Microsoft Active Directory mit Autonomous AI Database on Dedicated Exadata Infrastructure verwenden

Sie können Autonomous AI Database auf einer dedizierten Exadata-Infrastruktur so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert wird. Dadurch können Active Directory-Benutzer mit ihren Active Directory-Zugangsdaten auf eine Autonomous AI Database zugreifen.

Hinweis: Informationen zur Verwendung von Azure Active Directory mit einer autonomen KI-Datenbank finden Sie unter Azure Active Directory (Azure AD) mit einer autonomen KI-Datenbank verwenden. Die CMU-Option unterstützt Microsoft Active Directory-Server, jedoch nicht den Azure Active Directory-Service.

Die Integration von Autonomous AI Database mit Centrally Managed Users (CMU) ermöglicht die Integration mit Microsoft Active Directory. CMU mit Active Directory ordnet globale Oracle-Datenbankbenutzer und globale Rollen Microsoft Active Directory-Benutzern und -Gruppen zu.

Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory in einer autonomen KI-Datenbank

Die folgenden Voraussetzungen sind erforderlich, um die Verbindung von der autonomen KI-Datenbank zu Active Directory zu konfigurieren:

• Microsoft Active Directory muss installiert und konfiguriert sein. Weitere Informationen finden Sie unter Erste Schritte mit AD DS.

• Sie müssen einen Oracle-Serviceverzeichnisbenutzer in Active Directory erstellen. Informationen zum Benutzeraccount des Oracle-Serviceverzeichnisses finden Sie unter Schritt 1: Oracle Service Directory User Account on Microsoft Active Directory erstellen und Berechtigungen erteilen in der Dokumentation Oracle Database 19c Security Guide oder in der Dokumentation Oracle Database 26ai Security Guide.

• Ein Active Directory-Systemadministrator muss den Oracle-Kennwortfilter auf den Active Directory-Servern installiert haben und Active Directory-Gruppen mit Active Directory-Benutzern einrichten, um Ihre Anforderungen zu erfüllen.

  Nur der Kennwortauthentifizierung wird mit CMU für Autonomous AI Database unterstützt. Sie müssen daher das enthaltene Utility opwdintg.exe verwenden, um den Oracle-Kennwortfilter auf Active Directory zu installieren, das Schemazu erweitern und drei neue ORA_VFR-Gruppen für drei Typen der Passwortverifizierungsgenerierung erstellen. Informationen zum Installieren des Oracle-Kennwortfilters finden Sie unter Schritt 2: Kennwortauthentifizierung, Kennwortfilter installieren und Microsoft Active Directory-Schema erweitern in der Dokumentation Oracle Database 19c - Sicherheitsdokumentation oder in der Dokumentation Oracle Database 26ai - Sicherheitsdokumentation.

• Active Directory-Server müssen über das öffentliche Internet über die autonome AI-Datenbank zugänglich sein, und der Port 636 der Active Directory-Server muss für Autonomous AI Database in Oracle Cloud Infrastructure geöffnet sein, damit Autonomous AI Database über das Internet sicheren LDAP-Zugriff über TLS/SSL auf die Active Directory-Server erhalten kann.

  Sie können Ihr On-Premise-Active Directory auch auf Oracle Cloud Infrastructure erweitern. So können Sie schreibgeschützte Domaincontroller (RODCs) für das On-Premise-Active Directory einrichten. Anschließend können Sie diese RODCs in Oracle Cloud Infrastructure verwenden, um die On-Premise-Active Directory-Benutzer für den Zugriff auf autonome KI-Datenbanken zu authentifizieren und zu autorisieren.

  Weitere Informationen finden Sie unter Active Directory-Integration in Hybrid Cloud erweitern.

• Sie benötigen das Datenbank-Wallet der CMU-Konfiguration, cwallet.sso und die CMU-Konfigurationsdatei dsi.ora, um CMU für Ihre autonome KI-Datenbank zu konfigurieren:

  • Wenn Sie CMU für eine On-Premise-Datenbank konfiguriert haben, können Sie diese Konfigurationsdateien vom On-Premise-Datenbankserver abrufen.

  • Wenn Sie CMU nicht für eine On-Premise-Datenbank konfiguriert haben, müssen Sie diese Dateien erstellen. Anschließend laden Sie die Konfigurationsdateien in die Cloud hoch, um CMU in Ihrer autonomen KI-Datenbankinstanz zu konfigurieren. Sie können das Wallet und das dsi.ora validieren, indem sie CMU für eine On-Premise-Datenbank konfigurieren und prüfen, ob sich ein Active Directory-Benutzer mit diesen Konfigurationsdateien erfolgreich bei der On-Premise-Datenbank anmelden kann. Anschließend laden Sie diese Konfigurationsdateien in die Cloud hoch, um CMU für Ihre autonome KI-Datenbank zu konfigurieren.

  Details zur Wallet-Datei für CMU finden Sie unter:

  • Schritt 6: Wallet für eine sichere Verbindung erstellen in Oracle Database 19c - Sicherheitshandbuch oder Oracle Database 26ai - Sicherheitshandbuch

  • Schritt 8: Oracle Wallet prüfen in Oracle Database 19c - Sicherheitshandbuch und Oracle Database 26ai - Sicherheitshandbuch.

  Einzelheiten zur Datei dsi.ora für CMU finden Sie unter Creating the dsi.ora File in der Dokumentation Oracle Database 19c Security Guide oder im Oracle Database 26ai Security Guide.

  Weitere Informationen zur Konfiguration von Active Directory für CMU und zur Fehlerbehebung von CMU für On-Premise-Datenbanken finden Sie unter How To Configure Centrally Managed Users For Database Release 18c or Later Releases (Dok.-ID 2462012.1).

CMU mit Microsoft Active Directory auf Autonomous AI Database konfigurieren

So konfigurieren Sie die autonome AI-Datenbank für die Verbindung mit Active Directory-Servern:

1. Stellen Sie als ADMIN-Benutzer eine Verbindung zur autonomen KI-Datenbank her.

2. Prüfen Sie, ob ein anderes externes Authentifizierungsschema in der Datenbank aktiviert ist, und deaktivieren Sie es.

   Hinweis: Sie können die CMU-AD-Konfiguration auf Kerberos fortsetzen, um CMU-AD-Kerberos-Authentifizierung für Microsoft Active Directory-Benutzer bereitzustellen.

3. Laden Sie die CMU-Konfigurationsdateien, einschließlich der Datenbank-Wallet-Datei, cwallet.sso und der CMU-Konfigurationsdatei dsi.ora in den Objektspeicher herunter. Dieser Schritt hängt vom verwendeten Objektspeicher ab.

   Die Konfigurationsdatei dsi.ora enthält die Informationen zum Suchen der Active Directory-Server.

   Wenn Sie Oracle Cloud Infrastructure Object Storage verwenden, finden Sie unter Daten in Object Storage ablegen Details zum Hochladen von Dateien.

4. Erstellen Sie in der autonomen KI-Datenbank ein neues Verzeichnisobjekt, oder wählen Sie ein vorhandenes Verzeichnisobjekt aus. In diesem Verzeichnis speichern Sie das Wallet und die Konfigurationsdatei für die Verbindung mit Active Directory:

   Beispiel:

    CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
   

   Verwenden Sie die folgende SQL-Anweisung, um den Dateisystemverzeichnispfad des Verzeichnisobjekts abzufragen:

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
       DIRECTORY_NAME='directory_object_name';
   

   Beispiel:

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
       DIRECTORY_NAME='CMU_WALLET_DIR';
   

    DIRECTORY_PATH
   
    ----------------------------------------------------------------------------
    /file_system_directory_path_example/cmu_wallet
   

   Hinweis: Der Verzeichnisobjektname in der Abfrage muss Groß-/Kleinschreibung sein, da der Groß-/Kleinschreibung beim Erstellen des Verzeichnisobjekts nicht beibehalten wurde.

   Wenn Sie die Groß-/Kleinschreibung für den Directory-Objektnamen beibehalten möchten, müssen Sie dessen Namen in doppelte Anführungszeichen setzen. Beispiel:

    CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
   

5. Kopieren Sie die CMU-Konfigurationsdateien cwallet.sso und dsi.ora mit dem Datenbank-Wallet DBMS_CLOUD.GET_OBJECT in das Verzeichnis, das Sie in Schritt 4 erstellt oder ausgewählt haben.

   Beispiel: Verwenden Sie DBMS_CLOUD.GET_OBJECT, um die Dateien wie folgt aus dem Objektspeicher in CMU_WALLET_DIR zu kopieren:

    BEGIN
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
          directory_name => 'CMU_WALLET_DIR');
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
          directory_name => 'CMU_WALLET_DIR');
    END;
    /
   

   In diesem Beispiel ist *namespace-string* der Oracle Cloud Infrastructure-Objektspeicher-Namespace und bucketname der Bucket-Name. Weitere Informationen finden Sie unter Object Storage-Namespaces.

   Weitere Informationen finden Sie unter Prozedur GET_OBJECT.

   Verwenden Sie die folgende SQL-Anweisung, um die in das Verzeichnis kopierten Dateien abzufragen.

    SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');
   

   Beispiel:

    SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
   

   Beachten Sie, dass der Verzeichnisobjektname in dieser Abfrage in Großbuchstaben stehen muss, da die Groß-/Kleinschreibung beim Erstellen des Verzeichnisobjekts nicht beibehalten wurde.

6. Aktivieren Sie CMU-AD in Ihrer autonomen KI-Datenbank mit dem Package DBMS_CLOUD_ADMIN.

   Hinweis: Ersetzen Sie die Verzeichnisnamen im folgenden Beispiel durch diejenigen, die für Ihre Umgebung ausgewählt wurden. Stellen Sie sicher, dass Sie als ADMIN-Benutzer angemeldet sind, bevor Sie diesen Befehl ausführen.

    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      );
    END;
    /
   

7. Um die Sicherheit zu gewährleisten, Entfernen Sie die CMU-Konfigurationsdateien, einschließlich des Datenbank-Wallet cwallet.sso und der CMU-Konfigurationsdatei dsi.ora aus dem Objektspeicher. Sie können diese Dateien mit lokalen Objektspeichermethoden entfernen oder mit DBMS_CLOUD.DELETE_OBJECT aus dem Objektspeicher löschen.

   Weitere Informationen zu DBMS_CLOUD.DELETE_OBJECT finden Sie unter Prozedur DELETE_OBJECT.

Hinweis: Anweisungen zum Deaktivieren des Zugriffs von Autonomous AI Database auf Active Directory finden Sie in Active Directory-Zugang auf Autonomous AI Database deaktivieren.

Weitere Informationen finden Sie unter Zentral verwaltete Benutzer mit Microsoft Active Directory konfigurieren in der Dokumentation Oracle Database 19c Security Guide oder in der Dokumentation Oracle Database 26ai Security Guide.

CMU mit Microsoft Active Directory auf Exadata Cloud@Customer konfigurieren

Gilt nur für: Exadata Cloud@Customer

So konfigurieren Sie Autonomous AI Database auf Exadata Cloud@Customer für CMU für die Verbindung zu Active Directory-Servern, ohne den Oracle Object Store-Service zu verwenden:

1. Stellen Sie als ADMIN-Benutzer eine Verbindung zur autonomen KI-Datenbank her.

2. Prüfen Sie, ob ein anderes externes Authentifizierungsschema in der Datenbank aktiviert ist, und deaktivieren Sie es mit dem folgenden SQL-Befehl.

    BEGIN
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /
   

3. CMU-AD benötigt das Active Directory-Verbindungs-Wallet cwallet.sso und die Dateien dsi.ora in einem lokalen Dateisystem auf dem autonomen Exadata-VM-Cluster (AVMC). Sie können dies erreichen, indem Sie diese Dateien im Oracle Object Store-Service auf Oracle Cloud Infrastructure hosten und sie dann lokal mit dem Package DBMS_CLOUD kopieren. Dieser Prozess mit detaillierten Schritten und Beispielen finden Sie unter CMU mit Microsoft Active Directory in Autonomous AI Database konfigurieren.

4. Wenn das Hosting von cwallet.sso und dsi.ora im Cloud-Speicher nicht möglich ist, können Sie eine Network File System-(NFS-)Freigabe in Ihrem Data Center verwenden, um diese Dateien zu hosten, und sie dann in ein Datenbankverzeichnis unter dem Datenbankdateisystem (DBFS) verschieben. Dazu müssen Sie zunächst eine lokal verfügbare NFS-Freigabe an das Verzeichnisobjekt der autonomen KI-Datenbank anhängen, wie unten gezeigt:

   1. Erstellen Sie mit dem folgenden SQL-Befehl von Ihrem SQL-Client ein Datenbankverzeichnis in Ihrer autonomen AI-Datenbankinstanz:

       create or replace directory TMPFSSDIR as 'tmpfssdir';
      

   2. Mounten Sie das NFS-Share mit dem Package DBMS_CLOUD_ADMIN, das in der autonomen KI-Datenbank verfügbar ist, in diesem Verzeichnis.

      Tipp: Möglicherweise müssen Sie mit Ihrem Netzwerk- oder Speicheradministrator zusammenarbeiten, um eine NFS-Freigabe verfügbar zu machen.

       BEGIN
         DBMS_CLOUD_ADMIN.attach_file_system(
           file_system_name => <some_name_you_assign>,
           file_system_location => <your_nfs_fs_path>,
           directory_name => <tmpfssdir_created_above>,
           description => 'Any_desc_you_like_to_give'
         );
       END
      

      Beispiel:

       BEGIN
         DBMS_CLOUD_ADMIN.attach_file_system(
           file_system_name => 'AD-FSS',
           file_system_location => acme.com:/nfs/mount1',
           directory_name => 'TMPFSSDIR',
           description => 'nfs to host AD files'
         );
       END;
      

5. Um eine Abhängigkeit von der NFS-Freigabe zu vermeiden, damit die Dateien cwallet.sso und dsi.ora für CMU verfügbar sind, verschieben Sie sie mithilfe einer Datenbankverzeichniszuordnung in einen lokalen Dateisystemordner. Da die autonome KI-Datenbank den Zugriff auf das lokale Dateisystem einschränkt, erstellen Sie eine Kopierprozedur mit utl_file, wie unten gezeigt:

   1. Erstellen Sie ein Datenbankverzeichnis in der Instanz der autonomen KI-Datenbank mit dem folgenden SQL-Befehl von Ihrem SQL-Client:

       CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
      

   2. Prüfen Sie den Verzeichnispfad des oben erstellten Verzeichnisses mit dem folgenden SQL-Befehl:

       SELECT DIRECTORY_PATH
       FROM DBA_DIRECTORIES
       WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';
      

      Hinweis: Der Verzeichnisobjektname muss in der Abfrage in Großbuchstaben angegeben werden, da die Groß-/Kleinschreibung beim Erstellen des Verzeichnisobjekts nicht beibehalten wurde.

   3. Kopieren Sie dsi.ora und cwallet.sso mit dem Utility UTL_FILE aus dem NFS-Verzeichnis in das lokale CMU-Wallet-Verzeichnis.

      Beispiel:

      Erstellen Sie eine Stored Procedure mit dem Namen copyfile (siehe unten):

       CREATE OR REPLACE PROCEDURE copyfile(
         in_loc_dir IN VARCHAR2,
         in_filename IN VARCHAR2,
         out_loc_dir IN VARCHAR2,
         out_filename IN VARCHAR2
       )
       IS
         in_file UTL_FILE.file_type;
         out_file UTL_FILE.file_type;
         buffer_size CONSTANT INTEGER := 32767;
         buffer RAW (32767);
         buffer_length INTEGER;
       BEGIN
         in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
         out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
         UTL_FILE.get_raw (in_file, buffer, buffer_size);
         buffer_length := UTL_RAW.LENGTH (buffer);
      
         WHILE buffer_length > 0
         LOOP
           UTL_FILE.put_raw (out_file, buffer, TRUE);
      
           IF buffer_length = buffer_size
             THEN
               UTL_FILE.get_raw (in_file, buffer, buffer_size);
               buffer_length := UTL_RAW.LENGTH (buffer);
             ELSE
               buffer_length := 0;
             END IF;
         END LOOP;
      
         UTL_FILE.fclose (in_file);
         UTL_FILE.fclose (out_file);
       EXCEPTION
         WHEN NO_DATA_FOUND
         THEN
           UTL_FILE.fclose (in_file);
           UTL_FILE.fclose (out_file);
       END;
       /
      

      Kompilieren Sie die gespeicherte Prozedur copyfile. Führen Sie nach der erfolgreichen Kompilierung die Prozedur copyfile jeweils einmal aus, um dsi.ora und cwallet.sso aus dem NFS-Verzeichnis in das lokale CMU-Wallet-Verzeichnis zu kopieren, wie unten gezeigt:

       EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
      

       EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
      

   4. Führen Sie die folgende SQL-Abfrage aus, um zu validieren, ob die Dateien erfolgreich in das lokale CMU-Wallet-Verzeichnis kopiert wurden.

       SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
      

6. Trennen Sie mit dem folgenden Befehl die NFS-Freigabe, da Sie sie nicht für CMU-AD benötigen, nachdem die Dateien in das lokale Verzeichnis kopiert wurden.

    exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
   

7. Aktivieren Sie CMU-AD in Ihrer autonomen KI-Datenbank mit dem Package DBMS_CLOUD_ADMIN.

   Hinweis: Ersetzen Sie die Verzeichnisnamen im folgenden Beispiel durch diejenigen, die für Ihre Umgebung ausgewählt wurden. Stellen Sie sicher, dass Sie als ADMIN-Benutzer angemeldet sind, bevor Sie diesen Befehl ausführen.

    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      );
    END;
    /
   

8. Validieren Sie, indem Sie den Eigenschaftswert der Datenbankeigenschaft CMU_WALLET wie unten gezeigt abfragen.

    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME = 'CMU_WALLET';
   

   Beispiel:

    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME='CMU_WALLET';
   

    PROPERTY_VALUE
   
    --------------
    CMU_WALLET_DIR
   

Sie haben jetzt CMU-AD so konfiguriert, dass die externe Authentifizierung über Microsoft Active Directory mit Ihrer autonomen KI-Datenbank auf Exadata Cloud@Customer verwendet wird.

Microsoft Active Directory-Rollen in Autonomous AI Database hinzufügen

Um Active Directory-Rollen hinzuzufügen, ordnen Sie die globalen Datenbankrollen mit CREATE ROLE- oder ALTER ROLE-Anweisungen Active Directory-Gruppen zu (und fügen Sie die IDENTIFIED GLOBALLY AS-Klausel ein).

So fügen Sie globale Rollen für Active Directory-Gruppen in Autonomous AI Database hinzu:

1. Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen CREATE ROLE und ALTER ROLE, die Sie für diese Schritte benötigen).

2. Legen Sie die Datenbankautorisierung für autonome AI-Datenbankrollen mit einer Anweisung CREATE ROLE oder ALTER ROLE fest. Schließen Sie die IDENTIFIED GLOBALLY AS-Klausel ein, und geben Sie den DN einer Active Directory-Gruppe ein.

   Verwenden Sie die folgende Syntax, um eine Verzeichnisbenutzergruppe einer globalen Datenbankrolle zuzuordnen:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS
         'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

   Beispiel:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
   

   In diesem Beispiel sind alle Mitglieder von widget_sales_group mit der Datenbankrolle widget_sales_role autorisiert, wenn sie sich bei der Datenbank anmelden.

3. Verwenden Sie GRANT-Anweisungen, um der globalen Rolle die erforderlichen Berechtigungen oder andere Rollen zu erteilen.

   Beispiel:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
    GRANT DWROLE TO WIDGET_SALES_ROLE;
   

   DWROLE ist eine vordefinierte Rolle mit definierten allgemeinen Berechtigungen. Informationen zum Festlegen gemeinsamer Berechtigungen für Benutzer der autonomen KI-Datenbank finden Sie unter Datenbankbenutzerberechtigungen verwalten.

4. Wenn Sie eine vorhandene Datenbankrolle mit einer Active Directory-Gruppe verknüpfen möchten, verwenden Sie die ALTER ROLE-Anweisung, um die vorhandene Datenbankrolle zu ändern und die Rolle einer Active Directory-Gruppe zuzuordnen.

   Mit der folgenden Syntax können Sie eine vorhandene Datenbankrolle ändern, um sie einer Active Directory-Gruppe zuzuordnen:

    ALTER ROLE existing_database_role
       IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

5. Wenn Sie zusätzliche globale Rollenzuordnungen für andere Active Directory-Gruppen erstellen möchten, führen Sie die folgenden Schritte für jede Active Directory-Gruppe aus.

Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Configuring Authorization for Centrally Managed Users in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 26ai Security Guide.

Microsoft Active Directory-Benutzer in Autonomous AI Database hinzufügen

Um Active Directory-Benutzer für den Zugriff auf eine autonome KI-Datenbank hinzuzufügen, ordnen Sie globale Datenbankbenutzer mit CREATE USER- oder ALTER USER-Anweisungen (mit IDENTIFIED GLOBALLY AS-Klausel) Active Directory-Gruppen oder -Benutzern zu.

Für die Integration von Autonomous AI Database mit Active Directory werden Microsoft Active Directory-Benutzer und -Gruppen direkt globalen Oracle-Datenbankbenutzern und globalen Rollen zugeordnet.

So fügen Sie globale Benutzer für Active Directory-Gruppen oder -Benutzer in Autonomous AI Database hinzu:

1. Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen CREATE USER und ALTER USER, die Sie für diese Schritte benötigen).

2. Set database authorization for Autonomous AI Database users with CREATE USER or ALTER USER statements and include the IDENTIFIED GLOBALLY AS clause, specifying the DN of an Active Directory user or group.

   Verwenden Sie die folgende Syntax, um einen Verzeichnisbenutzer einem globalen Datenbankbenutzer zuzuordnen:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
   

   Verwenden Sie die folgende Syntax, um eine Verzeichnisgruppe einem globalen Datenbankbenutzer zuzuordnen:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

   Beispiel: So ordnen Sie eine Verzeichnisgruppe mit dem Namen widget_sales_group in der Organisationseinheit sales der Domain production.example.com einem gemeinsamen globalen Datenbankbenutzer namens WIDGET_SALES zu:

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
   

   Dadurch wird eine gemeinsame globale Benutzerzuordnung erstellt. Die Zuordnung mit dem globalen Benutzer widget_sales gilt für alle Benutzer in der Active Directory-Gruppe. Daher kann sich jedes Mitglied in widget_sales_group mit seinen Active Directory-Zugangsdaten bei der Datenbank anmelden (über die gemeinsame Zuordnung des globalen Benutzers widget_sales).

3. Wenn Sie möchten, dass Active Directory-Benutzer einen vorhandenen Datenbankbenutzer verwenden sowie Eigentümer des Schemas und der vorhandenen Daten sind, ändern Sie mit ALTER USER einen vorhandenen Datenbankbenutzer, um ihn einer Active Directory-Gruppe oder einem AD-Benutzer zuzuordnen.

   • Mit der folgenden Syntax können Sie einen vorhandenen Datenbankbenutzer ändern, um ihn einem Active Directory-Benutzer zuzuordnen:

     ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
     

   • Mit der folgenden Syntax können Sie einen vorhandenen Datenbankbenutzer ändern, um ihn einer Active Directory-Gruppe zuzuordnen:

     ALTER USER existing_database_user
          IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
     

4. Wenn Sie zusätzliche globale Benutzerzuordnungen für andere Active Directory-Gruppen oder -Benutzer erstellen möchten, führen Sie die folgenden Schritte für jede Active Directory-Gruppe bzw. jeden Benutzer aus.

Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Configuring Authorization for Centrally Managed Users in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 26ai Security Guide.

Verbindung zu Autonomous AI Database mit Active Directory-Benutzerzugangsdaten herstellen

Nachdem der ADMIN-Benutzer die CMU Active Directory-Konfigurationsschritte abgeschlossen und globale Rollen und globale Benutzer erstellt hat, melden sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der Autonomous AI Database an.

Hinweis: Melden Sie sich mit einem globalen Benutzernamen nicht an. Globale Benutzernamen haben kein Kennwort, und die Verbindung mit einem globalen Benutzernamen ist nicht erfolgreich. Sie müssen eine globale Benutzerzuordnung in Ihrer autonomen KI-Datenbank haben, um sich bei der Datenbank anzumelden. Sie können sich nicht nur mit globalen Rollenzuordnungen bei der Datenbank anmelden.

Um sich mit einem Active Directory-Benutzernamen und -Kennwort bei der autonomen KI-Datenbank anzumelden, stellen Sie die folgende Verbindung her:

CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

Beispiel:

CONNECT "production\pfitch"/password@adbname_medium;

Wenn die Active Directory-Domain zusammen mit dem Benutzernamen enthalten ist, müssen Sie doppelte Anführungszeichen setzen. Beispiel: "production\pfitch".

In diesem Beispiel lautet der Active Directory-Benutzername pfitch in Domain production. Der Active Directory-Benutzer ist Mitglied der Gruppe widget_sales_group, die durch den DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com' identifiziert wird.

Nachdem Sie CMU mit Active Directory auf einer autonomen KI-Datenbank konfiguriert und eine Active Directory-Autorisierung mit globalen Rollen und globalen Benutzern eingerichtet haben, können Sie eine Verbindung zu Ihrer autonomen KI-Datenbank mit einer der unter Verbindung zu einer dedizierten autonomen KI-Datenbank herstellen beschriebenen Verbindungsmethoden herstellen. Wenn Sie beim Herstellen einer Verbindung einen Active Directory-Benutzer nutzen möchten, verwenden Sie Active Directory-Benutzerzugangsdaten. Beispiel: Geben Sie einen Benutzernamen in diesem Formular an: "AD_DOMAIN\AD_USERNAME" (doppelte Anführungszeichen müssen eingeschlossen werden), und verwenden Sie AD_USER_PASSWORD als Kennwort.

Verbindungsinformationen für Active Directory-Benutzer mit Autonomous AI Database prüfen

Wenn sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der autonomen KI-Datenbank anmelden, können Sie die Benutzeraktivität prüfen und prüfen.

Beispiel: Wenn sich der Benutzer pfitch anmeldet:

CONNECT "production\pfitch"/password@exampleadb_medium;

Der Anmeldename des Active Directory-Benutzers (samAccountName) lautet pfitch, und widget_sales_group ist der Active Directory-Gruppenname, und widget_sales ist der globale Benutzer der autonomen AI-Datenbank.

Nachdem sich pfitch bei der Datenbank angemeldet hat, zeigt der Befehl SHOW USER den globalen Benutzernamen an:

SHOW USER;

USER is "WIDGET_SALES"

Der folgende Befehl zeigt den DN (Distinguished Name) des Active Directory-Benutzers an:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Beispiel: Sie können die Unternehmensidentität dieses zentral verwalteten Benutzers prüfen:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

Der folgende Befehl zeigt "AD_DOMAIN\AD_USERNAME" an:

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Beispiel: Die authentifizierte Active Directory-Benutzeridentität wird erfasst und auditiert, wenn sich der Benutzer bei der Datenbank anmeldet:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Weitere Informationen finden Sie unter Verifying the Centrally Managed User Logon Information in Oracle Database 19c Security Guide oder Oracle Database 26ai Security Guide.

Active Directory-Benutzer und -Rollen auf autonomer KI-Datenbank entfernen

Um Active Directory-Benutzer und -Rollen aus autonomen KI-Datenbanken zu entfernen, verwenden Sie standardmäßige Datenbankbefehle. Dadurch werden die zugehörigen Active Directory-Benutzer oder -Gruppen, die den gelöschten Datenbankbenutzern oder -rollen zugeordnet wurden, nicht entfernt.

So entfernen Sie Benutzer oder Rollen aus der autonomen KI-Datenbank:

1. Melden Sie sich als Benutzer mit der Systemberechtigung DROP USER oder DROP ROLE bei der Datenbank an, die für die Verwendung von Active Directory konfiguriert ist.

2. Löschen Sie die globalen Benutzer oder Rollen, die Active Directory-Gruppen oder -Benutzern zugeordnet sind, mit der Anweisung DROP USER oder DROP ROLE.

   Weitere Informationen finden Sie unter Datenbankbenutzer entfernen.

Active Directory-Zugriff auf autonome KI-Datenbank deaktivieren

Beschreibt die Schritte zum Entfernen der CMU-Konfiguration aus Ihrer autonomen KI-Datenbank (und zum Deaktivieren des LDAP-Zugriffs von Ihrer autonomen KI-Datenbank auf Active Directory).

Nachdem Sie die Instanz der autonomen KI-Datenbank für den Zugriff auf CMU Active Directory konfiguriert haben, können Sie den Zugriff wie folgt deaktivieren:

1. Stellen Sie als ADMIN-Benutzer eine Verbindung zur autonomen KI-Datenbank her.

2. Verwenden Sie DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION, um die CMU-Authentifizierung zu deaktivieren.

   Hinweis: Um diese Prozedur ausführen zu können, müssen Sie als ADMIN-Benutzer angemeldet sein oder die Berechtigung EXECUTE für DBMS_CLOUD_ADMIN besitzen.

   Beispiel:

      BEGIN
        DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
      END;
      /
   

   Dadurch wird die CMU-Authentifizierung in Ihrer autonomen KI-Datenbankinstanz deaktiviert.

Weitere Informationen finden Sie unter DISABLE_EXTERNAL_AUTHENTICATION Procedure.

Einschränkungen bei Microsoft Active Directory in Autonomous AI Database

Die folgenden Einschränkungen gelten für CMU mit Active Directory auf einer autonomen KI-Datenbank:

• Nur die "Kennwortauthentifizierung" und Kerberos wird für CMU mit Autonomous AI Database unterstützt. Wenn Sie die CMU-Authentifizierung mit Autonomous AI Database verwenden, werden andere Authentifizierungsmethoden wie Azure AD, OCI IAM und PKI nicht unterstützt.

• Oracle Application Express und Database Actions werden für Active Directory-Benutzer mit Autonomous AI Database nicht unterstützt.