Microsoft Active Directory mit Autonomous AI Database on Dedicated Exadata Infrastructure verwenden
Sie können Autonomous AI Database on Dedicated Exadata Infrastructure so konfigurieren, dass Microsoft Active Directory-Benutzer authentifiziert und autorisiert sind. Dadurch können Active Directory-Benutzer mit ihren Active Directory-Zugangsdaten auf eine autonome AI-Datenbank zugreifen.
Hinweis:
Informationen zur Verwendung von Azure Active Directory mit Autonomous AI Database finden Sie unter Azure Active Directory (Azure AD) mit Autonomous AI Database verwenden. Die CMU-Option unterstützt Microsoft Active Directory-Server, jedoch nicht den Azure Active Directory-Service.Die Integration von Autonomous AI Database mit Centrally Managed Users (CMU) ermöglicht die Integration mit Microsoft Active Directory. CMU mit Active Directory ordnet globale Oracle-Datenbankbenutzer und globale Rollen Microsoft Active Directory-Benutzern und -Gruppen zu.
Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory in Autonomous AI Database
Die folgenden Voraussetzungen sind erforderlich, um die Verbindung von Autonomous AI Database zu Active Directory zu konfigurieren:
-
Microsoft Active Directory muss installiert und konfiguriert sein. Weitere Informationen finden Sie unter Erste Schritte mit AD DS.
-
Sie müssen einen Oracle-Serviceverzeichnisbenutzer in Active Directory erstellen. Informationen zum Benutzeraccount des Oracle-Serviceverzeichnisses finden Sie unter Schritt 1: Oracle Service Directory User Account on Microsoft Active Directory erstellen und Berechtigungen erteilen in Oracle Database 19c Security Guide oder Oracle Database 26ai Security Guide.
-
Ein Active Directory-Systemadministrator muss den Oracle-Kennwortfilter auf den Active Directory-Servern installiert haben und Active Directory-Gruppen mit Active Directory-Benutzern einrichten, um Ihre Anforderungen zu erfüllen.
Nur das Kennwortauthentifizierung wird mit CMU für Autonomous AI Database unterstützt. Sie müssen daher das enthaltene Utility
opwdintg.exe
verwenden, um den Oracle-Kennwortfilter auf Active Directory zu installieren, das Schema erweitern und drei neueORA_VFR
-Gruppen für drei Typen der Passwortverifizierungsgenerierung erstellen. Informationen zur Installation des Oracle-Kennwortfilters finden Sie unter Schritt 2: Kennwortauthentifizierung, Kennwortfilter installieren und Microsoft Active Directory-Schema erweitern in der Dokumentation Oracle Database 19c Security Guide oder in der Dokumentation Oracle Database 26ai Security Guide. -
The Active Directory servers must be accessible from Autonomous AI Database through the public internet and the port 636 of the Active Directory servers must be open to Autonomous AI Database in Oracle Cloud Infrastructure, so that Autonomous AI Database can have secured LDAP access over TLS/SSL to the Active Directory servers through the internet.
Sie können Ihr On-Premise-Active Directory auch auf Oracle Cloud Infrastructure erweitern. So können Sie schreibgeschützte Domaincontroller (RODCs) für das On-Premise-Active Directory einrichten. Anschließend können Sie diese RODCs in Oracle Cloud Infrastructure verwenden, um die On-Premise-Active Directory-Benutzer für den Zugriff auf autonome KI-Datenbanken zu authentifizieren und zu autorisieren.
Weitere Informationen finden Sie unter Active Directory-Integration in der Hybrid Cloud erweitern.
-
Sie benötigen das Datenbank-Wallet der CMU-Konfiguration,
cwallet.sso
und die CMU-Konfigurationsdateidsi.ora
, um CMU für Ihre autonome KI-Datenbank zu konfigurieren:-
Wenn Sie CMU für eine On-Premise-Datenbank konfiguriert haben, können Sie diese Konfigurationsdateien vom On-Premise-Datenbankserver abrufen.
-
Wenn Sie CMU nicht für eine On-Premise-Datenbank konfiguriert haben, müssen Sie diese Dateien erstellen. Anschließend laden Sie die Konfigurationsdateien in die Cloud hoch, um CMU in Ihrer Autonomous AI Database-Instanz zu konfigurieren. Sie können das Wallet und die Datei
dsi.ora
validieren, indem Sie CMU für eine On-Premise-Datenbank konfigurieren und prüfen, ob sich ein Active Directory-Benutzer mit diesen Konfigurationsdateien erfolgreich bei der On-Premise-Datenbank anmelden kann. Anschließend laden Sie diese Konfigurationsdateien in die Cloud hoch, um CMU für Ihre autonome KI-Datenbank zu konfigurieren.
Einzelheiten zur Wallet-Datei für CMU finden Sie unter:- Schritt 6: Wallet für eine sichere Verbindung erstellen in Oracle Database 19c - Sicherheitshandbuch oder Oracle Database 26ai - Sicherheitshandbuch
- Schritt 8: Oracle Wallet prüfen in Oracle Database 19c - Sicherheitshandbuch und Oracle Database 26ai - Sicherheitshandbuch.
Einzelheiten zur Datei
dsi.ora
für CMU finden Sie unter Creating the dsi.ora File in Oracle Database 19c Security Guide oder Oracle Database 26ai Security Guide.Weitere Informationen zur Konfiguration von Active Directory für CMU und zur Fehlerbehebung von CMU für On-Premise-Datenbanken finden Sie unter How To Configure Centrally Managed Users For Database Release 18c or Later Releases (Dok.-ID 2462012.1).
-
CMU mit Microsoft Active Directory auf Autonomous AI Database konfigurieren
So konfigurieren Sie Autonomous AI Database für die Verbindung mit Active Directory-Servern:
Hinweis:
See Disable Active Directory Access on Autonomous AI Database for instructions to disable the access from Autonomous AI Database to Active Directory.Weitere Informationen finden Sie unter Zentral verwaltete Benutzer mit Microsoft Active Directory konfigurieren in der Dokumentation Oracle Database 19c Security Guide oder im Oracle Database 26ai Security Guide.
CMU mit Microsoft Active Directory auf Exadata Cloud@Customer konfigurieren
Gilt nur für: Exadata Cloud@Customer
So konfigurieren Sie Autonomous AI Database auf Exadata Cloud@Customer, damit CMU eine Verbindung zu Active Directory-Servern herstellt, ohne den Oracle Object Store-Service zu verwenden:
Sie haben jetzt CMU-AD so konfiguriert, dass externe Authentifizierung über Microsoft Active Directory mit Ihrer autonomen KI-Datenbank auf Exadata Cloud@Customer verwendet wird.
Microsoft Active Directory-Rollen in Autonomous AI Database hinzufügen
Um Active Directory-Rollen hinzuzufügen, ordnen Sie die globalen Datenbankrollen mit CREATE ROLE
- oder ALTER ROLE
-Anweisungen Active Directory-Gruppen zu (und fügen Sie die IDENTIFIED GLOBALLY AS
-Klausel ein).
So fügen Sie globale Rollen für Active Directory-Gruppen in Autonomous AI Database hinzu:
Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Configuring Authorization for Centrally Managed Users in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 26ai Security Guide.
Microsoft Active Directory-Benutzer in Autonomous AI Database hinzufügen
Um Active Directory-Benutzer für den Zugriff auf eine autonome KI-Datenbank hinzuzufügen, ordnen Sie globale Datenbankbenutzer mit CREATE USER
- oder ALTER USER
-Anweisungen (mit IDENTIFIED GLOBALLY AS
-Klausel) Active Directory-Gruppen oder -Benutzern zu.
Für die Integration von Autonomous AI Database mit Active Directory werden Microsoft Active Directory-Benutzer und -Gruppen direkt globalen Oracle-Datenbankbenutzern und globalen Rollen zugeordnet.
So fügen Sie globale Benutzer für Active Directory-Gruppen oder -Benutzer in Autonomous AI Database hinzu:
Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Configuring Authorization for Centrally Managed Users in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 26ai Security Guide.
Verbindung zu Autonomous AI Database mit Active Directory-Benutzerzugangsdaten herstellen
Nachdem der ADMIN-Benutzer die CMU Active Directory-Konfigurationsschritte abgeschlossen und globale Rollen und globale Benutzer erstellt hat, melden sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der Autonomous AI Database an.
Hinweis:
Melden Sie sich nicht mit einem globalen Benutzernamenan. Globale Benutzernamen haben kein Kennwort, und die Verbindung mit einem globalen Benutzernamen ist nicht erfolgreich. Sie müssen eine globale Benutzerzuordnung in Ihrer autonomen KI-Datenbank haben, um sich bei der Datenbank anzumelden. Sie können sich nicht nur mit globalen Rollenzuordnungen bei der Datenbank anmelden.Nachdem Sie CMU mit Active Directory auf Autonomous AI Database konfiguriert und eine Active Directory-Autorisierung mit globalen Rollen und globalen Benutzern eingerichtet haben, können Sie eine Verbindung zu Ihrer autonomen KI-Datenbank mit einer der unter Verbindung zu einer dedizierten autonomen KI-Datenbank beschriebenen Verbindungsmethoden herstellen. Wenn Sie beim Herstellen einer Verbindung einen Active Directory-Benutzer nutzen möchten, verwenden Sie Active Directory-Benutzerzugangsdaten. Beispiel: Geben Sie einen Benutzernamen in diesem Formatt an: "AD_DOMAIN\AD_USERNAME" (doppelte Anführungszeichen müssen eingeschlossen werden), und verwenden Sie AD_USER_PASSWORD als Kennwort.
Verbindungsinformationen für Active Directory-Benutzer mit Autonomous AI Database prüfen
Wenn sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei der Autonomous AI Database anmelden, können Sie die Benutzeraktivität prüfen und prüfen.
Beispiel: Wenn sich der Benutzer pfitch
anmeldet:
CONNECT "production\pfitch"/password@exampleadb_medium;
Der Anmeldename des Active Directory-Benutzers (samAccountName) lautet pfitch
, und widget_sales_group
ist der Active Directory-Gruppenname, und widget_sales
ist der globale Benutzer Autonomous AI Database.
Nachdem sich pfitch
bei der Datenbank angemeldet hat, zeigt der Befehl SHOW USER
den globalen Benutzernamen an:
SHOW USER;
USER is "WIDGET_SALES"
Der folgende Befehl zeigt den DN (Distinguished Name) des Active Directory-Benutzers an:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Beispiel: Sie können die Unternehmensidentität dieses zentral verwalteten Benutzers prüfen:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
Der folgende Befehl zeigt "AD_DOMAIN\AD_USERNAME
" an:
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Beispiel: Die authentifizierte Active Directory-Benutzeridentität wird erfasst und auditiert, wenn sich der Benutzer bei der Datenbank anmeldet:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Weitere Informationen finden Sie unter Verifying the Centrally Managed User Logon Information in Oracle Database 19c Security Guide oder Oracle Database 26ai Security Guide.
Active Directory-Benutzer und -Rollen auf Autonomous AI Database entfernen
Um Active Directory-Benutzer und -Rollen aus Autonomous AI Databases zu entfernen, verwenden Sie Standarddatenbankbefehle. Dadurch werden die zugehörigen Active Directory-Benutzer oder -Gruppen, die den gelöschten Datenbankbenutzern oder -rollen zugeordnet wurden, nicht entfernt.
So entfernen Sie Benutzer oder Rollen aus Autonomous AI Database:
Active Directory-Zugriff auf Autonomous AI Database deaktivieren
Beschreibt die Schritte zum Entfernen der CMU-Konfiguration aus Ihrer autonomen KI-Datenbank (und zum Deaktivieren des LDAP-Zugriffs von Ihrer autonomen KI-Datenbank in Active Directory).
Nachdem Sie die Autonomous AI Database-Instanz für den Zugriff auf CMU Active Directory konfiguriert haben, können Sie den Zugriff wie folgt deaktivieren:
Weitere Informationen finden Sie unter Prozedur DISABLE_EXTERNAL_AUTHENTICATION.
Einschränkungen bei Microsoft Active Directory in Autonomous AI Database
Die folgenden Einschränkungen gelten für CMU mit Active Directory auf Autonomous AI Database:
-
Nur die "Kennwortauthentifizierung" und Kerberos wird für CMU mit Autonomous AI Database unterstützt. Wenn Sie die CMU-Authentifizierung mit Autonomous AI Database verwenden, werden andere Authentifizierungsmethoden wie Azure AD, OCI IAM und PKI nicht unterstützt.
-
Oracle Application Express und Database Actions werden für Active Directory-Benutzer mit Autonomous AI Database nicht unterstützt.