Conexión a Autonomous Database con autenticación de Identity and Access Management (IAM)
Una vez que el usuario ADMIN activa Oracle Cloud Infrastructure IAM en Autonomous Database, los usuarios se conectan a la instancia de Autonomous Database mediante sus credenciales de Oracle Cloud Infrastructure IAM o acceden a la base de datos mediante un token de base de datos de Oracle Cloud Infrastructure IAM.
Después de activar el acceso de usuario de Oracle Cloud Infrastructure IAM, también se puede conectar a Autonomous Database con el nombre de usuario y la contraseña de la cuenta de base de datos local (cuenta de usuario de base de datos no global)
Puede utilizar un cliente de base de datos para acceder a una instancia de Autonomous Database como usuario de Oracle Cloud Infrastructure IAM. Para utilizar un cliente con credenciales de nombre de usuario y contraseña de Oracle Cloud Infrastructure IAM y un verificador de contraseñas, el cliente de base de datos debe ser 12c o posterior.
También puede utilizar un token de base de datos de Oracle Cloud Infrastructure IAM para acceder a una instancia de Autonomous Database. El uso de tokens de IAM requiere la actualización más reciente de la versión 19c del cliente de Oracle Database (19.16 como mínimo). Algunos clientes anteriores (19c y 21c) disponen de un juego limitado de capacidades para el acceso de token. La versión 21c del cliente de Oracle Database no soporta por completo la función de acceso de token de IAM.
En los siguientes ejemplos se muestra el verificador de contraseñas con SQL*Plus para acceder a la base de datos con un nombre de usuario y una contraseña de IAM de Oracle Cloud Infrastructure y los pasos necesarios para utilizar SQL*Plus con un token de base de datos de IAM de Oracle Cloud Infrastructure.
Si la instancia de Autonomous Database está en modo restringido, solo se podrán conectar a la base de datos los usuarios con el privilegio RESTRICTED SESSION
, como ADMIN.
Puede utilizar un token de base de datos de Oracle Cloud Infrastructure IAM para acceder a una instancia de Autonomous Database con clientes soportados, incluidos los siguientes:
-
JDBC-Thin con soporte para la autenticación de token de IAM está soportado con lo siguiente:
-
JDBC versión 19.13.0.0.1 (o posterior): consulte la sección sobre descargas de JDBC y UCP para los controladores JDBC.
-
JDBC versión 21.4.0.0.1 (o posterior): consulte la sección sobre descargas de JDBC y UCP para los controladores JDBC.
Consulte la sección sobre el soporte para la autenticación basada en token de IAM para obtener más información:
-
- SQL*Plus y Oracle Instant Client: soportado con SQL*Plus e Instant Client en las versiones 19.13 o posteriores de Linux, y con Instant Client en las versiones 21.4 o posteriores de Linux.
Consulte la sección sobre la autenticación basada en token de Identity and Access Management (IAM) para obtener más información.
-
El cliente de base de datos también se puede configurar para recuperar un token de base de datos mediante el nombre de usuario de IAM y la contraseña de base de datos de IAM.
Consulte Conexiones de cliente que utilizan un token solicitado por un nombre de usuario y una contraseña de base de datos de IAM para obtener más información.
-
Clientes .NET (versión más reciente de Linux o Windows). Los componentes de software .NET están disponibles como descarga gratuita en los siguientes sitios:
- Acerca de la conexión a una instancia de Autonomous Database mediante IAM
Los usuarios de IAM se pueden conectar a la instancia de Autonomous Database mediante un verificador de contraseña de base de datos de IAM o un token de IAM. - Configuración de una conexión de cliente para SQL*Plus que utilice una contraseña de base de datos de IAM
Puede configurar SQL*Plus para que utilice una contraseña de base de datos de IAM. - Configuración de una conexión de cliente para SQL*Plus que utilice un token de IAM
Puede configurar una conexión de cliente para SQL*Plus que utilice un token de IAM. - Uso del principal de instancia para acceder a Autonomous Database con autenticación de Identity and Access Management (IAM)
Una vez que el usuario ADMIN ha activado Oracle Cloud Infrastructure IAM en Autonomous Database, una aplicación puede acceder a la base de datos mediante un token de base de datos de Oracle Cloud Infrastructure IAM mediante un principal de instancia.
Acerca de la conexión a una instancia de Autonomous Database mediante IAM
Los usuarios de IAM se pueden conectar a la instancia de Autonomous Database mediante un verificador de contraseña de base de datos de IAM o un token de IAM.
El uso del verificador de contraseña de base de datos de IAM es similar al proceso de autenticación de contraseña de Oracle Database. Sin embargo, en lugar de almacenarse el verificador de contraseña (hash cifrado de la contraseña) en la base de datos Oracle, el verificador se almacena en su lugar como parte del perfil de usuario de IAM de Oracle Cloud Infrastructure (OCI).
El segundo método de conexión, el uso de un token de IAM para la base de datos, es más moderno. El uso del acceso basado en token es una opción más adecuada para recursos en la nube como Autonomous Database. El token se basa en la seguridad que puede aplicar el punto final de IAM. Puede ser una autenticación multifactor, que es más segura que el uso únicamente de contraseñas. Otra ventaja del uso de tokens es que el verificador de contraseña (que se considera confidencial) nunca se almacena ni está disponible en la memoria. Se necesita una conexión TCPS (TLS) al utilizar tokens para el acceso a la base de datos.
No puede configurar el cifrado de red nativo al transferir un token de IAM. Solo se admite la seguridad de capa de transporte (TLS) por sí misma, no el cifrado de red nativo ni el cifrado de red nativo con TLS.
- Conexiones de cliente que utilizan un verificador de contraseña de base de datos de IAM
Una vez que haya configurado la autorización necesaria para el usuario de IAM, este usuario se puede conectar mediante la aplicación cliente existente, como SQL*Plus o SQLcl, sin configuración adicional. - Conexiones de cliente que utilizan un token solicitado por una aplicación o herramienta de cliente
Para el acceso de token de IAM a Autonomous Database, la aplicación o herramienta de cliente solicita un token de base de datos de IAM para el usuario de IAM.
Conexiones de cliente que utilizan un verificador de contraseña de base de datos de IAM
Una vez que haya configurado la autorización necesaria para el usuario de IAM, este usuario se puede conectar mediante la aplicación cliente existente, como SQL*Plus o SQLcl, sin configuración adicional.
12C
. El uso del cifrado del verificador 11G
no está soportado con IAM. No se necesita ninguna configuración especial de cliente o herramienta para que el usuario de IAM se conecte a la instancia de DBaaS de OCI.
Conexiones de cliente que utilizan un token solicitado por una aplicación o herramienta de cliente
Para el acceso de token de IAM a Autonomous Database, la aplicación o la herramienta de cliente solicitan un token de base de datos de IAM para el usuario de IAM.
La aplicación cliente transferirá el token de base de datos directamente al cliente de base de datos a través de la API de cliente de base de datos.
Si la aplicación o la herramienta no se han actualizado para que solicite un token de IAM, el usuario de IAM puede utilizar la interfaz de línea de comandos (CLI) de Oracle Cloud Infrastructure (OCI) para solicitar y almacenar el token de base de datos. Puede solicitar un token de acceso a la base de datos (db-token
) con las siguientes credenciales:
- Tokens de seguridad (con autenticación de IAM), tokens de delegación (en OCI Cloud Shell) y
API-keys
, que son credenciales que representan al usuario de IAM para activar la autenticación - Tokens de principal de instancia, que permiten que las instancias sean actores (o principales) autorizados para realizar acciones en recursos de servicio después de la autenticación
- Token principal de recurso, que es una credencial que permite a la aplicación autenticarse en otros servicios de Oracle Cloud Infrastructure
- Nombre de usuario de IAM y contraseña de base de datos de IAM (solo puede solicitarlo el cliente de base de datos).
Cuando los usuarios de IAM se conectan al cliente con una barra inclinada /
y se configura el parámetro OCI_IAM
(sqlnet.ora
, tnsnames.ora
o como parte de una cadena de conexión), el cliente de base de datos recupera el token de base de datos de un archivo. Si el usuario de IAM envía un nombre de usuario y una contraseña, la conexión utilizará el acceso del verificador de base de datos de IAM descrito para las conexiones de cliente que utilizan verificadores de contraseña de base de datos de IAM. En las instrucciones de esta guía se muestra cómo utilizar la CLI de OCI como ayuda para el token de base de datos. Si la aplicación o la herramienta se ha actualizado para que funcione con IAM, siga las instrucciones de la aplicación o la herramienta. Algunos casos de uso habituales son: SQLPlus local, SQLcl local, SQL*Plus en Cloud Shell o aplicaciones que utilizan carteras SEP.
Configuración de una conexión de cliente para SQL*Plus que utilice una contraseña de base de datos de IAM
Puede configurar SQL*Plus para que utilice una contraseña de base de datos de IAM.
Configuración de una conexión de cliente para SQL*Plus que utilice un token de IAM
Puede configurar una conexión de cliente para SQL*Plus que utilice un token de IAM.
TOKEN_AUTH
, el usuario de IAM se puede conectar a la instancia de Autonomous Database ejecutando el siguiente comando para iniciar SQL*Plus. Puede incluir el propio descriptor de conexión o utilizar el nombre del descriptor del archivo tnsnames.ora
.connect /@exampledb_high
O:
connect /@(description=
(retry_count=20)(retry_delay=3)
(address=(protocol=tcps)(port=1522)
(host=example.us-phoenix-1.oraclecloud.com))
(connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
(security=(ssl_server_cert_dn="CN=example.uscom-east-1.oraclecloud.com,
O=Example Corporation,
L=Redwood City, ST=California, C=US")
(TOKEN_AUTH=OCI_TOKEN)))
El cliente de base de datos ya está configurado para obtener db-token
porque TOKEN_AUTH
ya está definido, ya sea mediante el archivo sqlnet.ora
o en una cadena de conexión. El cliente de base de datos obtiene db-token
y lo firma mediante la clave privada y, a continuación, envía el token a Autonomous Database. Si se ha especificado un nombre de usuario de IAM y una contraseña de base de datos de IAM en lugar de una barra inclinada /
, el cliente de base de datos se conectará utilizando la contraseña en lugar de db-token
.
Uso del principal de instancia para acceder a Autonomous Database con autenticación de Identity and Access Management (IAM)
Una vez que el usuario ADMIN ha activado IAM en Oracle Cloud Infrastructure en Autonomous Database, una aplicación puede acceder a la base de datos a través de un token de base de datos de Oracle Cloud Infrastructure IAM mediante un principal de instancia.
Consulte Acceso a la API de Oracle Cloud Infrastructure con principales de instancia para obtener más información.