Identitäts- und Rollenpropagierung der Datenbanksession
Wenn Sie ein benutzerdefiniertes SQL-Tool oder einen SQL-Bericht über den Database Tools MCP Server ausführen, propagiert der Server die Endbenutzeridentität in die Datenbanksession.
Die Identitätsattribute werden im Kontext-Namespace CLIENTCONTEXT der Datenbanksession gespeichert.
In SQL oder PL/SQL können Sie diese Werte mit der Funktion SYS_CONTEXT abrufen:
SYS_CONTEXT('CLIENTCONTEXT', '<PARAMETER_NAME>')Sie können CLIENTCONTEXT-Werte in SQL oder PL/SQL verwenden, um Zugriffskontrollen basierend auf Anwendungsrollen zu implementieren, Filter auf Zeilenebene anzuwenden und benutzerspezifische Ergebnisse zurückzugeben. Dies verbessert auch das Auditing, indem die Datenbankaktivität mit dem ursprünglichen IAM-Benutzer verknüpft wird.
Die propagierten Identitätsattribute können auch mit Oracle Database Unified Auditing erfasst und mit OCI Audit-Logs korreliert werden, um eine vollständige Rückverfolgbarkeit von MCP-Anforderungen zu gewährleisten. Weitere Informationen finden Sie unter Auditing.
Alle Parameter in der folgenden Tabelle befinden sich unter dem Namespace: CLIENTCONTEXT
CLIENTCONTEXT |
|||
|---|---|---|---|
| Parameter | Beschreibung | Beispiele | Quelle |
| OAUTH_SUB_TYPE | Betrefftyp | Benutzer | Sub_type-Anspruch |
| OAUTH_SUB | Betreff | first.last@example.com | Unteranspruch |
| OAUTH_USER_OCID | Benutzer-OCID | ocid1.user.oc1..xxxx | user_ocid - Anspruch |
| OAUTH_CLIENT_OCID | Client-OCID | ocid1.domainapp.oc1.iad.xxxx | client_ocid-Anspruch |
| OAUTH-CLIENT-NAME | Clientname | Cline | Client_name-Anspruch |
| OAUTH_CA_OCID | Cloud-Account-OCID | ocid1.tenancy.oc1..xxxx | ca_ocid-Anspruch |
| OAUTH_CA_NAME | Cloud-Account-Name | oraclefreedb | ca_name Anspruch |
| OAUTH-DOMAIN-ID | Domain-ID | ocid1.domain.oc1..xxxx | domain_id-Anspruch |
| OAUTH-DOMAINNAME | Domainname | dbtools-mcp | Domainanspruch |
| IAM-DOMAIN-APP-ROLLEN | Zugewiesene Anwendungsrollen | MCP_Benutzer, MCP_Operator | Dem Betreff zugewiesene Anwendungsrollen |
| RESOURCE_OCID | Datenbank-Tools MCP-Server-OCID | ocid1.databasetoolsmcpserver.oc1.phx.xxxx | Datenbank-Tools - MCP-Server-OCID |
| RESOURCE_COMPARTMENT_OCID | Compartment-OCID des MCP-Servers für Datenbanktools | ocid1.compartment.oc1..xxxx | Datenbanktools - MCP-Server-Compartment-OCID |