über das öffentliche Internet nicht über die autonome KI-Datenbank zugänglich. In diesem Fall ist ein zusätzlicher Konfigurationsschritt erforderlich, wie im letzten Schritt unter CMU mit Microsoft Active Directory in Autonomous AI Database konfigurieren gezeigt, in dem Sie die Datenbankeigenschaft
ROUTE_OUTBOUND_CONNECTIONSfestlegen.
Hinweis
Hinweis: Informationen zur Verwendung von Azure Active Directory mit autonomer KI-Datenbank finden Sie unter Microsoft Entra-ID mit autonomer KI-Datenbank verwenden. Die CMU-Option unterstützt Microsoft Active Directory-Server, jedoch nicht den Azure Active Directory-Service.
Die Integration von Autonomous AI Database mit Centrally Managed Users (CMU) ermöglicht die Integration mit Microsoft Active Directory. CMU mit Active Directory ordnet globale Oracle-Datenbankbenutzer und globale Rollen Microsoft Active Directory-Benutzern und -Gruppen zu.
Die folgenden Voraussetzungen sind erforderlich, um die Verbindung von der autonomen KI-Datenbank zu Active Directory zu konfigurieren:
-
Microsoft Active Directory muss installiert und konfiguriert sein. Weitere Informationen finden Sie unter Erste Schritte mit AD DS.
-
Sie müssen einen Oracle-Serviceverzeichnisbenutzer in Active Directory erstellen. Informationen zum Account des Oracle-Serviceverzeichnisbenutzers finden Sie unter Verbindung zu Microsoft Active Directory herstellen.
-
Ein Active Directory-Systemadministrator muss den Oracle-Kennwortfilter auf den Active Directory-Servern installiert haben und Active Directory-Gruppen mit Active Directory-Benutzern einrichten, um Ihre Anforderungen zu erfüllen.
Hinweis
Hinweis: Dies ist nicht erforderlich, wenn Sie die Kerberos-Authentifizierung für CMU Active Directory verwenden. Weitere Informationen finden Sie unter Kerberos-Authentifizierung für CMU mit Microsoft Active Directory.Wenn Sie die Kennwortauthentifizierung mit CMU Active Directory für autonome KI-Datenbank verwenden, müssen Sie das enthaltene Utility
opwdintg.exeverwenden, um den Oracle-Kennwortfilter auf Active Directory zu installieren, das Schema zu erweitern und drei neueORA_VFR-Gruppen für drei Arten der Passwortverifizierungsgenerierung zu erstellt. Informationen zur Installation des Oracle-Kennwortfilters finden Sie unter Verbindung zu Microsoft Active Directory herstellen. -
Sie benötigen das Datenbank-Wallet der CMU-Konfiguration,
cwallet.ssound die CMU-Konfigurationsdateidsi.ora, um CMU für Ihre autonome KI-Datenbank zu konfigurieren:-
Wenn Sie CMU für eine On-Premise-Datenbank konfiguriert haben, können Sie diese Konfigurationsdateien vom On-Premise-Datenbankserver abrufen.
-
Wenn Sie CMU nicht für eine On-Premise-Datenbank konfiguriert haben, müssen Sie diese Dateien erstellen. Anschließend laden Sie die Konfigurationsdateien in die Cloud hoch, um CMU in Ihrer autonomen KI-Datenbankinstanz zu konfigurieren. Sie können das Wallet und das
dsi.oravalidieren, indem sie CMU für eine On-Premise-Datenbank konfigurieren und prüfen, ob sich ein Active Directory-Benutzer mit diesen Konfigurationsdateien erfolgreich bei der On-Premise-Datenbank anmelden kann.
Details zur Wallet-Datei für CMU finden Sie unter Wallet für eine sichere Verbindung erstellen und Oracle Wallet prüfen.
Details zur Datei
dsi.orafür CMU finden Sie unter Datei dsi.ora erstellen.Weitere Informationen zur Konfiguration von Active Directory für CMU und zur Fehlerbehebung von CMU für On-Premise-Datenbanken finden Sie unter How To Configure Centrally Managed Users For Database Release 18c or Later Releases (Dok.-ID 2462012.1).
-
-
Port 636 der Active Directory-Server muss für Autonomous AI Database in Oracle Cloud Infrastructure geöffnet sein. Dadurch kann Autonomous AI Database auf die Active Directory-Server zugreifen.
-
Wenn sich die Active Directory-Server auf einem öffentlichen Endpunkt befinden:
-
Auf die Active Directory-Server muss über das öffentliche Internet von der Autonomous AI Database aus zugegriffen werden können.
-
Sie können Ihr On-Premise-Active Directory auch auf Oracle Cloud Infrastructure erweitern. So können Sie schreibgeschützte Domaincontroller (RODCs) für das On-Premise-Active Directory einrichten. Auf diese Weise können Sie die RODCs in Oracle Cloud Infrastructure verwenden, um On-Premise-Active Directory-Benutzer für den Zugriff auf autonome KI-Datenbanken zu authentifizieren und zu autorisieren.
Weitere Informationen finden Sie unter Active Directory-Integration in Hybrid Cloud erweitern.
-
CMU mit Microsoft Active Directory auf Autonomous AI Database konfigurieren
Sie können Autonomous AI Database so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert werden.
So konfigurieren Sie die autonome KI-Datenbank für CMU für die Verbindung mit Active Directory:
Hinweis
Hinweis: Wenn Sie die Konfigurationsschritte ausführen, melden Sie sich als ADMIN-Benutzer bei der Datenbank an.
-
Prüfen Sie, ob ein anderes externes Authentifizierungsschema in der Datenbank aktiviert ist, und deaktivieren Sie es.
Sie können die CMU-AD-Konfiguration auf Kerberos fortsetzen, um CMU-AD-Kerberos-Authentifizierung für Microsoft Active Directory-Benutzer bereitzustellen.
Weitere Informationen finden Sie unter Kerberos-Authentifizierung für CMU mit Microsoft Active Directory.
-
Laden Sie die CMU-Konfigurationsdateien, einschließlich der Datenbank-Wallet-Datei,
cwallet.ssound der CMU-Konfigurationsdateidsi.orain den Objektspeicher herunter. Dieser Schritt hängt vom verwendeten Objektspeicher ab.Die Konfigurationsdatei
dsi.oraenthält die Informationen zum Suchen der Active Directory-Server.Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.
-
Führen Sie die Prozedur
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONaus, und übergeben Sie eine Standort-URI mit dem JSON-Argumentparams. Sie müssen die Konfigurationsdateiencwallet.ssounddsi.oraim Object Storage-Speicherort ablegen, der im Parameterlocation_uriangegeben ist.Beispiel:
BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'CMU', params => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o', 'credential_name' value 'my_credential_name') ); END; /Oracle empfiehlt, die CMU-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.
In diesem Beispiel ist
namespace-stringder Oracle Cloud Infrastructure-Objektspeicher-Namespace undbucketnameder Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.Die
credential_name, die Sie in diesem Schritt verwenden, sind die Zugangsdaten für den Zugriff auf den Objektspeicher.Das Erstellen von Zugangsdaten für den Zugriff auf den Oracle Cloud Infrastructure-Objektspeicher ist nicht erforderlich, wenn Sie Resource-Principal-Zugangsdaten aktivieren. Weitere Informationen finden Sie unter Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen.
Wenn die
location_urieine vorab authentifizierte URL oder eine vorab signierte URL ist, ist die Angabe einercredential_namenicht erforderlich.Die Prozedur erstellt ein Verzeichnisobjekt mit dem Namen
CMU_WALLET_DIRin der Datenbank und kopiert die CMU-Konfigurationsdateien aus dem Objektspeicherverzeichnis in das Verzeichnisobjekt. Diese Prozedur setzt auch die DatenbankeigenschaftCMU_WALLETauf den Wert'CMU_WALLET_DIR'und setzt den ParameterwertLDAP_DIRECTORY_ACCESSauf den WertPASSWORD, um den Zugriff von der Instanz der autonomen KI-Datenbank auf Active Directory zu ermöglichen. -
Nachdem Sie die CMU-Authentifizierung aktiviert haben, entfernen Sie die CMU-Konfigurationsdateien, einschließlich des Datenbank-Wallets
cwallet.ssound der CMU-Konfigurationsdateidsi.oraaus dem Objektspeicher. Sie können diese Dateien mit lokalen Objektspeichermethoden entfernen oder mitDBMS_CLOUD.DELETE_OBJECTaus dem Objektspeicher löschen. -
Wenn sich Active Directory-Server auf einem privaten Endpunkt befinden, führen Sie zusätzliche Konfigurationsschritte aus, um den Zugriff auf den privaten Endpunkt zu ermöglichen.
-
Legen Sie die Eigenschaft
ROUTE_OUTBOUND_CONNECTIONSder Datenbank fest.Weitere Informationen finden Sie unter Erweiterte Sicherheit für ausgehende Verbindungen mit privaten Endpunkten.
-
Validieren Sie, ob die CMU-AD-Konfigurationsdatei
dsi.oraHostnamen enthält. Wenn die DatenbankeigenschaftROUTE_OUTBOUND_CONNECTIONSfestgelegt ist, können IP-Adressen nicht indsi.oraangegeben werden.
-
Hinweis für CMU mit Active Directory auf autonomer KI-Datenbank:
- Nur die "Kennwortauthentifizierung" oder Kerberos-Authentifizierung wird für CMU mit Autonomous AI Database unterstützt. Wenn Sie die CMU-Authentifizierung mit Autonomous AI Database verwenden, werden andere CMU-Authentifizierungsmethoden wie Azure AD, OCI IAM und PKI nicht unterstützt.
Anweisungen zum Deaktivieren des Zugriffs von Autonomous AI Database auf Active Directory finden Sie unter Active Directory-Zugriff auf Autonomous AI Database deaktivieren.
Weitere Informationen zu DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION finden Sie unter ENABLE_EXTERNAL_AUTHENTICATION-Prozedur.
Weitere Informationen zum Konfigurieren von CMU mit Microsoft Active Directory finden Sie unter Zentral verwaltete Benutzer mit Microsoft Active Directory konfigurieren.
Kerberos Authentifizierung für CMU mit Microsoft Active Directory
Sie können Autonomous AI Database so konfigurieren, dass die Kerberos-Authentifizierung für CMU mit Microsoft Active Directory-Benutzern verwendet wird. Mit dieser Konfiguration können CMU-Active Directory-(CMU-AD-)Benutzer mit Kerberos-Zugangsdaten auf eine autonome AI-Datenbankinstanz zugreifen.
Kerberos kann mit oder ohne CMU-AD konfiguriert werden. Wenn Sie nur Kerberos konfigurieren, müssen Sie für jeden Kerberos-Benutzer einen Datenbankbenutzer erstellen und verwalten. Wenn Sie Kerberos mit CMU konfigurieren, können Sie eine Active Directory-Gruppe von Kerberos-Benutzern einem einzelnen Datenbankbenutzer (Shared Schema) zuordnen, sodass der Datenbankzugriff durch die Active Directory-Gruppenmitgliedschaft gesteuert werden kann. Weitere Informationen zum Konfigurieren von Kerberos ohne CMU-AD finden Sie unter Kerberos-Authentifizierung mit autonomer KI-Datenbank konfigurieren.
Hinweis
Hinweis: Bei der Implementierung der Kerberos-Authentifizierung und CMU-AD zur Autorisierung empfiehlt Oracle, zuerst die Kerberos-Authentifizierung zu implementieren und dann die CMU-AD-Autorisierung hinzuzufügen.
-
Aktivieren Sie Kerberos in Ihrer Autonomous AI Database-Instanz mit dem Kerberos-Server von Microsoft Active Directory.
Nur Microsoft Active Directory-Kerberos-Server werden für Kerberos unterstützt, wenn Sie die Kerberos-Authentifizierung mit CMU-AD konfigurieren.
a. Um die Kerberos-Authentifizierung für Ihre autonome AI-Datenbank zu aktivieren, benötigen Sie die Kerberos-Konfigurationsdateien
krb.confund die Serviceschlüsseltabellendateiv5srvtab.Um diese Dateien zu generieren, wenn Sie die Kerberos-Authentifizierung mit CMU-AD konfigurieren, benötigen Sie den Serverhostnamen. Sie können den Wert des Serverhosts aus dem Attribut
PUBLIC_DOMAIN_NAMEin der SpalteCLOUD_IDENTITYvonV$PDBSabrufen. Dieser Wert unterscheidet sich vom vollqualifizierten Domainnamen (FQDN) für eine Datenbank auf einem privaten Endpunkt.Verwenden Sie den folgenden Befehl, um den Serverhostnamen abzurufen:
SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME') "KSERVICE/KINSTANCE" FROM v$pdbs;Sie können einen Befehl wie den folgenden zum Generieren der Serviceschlüsseltabellendatei verwenden:
ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN -pass ACTIVE_DIRECTORY_PASSWORD -mapuser DATABASE_SERVER_HOST_NAME -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytabBeispiel:
ktpass -princ ORACLE/user.example.com@example.com -pass password -mapuser dbexamplekrb -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytabWeitere Informationen über diese Dateien und die erforderlichen Schritte zum Abrufen dieser Datei finden Sie unter Kerberos-Authentifizierung konfigurieren.
b. Kopieren Sie die Kerberos-Konfigurationsdateien
krb.confundv5srvtabin einen Bucket im Objektspeicher.Dieser Schritt unterscheidet sich je nach verwendetem Objektspeicher.
Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.
c. Führen Sie
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONaus, um die externe Kerberos-Authentifizierung zu aktivieren.Beispiel:
BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'KERBEROS', params => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o', 'credential_name' value *'my_credential_name'*) ); END; /Hinweis
Hinweis: Oracle empfiehlt, die Kerberos-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.In diesem Beispiel ist
namespace-stringder Oracle Cloud Infrastructure-Objektspeicher-Namespace undbucketnameder Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.Die
credential_name, die Sie in diesem Schritt verwenden, sind die Zugangsdaten für den Objektspeicher.Weitere Informationen finden Sie unter Kerberos-Authentifizierung in autonomer KI-Datenbank aktivieren.
d. Stellen Sie sicher, dass Kerberos konfiguriert und aktiviert ist.
SELECT property_value FROM database_properties WHERE property_name='KERBEROS_DIRECTORY'; -
Aktivieren und konfigurieren Sie CMU-AD in einer autonomen KI-Datenbank.
a. Laden Sie die CMU-Konfigurationsdateien, einschließlich der Datenbank-Wallet-Datei,
cwallet.ssound der CMU-Konfigurationsdateidsi.orain den Objektspeicher herunter.Sie laden die Datei
cwallet.ssohoch, damit die CMU-AD-Konfiguration die Zugangsdaten für die Instanz der autonomen KI-Datenbank für die Verbindung zum Active Directory-Serviceaccount aufweist.Die Konfigurationsdatei
dsi.oraenthält die Informationen zum Suchen der Active Directory-Server.Dieser Schritt unterscheidet sich je nach verwendetem Objektspeicher.
Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.
b. Führen Sie die Prozedur
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONaus, und übergeben Sie eine Standort-URI mit dem JSON-Argumentparams. Sie müssen die Konfigurationsdateiencwallet.ssounddsi.oraim Object Storage-Speicherort ablegen, der im Parameterlocation_uriangegeben ist.Beispiel:
BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'CMU', params => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o', 'credential_name' value 'my_credential_name') ); END; /Oracle empfiehlt, die CMU-Konfigurationsdateien in einem privaten Bucket im Objektspeicher zu speichern.
In diesem Beispiel ist
namespace-stringder Oracle Cloud Infrastructure-Objektspeicher-Namespace undbucketnameder Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.Die
credential_name, die Sie in diesem Schritt verwenden, sind die Zugangsdaten für den Zugriff auf den Objektspeicher.Das Erstellen von Zugangsdaten für den Zugriff auf den Oracle Cloud Infrastructure-Objektspeicher ist nicht erforderlich, wenn Sie Resource-Principal-Zugangsdaten aktivieren. Weitere Informationen finden Sie unter Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen.
Wenn die
location_urieine vorab authentifizierte URL oder eine vorab signierte URL ist, ist die Angabe einercredential_namenicht erforderlich.Weitere Informationen finden Sie unter Voraussetzungen zum Konfigurieren von CMU mit Microsoft Active Directory in einer autonomen KI-Datenbank.
c. Vergewissern Sie sich, dass CMU-AD konfiguriert und aktiviert ist.
SELECT property_value FROM database_properties WHERE property_name='CMU_WALLET'; -
Prüfen Sie nach Abschluss von Schritt 1 und Schritt 2, ob die Konfiguration der Kerberos-Authentifizierung mit CMU-AD abgeschlossen ist.
a. Melden Sie sich bei der autonomen AI-Datenbankinstanz als Active Directory-Benutzer an, sodass
SYS_CONTEXT-Informationen inUSERENVaufgefüllt werden.b. Fragen Sie
SYS_CONTEXT USERENVab.SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') -------------------------------------------------------------------------------- KERBEROS_GLOBALWenn die Kerberos-Authentifizierung ohne CMU-AD konfiguriert und aktiviert ist, gibt diese Abfrage Folgendes zurück:
KERBEROS. Weitere Informationen finden Sie unter Kerberos-Authentifizierung mit autonomer KI-Datenbank konfigurieren.Wenn die CMU-AD-Authentifizierung ohne Kerberos konfiguriert ist, gibt diese Abfrage
PASSWORD_GLOBALzurück. Weitere Informationen finden Sie unter Voraussetzungen zum Konfigurieren von CMU mit Microsoft Active Directory in einer autonomen KI-Datenbank.
Hinweise zur Verwendung der Kerberos-Authentifizierung mit CMU-AD:
-
Sie müssen den Kennwortfilter nicht hinzufügen, wenn Sie die Kerberos-Authentifizierung mit CMU-AD verwenden. Weitere Informationen finden Sie unter Voraussetzungen zum Konfigurieren von CMU mit Microsoft Active Directory in einer autonomen KI-Datenbank.
-
Das Hinzufügen oder Entfernen von Active Directory-Benutzern wird auf die gleiche Weise unterstützt wie bei CMU mit Active Directory, wenn Sie die Kennwortauthentifizierung verwenden. Weitere Informationen finden Sie unter Microsoft Active Directory-Benutzer zu Autonomous AI Database hinzufügen.
-
Die bestehenden Einschränkungen bei der Authentifizierung anhand der integrierten Tools für die autonome KI-Datenbank mit CMU mit Active Directory-Kennwort gelten auch für CMU mit Active Directory mit Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Tools Restrictions with Active Directory on Autonomous AI Database.
-
Verwenden Sie
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION, um CMU-AD mit Kerberos-Authentifizierung zu deaktivieren. Weitere Informationen finden Sie unter DISABLE_EXTERNAL_AUTHENTICATION Procedure. -
Wenn sich die CMU-AD-Server auf einem privaten Endpunkt befinden, muss für die Verwendung von CMU-AD mit Kerberos-Authentifizierung der Serverhostname, der zum Generieren der Registerkarte "Schlüssel" verwendet wird, auf den Wert des Attributs
PUBLIC_DOMAIN_NAMEin der SpalteCLOUD_IDENTITYvonV$PDBSgesetzt werden. Dieser Wert unterscheidet sich vom FQDN für eine private Endpunktdatenbank.
Microsoft Active Directory-Rollen in Autonomous AI Database hinzufügen
Um Active Directory-Rollen hinzuzufügen, ordnen Sie die globalen Datenbankrollen mit CREATE ROLE- oder ALTER ROLE-Anweisungen Active Directory-Gruppen zu (und fügen Sie die IDENTIFIED GLOBALLY AS-Klausel ein).
So fügen Sie globale Rollen für Active Directory-Gruppen in Autonomous AI Database hinzu:
-
Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen
CREATE ROLEundALTER ROLE, die Sie für diese Schritte benötigen). -
Legen Sie die Datenbankautorisierung für autonome AI-Datenbankrollen mit einer Anweisung
CREATE ROLEoderALTER ROLEfest. Schließen Sie dieIDENTIFIED GLOBALLY AS-Klausel ein, und geben Sie den DN einer Active Directory-Gruppe ein.Verwenden Sie die folgende Syntax, um eine Verzeichnisbenutzergruppe einer globalen Datenbankrolle zuzuordnen:
CREATE ROLE global_role IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';Beispiel:
CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';In diesem Beispiel sind alle Mitglieder von
widget_sales_groupmit der Datenbankrollewidget_sales_roleautorisiert, wenn sie sich bei der Datenbank anmelden. -
Verwenden Sie
GRANT-Anweisungen, um der globalen Rolle die erforderlichen Berechtigungen oder andere Rollen zu erteilen.Beispiel:
GRANT CREATE SESSION TO WIDGET_SALES_ROLE; GRANT DWROLE TO WIDGET_SALES_ROLE;DWROLEist eine vordefinierte Rolle mit definierten allgemeinen Berechtigungen. Informationen zum Festlegen gemeinsamer Berechtigungen für Benutzer der autonomen KI-Datenbank finden Sie unter Benutzerberechtigungen für autonome KI-Datenbank verwalten - Verbindung mit einem Clienttool herstellen. -
Wenn Sie eine vorhandene Datenbankrolle mit einer Active Directory-Gruppe verknüpfen möchten, verwenden Sie die
ALTER ROLE-Anweisung, um die vorhandene Datenbankrolle zu ändern und die Rolle einer Active Directory-Gruppe zuzuordnen.Mit der folgenden Syntax können Sie eine vorhandene Datenbankrolle ändern, um sie einer Active Directory-Gruppe zuzuordnen:
ALTER ROLE existing_database_role IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER'; -
Wenn Sie zusätzliche globale Rollenzuordnungen für andere Active Directory-Gruppen erstellen möchten, führen Sie die folgenden Schritte für jede Active Directory-Gruppe aus.
Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Configuring Authorization for Centrally Managed Users in der Dokumentation Oracle Database 19c Security Guide oder Oracle AI Database 26ai Security Guide.
Microsoft Active Directory-Benutzer in Autonomous AI Database hinzufügen
Um Active Directory-Benutzer für den Zugriff auf eine Datenbank hinzuzufügen, ordnen Sie globale Datenbankbenutzer mit CREATE USER- oder ALTER USER-Anweisungen (mit IDENTIFIED GLOBALLY AS-Klausel) Active Directory-Gruppen oder -Benutzern zu.
Für die Integration von Autonomous AI Database mit Active Directory werden Microsoft Active Directory-Benutzer und -Gruppen direkt globalen Oracle-Datenbankbenutzern und globalen Rollen zugeordnet.
So fügen Sie globale Benutzer für Active Directory-Gruppen oder -Benutzer in Autonomous AI Database hinzu:
-
Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen
CREATE USERundALTER USER, die Sie für diese Schritte benötigen). -
Set database authorization for Autonomous AI Database users with
CREATE USERorALTER USERstatements and include theIDENTIFIED GLOBALLY ASclause, specifying the DN of an Active Directory user or group.Verwenden Sie die folgende Syntax, um einen Verzeichnisbenutzer einem globalen Datenbankbenutzer zuzuordnen:
CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';Verwenden Sie die folgende Syntax, um eine Verzeichnisgruppe einem globalen Datenbankbenutzer zuzuordnen:
CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';Beispiel: So ordnen Sie eine Verzeichnisgruppe mit dem Namen
widget_sales_groupin der Organisationseinheitsalesder Domainproduction.example.comeinem gemeinsamen globalen Datenbankbenutzer namensWIDGET_SALESzu:CREATE USER widget_sales IDENTIFIED GLOBALLY AS 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';Dadurch wird eine gemeinsame globale Benutzerzuordnung erstellt. Die Zuordnung mit dem globalen Benutzer
widget_salesgilt für alle Benutzer in der Active Directory-Gruppe. Daher kann sich jedes Mitglied inwidget_sales_groupmit seinen Active Directory-Zugangsdaten bei der Datenbank anmelden (über die gemeinsame Zuordnung des globalen Benutzerswidget_sales). -
Wenn Sie möchten, dass Active Directory-Benutzer einen vorhandenen Datenbankbenutzer verwenden sowie Eigentümer des Schemas und der vorhandenen Daten sind, ändern Sie mit
ALTER USEReinen vorhandenen Datenbankbenutzer, um ihn einer Active Directory-Gruppe oder einem AD-Benutzer zuzuordnen.-
Mit der folgenden Syntax können Sie einen vorhandenen Datenbankbenutzer ändern, um ihn einem Active Directory-Benutzer zuzuordnen:
ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER'; -
Mit der folgenden Syntax können Sie einen vorhandenen Datenbankbenutzer ändern, um ihn einer Active Directory-Gruppe zuzuordnen:
ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
-
-
Wenn Sie zusätzliche globale Benutzerzuordnungen für andere Active Directory-Gruppen oder -Benutzer erstellen möchten, führen Sie die folgenden Schritte für jede Active Directory-Gruppe bzw. jeden Benutzer aus.
Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Configuring Authorization for Centrally Managed Users in der Dokumentation Oracle Database 19c Security Guide oder Oracle AI Database 26ai Security Guide.
Toolseinschränkungen mit Active Directory auf autonomer KI-Datenbank
Hinweise zur Verwendung von Autonomous AI Database-Tools mit Active Directory:
-
Oracle APEX wird für Active Directory-Benutzer mit Autonomous AI Database nicht unterstützt. Informationen zur Verwendung regulärer Datenbankbenutzer mit Autonomous AI Database finden Sie unter Oracle APEX-Workspaces in Autonomous AI Database erstellen.
-
Database Actions wird für Active Directory-Benutzer mit Autonomous AI Database nicht unterstützt. Informationen zur Verwendung regulärer Datenbankbenutzer mit Autonomous AI Database finden Sie in Database Actions-Zugriff für Datenbankbenutzer erteilen.
-
Oracle Machine Learning Notebooks werden für Active Directory-Benutzer mit Autonomous AI Database nicht unterstützt. Informationen zur Verwendung regelmäßiger Datenbankbenutzer mit Autonomous AI Database finden Sie unter "Vorhandenen Datenbankbenutzeraccount zu Komponenten von Oracle Machine Learning hinzufügen".
Verbindung zu Autonomous AI Database mit Active Directory-Benutzerzugangsdaten herstellen
Nachdem der ADMIN-Benutzer die CMU Active Directory-Konfigurationsschritte abgeschlossen und globale Rollen und globale Benutzer erstellt hat, melden sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der Datenbank an.
Hinweis
Hinweis: Melden Sie sich nicht mit einem globalen Benutzernamenan. Globale Benutzernamen haben kein Kennwort, und die Verbindung mit einem globalen Benutzernamen ist nicht erfolgreich. Sie müssen eine globale Benutzerzuordnung in Ihrer autonomen KI-Datenbank haben, um sich bei der Datenbank anzumelden. Sie können sich nicht nur mit globalen Rollenzuordnungen bei der Datenbank anmelden.
-
Um sich mit einem Active Directory-Benutzernamen und -Kennwort bei der Datenbank anzumelden, melden Sie sich wie folgt an:
CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;Beispiel:
CONNECT "production\pfitch"/password@adbname_medium;Wenn die Active Directory-Domain zusammen mit dem Benutzernamen enthalten ist, müssen Sie doppelte Anführungszeichen setzen. Beispiel:
"production\pfitch".In diesem Beispiel lautet der Active Directory-Benutzername
pfitchin Domainproduction. Der Active Directory-Benutzer ist Mitglied der Gruppewidget_sales_group, die durch den DN'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'identifiziert wird.
Nachdem Sie CMU mit Active Directory auf einer autonomen KI-Datenbank konfiguriert und die Active Directory-Autorisierung mit globalen Rollen und globalen Benutzern eingerichtet haben, können Sie eine Verbindung zu Ihrer Datenbank mit einer der unter Verbindung zu einer autonomen KI-Datenbank herstellen beschriebenen Verbindungsmethoden herstellen. Wenn Sie beim Herstellen einer Verbindung einen Active Directory-Benutzer nutzen möchten, verwenden Sie Active Directory-Benutzerzugangsdaten. Beispiel: Geben Sie einen Benutzernamen in diesem Formular an: "AD_DOMAIN**AD_USERNAME" (doppelte Anführungszeichen müssen eingeschlossen werden), und verwenden Sie AD_USER_PASSWORD als Kennwort.
Wenn sich die Instanz der autonomen AI-Datenbank im eingeschränkten Modus befindet, können nur Benutzer mit der Berechtigung RESTRICTED SESSION eine Verbindung zur Datenbank herstellen. Der ADMIN-Benutzer verfügt über diese Berechtigung. Mit dem eingeschränkten Zugriffsmodus können Sie administrative Aufgaben wie Indexierung, Dataloads oder andere geplante Aktivitäten ausführen. Weitere Informationen finden Sie unter Betriebsmodus für autonome KI-Datenbanken in "Lesen/Schreiben" oder "Eingeschränkt" ändern.
Verbindungsinformationen für Active Directory-Benutzer mit Autonomous AI Database prüfen
Wenn sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der Datenbank anmelden, können Sie die Benutzeraktivität prüfen und prüfen.
Beispiel: Wenn sich der Benutzer pfitch anmeldet:
CONNECT "production\pfitch"/password@exampleadb_medium;Der Anmeldename des Active Directory-Benutzers (samAccountName) lautet pfitch, und widget_sales_group ist der Active Directory-Gruppenname, und widget_sales ist der globale Datenbankbenutzer.
Nachdem sich pfitch bei der Datenbank angemeldet hat, zeigt der Befehl SHOW USER den globalen Benutzernamen an:
SHOW USER;
USER is "WIDGET_SALES"Der folgende Befehl zeigt den DN (Distinguished Name) des Active Directory-Benutzers an:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;Beispiel: Sie können die Unternehmensidentität dieses zentral verwalteten Benutzers prüfen:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
Der folgende Befehl zeigt "AD_DOMAIN\AD_USERNAME" an:
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;Beispiel: Die authentifizierte Active Directory-Benutzeridentität wird erfasst und auditiert, wenn sich der Benutzer bei der Datenbank anmeldet:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Weitere Informationen finden Sie unter Verifying the Centrally Managed User Logon Information in der Dokumentation Oracle Database 19c Security Guide oder im Oracle AI Database 26ai Security Guide.
Active Directory-Benutzer und -Rollen auf autonomer KI-Datenbank entfernen
Um Active Directory-Benutzer und -Rollen aus autonomen KI-Datenbanken zu entfernen, verwenden Sie standardmäßige Datenbankbefehle. Dadurch werden die zugehörigen Active Directory-Benutzer oder -Gruppen, die den gelöschten Datenbankbenutzern oder -rollen zugeordnet wurden, nicht entfernt.
So entfernen Sie Benutzer oder Rollen aus der autonomen KI-Datenbank:
-
Melden Sie sich als Benutzer mit der Systemberechtigung
DROP USERoderDROP ROLEbei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist. -
Löschen Sie die globalen Benutzer oder Rollen, die Active Directory-Gruppen oder -Benutzern zugeordnet sind, mit der Anweisung
DROP USERoderDROP ROLE.Weitere Informationen finden Sie unter Benutzer in autonomen KI-Datenbanken entfernen.
Active Directory-Zugriff auf autonome KI-Datenbank deaktivieren
Beschreibt die Schritte zum Entfernen der CMU-Konfiguration aus Ihrer autonomen KI-Datenbank (und zum Deaktivieren des LDAP-Zugriffs von Ihrer autonomen KI-Datenbank auf Active Directory).
Nachdem Sie die Instanz der autonomen KI-Datenbank für den Zugriff auf CMU Active Directory konfiguriert haben, können Sie den Zugriff wie folgt deaktivieren:
-
Stellen Sie als ADMIN-Benutzer eine Verbindung zur autonomen KI-Datenbank her.
-
Verwenden Sie
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION, um die CMU-Authentifizierung zu deaktivieren.Hinweis
Hinweis: Um diese Prozedur ausführen zu können, müssen Sie als ADMIN-Benutzer angemeldet sein oder die BerechtigungEXECUTEfürDBMS_CLOUD_ADMINbesitzen.Beispiel:
BEGIN DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION; END; /Dadurch wird die CMU-Authentifizierung in Ihrer autonomen KI-Datenbankinstanz deaktiviert.
Weitere Informationen finden Sie unter DISABLE_EXTERNAL_AUTHENTICATION Procedure.