Um das authentication_oci-Plug-in verwenden zu können, benötigen Sie ein Authentifizierungsschlüsselpaar, eine Konfigurationsdatei und ordnungsgemäß definierte Policy-Anweisungen.

Um das Plug-in authentication_oci verwenden zu können, benötigen Sie Folgendes:

• Einer der folgenden Zugangsdaten:
  • API-Schlüsselpaar: Lokale oder bereitgestellte Benutzer können ein Public-Private-API-Schlüsselpaar verwenden, das ordnungsgemäß in IAM registriert ist, und einen API-Fingerprint. Sie benötigen das Schlüsselpaar und den Fingerprint für jeden einzelnen Benutzer und jedes zugeordnete Gruppenmitglied. Siehe Erforderliche Schlüssel und OCIDs.
  • IAM-Sicherheitstoken: Lokale, föderierte oder bereitgestellte Benutzer können ein IAM-Sicherheitstoken verwenden, das mit der Oracle Cloud Infrastructure-Befehlszeilenschnittstelle generiert wird. Siehe IAM-Sicherheitstoken generieren.
• Eine Konfigurationsdatei mit einem gültigen Fingerprint und key_file-Wert. Geben Sie für die Authentifizierung mit einem IAM-Sicherheitstoken einen gültigen security_token_file-Wert an. Siehe SDK- und CLI-Konfigurationsdatei.
• Die folgende Policy-Anweisung, die in jedem Mandanten definiert ist, mit dem Sie eine Verbindung herstellen möchten:

  Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
    DYNAMIC_GROUP_INSPECT} IN TENANCY

  Diese Policy-Anweisung muss an das Root Compartment angehängt werden, damit sie den gesamten Mandanten abdeckt. Dazu müssen Sie das Root Compartment auswählen, wenn Sie die Policy hinzufügen, und den Parameter IN TENANCY verwenden. Es funktioniert nicht, wenn es in einem Sub-Compartment mit IN COMPARTMENT <CompartmentName> anstelle von IN TENANCY erstellt wird.

  Die oben genannte Richtlinie ist in Version 9.4.0 veraltet und wird in einer späteren Version nicht mehr unterstützt. Für Version 9.4.0 oder höher wird empfohlen, die folgende Policy zu verwenden:

  Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
    DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'

  Hinweis
  
  Wenn Sie die Principals über verschiedene Mandanten hinweg verwenden möchten, benötigen Sie eine Admit-Policy im Zielmandanten (wo Benutzer und Gruppen definiert sind) und eine Endorse-Policy im Mandanten, in dem die Ressource (HeatWave-DB-System) wie unten beschrieben instanziiert wird.

  • Definieren Sie Folgendes im Zielmandanten, der die Benutzer und Gruppen enthält:

    Define tenancy <resource_tenancy_name> AS <resource_tenancy_OCID>
    Admit any-user of tenancy <resource_tenancy_name> TO {AUTHENTICATION_INSPECT, 
      GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy 
      where request.principal.type = 'mysqldbsystem'

  • Definieren Sie Folgendes im Ressourcenmandanten, der das DB-System enthält:

    Define tenancy <target_tenancy_name> AS <target_tenancy_OCID>
    Endorse any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
      DYNAMIC_GROUP_INSPECT} in tenancy <target_tenancy_name> 
      where request.principal.type = 'mysqldbsystem'