Voraussetzungen

Um das authentication_oci-Plug-in verwenden zu können, benötigen Sie ein Authentifizierungsschlüsselpaar, eine Konfigurationsdatei und ordnungsgemäß definierte Policy-Anweisungen.

Um das Plug-in authentication_oci verwenden zu können, benötigen Sie Folgendes:

  • Einer der folgenden Zugangsdaten:
    • API-Schlüsselpaar: Lokale oder bereitgestellte Benutzer können ein Public-Private-API-Schlüsselpaar verwenden, das ordnungsgemäß in IAM registriert ist, und einen API-Fingerprint. Sie benötigen das Schlüsselpaar und den Fingerprint für jeden einzelnen Benutzer und jedes zugeordnete Gruppenmitglied. Siehe Erforderliche Schlüssel und OCIDs.
    • IAM-Sicherheitstoken: Lokale, föderierte oder bereitgestellte Benutzer können ein IAM-Sicherheitstoken verwenden, das mit der Oracle Cloud Infrastructure-Befehlszeilenschnittstelle generiert wird. Siehe IAM-Sicherheitstoken generieren.
  • Eine Konfigurationsdatei mit einem gültigen Fingerprint und key_file-Wert. Geben Sie für die Authentifizierung mit einem IAM-Sicherheitstoken einen gültigen security_token_file-Wert an. Siehe SDK- und CLI-Konfigurationsdatei.
  • Die folgende Policy-Anweisung, die in jedem Mandanten definiert ist, mit dem Sie eine Verbindung herstellen möchten:
    Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
      DYNAMIC_GROUP_INSPECT} IN TENANCY

    Diese Policy-Anweisung muss an das Root Compartment angehängt werden, damit sie den gesamten Mandanten abdeckt. Dazu müssen Sie das Root Compartment auswählen, wenn Sie die Policy hinzufügen, und den Parameter IN TENANCY verwenden. Es funktioniert nicht, wenn es in einem Sub-Compartment mit IN COMPARTMENT <CompartmentName> anstelle von IN TENANCY erstellt wird.

    Die oben genannte Richtlinie ist in Version 9.4.0 veraltet und wird in einer späteren Version nicht mehr unterstützt. Für Version 9.4.0 oder höher wird empfohlen, die folgende Policy zu verwenden:
    Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
      DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'
    Hinweis

    Wenn Sie die Principals über verschiedene Mandanten hinweg verwenden möchten, benötigen Sie eine Admit-Policy im Zielmandanten (wo Benutzer und Gruppen definiert sind) und eine Endorse-Policy im Mandanten, in dem die Ressource (HeatWave-DB-System) wie unten beschrieben instanziiert wird.
    • Definieren Sie Folgendes im Zielmandanten, der die Benutzer und Gruppen enthält:
      Define tenancy <resource_tenancy_name> AS <resource_tenancy_OCID>
      Admit any-user of tenancy <resource_tenancy_name> TO {AUTHENTICATION_INSPECT, 
        GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy 
        where request.principal.type = 'mysqldbsystem'
    • Definieren Sie Folgendes im Ressourcenmandanten, der das DB-System enthält:
      Define tenancy <target_tenancy_name> AS <target_tenancy_OCID>
      Endorse any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
        DYNAMIC_GROUP_INSPECT} in tenancy <target_tenancy_name> 
        where request.principal.type = 'mysqldbsystem'

Verwandte Themen

IAM-Sicherheitstoken generieren

Lokale, föderierte oder bereitgestellte Benutzer können ein IAM-Sicherheitstoken zur Authentifizierung über das Plug-in authentication_oci verwenden.

CLI verwenden

Mit der Oracle Cloud Infrastructure-Befehlszeilenschnittstelle können Sie ein IAM-Sicherheitstoken generieren.

  1. Führen Sie den folgenden Befehl in der Oracle Cloud Infrastructure-Befehlszeilenschnittstelle aus:
    oci session authenticate
  2. Wenn Sie dazu aufgefordert werden, wählen Sie die Region.
    Ein Webbrowser wird gestartet.
  3. Geben Sie Ihre Benutzerzugangsdaten im Browser ein.
  4. Geben Sie den Profilnamen ein, den Sie in der Befehlszeilenschnittstelle erstellen möchten.
    Das IAM-Sicherheitstoken wird zusammen mit einem flüchtigen Schlüsselpaar generiert. Die Authentifizierungsinformationen werden in der .config-Datei gespeichert. Standardmäßig läuft das Sicherheitstoken in einer Stunde ab.
  5. (Optional) Um das Sicherheitstoken (innerhalb des Gültigkeitszeitraums) für eine Stunde zu aktualisieren, führen Sie den folgenden Befehl aus:
    oci session refresh --profile <profile_name>
    Sie können das Token bis zu 24 Stunden aktualisieren.