Documentación de Oracle Cloud Infrastructure

Gestión de perfiles de usuario con Autonomous Database

Puede crear y modificar perfiles de usuario en Autonomous Database. Después de crear o modificar un perfil, puede especificar la cláusula de perfil con CREATE USER o ALTER USER. También puede importar perfiles de usuario existentes desde otro entorno con la importación de Oracle Data Pump.

Nota

Autonomous Database tiene restricciones en la cláusula de perfil. Consulte Comandos SQL para obtener información sobre las restricciones CREATE PROFILE y ALTER PROFILE.

Para agregar, modificar o eliminar un parámetro de contraseña en un perfil, incluido el perfil DEFAULT, debe tener el privilegio del sistema ALTER PROFILE.

  1. Para agregar o modificar un perfil, ya que el usuario ADMIN ejecuta CREATE PROFILE o ALTER PROFILE. Por ejemplo:
    CREATE PROFILE new_profile
  LIMIT PASSWORD_REUSE_MAX 10
  PASSWORD_LOCK_TIME 5;

    Si no es el usuario ADMIN, debe tener el privilegio CREATE PROFILE para ejecutar CREATE PROFILE. Si ejecuta ALTER PROFILE, debe tener el privilegio ALTER PROFILE.

  2. Utilice el perfil nuevo o modificado con un comando CREATE USER o ALTER USER. Por ejemplo:
    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
GRANT CREATE SESSION TO new_user;

Esto crea new_user con el perfil new_profile y con privilegios de conexión. new_user ahora se puede conectar a la base de datos y ejecutar consultas. Para otorgar privilegios adicionales a los usuarios, consulte Gestión de privilegios de usuario en Autonomous Database - Conexión con una herramienta de cliente.

Consulte CREATE PROFILE para obtener información sobre el uso de CREATE PROFILE o ALTER PROFILE.

Puede importar perfiles existentes creados en otros entornos mediante la importación de Oracle Data Pump (impdp). Cualquier asociación de perfil existente con usuarios de base de datos se conserva después de la importación a Autonomous Database. Cuando un usuario recién creado, creado a partir de una importación de Oracle Data Pump, intenta conectarse por primera vez, la conexión se gestiona de la siguiente manera:

  • Las restricciones de complejidad de contraseña son las mismas que las restricciones para cualquier usuario de Autonomous Database.

  • Si la contraseña del usuario infringe los requisitos de complejidad de la contraseña, la cuenta caduca con un período de gracia de 30 días. En este caso, el usuario debe cambiar su contraseña antes de que finalice el período de gracia.

Nota

Las asignaciones de perfil para usuarios con el perfil ORA_PROTECTED_PROFILE y ORA_ADMIN_PROFILE no se pueden modificar.

Los siguientes usuarios comparten el perfil ORA_PROTECTED_PROFILE y la asignación de perfil de estos usuarios no se puede cambiar:

  • ADBSNMP
  • ADB_APP_STORE
  • DCAT_ADMIN
  • GGADMIN
  • RMAN$CATALOG

El usuario ADMIN está asignado a ORA_ADMIN_PROFILE.

Al crear o modificar un perfil, puede especificar una función de verificación de contraseñas (PVF) para gestionar la complejidad de la contraseña. Consulte Gestión de la complejidad de las contraseñas en Autonomous Database para obtener más información.

Tema principal: Gestión de usuarios

Gestión de la complejidad de las contraseñas en Autonomous Database

Puede crear una función de verificación de contraseña (PVF) y asociar la PVF a un perfil para gestionar la complejidad de las contraseñas de usuario.

Nota

La longitud mínima de la contraseña para un PVF especificado por el usuario es de 8 caracteres y debe incluir al menos una letra en mayúscula, una letra en minúscula y un carácter numérico. La longitud mínima de la contraseña para el perfil DEFAULT es de 12 caracteres (el perfil DEFAULT utiliza el PVF CLOUD_VERIFY_FUNCTION). La contraseña no puede contener el nombre de usuario.

Oracle recomienda utilizar una longitud mínima de contraseña de 12 caracteres. Si define la PVF de un perfil y establece la longitud mínima de la contraseña en menos de 12 caracteres, herramientas como Oracle Database Security Assessment Tool (DBSAT) y Qualys informan de ello como un riesgo de seguridad de la base de datos.

Por ejemplo, para especificar una PVF para un perfil, utilice el siguiente comando:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Si cualquier usuario que no sea el usuario ADMIN crea o modifica el perfil, debe otorgar el privilegio EXECUTE en la PVF. Si crea una PVF y falla la comprobación de contraseña, la base de datos informa el error ORA-28219.

Puede especificar una PVF proporcionada por Oracle, de una de las siguientes opciones:

  • CLOUD_VERIFY_FUNCTION (esta es la función de verificación de contraseña por defecto para Autonomous Database):

    Esta función comprueba los siguientes requisitos cuando los usuarios crean o modifican contraseñas:

    • La contraseña debe tener entre 12 y 30 caracteres de longitud y debe incluir al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico.

    • La contraseña no puede contener el nombre de usuario.

    • La contraseña no puede ser una de las últimas cuatro contraseñas utilizadas para el mismo nombre del usuario.

    • La contraseña no puede contener comillas dobles (").

    • La contraseña no debe ser la misma que se haya establecido hace menos de 24 horas.

  • ORA12C_STIG_VERIFY_FUNCTION

    Esta función comprueba los siguientes requisitos cuando los usuarios crean o modifican contraseñas:

    • La contraseña tiene al menos 15 caracteres.

    • La contraseña tiene al menos 1 carácter en minúsculas y al menos 1 carácter en mayúsculas.

    • La contraseña tiene al menos 1 dígito.

    • La contraseña tiene al menos 1 carácter especial.

    • La contraseña es distinta de la contraseña anterior en al menos 8 caracteres.

    Consulte ora12c_stig_verify_function Password Requirements para obtener más información.

Tenga en cuenta las siguientes restricciones para una función de verificación de contraseña (PVF) que cree y asigne a un perfil:

  • Si especifica un perfil de usuario, la longitud mínima de la contraseña depende de cómo defina la PVF asociada, de la siguiente manera:

    • Si se define un PVF, la longitud mínima de la contraseña aplicada es de 8 caracteres con al menos una letra en mayúscula, una letra en minúscula y un carácter numérico. La contraseña no puede contener el nombre de usuario.

    • Si la PVF se define como NULL, la longitud mínima de la contraseña aplicada es de 8 caracteres con al menos una letra en mayúscula, una letra en minúscula y un carácter numérico. La contraseña no puede contener el nombre de usuario.

    • Si el perfil no tiene una PVF definida, se asigna la PVF (CLOUD_VERIFY_FUNCTION) del perfil DEFAULT y la longitud mínima de la contraseña aplicada es de 12 caracteres.

  • Si especifica una función de verificación de contraseña (PVF) que es más estricta que la CLOUD_VERIFY_FUNCTION por defecto, se utiliza la nueva función de verificación.

  • Se debe crear una PVF como función PL/SQL DEFINER RIGHTS. Si se proporciona un PVF de derechos INVOKER como entrada para CREATE o ALTER PROFILE, se devuelve el error ORA-28220.

  • Cualquier PVF que cree se debe crear en el esquema de usuario ADMIN. Si se proporciona un PVF que no es propiedad de un usuario ADMIN como entrada para CREATE o ALTER PROFILE, se devuelve el error ORA-28220.

  • Un usuario no administrador no puede modificar ni borrar una PVF. Es decir, cualquier usuario con el privilegio CREATE o DROP ANY PROCEDURE no puede modificar ni borrar una PVF.

  • Si se borra la PVF asociada a un perfil, cualquier intento de cambiar la contraseña de un usuario que utiliza la PVF en su perfil devuelve el error ORA-7443. Los usuarios aún pueden iniciar sesión cuando se borra la PVF asociada a su perfil. Sin embargo, si la contraseña de un usuario ha caducado y se ha borrado la PVF, el usuario no puede iniciar sesión.

    Para recuperarse del error ORA-7443, el usuario ADMIN debe volver a crear la PVF borrada y asignarla al perfil, o asignar una PVF existente al perfil. Esto permite al usuario cambiar su contraseña y conectarse.

  • El privilegio del sistema CREATE ANY PROCEDURE y el privilegio del sistema DROP ANY PROCEDURE se auditan para la seguridad de PVF. Consulte la lista PROCEDURES en Listings of System and Object Privileges para obtener más información.

Consulte Gestión de la complejidad de las contraseñas para obtener más información.

Renovación gradual de contraseñas de bases de datos para aplicaciones

Una aplicación puede cambiar sus contraseñas de base de datos sin que un administrador tenga que programar el tiempo de inactividad.

Para ello, puede asociar un perfil que tenga un límite distinto de cero para el parámetro de perfil de contraseña PASSWORD_ROLLOVER_TIME, a un esquema de aplicación. Esto permite modificar la contraseña de la base de datos del usuario de la aplicación, al tiempo que permite que la contraseña anterior siga siendo válida durante el tiempo especificado por el límite de PASSWORD_ROLLOVER_TIME. Durante el período de renovación, la instancia de aplicación puede utilizar la contraseña antigua o la nueva para conectarse al servidor de base de datos. Cuando caduca el tiempo de renovación, solo se permite la nueva contraseña.

Consulte Gestión de renovación gradual de contraseñas de bases de datos para aplicaciones para obtener más información.