Documentación de Oracle Cloud Infrastructure

Activación de la autenticación de Microsoft Entra ID en la base de datos de IA autónoma

Un administrador de Microsoft Entra ID y un administrador de Autonomous AI Database realizan pasos para configurar la autenticación de Entra ID en Autonomous AI Database.

Registro de la instancia de Oracle AI Database con un arrendamiento con ID adicional de Microsoft

Un usuario con privilegios de administrador de ID adicional utiliza el ID adicional de Microsoft para registrar la instancia de Oracle AI Database con el arrendamiento de ID adicional de Microsoft.

  1. Conéctese al portal de Azure como administrador con privilegios de ID de Microsoft Entra para registrar aplicaciones.

  2. En la página de centro del directorio Azure Active, en la barra de navegación izquierda, seleccione Azure Active Directory.

  3. En la página Registro de aplicaciones de EM, seleccione Registros de aplicación en la barra de navegación izquierda.

  4. Seleccione Nuevo registro.

    Aparece la ventana Registrar una aplicación.

  5. En la página Registrar una aplicación, introduzca la siguiente información del registro en la instancia Oracle AI Database:

    • En el campo Nombre, introduzca un nombre para la conexión Oracle AI Database de instancia (por ejemplo, Example Database).

    • En Tipos de cuenta admitidos, seleccione el tipo de cuenta que coincida con su caso de uso.

      • Solo cuentas en este directorio organizativo (solo tenant_name: Inquilino único)

      • Cuentas en cualquier directorio organizativo (Any Entra ID directory - Multitenant)

      • Cuentas de cualquier directorio organizativo (cualquier directorio de Entra ID: Multiinquilino) y cuentas personales de la empresa Microsoft (p. ej., Skype, Xbox)

      • Solo cuentas personales de Microsoft

  6. Omita la configuración de URI de redirección (opcional). No es necesario crear un URI de redirección porque Entra ID no necesita uno para el servidor de base de datos.

  7. Haga clic en Registrar.

    Después de hacer clic en Registrar, Entra ID muestra el panel Visión general del registro de la aplicación, que mostrará el identificador de aplicación (cliente) en Essentials. Este valor es un identificador único para la aplicación en la plataforma de identidad de Microsoft. Tenga en cuenta que el término Aplicación hace referencia a la instancia de Oracle AI Database.

  8. Registre un ámbito para el registro de la aplicación de base de datos.

    Un ámbito es un permiso para acceder a la base de datos. Cada base de datos necesitará un ámbito para que los clientes puedan establecer una confianza con la base de datos solicitando permiso para utilizar el ámbito de la base de datos. Esto permite al cliente de base de datos obtener tokens de acceso para la base de datos.

    1. En la Barra de navegación izquierda, seleccione Exponer una API.

    2. En Definir el URI de ID de la aplicación, en el campo URI de ID de la aplicación, introduzca el URI de ID de la aplicación para la conexión a la base de Datos con el siguiente formato y, a continuación, haga clic en Guardar:

      your_tenancy_url/application_(client)_id

      En esta especificación:

      • your_tenancy_url debe incluir https como prefijo y nombre de dominio completo de su arrendamiento de Entra ID.

      • application_(client)_id es el ID que se ha generado al registrar la instancia de la base de datos Oracle AI Database con Entra ID. Se muestra en el panel Información general del registro de la aplicación.

      Por ejemplo:

      https://sales_west.example.com/1aa11111-1a1z-1a11-1a1a-11aa11a1aa1a

    3. Seleccione Agregar un ámbito y, a continuación, introduzca la siguiente configuración:

Una vez realizados estos pasos, estará listo para agregar uno o más roles de aplicación de Azure y, a continuación, realizar las asignaciones de esquemas y roles de Oracle.

Activar tokens de acceso a Microsoft Entra ID v2

Oracle AI Database admite la integración con el token de acceso OAuth2 de Azure AD v1 y v2.

Oracle AI Database admite el token Entra ID v2 y el token v1 por defecto. Sin embargo, para utilizar el token Entra ID v2, debe realizar algunos pasos adicionales para asegurarse de que funciona con Oracle AI Database. Puede utilizar este token con aplicaciones registradas en el portal de Azure mediante la experiencia de registros de aplicaciones.

Al utilizar el token de acceso OAuth2 de Azure AD v2, el flujo de credenciales sigue funcionando como lo hacía antes sin ningún cambio. Sin embargo, la reclamación upn: se debe agregar cuando se utilizan tokens v2 con el flujo interactivo.

  1. Compruebe la versión del token de acceso de Entra ID que está utilizando.

  2. Inicie sesión en el portal de Microsoft Entra ID.

  3. Busque y seleccione ID de entrada.

  4. En Gestionar, seleccione Registros de aplicación.

  5. Seleccione la aplicación para la que desea configurar reclamaciones opcionales en función del escenario y el resultado deseado.

  6. En Gestionar, seleccione Configuración de token.

  7. Haga clic en Agregar reclamación opcional y seleccione upn.

Cuando utiliza tokens v2, la reclamación aud: solo refleja el valor de ID de APP. No es necesario definir el prefijo https:domain en el URI de ID de APP cuando se utilizan tokens v2. Esto simplifica la configuración de la base de datos porque se puede utilizar el URI de ID de APP por defecto.

Puede comprobar la versión del token de acceso de Entra ID que utiliza su sitio mediante el sitio web de tokens web JSON.

Comprobar versión de token de acceso de ID adicional

Puede comprobar la versión del token de acceso de Entra ID que utiliza su sitio mediante el sitio web de tokens web JSON.

Por defecto, el token de acceso de Entra ID v1, pero es posible que su sitio haya optado por utilizar v2. Oracle AI Database admite tokens v1 y Autonomous AI Database Serverless también admite tokens v2. Si desea utilizar los tokens de acceso v2, puede activar su uso para Oracle AI Database. Para encontrar la versión del token de acceso de Entra ID que está utilizando, puede consultar con el administrador de Entra ID o confirmar la versión desde el sitio web de tokens web JSON, de la siguiente manera.

  1. Vaya al sitio web de tokens web JSON.

    https://jwt.io/

  2. Copie y pegue la cadena de token en el campo Codificado.

  3. Compruebe el campo Decoded (Codificado), que muestra información sobre la cadena de token.

    Cerca o en la parte inferior del campo, verá una reclamación titulada ver, que indica cualquiera de las siguientes versiones:

    • "ver": "1.0"

    • "ver": "2.0"

Gestionar roles de aplicación en el ID de Microsoft Entra

En En Entra ID, puede crear y gestionar funciones de aplicación que se asignarán a usuarios y grupos de la aplicación Azure y también se asignarán a esquemas y roles globales de la aplicación Oracle AI Database.

Creación de un rol de aplicación de Microsoft Entra ID

Los usuarios, grupos y aplicaciones de Azure que necesiten conectarse a la base de datos se asignarán a los roles de aplicación de la base de datos.

Consulte el artículo de Microsoft Azure Creación y asignación de un rol personalizado en Azure Active Directory para conocer los pasos detallados sobre cómo crear un rol de aplicación. En los siguientes pasos se describe cómo crear el rol de aplicación para su uso con una Oracle AI Database.

  1. Conéctese a Entra ID como administrador con privilegios para crear roles de aplicación.

  2. Acceda al registro de aplicaciones de Oracle AI Database que ha creado.

    1. Utilice el filtro Directorio + suscripción para localizar el inquilino de Entra ID que contiene el registro de las aplicaciones de Oracle AI Database.

    2. Seleccione Azure Active Directory.

    3. En Gestionar, seleccione Registros de aplicación y, a continuación, seleccione la instancia de Oracle AI Database que ha registrado anteriormente.

  3. En Gestionar, seleccione Roles de aplicación.

  4. En la página Roles de la aplicación, seleccione Crear Rol de Aplicación.

  5. En la página Crear rol de aplicación, introduzca la siguiente información:

    • Nombre mostrado es el nombre mostrado del rol (por ejemplo, HR App Schema). Puede incluir espacios en este nombre.

    • Valor es el nombre real del rol (por ejemplo, HR_APP). Asegúrese de que este valor coincide exactamente con la cadena a la que se hace referencia en la asignación de base de datos a un esquema o rol. No incluya espacios en este nombre.

    • Descripción proporciona una descripción de la finalidad de este rol.

    • ¿Desea activar esta función de aplicación? le permite activar el rol.

  6. Haga clic en Apply (Aplicar).

    El rol de aplicación aparece en el panel Roles de aplicación.

Asignación de usuarios y grupos al rol de aplicación Microsoft Entra ID

Para que las aplicaciones de Microsoft Azure puedan acceder a Oracle AI Database, primero se deben asignar a las funciones de aplicación que se asignarán a las funciones o usuarios de esquema de la aplicación Oracle AI Database.

Consulte el artículo de Microsoft Azure Incorporación de roles de aplicación a una aplicación y su recepción en el token para obtener pasos detallados para asignar usuarios y grupos a un rol de aplicación. En los siguientes pasos se explica cómo hacerlo para una Oracle AI Database.

  1. Inicie sesión en Entra ID como administrador que tiene privilegios para asignar usuarios de Azure y grupos de Entra ID a roles de aplicación.

  2. En las aplicaciones empresariales, busque el nombre del registro de la aplicación Oracle AI Database que ha creado. Esto se crea automáticamente cuando se crea un registro de aplicación.

    1. Utilice el filtro Directorio + suscripción para localizar el inquilino de Azure Active Directory que contiene la conexión de Oracle.

    2. Seleccione Azure Active Directory.

    3. En Gestionar, seleccione Aplicaciones corporativas y, a continuación, seleccione el nombre de registro de la aplicación de Oracle AI Database que ha registrado anteriormente.

  3. En Introducción, seleccione Asignar usuarios y grupos.

  4. Seleccione Agregar usuario/grupo.

  5. En la ventana Agregar asignación, seleccione Usuarios y grupos para mostrar una lista de usuarios y grupos de seguridad.

  6. En esta lista, seleccione los usuarios y grupos que desea asignar al rol de aplicación y, a continuación, haga clic en Seleccionar.

  7. En la ventana Agregar asignación, seleccione Seleccione un rol para mostrar una lista de los roles que ha creado.

  8. Seleccione el rol de aplicación y, a continuación, elija Seleccionar.

  9. Haga clic en Asignar.

Asignar una aplicación a un Rol de aplicación

Una aplicación que debe conectarse a la base de datos mediante el flujo de credenciales de cliente debe asignarse a un rol de aplicación.

  1. Inicie sesión en Entra ID como administrador que tiene privilegios para asignar usuarios de Azure y grupos de Entra ID a roles de aplicación.

  2. Acceda al registro de la aplicación.

  3. En Gestionar, seleccione permisos de API.

  4. En el área Permisos Configurados, seleccione + Agregar un permiso.

  5. En el panel de permisos de API de solicitud, seleccione el separador Mis API.

  6. Seleccione la aplicación Oracle AI Database a la que desea otorgar permiso para que acuerde esta aplicación. A continuación, seleccione la opción Permisos de aplicación.

  7. Seleccione las funciones de aplicación de base de datos que desee asignar a la aplicación y, a continuación, haga clic En el cuadro Agregar permiso en la parte inferior de la pantalla para asignar las funciones de aplicación y cerrar el cuadro de diálogo. Asegúrese de que los roles de aplicación que acaba de asignar aparecen en los permisos configurados.

  8. Seleccione Conceder consentimiento de administrador para arrendamiento para otorgar consentimiento para los usuarios del arrendamiento y, por último, seleccione en el recuadro de diálogo de confirmación.

Consulte también: Configuración del flujo de trabajo del consentimiento de administrador

Configurar el ID de Microsoft Entra como proveedor de identidad externo para la base de datos de IA autónoma

Un administrador de base de datos de IA autónoma puede activar Entra ID como proveedor de identidad externo en una instancia de base de datos de IA autónoma.

Para activar Entra ID como proveedor de identidad externo:

  1. Conéctese a la instancia de base de datos de IA autónoma como usuario que tenga el privilegio EXECUTE en el paquete PL/SQL DBMS_CLOUD_ADMIN. El usuario ADMIN tiene este privilegio.

  2. Ejecute el procedimiento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION con los parámetros necesarios de Entra ID.

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                            'application_id' VALUE 'application_id',
                            'application_id_uri' VALUE 'application_id_uri'),
      force => TRUE
  );
END;

    En este procedimiento, los parámetros de Entra ID son:

    • type: especifica el proveedor de autenticación externo. Para Entra ID, como se muestra, utilice 'AZURE_AD'.

    • params: los valores de los parámetros de ID de entrada necesarios están disponibles en el portal de Azure en el panel Visión general de registro de aplicación para Azure Active Directory. Los params necesarios para el ID de Entra son:

      • tenant_id: ID de inquilino de la cuenta de Azure. El ID de inquilino especifica el registro de la aplicación Entra ID de la instancia de Autonomous AI Database.

      • application_id: ID de aplicación de Azure creado en Entra ID para asignar asignaciones de roles/esquemas para la autenticación externa en la instancia de base de datos de IA autónoma.

      • application_id_uri: URI único asignado a la aplicación de Azure.

        Es el identificador de la instancia de base de datos de IA autónoma. El nombre debe estar cualificado para el dominio (soporta el acceso a recursos entre arrendamientos).

        La longitud máxima de este parámetro es de 256 caracteres.

    • force: defina este parámetro en TRUE si se configura otro método EXTERNAL AUTHENTICATION para la instancia de base de datos de IA autónoma y desea desactivarlo.

    Por ejemplo:

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                            'application_id' VALUE '11aa1a11-aaa',
                            'application_id_uri' VALUE 'https://example.com/111aa1aa'),
      force  => TRUE
  );
END;

    Esto define el parámetro del sistema IDENTITY_PROVIDER_TYPE.

    Por ejemplo, puede utilizar lo siguiente para verificar IDENTITY_PROVIDER_TYPE:

    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';

NAME                   VALUE

---------------------- --------
identity_provider_type AZURE_AD

    Consulte el Procedimiento ENABLE_EXTERNAL_AUTHENTICATION para obtener más información.

Contenido relacionado