Documentación de Oracle Cloud Infrastructure

Adición de usuarios de IAM en Autonomous Database

Para agregar usuarios de IAM para permitirles el acceso a Autonomous Database, asigne usuarios globales de base de datos a grupos o usuarios de IAM con las sentencias CREATE USER o ALTER USER (con la cláusula IDENTIFIED GLOBALLY AS).

La autorización de usuarios de IAM a una instancia de Autonomous Database funciona mediante la asignación de usuarios globales de IAM (esquemas) a usuarios de IAM (asignación exclusiva) o grupos de IAM (asignación de esquema compartido).

Para autorizar a los usuarios de IAM en una instancia de Autonomous Database:

  1. Conéctese como usuario ADMIN a la base de datos que está activada para utilizar IAM (el usuario ADMIN tiene los privilegios del sistema CREATE USER y ALTER USER necesarios para estos pasos).
  2. Cree una asignación entre el usuario de Autonomous Database (esquema) con las sentencias CREATE USER o ALTER USER e incluya la cláusula IDENTIFIED GLOBALLY AS especificando el nombre del grupo de IAM.

    Utilice la siguiente sintaxis para asignar un usuario global a un grupo de IAM:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_NAME';

    Por ejemplo, para asignar un grupo de IAM denominado db_sales_group a un usuario global de base de datos compartida denominado sales_group: 

    CREATE USER sales_group IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=db_sales_group';

    De este modo se crea una asignación de usuario global compartida. La asignación, con el usuario global sales_group, es efectiva para todos los usuarios del grupo de IAM. Por lo tanto, cualquier usuario de db_sales_group se puede conectar a la base de datos con sus credenciales de IAM (mediante la asignación compartida del usuario global sales_group).

    En el siguiente ejemplo, se muestra cómo hacerlo para un dominio no predeterminado:

    CREATE USER shared_sales_schema IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=sales_domain/db_sales_group';
  3. Si desea crear asignaciones de usuario globales adicionales para otros grupos o usuarios de IAM, siga estos pasos para cada grupo o usuario de IAM.
Nota

Los usuarios de base de datos que no sean IDENTIFIED GLOBALLY pueden continuar con la conexión como antes, incluso cuando Autonomous Database está activado para la autenticación de IAM.

Para asignar exclusivamente un usuario de IAM local a un usuario global de Oracle Database:

  1. Conéctese como usuario ADMIN a la base de datos que está activada para utilizar IAM (el usuario ADMIN tiene los privilegios del sistema CREATE USER y ALTER USER necesarios para estos pasos).

  2. Cree una asignación entre el usuario (esquema) de Autonomous Database con las sentencias CREATE USER o ALTER USER e incluya la cláusula IDENTIFIED GLOBALLY AS especificando el nombre de usuario de IAM local

    Por ejemplo, para crear un nuevo usuario global de base de datos denominado peter_fitch y asignar este usuario a un usuario de IAM local existente denominado peterfitch: 

    CREATE USER peter_fitch IDENTIFIED GLOBALLY AS 'IAM_PRINCIPAL_NAME=peterfitch'

    El siguiente ejemplo muestra cómo crear el usuario especificando un dominio no predeterminado, sales_domain: 

    CREATE USER peter_fitch2 IDENTIFIED GLOBALLY AS
'IAM_PRINCIPAL_NAME=sales_domain/peterfitch';