Microsoft Azure Active Directory-Benutzer für autonome KI-Datenbank authentifizieren und autorisieren

Eine Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Instanz kann so konfiguriert werden, dass Microsoft Azure AD-Benutzer mit Azure OAuth2-Zugriffstoken eine Verbindung herstellen.

Informationen zur Integration von Oracle Autonomous AI Database auf einer dedizierten Exadata-Infrastruktur mit Microsoft Azure AD

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure und Microsoft Azure AD können so konfiguriert werden, dass Benutzer und Anwendungen mit ihren Azure AD-Zugangsdaten eine Verbindung zur Datenbank herstellen können.

Azure AD-Benutzer und -Anwendungen können sich mit Azure AD Single Sign-On-(SSO-)Zugangsdaten anmelden, um auf die Datenbank zuzugreifen. Dies erfolgt mit einem OAuth2-Zugriffstoken von Azure AD, das der Benutzer oder die Anwendung zuerst von Azure AD anfordert. Dieses OAuth2-Zugriffstoken enthält die Benutzeridentität und die Datenbankzugriffsinformationen und wird dann an die Datenbank gesendet. Informationen zum Konfigurieren der Multifaktor- und passwortlosen Authentifizierung finden Sie im Microsoft-Artikel Passwordless Authentication options for Azure Active Directory.

Sie können diese Integration in den folgenden Oracle Database-Umgebungen ausführen:

• On-Premises Oracle Database Release 19.18 und höher

• Oracle Autonomous AI Database auf gemeinsam verwendeter Exadata-Infrastruktur

• Oracle Autonomous AI Database auf dedizierter Exadata-Infrastruktur

• Oracle Base Database Service

• Oracle Exadata Cloud Service (Oracle ExaCS)

In den Anweisungen zur Konfiguration von Azure AD wird der Begriff "Oracle Database" verwendet, um diese Umgebungen zu umfassen.

Mit diesem Integrationstyp kann der Azure AD-Benutzer auf eine Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Instanz zugreifen. Azure AD-Benutzer und -Anwendungen können sich mit Azure AD-Single Sign-On-(SSO-)Zugangsdaten anmelden, um ein OAuth2-Zugriffstoken für Azure AD abzurufen, das an die Datenbank gesendet wird.

Der Azure AD-Administrator erstellt und registriert Oracle Autonomous AI Database auf einer dedizierten Exadata-Infrastruktur bei Azure AD. Innerhalb von Azure AD wird dies als App-Registrierung bezeichnet, die für die Anwendungsregistrierung steht. Dies sind die digitalen Informationen, die Azure AD über die Software wissen muss, die Azure AD verwendet. Der Azure AD-Administrator erstellt auch Anwendungsrollen (App) für die Datenbankanwendungsregistrierung in Azure AD. Anwendungsrollen verbinden Azure-Benutzer, -Gruppen und -Anwendungen mit Datenbankschemas und -rollen. Der Azure AD-Administrator weist den Anwendungsrollen Azure AD-Benutzer, -Gruppen oder -Anwendungen zu. Diese Anwendungsrollen werden einem globalen Datenbankschema oder einer globalen Rolle oder einem Schema und einer Rolle zugeordnet. An Azure AD user, group, or application that is assigned to an app role will be mapped to a database global schema, global role, or to both a schema and a role. Außerdem kann ein globales Oracle-Schema einem Azure AD-Benutzer exklusiv zugeordnet werden. Ein Azure AD-Gastbenutzer (Nicht-Organisationsbenutzer) oder ein Azure AD-Service-Principal (Anwendung) kann nur über eine Azure AD-Anwendungsrolle einem globalen Datenbankschema zugeordnet werden. Eine globale Oracle-Rolle kann nur aus einer Azure-Anwendungsrolle zugeordnet und nicht von einem Azure-Benutzer zugeordnet werden.

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Tools, einschließlich Oracle APEX, Database Actions, Oracle Graph Studio und Oracle Database API for MongoDB, sind nicht mit Azure AD-Token kompatibel, um eine Verbindung zur Datenbank herzustellen.

Tools und Anwendungen, die zur Unterstützung von Azure AD-Token aktualisiert werden, können Benutzer direkt bei Azure AD authentifizieren und das Datenbankzugriffstoken an die Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Instanz übergeben. Sie können vorhandene Datenbanktools wie SQL*Plus so konfigurieren, dass ein Azure AD-Token aus einem Dateispeicherort verwendet wird. In diesen Fällen können Azure AD-Token mit Tools wie Microsoft PowerShell oder Azure-CLI abgerufen und in einem Dateispeicherort abgelegt werden. Azure AD OAuth2-Datenbankzugriffstoken werden mit einer Ablaufzeit ausgegeben. Der Oracle Database-Clienttreiber stellt sicher, dass das Token ein gültiges Format aufweist und nicht abgelaufen ist, bevor es an die Datenbank übergeben wird. Der Geltungsbereich des Tokens wird für die Datenbank festgelegt. Das bedeutet, dass im Token Informationen zur Datenbank vorhanden sind, in der das Token verwendet wird. Die Anwendungsrollen, denen der Azure AD-Principal in der Azure AD-Anwendungsregistrierung der Datenbank zugewiesen wurde, sind als Teil des Zugriffstokens enthalten. Für den Verzeichnisspeicherort für das Azure AD-Token sollten nur minimale Berechtigungen festgelegt werden, sodass der Benutzer lediglich die Tokendatei in den Speicherort schreiben und der Datenbankclient diese Dateien abrufen kann (z.B. nur Lese- und Schreibberechtigung für den Benutzer). Da das Token Zugriff auf die Datenbank gewährt, muss es im Dateisystem geschützt werden.

Azure AD-Benutzer können ein Token von Azure AD mit einer Reihe von Methoden anfordern, um ein Azure-Anmeldefenster zu öffnen und ihre Azure AD-Zugangsdaten einzugeben.

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure akzeptiert Token, die folgende Azure AD-Principals darstellen:

• Azure AD-Benutzer: Ist im Azure AD-Mandanten als Benutzer registriert

• Gastbenutzer: Ist im Azure AD-Mandanten als Gastbenutzer registriert

• Service: Hierbei handelt es sich um die registrierte Anwendung, die eigenständig mit dem Clientzugangsdatenfluss eine Verbindung zur Datenbank herstellt (Anwendungsfall für Verbindungspool)

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure unterstützt die folgenden Azure AD-Authentifizierungsabläufe:

• Autorisierungscode, der am häufigsten für menschliche Benutzer (nicht für Anwendungen) zur Authentifizierung bei Azure AD in einer Clientumgebung mit einem Browser verwendet wird

• Clientzugangsdaten: Werden für Datenbankanwendungen verwendet, die eigenständig (nicht als Endbenutzer) eine Verbindung herstellen

• OBO (On-Behalf-Of): Hierbei fordert eine Anwendung ein Zugriffstoken im Namen eines angemeldeten Benutzers an, um es an die Datenbank zu senden

• Resource Owner Password Credential (ROPC), das nicht für die Produktion empfohlen wird, aber in Testumgebungen verwendet werden kann, in denen eine Popup-Browser-Benutzerauthentifizierung nur schwer integriert werden kann. ROPC benötigt den Azure AD-Benutzernamen und die Kennwortzugangsdaten, um Teil des Tokenanforderungsaufrufs zu sein.

Architektur der Microsoft Azure AD-Integration mit einer autonomen KI-Datenbank

Microsoft Azure Active Directory-Token folgen dem OAuth2-Standard mit Erweiterungen. Die Verwendung eines Azure AD-Tokens für den Zugriff auf eine Oracle-Datenbank ähnelt der Verwendung von OCI-IAM-Token. Eine detaillierte Erläuterung finden Sie unter Architektur der Microsoft Azure AD-Integration mit einer Oracle Database im Sicherheitshandbuch.

Zuordnung von Azure AD-Benutzern zur autonomen KI-Datenbank

Microsoft Azure-Benutzer müssen einem Autonomous AI Database-Schema zugeordnet sein und über die erforderlichen Berechtigungen (über Rollen) verfügen, bevor sie sich bei der Autonomous AI Database-Instanz authentifizieren können. Informationen zu den verschiedenen Möglichkeiten der Zuordnung von Benutzern, Gruppen und Anwendungen in Microsoft Azure finden Sie unter Azure AD-Benutzerzuordnung zu Oracle Database in der Sicherheitsdokumentation.

Anwendungsfälle für die Verbindung zu einer autonomen KI-Datenbank mit Azure AD

Oracle Database unterstützt drei verschiedene Anwendungsfälle für die Verbindung zu einer Autonomous AI Database-Instanz mit Microsoft Azure Active Directory. Weitere Informationen finden Sie unter Anwendungsfälle für die Verbindung zu einer Oracle Database mit Azure AD.

Allgemeiner Prozess zur Authentifizierung von Microsoft Azure AD-Identitäten mit Oracle Autonomous AI Database auf dedizierter Exadata-Infrastruktur

Der Oracle Database-Administrator und der Microsoft Azure AD-Administrator spielen Rollen, damit Azure AD-Benutzer über Azure AD OAuth2-Zugriffstoken eine Verbindung zur Datenbank herstellen können.

Der allgemeine Prozess läuft wie folgt ab:

1. Der Oracle Database-Administrator stellt sicher, dass die Oracle Database-Umgebung die Anforderungen für die Microsoft Azure AD-Integration erfüllt. Siehe Oracle Database-Anforderungen für die Microsoft Azure AD-Integration.

2. Der Azure AD-Administrator erstellt eine Azure AD-App-Registrierung für die Datenbank, und der Oracle Database-Administrator ermöglicht der Datenbank, Azure AD-Token für den Datenbankzugriff zu verwenden.

   Im Rahmen der App-Registrierung erstellt der Azure AD-Administrator Azure-Anwendungsrollen, die für die Zuordnungen zwischen den Azure-Benutzern, -Gruppen und -Anwendungen zu den Oracle Database-Schemas und -Rollen verwendet werden.

3. Der Oracle Database-Administrator erstellt globale Schemas und ordnet sie entweder einem Azure AD-Benutzer (exklusive Schemazuordnung) oder einer Azure-Anwendungsrolle (gemeinsame Schemazuordnung) zu. Der Azure AD-Benutzer oder die Anwendung muss einem Schema zugeordnet sein.

4. Optional erstellt der Oracle-Administrator globale Oracle Database-Rollen und ordnet sie Azure-Anwendungsrollen zu.

5. Der Azure AD-Endbenutzer, der eine Verbindung zur Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Instanz aufbauen möchte, registriert die Clientanwendung als Azure AD-Client (entspricht der Registrierung der Oracle-Datenbank).

   Der Azure AD-Client verfügt über eine Client-ID und ein Client Secret, es sei denn, es handelt sich um einen öffentlichen Anwendungsclient. Bei einem öffentlichen Anwendungsclient ist nur die Anwendungsclient-ID erforderlich.

6. Der Azure AD-Endbenutzer (der ein Datenbankadministrator sein kann) stellt eine Verbindung mit einem Utility wie PowerShell oder der Azure-Befehlszeilenschnittstelle her, um das Datenbankzugriffstoken OAuth2 abzurufen und in einem lokalen Dateiverzeichnis zu speichern. Eine Anwendung kann auch ein OAuth2-Zugriffstoken direkt von Azure AD anfordern und es über eine Datenbankclient-API übergeben. Informationen zur Übergabe von OAuth2-Token für Azure AD finden Sie im folgenden Oracle Database-Clientdokumentation:

   • JDBC-Thin-Clients: JDBC-Entwicklerdokumentation zu Oracle AI Database

   • Oracle Call Interface (OCI): Oracle Call Interface-Entwicklerdokumentation

   • Oracle Data Provider for .NET (ODP): Oracle Data Provider for .NET-Entwicklerdokumentation Verbindung mit Oracle Database herstellen

7. Nachdem der Azure AD-Endbenutzer mit der Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Instanz verbunden ist, führt er Datenbankvorgänge nach Bedarf aus.

Azure AD-Authentifizierung in autonomer KI-Datenbank aktivieren

Ein Azure AD-Administrator und ein Administrator einer autonomen KI-Datenbank führen Schritte zur Konfiguration der Azure AD-Authentifizierung in einer autonomen KI-Datenbank aus.

Voraussetzungen

Die Integration von Microsoft Azure AD mit der Oracle Autonomous AI Database on Dedicated Exadata Infrastructure erfordert:

1. Die autonome KI-Datenbank muss Version 19.18 oder höher sein.

2. Konnektivität zur Datenbank an TLS-Port 2484. Nicht-TLS-Verbindungen werden nicht unterstützt.

3. Ausgehende Netzwerkkonnektivität zu Azure AD muss vorhanden sind, damit die Datenbank den Public Key von Azure AD anfordern kann.

4. Die autonome KI-Datenbank, die bei Azure AD registriert werden soll.

5. Bei Exadata Cloud@Customer-Deployments müssen die HTTP-Proxyeinstellungen in Ihrer Umgebung die Verwendung von Azure AD durch die Datenbank zulassen.

   Diese Einstellungen werden vom Flottenadministrator beim Erstellen der Exadata Cloud@Customer-Infrastruktur definiert, wie unter Exadata Database Service on Cloud@Customer mit der Konsole bereitstellen beschrieben.

Hinweis: Die Netzwerkkonfiguration einschließlich des HTTP-Proxys kann nur bearbeitet werden, bis die Exadata-Infrastruktur den Status Aktivierung erforderlich aufweist. Sobald es aktiviert ist, können Sie diese Einstellungen nicht mehr bearbeiten.

Für das Einrichten eines HTTP-Proxys für eine bereits bereitgestellte Exadata-Infrastruktur ist eine Serviceanfrage (SR) in My Oracle Support erforderlich. Weitere Informationen finden Sie unter Service Request in My Oracle Support erstellen.

Vorgehensweise

Implementieren Sie die folgenden Aufgaben, um Ihre Autonomous AI Database for Microsoft Azure AD-Integration zu konfigurieren.

1. Registrieren Sie die Autonomous AI Database-Instanz bei einem Microsoft Azure AD-Mandant: Ein Benutzer mit Azure AD-Administratorberechtigungen verwendet Microsoft Azure AD, um die Oracle Database-Instance beim Microsoft Azure AD-Mandant zu registrieren. Informationen hierzu finden Sie unter Oracle Autonomous AI Database-Instanz mit einem Microsoft Azure AD-Mandanten registrieren in der Dokumentation Security Guide.

2. Microsoft Azure AD v2-Zugriffstoken aktivieren: Wenn Ihre Organisation das Microsoft Azure AD v2-Zugriffstoken (anstelle von v1-Token) verwendet, müssen Sie möglicherweise zusätzliche Änderungen in Azure AD vornehmen, um den upn:-Anspruch in Ihrem Token zu unterstützen. Siehe Microsoft Azure AD v2-Zugriffstoken aktivieren und Azure AD-Zugriffstokenversion prüfen in der Sicherheitsdokumentation.

3. Anwendungsrollen in Microsoft Azure AD verwalten: In Azure AD können Sie Anwendungsrollen erstellen und verwalten, die Benutzern und Gruppen von Azure AD zugewiesen und auch globalen Oracle Database-Schemas und -Rollen zugeordnet werden sollen. Weitere Informationen finden Sie unter Manage App Roles in Microsoft Azure AD im Security Guide.

4. Konfigurieren Sie die ausgehende Konnektivität zu Microsoft Azure AD mit einem NAT-Gateway:

   Sie können ein NAT-Gateway im virtuellen Cloud-Netzwerk (VCN) erstellen, in das sich Ihre autonomen KI-Datenbankressourcen befinden, indem Sie die Anweisungen in NAT-Gateway erstellen in der Oracle Cloud Infrastructure-Dokumentation befolgen.

   Nachdem das NAT-Gateway erstellt wurde, fügen Sie eine Routingregel und eine Egress-Sicherheitsregel zu jedem Subnetz (im VCN) hinzu, in dem sich autonome KI-Datenbankressourcen befinden. Damit können diese Ressourcen über das Gateway einen öffentlichen Schlüssel von Ihrer Azure AD-Instanz abrufen:

   1. Gehen Sie zur Seite Subnetzdetails für das Subnetz.

   2. Klicken Sie auf der Registerkarte Informationen zum Subnetz auf den Namen der Routentabelle des Subnetzs, um die Seite Routentabellendetails anzuzeigen.

   3. Überprüfen Sie in der Tabelle der vorhandenen Routingregeln, ob bereits eine Regel mit den folgenden Eigenschaften vorhanden ist:

      • Ziel: 0.0.0.0/0

      • Zieltyp: NAT-Gateway

      • Ziel: Der Name des NAT-Gateways, das Sie gerade im VCN erstellt hat

      Wenn keine derartige Regel vorhanden ist, klicken Sie auf Routingregeln hinzufügen, und fügen Sie eine Routingregel mit diesen Merkmalen hinzu.

   4. Kehren Sie zur Seite Subnetzdetails für das Subnetz erneut zurück.

   5. Klicken Sie in der Tabelle Sicherheitslisten des Subnetzes auf den Namen der Sicherheitsliste des Subnetzes, um das Register Sicherheitslistendetails anzuzeigen.

   6. Klicke im Seitenmenü unter Ressourcen auf Egress-Regeln.

   7. Überprüfen Sie in der Tabelle der vorhandenen Egress-Regeln, ob bereits eine Regel mit den folgenden Eigenschaften vorhanden ist:

      • Zieltyp:CIDR

      • Ziel:0.0.0.0/0

      • IP-Protokoll:TCP

      • Quellportbereich:443

      • Zielportbereich: Alle

      Wenn keine derartige Regel vorhanden ist, klicken Sie auf Egress-Regeln hinzufügen, und fügen Sie eine Egress-Regel mit diesen Merkmalen hinzu.

5. Zugänglichkeit des Entra-ID-Endpunkts testen

   Stellen Sie sicher, dass Ihre Oracle Database-Instanz auf den Entra-ID-Endpunkt zugreifen kann, indem Sie die unter Testen der Barrierefreiheit des Azure-Endpunkts in der Sicherheitsdokumentation beschriebenen Schritte befolgen.

   Wenn die Datenbank keine Verbindung zum Microsoft Entra ID-Endpunkt herstellen kann, prüfen Sie auch nach dem Festlegen der ACL-Policy die oben aufgeführten Voraussetzungen, um zu bestätigen, dass Sie das Netzwerk ordnungsgemäß gemäß den Voraussetzungen konfiguriert haben. Wenn das Problem weiterhin besteht, prüfen Sie Ihr Networking, um sicherzustellen, dass die Datenbankinstanz eine Verbindung zum MS Entra ID-Endpunkt herstellen kann.

6. Konfigurieren Sie Azure AD als externen Identitätsprovider für autonome KI-Datenbank:

   Standardmäßig sind autonome KI-Datenbanken und autonome Containerdatenbanken so konfiguriert, dass sie Benutzer mit Oracle Cloud Infrastructure-(IAM-)Authentifizierung und -Autorisierung verbinden. Ein Anwendungs-DBA kann dies auch in ein anderes externes Authentifizierungsschema ändern, z. B. zentral verwaltete Benutzer mit Active Directory (CMU-AD) oder Kerberos. Eine autonome KI-Datenbank kann jedoch jeweils nur ein externes Authentifizierungsschema aktivieren.

   So aktivieren Sie Azure AD als externen Identitätsprovider in einer autonomen KI-Datenbankinstanz:

   1. Melden Sie sich bei der autonomen AI-Datenbankinstanz als Benutzer mit der Berechtigung EXECUTE für das PL/SQL-Package DBMS_CLOUD_ADMIN an. Der ADMIN-Benutzer verfügt über diese Berechtigung.

   2. Da für eine autonome KI-Datenbank jeweils nur ein externes Authentifizierungsschema aktiviert sein kann, führen Sie die Prozedur DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION aus, um jedes externe Authentifizierungsschema zu deaktivieren, das bereits für Ihre Datenbank aktiviert ist.

      Um die Prozedur ausführen zu können, müssen Sie als ADMIN-Benutzer angemeldet sein oder die Berechtigung EXECUTE für DBMS_CLOUD_ADMIN besitzen.

       BEGIN
         DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
       END;
       /
      

   3. Führen Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION mit den erforderlichen Azure AD-Parametern aus.

       BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type   =>'AZURE_AD',
             params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                                   'application_id' VALUE 'application_id',
                                   'application_id_uri' VALUE 'application_id_uri'),
             force => TRUE
         );
       END;
      

      In dieser Prozedur lauten die Azure AD-Parameter wie folgt:

      • type: Gibt den externen Authentifizierungsprovider an. Verwenden Sie für Azure AD wie dargestellt 'AZURE_AD'.

      • params: Werte für die erforderlichen Azure AD-Parameter sind im Azure-Portal im Bereich "Überblick" der App-Registrierung für Azure Active Directory verfügbar. Die erforderliche params für Azure AD ist:

        • tenant_id: Mandanten-ID des Azure-Accounts. Mandanten-ID gibt die Azure AD-Anwendungsregistrierung der autonomen AI-Datenbankinstanz an.

        • application_id: Azure-Anwendungs-ID, die in Azure AD erstellt wurde, um Rollen-/Schemazuordnungen für die externe Authentifizierung in der Instanz der autonomen KI-Datenbank zuzuweisen.

        • application_id_uri: Eindeutige URI, die der Azure-Anwendung zugewiesen ist.

          Dies ist die ID für die Instanz der autonomen KI-Datenbank. Der Name muss domainqualifiziert sein (unterstützt mandantenübergreifenden Ressourcenzugriff).

          Die maximale Länge für diesen Parameter beträgt 256 Zeichen.

      • force: Setzen Sie diesen Parameter auf TRUE, wenn eine andere EXTERNAL AUTHENTICATION-Methode für die Instanz der autonomen KI-Datenbank konfiguriert ist und Sie ihn deaktivieren möchten.

      Beispiel:

       BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type   =>'AZURE_AD',
             params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                                   'application_id' VALUE '11aa1a11-aaa',
                                   'application_id_uri' VALUE 'https://example.com/111aa1aa'),
             force  => TRUE
         );
       END;
      

      Dadurch wird der Systemparameter IDENTITY_PROVIDER_TYPE festgelegt.

      Beispiel: Sie können Folgendes verwenden, um IDENTITY_PROVIDER_TYPE zu prüfen:

       SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
      

       NAME                   VALUE
      
       ---------------------- --------
       identity_provider_type AZURE_AD
      

   Weitere Informationen finden Sie unter Prozedur ENABLE_EXTERNAL_AUTHENTICATION.

Oracle Database-Schemas und -Rollen zuordnen

Azure AD-Benutzer werden einem Datenbankschema und optional einer oder mehreren Datenbankrollen zugeordnet.

Sie haben die folgenden Optionen für die Zuordnung von Oracle-Datenbankschemas und -Rollen zu Microsoft Azure AD-Benutzern:

• Oracle Database-Schema einem Microsoft Azure AD-Benutzer exklusiv zuweisen: Weitere Informationen finden Sie unter Oracle Database-Schema einem Microsoft Azure AD-Benutzer exklusiv zuweisen in der Sicherheitsdokumentation.

• Gemeinsames Oracle-Schema einer App-Rolle zuordnen: Weitere Informationen finden Sie unter Gemeinsames Oracle-Schema einer App-Rolle zuordnen in der Sicherheitsdokumentation.

• Globale Oracle Database-Rolle einer Anwendungsrolle zuordnen: Weitere Informationen finden Sie unter Globale Oracle Database-Rolle einer Anwendungsrolle zuordnen in der Sicherheitsdokumentation.

Clientverbindungen zu Azure ADs konfigurieren

Es gibt zahlreiche Möglichkeiten, wie Sie einen Client für die Verbindung mit einer Oracle Autonomous AI Database auf einer dedizierten Exadata-Infrastrukturinstanz mit Azure AD-Token konfigurieren können.

Wählen Sie die Clientverbindungsmethode aus, die in Ihrer Umgebung am besten funktioniert. Diese Dokumentation enthält Beispiele für das Herstellen von SQL*Plus-Verbindungen mit verschiedenen Methoden zum Abrufen eines OAuth2-Zugriffstokens für Azure AD. Alle Oracle Database Release 19c-Clients können ein Token akzeptieren, das als Datei übergeben wird. Die JDBC-Thin-, Instant Client- und ODP.net-Treiber akzeptieren das Token auch über die Datenbankclient-API von einer Anwendung. Oracle Database-Tools wie SQL*Plus können die Tokens nicht direkt abrufen, sodass Tools wie PowerShell oder Azure-CLI zum Abrufen des Azure AD-Zugriffstokens OAuth2 verwendet werden müssen. Um ein Azure AD-Token abzurufen, muss der Client über den Azure AD-App-Registrierungsprozess registriert sein. Die Registrierung des Clients ähnelt der Registrierung des Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Servers bei Azure AD über App-Registrierung. Datenbank und Client müssen bei Azure AD registriert sein.

Die Datenbank muss registriert sein, damit der Client die Berechtigung zum Abrufen eines Zugriffstokens für die Datenbank erhalten kann. Der Client muss registriert sein, damit Azure AD erkennen kann, dass ein vertrauenswürdiger Client ein Zugriffstoken anfordert.

Hinweis: Auf dem Client müssen Sie die Parameter TOKEN_AUTH und TOKEN_LOCATION in der Datei sqlnet.ora festlegen, um das Azure AD-Datenbankzugriffstoken aus einem Speicherort abzurufen und zu verwenden, wenn die Schrägstrichanmeldung / verwendet wird. Genaue Details werden unter SQL*Plus für Azure AD-Zugriffstoken konfigurieren beschrieben.

Weitere Informationen zum Herstellen von Clientverbindungen zu Azure AD finden Sie in den folgenden Microsoft Azure-Artikeln:

• Schnellstart: Clientanwendung für den Zugriff auf eine Web-API konfigurieren

• Wählen Sie das richtige Azure-Befehlszeilentool

• Azure AD-Token mit der Microsoft-Authentifizierungsbibliothek abrufen

• Azure-CLI unter Linux installieren

Betriebsablauf für SQL*Plus-Clientverbindung in PowerShell zu einer autonomen KI-Datenbank

Die Verbindung zwischen dem Azure-Benutzer, Azure AD und der Autonomous AI Database-Instanz basiert auf der Übergabe des OAuth2-Tokens innerhalb dieser Komponenten.

Ein Beispiel für die Verwendung des Resource Owner Password Credential-(ROPC-)Ablaufs mit einem öffentlichen Client finden Sie unter [Operational Flow for SQLPlus Client Connection in PowerShell to Oracle Database](/pls/topic/lookup?ctx=en/cloud/paas/autonomous-database/dedicated/adbaa&id=DBSEG-GUID-455CDC87-C5A1-4A58-801A-29D216CB66B5) in *Security Guide.

Client bei der Azure AD-Anwendungsregistrierung registrieren

Diese Art der Registrierung ähnelt der Registrierung von Autonomous AI Database bei der Registrierung der Azure AD-App. Weitere Informationen finden Sie in den folgenden Abschnitten:

• Registrieren Sie den Datenbankclient je nach Anwendungsfall als vertraulich oder öffentlich bei Azure: Registrierung für vertraulichen und öffentlichen Client

• Datenbankclient-App bei Azure AD registrieren: Datenbankclient-App bei Azure AD registrieren

Beispiele für das Abrufen von OAuth2-Token für die Azure AD

Beispiele für die verschiedenen Möglichkeiten, wie Sie Azure AD-Token OAuth2 abrufen können, finden Sie unter Examples of Retrieving Azure AD OAuth2 Tokens im Security Guide.

SQL*Plus für Azure AD-Zugriffstoken konfiguriert

Sie müssen SQL*Plus so konfigurieren, dass der Zugriffstoken der Azure AD-Datenbank von einem Speicherort abgerufen und bei Verwendung der Schrägstrichanmeldung mit / genutzt wird. Ausführliche Anweisungen finden Sie unter Configuring SQL*Plus for Azure AD Access Tokens in Security Guide.

Fehlerbehebung bei Microsoft Entra ID-Verbindungen

Mit Tracedateien können Sie Probleme mit Microsoft Entra ID-Verbindungen diagnostizieren. Sie können auch problemlos ORA-12599- und ORA-03114-Fehler beheben.

• Mit Tracedateien können Sie Fehler bei der Oracle Database-Integration mit Microsoft Azure AD beheben. Weitere Informationen finden Sie unter Tracedateien für die Fehlerbehebung bei Oracle Database-Clientverbindungen mit Azure AD in der Datenbanksicherheitsdokumentation.

• Die Fehler ORA-12599: TNS: cryptographic checksum mismatch und ORA-03114: not connected to ORACLE weisen darauf hin, dass die Datenbank, zu der Sie eine Verbindung herstellen möchten, durch native Netzwerkverschlüsselung geschützt ist.

  Wenn Token für den Zugriff auf eine Oracle-Datenbank verwendet werden, muss eine Transport Layer Security-(TLS-)Verbindung hergestellt werden, nicht die native Netzwerkverschlüsselung. Um diese Fehler zu beheben, stellen Sie sicher, dass TLS ordnungsgemäß für Ihre Datenbank konfiguriert ist. Sie sollten die Konfiguration mit einem lokalen Datenbankbenutzernamen und -kennwort testen und die folgenden SYSCONTEXT USERENV-Parameter prüfen:

  • NETWORK_PROTOCOL

  • TLS_VERSION

• Sie können die Version des Microsoft Azure AD-Zugriffstokens prüfen, das Ihre Site verwendet, indem Sie die Website "JSON Web Tokens" verwenden. Weitere Informationen finden Sie unter Azure AD-Zugriffstokenversion prüfen im Datenbanksicherheitshandbuch.