Gestión de perfiles de usuario con Autonomous Database
Puede crear y modificar perfiles de usuario en Autonomous Database. Después de crear o modificar un perfil, puede especificar la cláusula de perfil con CREATE USER
o ALTER USER
. También puede importar perfiles de usuario existentes desde otro entorno con la importación de Oracle Data Pump.
Autonomous Database tiene restricciones en la cláusula de perfil. Consulte Comandos SQL para obtener información sobre las restricciones CREATE PROFILE
y ALTER PROFILE
.
Para agregar, modificar o eliminar un parámetro de contraseña en un perfil, incluido el perfil DEFAULT
, debe tener el privilegio del sistema ALTER PROFILE
.
Esto crea new_user
con el perfil new_profile
y con privilegios de conexión. new_user
ahora se puede conectar a la base de datos y ejecutar consultas. Para otorgar privilegios adicionales a los usuarios, consulte Gestión de privilegios de usuarios en Autonomous Database: Conexión con una herramienta de cliente.
Consulte CREATE PROFILE para obtener información sobre el uso de CREATE PROFILE
o ALTER PROFILE
.
Puede importar perfiles existentes creados en otros entornos mediante la importación de Oracle Data Pump (impdp
). Cualquier asociación de perfil existente con usuarios de base de datos se conserva después de la importación a Autonomous Database. Cuando un usuario recién creado, creado a partir de una importación de Oracle Data Pump, intenta conectarse por primera vez, la conexión se maneja de la siguiente forma:
- Las restricciones de complejidad de contraseña son las mismas que las restricciones para cualquier usuario de Autonomous Database.
-
Si la contraseña del usuario infringe los requisitos de complejidad de la contraseña, la cuenta caducará con un período de gracia de 30 días. En este caso, el usuario debe cambiar su contraseña antes de que finalice el período de gracia.
Las asignaciones de perfil para usuarios con perfil
ORA_PROTECTED_PROFILE
y ORA_ADMIN_PROFILE
no se pueden modificar.
Los siguientes usuarios comparten el perfil ORA_PROTECTED_PROFILE
y la asignación de perfil de estos usuarios no se puede cambiar:
ADBSNMP
ADB_APP_STORE
DCAT_ADMIN
GGADMIN
RMAN$CATALOG
El usuario ADMIN
se asigna a ORA_ADMIN_PROFILE
.
Al crear o modificar un perfil, puede especificar una función de verificación de contraseñas (PVF) para gestionar la complejidad de la contraseña. Consulte Gestión de la complejidad de las contraseñas en Autonomous Database para obtener más información.
- Gestión de la complejidad de las contraseñas en Autonomous Database
Puede crear una función de verificación de contraseña (PVF) y asociar la PVF a un perfil para gestionar la complejidad de las contraseñas de usuario. - Renovación gradual de las contraseñas de la base de datos para aplicaciones
Tema principal: Gestión de usuarios
Gestión de la complejidad de contraseñas en Autonomous Database
Puede crear una función de verificación de contraseña (PVF) y asociar la PVF a un perfil para gestionar la complejidad de las contraseñas de usuario.
La longitud mínima de la contraseña para una PVF especificada por el usuario es de 8 caracteres y debe incluir al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico. La longitud mínima de la contraseña para el perfil DEFAULT es de 12 caracteres (el perfil DEFAULT utiliza la PVF
CLOUD_VERIFY_FUNCTION
). La contraseña no puede contener el nombre de usuario.
Oracle recomienda utilizar una longitud de contraseña mínima de 12 caracteres. Si define la PVF de un perfil y define la longitud mínima de la contraseña en menos de 12 caracteres, las herramientas como Oracle Database Security Assessment Tool (DBSAT) y Qualys informan de ello como un riesgo para la seguridad de la base de datos.
Por ejemplo, para especificar una PVF para un perfil, utilice el siguiente comando:
CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF
Si cualquier usuario que no sea el usuario ADMIN que no sea el que crea o modifica el perfil, debe otorgar el privilegio EXECUTE
en la PVF. Si crea una PVF y la comprobación de contraseña falla, la base de datos informa del error ORA-28219
.
Puede especificar una PVF proporcionada por Oracle, desde una de las siguientes opciones:
CLOUD_VERIFY_FUNCTION
(esta es la función de verificación de contraseñas por defecto para Autonomous Database):Esta función comprueba los siguientes requisitos cuando los usuarios crean o modifican contraseñas:
-
La contraseña debe tener entre 12 y 30 caracteres de longitud y debe incluir al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico.
-
La contraseña no puede contener el nombre de usuario.
-
La contraseña no puede ser una de las últimas cuatro contraseñas utilizadas para el mismo nombre de usuario.
-
La contraseña no puede contener comillas dobles (").
-
La contraseña no debe ser la misma que se haya establecido hace menos de 24 horas.
-
ORA12C_STIG_VERIFY_FUNCTION
Esta función comprueba los siguientes requisitos cuando los usuarios crean o modifican contraseñas:
-
La contraseña tiene al menos 15 caracteres.
-
La contraseña tiene al menos 1 carácter en minúscula y al menos 1 carácter en mayúsculas.
-
La contraseña tiene al menos 1 dígito.
-
La contraseña tiene al menos 1 carácter especial.
-
La contraseña anterior es diferente en al menos 8 caracteres.
Consulte Requisitos de contraseña de ora12c_stig_verify_function para obtener más información.
-
Tenga en cuenta las siguientes restricciones para una función de verificación de contraseñas (PVF) que cree y asigne a un perfil:
-
Si especifica un perfil de usuario, la longitud mínima de la contraseña depende de cómo defina la PVF asociada, de la siguiente manera:
-
Si se define una PVF, la longitud mínima de la contraseña aplicada es de 8 caracteres con al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico. La contraseña no puede contener el nombre de usuario.
-
Si la PVF está definida como
NULL
, la longitud mínima de la contraseña aplicada es de 8 caracteres con al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico. La contraseña no puede contener el nombre de usuario. -
Si el perfil no tiene una fotovoltaica definida, se asigna la fotovoltaica del perfil predeterminado (
CLOUD_VERIFY_FUNCTION
) y la longitud de contraseña mínima aplicada es de 12 caracteres.
-
- Si especifica una función de verificación de contraseña (PVF) más estricta que la
CLOUD_VERIFY_FUNCTION
por defecto, se utilizará la nueva función de verificación. -
Una FVP que cree se debe crear como función PL/SQL
DEFINER RIGHTS
. Si se proporciona una PVF con derechosINVOKER
como entrada paraCREATE
oALTER
PROFILE
, se devuelve el errorORA-28220
. -
Las PVF que cree se deben crear en el esquema de usuario ADMIN. Si se proporciona una PVF que no es propiedad del usuario ADMIN como entrada para
CREATE
oALTER
PROFILE
, se devuelve el errorORA-28220
. -
Un usuario no ADMIN no puede modificar ni borrar una FVP. Es decir, cualquier usuario con el privilegio
CREATE
oDROP
ANY PROCEDURE
no puede modificar ni borrar una PVF. -
Si se borra la PVF asociada a un perfil, cualquier intento de cambiar la contraseña de un usuario que utiliza la PVF en su perfil devuelve el error
ORA-7443
. Los usuarios pueden seguir iniciando sesión cuando se borra la PVF asociada a su perfil. Sin embargo, si la contraseña de un usuario ha caducado y se borra el PVF, el usuario no puede iniciar sesión.Para recuperarse del error
ORA-7443
, el usuario ADMIN debe volver a crear la PVF borrada y asignarla al perfil o asignar una PVF existente al perfil. Esto permite al usuario cambiar su contraseña e iniciar sesión. -
El privilegio del sistema
CREATE ANY PROCEDURE
y el privilegio del sistemaDROP ANY PROCEDURE
se auditan para la seguridad de PVF. Consulte la listaPROCEDURES
en Listados de privilegios del sistema y de objetos para obtener más información.
Consulte Gestión de la complejidad de las contraseñas para obtener más información.
Tema principal: Gestión de perfiles de usuario con Autonomous Database
Renovación gradual de las contraseñas de la base de datos para aplicaciones
Una aplicación puede cambiar sus contraseñas de base de datos sin que un administrador tenga que programar el tiempo de inactividad.
Para ello, puede asociar un perfil que tenga un límite distinto de cero para el parámetro de perfil de contraseña PASSWORD_ROLLOVER_TIME
con un esquema de aplicación. Esto permite modificar la contraseña de base de datos del usuario de la aplicación, al tiempo que permite que la contraseña anterior siga siendo válida durante el tiempo especificado por el límite PASSWORD_ROLLOVER_TIME
. Durante el período de renovación, la instancia de aplicación puede utilizar la contraseña antigua o la nueva para conectarse al servidor de base de datos. Cuando el tiempo de renovación finaliza, solo se permite la nueva contraseña.
Consulte Managing Gradual Database Password Rollover for Applications para obtener más información.
Tema principal: Gestión de perfiles de usuario con Autonomous Database