Uso de Microsoft Active Directory con Autonomous Database
Esta configuración permite a los usuarios de la instancia de Active Directory acceder a Autonomous Database con sus credenciales de la instancia de Active Directory, incluidas las contraseñas y Kerberos.
- Requisitos previos para configurar la CMU con Microsoft Active Directory en Autonomous Database
Puede configurar Autonomous Database para autenticar y autorizar usuarios deMicrosoft Active Directory. - Configuración de CMU con Microsoft Active Directory en Autonomous Database
Puede configurar Autonomous Database para autenticar y autorizar usuarios de Microsoft Active Directory. - Autenticación de Kerberos para CMU con Microsoft Active Directory
Puede configurar Autonomous Database para utilizar la autenticación de Kerberos para CMU con usuarios de Microsoft Active Directory. Esta configuración permite a los usuarios de Active Directory de CMU (CMU-AD) acceder a una instancia de Autonomous Database mediante credenciales de Kerberos. - Adición de roles de Microsoft Active Directory en Autonomous Database
Para agregar roles de Active Directory, asigne los roles globales de base de datos a grupos de Active Directory con las sentenciasCREATE ROLE
oALTER ROLE
(e incluya la cláusulaIDENTIFIED GLOBALLY AS
). - Adición del usuario de Microsoft Active Directory en Autonomous Database
Para agregar usuarios de la instancia de Active Directory para acceder a una base de Datos, asigne usuarios globales a grupos o usuarios de la instancia de Active Directory con las sentenciasCREATE USER
oALTER USER
(con el cláusulaIDENTIFIED GLOBALLY AS
). - Restricciones de herramientas con Active Directory en Autonomous Database
- Conexión a Autonomous Database con credenciales Active Directory
Después de que el usuario ADMIN haya realizado los pasos para la configuración de CMU Active Directory y haya creado roles globales y usuarios globales, los usuarios se conectarán a la base de datos con su nombre y contraseña de usuario y contraseña de de Active Directory. - Verificación de los datos de conexión de usuario de de Active Directory con Autonomous Database
Cuando el usuario se conecta a la base de datos mediante el nombre de usuario y contraseña de de Active Directory, puede verificar y auditar la actividad del usuario. - Eliminación en Autonomous Database de roles y usuarios de Active Directory
Para eliminar usuarios de Active Directory y roles de bases de datos autónomas, utilice comandos para bases de datos estándar. Esto no elimina los usuarios o los grupos relacionados de Active Directory asignados desde los roles o los usuarios de base de datos borrados. - Desactivación de acceso de Active Directory en Autonomous Database
Describe los pasos para eliminar la configuración de CMU de Autonomous Database y desactivar el acceso de LDAP desde Autonomous Database a Active Directory.
Tema principal: Gestión de usuarios
Requisitos para configurar la CMU con Microsoft Active Directory en Autonomous Database
En función de dónde residan los servidores de Active Directory, hay dos opciones para configurar Autonomous Database con usuarios gestionados de forma centralizada (CMU) con Microsoft Active Directory:
-
Servidores de Active Directory (AD) de acceso público: se puede acceder a los servidores de Active Directory desde Autonomous Database a través de la red pública de Internet.
-
Los servidores de Active Directory (AD) residen en un punto final privado: los servidores de Active Directory residen en un punto final privado y no se puede acceder a ellos desde Autonomous Database mediante la red pública de Internet. Para este caso, se necesita un paso de configuración adicional, como se muestra en el último paso de Configuración de CMU con Microsoft Active Directory en Autonomous Database, donde se define la propiedad de base de datos
ROUTE_OUTBOUND_CONNECTIONS
.
Consulte Uso del ID de Microsoft Entra con Autonomous Database para obtener información sobre el uso de Azure Active Directory con Autonomous Database. La opción de CMU soporta servidores Microsoft Active Directory pero no soporta el servicio Azure Active Directory.
La integración de Autonomous Database con usuarios gestionados de forma centralizada (CMU) proporciona integración con Microsoft Active Directory. CMU con Active Directory funciona mediante la asignación de usuarios globales y roles globales de base de datos Oracle a usuarios y grupos de Microsoft Active Directory.
Para configurar la conexión de Autonomous Database a Active Directory, son necesarios los siguientes requisitos:
-
Debe tener instalado y configurado Microsoft Active Directory. Consulte Introducción a AD DS para obtener más información.
-
Debe crear un usuario de directorio del servicio de Oracle en Active Directory. Consulte la sección sobre conexión a Microsoft Active Directory para obtener información sobre la cuenta de usuario de directorio del servicio de Oracle.
-
Un administrador del sistema de Active Directory debe haber instalado el filtro de contraseñas de Oracle en los servidores de Active Directory y configurado grupos de Active Directory con usuarios de Active Directory que cumplan sus requisitos.
Nota
Esto no es necesario si utiliza la autenticación de Kerberos para CMU Active Directory. Consulte Kerberos Authentication for CMU with Microsoft Active Directory para obtener más información.Si utiliza la autentificación de contraseñas con CMU Active Directory para Autonomous Database, debe utilizar la utilidad incluida,
opwdintg.exe
, para instalar el filtro de contraseñas de Oracle en Active Directory, ampliar el esquema y crear tres nuevos gruposORA_VFR
para los tres tipos de generación del verificador de contraseñas. Consulte la sección sobre conexión a Microsoft Active Directory para obtener información sobre la instalación del filtro de contraseñas de Oracle. -
Necesita la cartera de base de datos de configuración de CMU,
cwallet.sso
y el archivo de configuración de CMUdsi.ora
para configurar la CMU para Autonomous Database:-
Si ha configurado los CMU para una base de datos local, puede obtener estos archivos de configuración del servidor de base de datos local.
-
Si no ha configurado la CMU para una base de Datos Local, debe crear estos archivos. A continuación, cargue los archivos para configurar CMU en la instancia de Autonomous Database en la nube. Puede validar la cartera y
dsi.ora
configurando los CMU para una base de datos local y verificando que un usuario de Active Directory puede conectarse correctamente a la base de datos local con estos archivos de configuración.
Para obtener más información sobre el archivo de cartera para CMU, consulte la sección sobre creación de la cartera para una conexión segura y la sección sobre verificación de la cartera de Oracle.
Para obtener detalles sobre el archivo
dsi.ora
para CMU, consulte la sección sobre la creación del archivo dsi.ora.Para obtener detalles sobre la configuración de Active Directory para CMU y la solución de problemas de CMU para bases de datos locales, consulte cómo configurar los usuarios gestionados de forma centralizada para la base de datos versión 18c o versiones posteriores (ID de documento 2462012.1).
-
-
El puerto 636 de los servidores de Active Directory debe estar abierto a Autonomous Database en Oracle Cloud Infrastructure. Esto permite a Autonomous Database acceder a los servidores de Active Directory.
-
Cuando los servidores de Active Directory están en un punto final público:
-
Se debe poder acceder a los servidores de Active Directory desde Autonomous Database mediante la red pública de Internet.
-
También puede ampliar Active Directory local a Oracle Cloud Infrastructure donde puede configurar controladores de dominio de solo lectura (RODC) para Active Directory local. Esto le permite utilizar los RODC de Oracle Cloud Infrastructure para autenticar y autorizar a usuarios de Active Directory locales para acceder a bases de datos autónomas.
Consulte Ampliar la integración de Active Directory en la nube híbrida para obtener más información.
-
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Configuración de CMU con Microsoft Active Directory en Autonomous Database
Para configurar Autonomous Database para que CMU se conecte a Active Directory:
Al realizar los pasos de configuración, conéctese a la base de datos como usuario ADMIN.
Nota para CMU con Active Directory en Autonomous Database:
-
Solo se admite la "autenticación con contraseña" o la autenticación de Kerberos para CMU con Autonomous Database. Al utilizar la autenticación de CMU con Autonomous Database, no están soportados otros métodos de autenticación de CMU, como Azure AD, OCI IAM y PKI.
Consulte Desactivación del Acceso a Active Directory en Autonomous Database para ver instrucciones sobre la desactivación del acceso de Autonomous Database a Active Directory.
Consulte el procedimiento ENABLE_EXTERNAL_AUTHENTICATION para obtener información sobre DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
.
Consulte la sección sobre configuración de usuarios gestionados de forma centralizada con Microsoft Active Directory para obtener más información sobre la configuración de CMU con Microsoft Active Directory.
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Autenticación de Kerberos para CMU con Microsoft Active Directory
Kerberos se puede configurar con CMU-AD o sin él. La simple configuración de Kerberos requiere que cree y mantenga un usuario de base de datos para cada usuario de Kerberos. La configuración de Kerberos con CMU le permite asignar un grupo de usuarios de Kerberos de Active Directory a un único usuario de base de datos, esquema compartido, para que el acceso a la base de datos pueda ser controlado por la pertenencia al grupo de Active Directory. Consulte Configure Kerberos Authentication with Autonomous Database para obtener detalles sobre la configuración de Kerberos sin CMU-AD.
Al implementar la autenticación Kerberos y CMU-AD para la autorización, Oracle recomienda implementar primero la autenticación Kerberos y, a continuación, agregar la autorización CMU-AD.
Notas para el uso de la autenticación Kerberos con CMU-AD:
-
No es necesario agregar el filtro de contraseña al utilizar la autenticación de Kerberos con CMU-AD. Consulte Requisitos previos para configurar CMU con Microsoft Active Directory en Autonomous Database para obtener más información.
-
Se admite la adición o eliminación de usuarios de Active Directory, de la misma manera que con CMU con Active Directory cuando se utiliza la autenticación de contraseña. Consulte Agregar usuarios de Microsoft Active Directory en Autonomous Database para obtener más información.
-
Las restricciones existentes sobre la autenticación en las herramientas incorporadas de Autonomous Database con CMU con contraseña de Active Directory también se aplican a CMU con autenticación de Active Directory con Kerberos. Consulte Restricciones de herramienta con Active Directory en Autonomous Database para obtener más información.
-
Utilice
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
para desactivar CMU-AD con autenticación Kerberos. Consulte DISABLE_EXTERNAL_AUTHENTICATION Procedure para obtener más información. -
Cuando los servidores CMU-AD están en un punto final privado, para utilizar CMU-AD con autenticación Kerberos, el nombre de host del servidor utilizado para generar el separador de claves se debe definir en el valor del atributo
PUBLIC_DOMAIN_NAME
en la columnaCLOUD_IDENTITY
deV$PDBS
. Este valor es diferente del FQDN para una base de datos de punto final privado.
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Adición de roles de Microsoft Active Directory en Autonomous Database
Para agregar roles de Active Directory, asigne los roles globales de la base de datos a los grupos de Active Directory con sentencias CREATE ROLE
o ALTER ROLE
(e incluya la cláusula IDENTIFIED GLOBALLY AS
).
Para agregar roles globales para los grupos de Active Directory en Autonomous Database:
Para obtener más información sobre la configuración de roles con Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users en la Oracle Database 19c Security Guide u Oracle Database 23ai Security Guide.
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Adición de usuarios de Microsoft Active Directory en Autonomous Database
Para agregar usuarios de la instancia de Active Directory para acceder a una base de Datos, asigne usuarios globales a grupos o usuarios de la instancia de Active Directory con sentencias CREATE USER
o ALTER USER
(con el cláusula IDENTIFIED GLOBALLY AS
).
La integración de Autonomous Database con Active Directory funciona mediante la asignación de usuarios y grupos de Microsoft Active Directory directamente a usuarios globales y roles globales de la base de datos Oracle.
Para agregar usuarios globales para grupos o usuarios de Active Directory en Autonomous Database:
Para obtener más información sobre la configuración de roles con Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users en la Oracle Database 19c Security Guide u Oracle Database 23ai Security Guide.
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Restricciones de herramientas con Active Directory en Autonomous Database
Notas para el uso de herramientas de Autonomous Database con Active Directory:
- Oracle APEX no está soportado para los usuarios de Active Directory con Autonomous Database. Consulte Creación de espacios de trabajo de Oracle APEX en Autonomous Database para obtener información sobre el uso de usuarios de base de datos normales con Autonomous Database.
-
Database Actions no está soportado para los usuarios de Active Directory con Autonomous Database. Consulte Cómo proporcionar acceso de Database Actions a los usuarios de la base de Datos para ver información sobre el uso de usuarios de base de Datos normales con Autonomous Database.
-
Los blocs de notas de Oracle Machine Learning no están soportados para los usuarios de Active Directory con Autonomous Database. Consulte Adición de una cuenta de usuario de base de Datos existente a los componentes de de Oracle Machine Learning para ver información sobre el uso de usuarios de bases de datos normales con Autonomous Database.
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Conexión a Autonomous Database con credenciales de usuario de Active Directory
Después de que el usuario ADMIN haya completado los pasos para configurar CMU de Active Directory y haya creado roles globales y usuarios globales, los usuarios se conectarán a la base de datos con su nombre del usuario y contraseña de la aplicación Active Directory.
No se conecte con un nombre de usuario global. Los nombres de usuario globales no tienen contraseña y la conexión con un nombre de usuario global no se realizará correctamente. Debe tener una asignación de usuario global en Autonomous Database para conectarse a la base de datos. No puede conectarse a la base de datos solo con asignaciones de rol global.
Una vez configurada la CMU con Active Directory en Autonomous Database y configuradas las autorizaciones de Active Directory, con roles globales y usuarios globales, puede conectarse a la base de datos mediante cualquiera de los métodos que se describen en Conexión a Autonomous Database. Al conectarse, si desea utilizar un usuario de Active Directory, utilice las credenciales de usuario de Active Directory. Por ejemplo, proporcione un nombre de usuario con este formato, "AD_DOMAIN\AD_USERNAME" (se deben incluir comillas dobles) y utilice AD_USER_PASSWORD para la contraseña.
Si la instancia de Autonomous Database está en modo restringido, este modo solo permite conectarse a la base de datos a los usuarios con el privilegio RESTRICTED SESSION
. El usuario ADMIN tiene este privilegio. Puede utilizar el modo de acceso restringido para realizar tareas administrativas, como la indexación, las cargas de datos u otras actividades planificadas. Consulte Change Autonomous Database Operation Mode to Read/Write Read-Only or Restricted para obtener más información.
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Verificación de la información de conexión de usuario de Active Directory con Autonomous Database
Cuando el usuario se conecte a la base de datos con su nombre del usuario y contraseña deActive Directory, puede verificar y auditar la actividad del usuario.
Por ejemplo, cuando el usuario pfitch
se conecta:
CONNECT "production\pfitch"/password@exampleadb_medium;
El nombre del usuario de conexión del usuario de Active Directory (samAccountName) es pfitch
, y widget_sales_group
es los nombres de grupo deActive Directory, y widget_sales
es el usuario global de la base de datos.
Después de que pfitch
se conecte a la base de datos, el comando SHOW USER
muestra el nombre de usuario global:
SHOW USER;
USER is "WIDGET_SALES"
El siguiente comando muestra el DN (nombre distintivo) del usuario de Active Directory:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Por ejemplo, puede verificar la identidad de empresa de este usuario gestionado de forma centralizada:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
El siguiente comando muestra "AD_DOMAIN\AD_USERNAME
":
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Por ejemplo, la identidad del usuario autenticado de Active Directory se captura y audita cuando el usuario se conecta a la base de datos:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Consulte Verifying the Centrally Managed User Logon Information en Oracle Database 19c Security Guide u Oracle Database 23ai Security Guide para obtener más información.
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Eliminación de usuarios y roles de Active Directory en Autonomous Database
Para eliminar usuarios y roles de Active Directory de instancias de Autonomous Databases, utilice comandos de base de datos estándar. Esto no elimina los usuarios o los grupos relacionados de Active Directory asignados desde los roles o los usuarios de base de datos borrados.
Para eliminar usuarios o roles de Autonomous Database:
Tema principal: Uso de Microsoft Active Directory con Autonomous Database
Desactivación del acceso a Active Directory en Autonomous Database
Describe los pasos para eliminar la configuración de CMU de Autonomous Database (y desactivar el acceso de LDAP de Autonomous Database a Active Directory).
Después de configurar la instancia de Autonomous Database para acceder a Active Directory de CMU, puede desactivar el acceso de la siguiente manera:
Consulte DISABLE_EXTERNAL_AUTHENTICATION Procedure para obtener más información.
Tema principal: Uso de Microsoft Active Directory con Autonomous Database