Uso de Microsoft Active Directory con Autonomous AI Database

Puede configurar la base de datos de IA autónoma para autenticar y autorizar usuarios de Microsoft Active Directory.

Esta configuración permite a los usuarios de Active Directory acceder a la base de datos de IA autónoma mediante sus credenciales de Active Directory, incluidas las contraseñas y Kerberos.

Requisitos para configurar CMU con Microsoft Active Directory en Autonomous AI Database

Puede configurar la base de datos de IA autónoma para autenticar y autorizar usuarios de Microsoft Active Directory.

Según dónde residan los servidores de Active Directory, hay dos opciones para configurar la base de datos de IA autónoma con usuarios gestionados de forma centralizada (CMU) con Microsoft Active Directory:

• Servidores de Active Directory (AD) de acceso público: se puede acceder a los servidores de Active Directory desde la base de datos de IA autónoma a través de la red pública de Internet.

• Los servidores de Active Directory (AD) residen en un punto final privado: los servidores de Active Directory residen en un punto final privado y no se puede acceder a ellos desde la base de datos de IA autónoma a través de la red pública de Internet. Para este caso, se necesita un paso de configuración adicional, como se muestra en el último paso de Configuración de CMU con Microsoft Active Directory en Autonomous AI Database, donde se define la propiedad de base de datos ROUTE_OUTBOUND_CONNECTIONS.

Nota

Nota: Consulte Uso del ID de Microsoft Entra con Autonomous AI Database para obtener información sobre el uso de Azure Active Directory con Autonomous AI Database. La opción de CMU soporta servidores Microsoft Active Directory pero no soporta el servicio Azure Active Directory.

La integración de la base de datos de IA autónoma con usuarios gestionados a nivel central (CMU) proporciona integración con Microsoft Active Directory. CMU con Active Directory funciona mediante la asignación de usuarios globales y roles globales de base de datos Oracle a usuarios y grupos de Microsoft Active Directory.

Se requieren los siguientes requisitos para configurar la conexión de Autonomous AI Database a Active Directory:

• Debe tener instalado y configurado Microsoft Active Directory. Consulte Introducción a AD DS para obtener más información.

• Debe crear un usuario de directorio del servicio de Oracle en Active Directory. Consulte la sección sobre conexión a Microsoft Active Directory para obtener información sobre la cuenta de usuario de directorio del servicio de Oracle.

• Un administrador del sistema de Active Directory debe haber instalado el filtro de contraseñas de Oracle en los servidores de Active Directory y configurado grupos de Active Directory con usuarios de Active Directory que cumplan sus requisitos.

  Nota
  
  Nota: Esto no es necesario si utiliza la autenticación Kerberos para CMU Active Directory. Consulte Kerberos Authentication for CMU with Microsoft Active Directory para obtener más información.

  Si utiliza la autentificación de contraseñas con CMU Active Directory para la base de datos de IA autónoma, debe utilizar la utilidad incluida, opwdintg.exe, para instalar el filtro de contraseñas de Oracle en Active Directory, ampliar el esquema y crear tres nuevos grupos ORA_VFR para los tres tipos de generación de verificador de contraseñas. Consulte la sección sobre conexión a Microsoft Active Directory para obtener información sobre la instalación del filtro de contraseñas de Oracle.

• Necesita la cartera, cwallet.sso y el archivo dsi.ora de configuración de CMU para configurar CMU para su base de datos de IA autónoma:

  • Si ha configurado los CMU para una base de datos local, puede obtener estos archivos de configuración del servidor de base de datos local.

  • Si no ha configurado la CMU para una base de Datos Local, debe crear estos archivos. A continuación, cargue los archivos a la nube para configurar la CMU en la instancia de la base de datos de IA autónoma. Puede validar la cartera y dsi.ora configurando la CMU para una base de Datos Local y verificando que un usuario deActive Directory puede conectarse correctamente a la base de Datos Local con estos archivos del entorno.

  Para obtener más información sobre el archivo de cartera para CMU, consulte la sección sobre creación de la cartera para una conexión segura y la sección sobre verificación de la cartera de Oracle.

  Para obtener detalles sobre el archivo dsi.ora para CMU, consulte la sección sobre Creación del archivo dsi.ora.

  Para obtener detalles sobre la configuración de Active Directory para CMU y la solución de problemas de CMU para bases de datos locales, consulte cómo configurar los usuarios gestionados de forma centralizada para la base de datos versión 18c o versiones posteriores (ID de documento 2462012.1).

• El puerto 636 de los servidores de Active Directory debe estar abierto a la base de datos de IA autónoma en Oracle Cloud Infrastructure. Esto permite a Autonomous AI Database acceder a los servidores de Active Directory.

• Cuando los servidores de Active Directory están en un punto final público:

  • Los servidores de Active Directory deben ser accesibles desde la base de datos de IA autónoma a través de la red pública de Internet.

  • También puede ampliar Active Directory local a Oracle Cloud Infrastructure donde puede configurar controladores de dominio de solo lectura (RODC) para Active Directory local. Esto le permite utilizar los RODC de Oracle Cloud Infrastructure para autenticar y autorizar a usuarios de Active Directory locales para acceder a bases de datos de IA autónomas.

    Consulte Ampliar la integración de Active Directory en la nube híbrida para obtener más información.

Configuración de CMU con Microsoft Active Directory en la base de datos de IA autónoma

Puede configurar la base de datos de IA autónoma para autenticar y autorizar usuarios de Microsoft Active Directory.

Para configurar Autonomous AI Database para CMU para conectarse a Active Directory:

Nota

Nota: Al realizar los pasos de configuración, conéctese a la base de datos como usuario ADMIN.

1. Verifique si hay otro esquema de autenticación externo activado en la base de datos y desactívelo.

   Puede continuar con la configuración de CMU-AD además de Kerberos para proporcionar autenticación de Kerberos de CMU-AD para usuarios de Microsoft Active Directory.

   Consulte Kerberos Authentication for CMU with Microsoft Active Directory para obtener más información.

2. Cargue los archivos de configuración de CMU, incluido el archivo de cartera, cwallet.sso y el archivo de configuración de CM U, dsi.ora en el almacén de objetos. Este paso depende del almacén de objetos que utilice.

   El archivo de configuración dsi.ora contiene la información para buscar los servidores de Active Directory.

   Si utiliza el almacén de objetos de Oracle Cloud Infrastructure, consulte Colocación de datos en Object Storage para obtener más información sobre la carga de archivos.

3. Ejecute el procedimiento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION y transfiera un URI de ubicación con el argumento JSON params. Debe colocar los archivos de configuración cwallet.sso y dsi.ora en la ubicación de Object Storage especificada en el parámetro location_uri.

   Por ejemplo:

   BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
          type     => 'CMU',
          params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                  'credential_name' value 'my_credential_name')
      );
   END;
   /

   Oracle recomienda almacenar los archivos de configuración de CMU en un cubo privado en el almacén de objetos.

   En este ejemplo, namespace-string es el espacio Oracle Cloud Infrastructure Object Storage Namepace, y bucketname es el nombre del cubo. Consulte Descripción de los espacios de nombres de Object Storage para obtener más información.

   credential_name que utiliza en este paso son las credenciales para acceder al almacén de objetos.

   No es necesario crear una credencial para acceder al almacén de objetos de Oracle Cloud Infrastructure si activa las credenciales de entidad de recurso. Consulte Uso de la entidad de recurso para acceder a recursos de Oracle Cloud Infrastructure para obtener más información.

   Si location_uri es una URL autenticada previamente o una URL firmada previamente, no es necesario proporcionar credential_name.

   El procedimiento crea un objeto de directorio denominado CMU_WALLET_DIR en la base de datos y copia los archivos de configuración de CMU de la ubicación del almacén de objetos en el objeto de directorio. Este procedimiento también define la propiedad de base de datos CMU_WALLET en el valor 'CMU_WALLET_DIR' y define el valor del parámetro LDAP_DIRECTORY_ACCESS en el valor PASSWORD para permitir el acceso desde la instancia de base de datos de IA autónoma a Active Directory.

4. Después de activar la autenticación de CMU, elimine los archivos de configuración de CMU, incluida la cartera de base de datos cwallet.sso y el archivo de configuración de CMU dsi.ora del almacén de objetos. Puede utilizar los métodos del almacén de objetos local para eliminar estos archivos o utilizar DBMS_CLOUD.DELETE_OBJECT para suprimir los archivos del almacén de objetos.

5. Cuando los servidores de Active Directory están en un punto final privado, realice pasos de configuración adicionales para proporcionar acceso al punto final privado.

   1. Defina la propiedad ROUTE_OUTBOUND_CONNECTIONS de la base de datos.

      Consulte Seguridad mejorada para conexiones salientes con puntos finales privados para obtener más información.

   2. Valide que el archivo de configuración de CMU-AD dsi.ora incluya nombres de host. Cuando se define la propiedad de base de datos ROUTE_OUTBOUND_CONNECTIONS, las direcciones IP no se pueden especificar en dsi.ora.

Nota para CMU con Active Directory en Autonomous AI Database:

• Solo se admite la autenticación de contraseña o Kerberos para CMU con base de datos de IA autónoma. Cuando se utiliza la autenticación de CMU con Autonomous AI Database, no están soportados otros métodos de autenticación de CMU como Azure AD, OCI IAM y PKI.

Consulte Desactivar el acceso a Active Directory en la base de datos de IA autónoma para ver instrucciones sobre la desactivación del acceso de la base de datos de IA autónoma a Active Directory.

Consulte ENABLE_EXTERNAL_AUTHENTICATION Procedure para obtener información sobre DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION.

Consulte la sección sobre configuración de usuarios gestionados de forma centralizada con Microsoft Active Directory para obtener más información sobre la configuración de CMU con Microsoft Active Directory.

Autenticación de Kerberos para CMU con Microsoft Active Directory

Puede configurar Autonomous AI Database para que utilice la autenticación Kerberos para CMU con usuarios de Microsoft Active Directory. Esta configuración permite a los usuarios de Active Directory (CMU-AD) de CMU acceder a una instancia de base de datos de IA autónoma mediante credenciales de Kerberos.

Kerberos se puede configurar con CMU-AD o sin él. La simple configuración de Kerberos requiere que cree y mantenga un usuario de base de datos para cada usuario de Kerberos. La configuración de Kerberos con CMU le permite asignar un grupo de usuarios de Kerberos de Active Directory a un único usuario de base de datos, esquema compartido, para que el acceso a la base de datos pueda ser controlado por la pertenencia al grupo de Active Directory. Consulte Configure Kerberos Authentication with Autonomous AI Database para obtener detalles sobre la configuración de Kerberos sin CMU-AD.

Nota

Nota: Al implementar la autenticación de Kerberos y CMU-AD para la autorización, Oracle recomienda implementar primero la autenticación de Kerberos y, a continuación, agregar la autorización de CMU-AD.

1. Active Kerberos en su instancia de base de datos de IA autónoma mediante el servidor de Kerberos de Microsoft Active Directory.

   Sólo se admiten servidores Kerberos de Microsoft Active Directory para Kerberos al configurar la autenticación de Kerberos con CMU-AD.

   a. Para activar la autenticación de Kerberos para la base de datos de AI autónoma, debe obtener los archivos del Kerberos: krb.conf y el archivo v5srvtab de tabla de claves de servicio.

   Para generar estos archivos al configurar la autenticación de Kerberos con CMU-AD, necesita el nombre de host del servidor. Puede obtener el valor del host del servidor del atributo PUBLIC_DOMAIN_NAME en la columna CLOUD_IDENTITY de V$PDBS. Este valor es diferente del nombre de dominio completo (FQDN) para una base de datos en un punto final privado.

   Utilice el siguiente comando para obtener el nombre de host del servidor:

   SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
       "KSERVICE/KINSTANCE" FROM v$pdbs;

   Puede utilizar un comando como el siguiente para generar el archivo de tabla de claves de servicio:

   ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                     -pass ACTIVE_DIRECTORY_PASSWORD
                     -mapuser DATABASE_SERVER_HOST_NAME
                     -crypto ALL
                     -ptype KRB5_NT_PRINCIPAL
                     -out database.keytab

   Por ejemplo:

   ktpass -princ ORACLE/user.example.com@example.com
                    -pass password -mapuser dbexamplekrb
                    -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

   Para más información sobre estos archivos y los pasos necesarios para obtenerlos, consulte Configuring Kerberos Authentication.

   b. Copie los archivos de configuración de Kerberos krb.conf y v5srvtab en un cubo del almacén de objetos.

   Este paso difiere según el almacén de objetos que utilice.

   Si utiliza el almacén de objetos de Oracle Cloud Infrastructure, consulte Colocación de datos en Object Storage para obtener más información sobre la carga de archivos.

   c. Ejecute DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION para activar la autenticación externa de Kerberos.

   Por ejemplo:

   BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
          type     => 'KERBEROS',
          params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                  'credential_name' value *'my_credential_name'*)
      );
   END;
   /

   Nota
   
   Nota: Oracle recomienda almacenar los archivos de configuración de Kerberos en un cubo privado en el almacén de objetos.

   En este ejemplo, namespace-string es el espacio Oracle Cloud Infrastructure Object Storage Namepace, y bucketname es el nombre del cubo. Consulte Descripción de los espacios de nombres de Object Storage para obtener más información.

   credential_name que utiliza en este paso son las credenciales para el almacén de objetos.

   Consulte Enable Kerberos Authentication on Autonomous AI Database para obtener más información.

   d. Confirme que Kerberos esté configurado y activado.

   SELECT property_value FROM database_properties
         WHERE property_name='KERBEROS_DIRECTORY';

2. Active y configure CMU-AD en Autonomous AI Database.

   a. Cargue los archivos de configuración de CMU, incluido el archivo de cartera, cwallet.sso y el archivo de configuración de CM U, dsi.ora en el almacén de objetos.

   Cargue cwallet.sso para que la configuración de CMU-AD tenga las credenciales para que la instancia de base de datos de IA autónoma se conecte a la cuenta de servicio de Active Directory.

   El archivo de configuración dsi.ora contiene la información para buscar los servidores de Active Directory.

   Este paso difiere según el almacén de objetos que utilice.

   Si utiliza el almacén de objetos de Oracle Cloud Infrastructure, consulte Colocación de datos en Object Storage para obtener más información sobre la carga de archivos.

   b. Ejecute el procedimiento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION y transfiera un URI de ubicación con el argumento JSON params. Debe colocar los archivos de configuración cwallet.sso y dsi.ora en la ubicación de Object Storage especificada en el parámetro location_uri.

   Por ejemplo:

   BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
          type     => 'CMU',
          params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                  'credential_name' value 'my_credential_name')
      );
   END;
   /

   Oracle recomienda almacenar los archivos de configuración de CMU en un cubo privado en el almacén de objetos.

   En este ejemplo, namespace-string es el espacio Oracle Cloud Infrastructure Object Storage Namepace, y bucketname es el nombre del cubo. Consulte Descripción de los espacios de nombres de Object Storage para obtener más información.

   credential_name que utiliza en este paso son las credenciales para acceder al almacén de objetos.

   No es necesario crear una credencial para acceder al almacén de objetos de Oracle Cloud Infrastructure si activa las credenciales de entidad de recurso. Consulte Uso de la entidad de recurso para acceder a recursos de Oracle Cloud Infrastructure para obtener más información.

   Si location_uri es una URL autenticada previamente o una URL firmada previamente, no es necesario proporcionar credential_name.

   Consulte Requisitos para configurar CMU con Microsoft Active Directory en Autonomous AI Database para obtener más información.

   c. Confirme que CMU-AD esté configurado y activado.

   SELECT property_value FROM database_properties
         WHERE property_name='CMU_WALLET';

3. Después de completar los pasos 1 y 2, verifique que se haya completado la configuración de la autenticación de Kerberos con CMU-AD.

   a. Conéctese a la instancia de Autonomous AI Database como usuario de Active Directory para que la información de SYS_CONTEXT se rellene en USERENV.

   b. Consulte SYS_CONTEXT USERENV.

   SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;

   SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')
   
   --------------------------------------------------------------------------------
   KERBEROS_GLOBAL

   Cuando se configura y se activa la autenticación de Kerberos sin CMU-AD, esta consulta devuelve: KERBEROS. Consulte Configure Kerberos Authentication with Autonomous AI Database para obtener más información.

   Cuando tiene la autenticación CMU-AD configurada sin Kerberos, esta consulta devuelve: PASSWORD_GLOBAL. Consulte Requisitos para configurar CMU con Microsoft Active Directory en Autonomous AI Database para obtener más información.

Notas para el uso de la autenticación Kerberos con CMU-AD:

• No es necesario agregar el filtro de contraseña al utilizar la autenticación de Kerberos con CMU-AD. Consulte Requisitos para configurar CMU con Microsoft Active Directory en Autonomous AI Database para obtener más información.

• Se admite la adición o eliminación de usuarios de Active Directory, de la misma manera que con CMU con Active Directory cuando se utiliza la autenticación de contraseña. Consulte Adición de usuarios de Microsoft Active Directory en Autonomous AI Database para obtener más información.

• Las restricciones existentes sobre la autenticación con las herramientas incorporadas de la base de datos de IA autónoma con CMU con contraseña de Active Directory también se aplican a CMU con Active Directory con autenticación de Kerberos. Consulte Restricciones de herramientas con Active Directory en Autonomous AI Database para obtener más información.

• Utilice DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desactivar CMU-AD con autenticación Kerberos. Consulte el Procedimiento DISABLE_EXTERNAL_AUTHENTICATION para obtener más información.

• Cuando los servidores CMU-AD están en un punto final privado, para utilizar CMU-AD con autenticación Kerberos, el nombre de host del servidor utilizado para generar el separador de claves se debe definir en el valor del atributo PUBLIC_DOMAIN_NAME en la columna CLOUD_IDENTITY de V$PDBS. Este valor es diferente del FQDN para una base de datos de punto final privado.

Agregar roles de Microsoft Active Directory en la base de datos de IA autónoma

Para agregar roles de Active Directory, asigne los roles globales de la base de datos a los grupos de Active Directory con sentencias CREATE ROLE o ALTER ROLE (e incluya la cláusula IDENTIFIED GLOBALLY AS).

Para agregar roles globales para los grupos de Active Directory en la base de datos de IA autónoma:

1. Conéctese como usuario ADMIN a la base de datos configurada para utilizar Active Directory (el usuario ADMIN tiene los privilegios del sistema CREATE ROLE y ALTER ROLE que necesita para estos pasos).

2. Defina la autorización para los roles de bases de datos de Autonomous AI con las sentencias CREATE ROLE o ALTER ROLE. Incluya la cláusula IDENTIFIED GLOBALLY AS y especifique el DN de un grupo de los Active Directory.

   Utilice la siguiente sintaxis para asignar un grupo de usuarios de directorio a un rol global de base de datos:

   CREATE ROLE global_role IDENTIFIED GLOBALLY AS
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

   Por ejemplo:

   CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
        'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

   En este ejemplo, todos los miembros de widget_sales_group están autorizados con el rol de base de datos widget_sales_role cuando se conectan a la base de datos.

3. Utilice las sentencias GRANT para otorgar los privilegios necesarios u otros roles al rol global.

   Por ejemplo:

   GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
   GRANT DWROLE TO WIDGET_SALES_ROLE;

   DWROLE es un rol predefinido que tiene privilegios comunes definidos. Consulte Gestión de privilegios de usuario en la base de datos de IA autónoma: conexión con una herramienta de cliente para obtener información sobre la configuración de privilegios comunes para usuarios de la base de datos de IA autónoma.

4. Si desea hacer que un rol de base de datos existente se asocie a un grupo de Active Directory, utilice la sentencia ALTER ROLE para modificar el rol de base de datos existente para asignarlo a un grupo de Active Directory.

   Utilice la siguiente sintaxis para modificar un rol de base de datos existente para asignarlo a un grupo de Active Directory:

   ALTER ROLE existing_database_role
      IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

5. Si desea crear asignaciones de rol global adicionales para otros grupos de Active Directory, siga estos pasos para cada grupo de Active Directory.

Para obtener más información sobre la configuración de roles con Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users en la Oracle Database 19c Security Guide u Oracle AI Database 26ai Security Guide.

Agregar usuarios de Microsoft Active Directory en la base de datos de IA autónoma

Para agregar usuarios de la instancia de Active Directory para acceder a una base de Datos, asigne usuarios globales a grupos o usuarios de la instancia de Active Directory con las sentencias CREATE USER o ALTER USER (con las sentencias IDENTIFIED GLOBALLY AS).

La integración de Autonomous AI Database con Active Directory funciona mediante la asignación de usuarios y grupos de Microsoft Active Directory directamente a usuarios y roles globales de base de datos Oracle.

Para agregar usuarios globales para grupos de Active Directory o usuarios en Autonomous AI Database:

1. Conéctese como usuario ADMIN a la base de datos configurada para utilizar Active Directory (el usuario ADMIN tiene los privilegios del sistema CREATE USER y ALTER USER necesarios para estos pasos).

2. Defina la autorización de bases de datos para usuarios de Autonomous AI Database con sentencias CREATE USER o ALTER USER e incluya la cláusula IDENTIFIED GLOBALLY AS, especificando el DN de un usuario o grupo de un Active Directory.

   Utilice la siguiente sintaxis para asignar un usuario de directorio a un usuario global de base de datos:

   CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

   Utilice la siguiente sintaxis para asignar un grupo de directorio a un usuario global de base de datos:

   CREATE USER global_user IDENTIFIED GLOBALLY AS
       'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

   Por ejemplo, para asignar un grupo de directorio denominado widget_sales_group en la unidad de organización sales del dominio production.example.com a un usuario global de base de datos compartida denominado WIDGET_SALES:

   CREATE USER widget_sales IDENTIFIED GLOBALLY AS
        'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

   De este modo se crea una asignación de usuario global compartida. La asignación, con el usuario global widget_sales, es efectiva para todos los usuarios del grupo de Active Directory. Por lo tanto, cualquier usuario de widget_sales_group puede conectarse a la base de datos utilizando las credenciales de Active Directory (mediante la asignación compartida del usuario global widget_sales).

3. Si desea que los usuarios de Active Directory utilicen un usuario de base de datos existente, posean su esquema y posean sus datos existentes, utilice ALTER USER para modificar un usuario de base de datos existente para asignar el usuario a un grupo o usuario de Active Directory.

   • Utilice la siguiente sintaxis para modificar un usuario de base de datos existente para asignarlo a un usuario de Active Directory:

     ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

   • Utilice la siguiente sintaxis para modificar un usuario de base de datos existente para asignarlo a un grupo de Active Directory:

     ALTER USER existing_database_user
          IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

4. Si desea crear asignaciones de usuario global adicionales para otros grupos o usuarios de Active Directory, siga estos pasos para cada grupo o usuario de Active Directory.

Para obtener más información sobre la configuración de roles con Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users en la Oracle Database 19c Security Guide u Oracle AI Database 26ai Security Guide.

Restricciones de las herramientas con Active Directory en Autonomous AI Database

Notas para el uso en herramientas de Autonomous AI Database con Active Directory:

• Oracle APEX no está soportado para los usuarios de Active Directory con una base de datos de IA autónoma. Consulte Creación de espacios de trabajo de Oracle APEX en una base de datos de IA autónoma para obtener información sobre el uso de usuarios de base de datos normales con una base de datos de IA autónoma.

• Database Actions no está soportado para los usuarios de Active Directory con Autonomous AI Database. Consulte Cómo proporcionar acceso de Database Actions a los usuarios de la base de Datos para más información sobre el uso de usuarios de base de Datos normales con Autonomous AI Database.

• Oracle Machine Learning Notebooks no está soportado para usuarios de Active Directory con base de datos de IA autónoma. Consulte Adición de una cuenta de usuario de base de Datos existente a los componentes de la aplicación Oracle Machine Learning para ver información sobre el uso de usuarios de base de Datos normales con Autonomous AI Database.

Conexión a la base de datos de IA autónoma con las credenciales de usuario de Active Directory

Después de que el usuario ADMIN haya completado los pasos para configurar Active Directory de CMU y haya creado roles globales y usuarios globales, los usuarios se conectarán a la base de datos con su nombre del usuario y contraseña de de Active Directory.

Nota

Nota: no se conecte con un nombre de usuario global. Los nombres de usuario globales no tienen contraseña y la conexión con un nombre de usuario global no se realizará correctamente. Debe tener una asignación de usuario global en su base de datos de IA autónoma para conectarse a la base de datos. No puede conectarse a la base de datos solo con asignaciones de rol global.

1. Para conectarse a la base de datos mediante un nombre del usuario y una contraseña deActive Directory, conéctese de la siguiente manera:

   CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

   Por ejemplo:

   CONNECT "production\pfitch"/password@adbname_medium;

   Debe incluir comillas dobles cuando se incluya el dominio de Active Directory junto con el nombre de usuario, como en este ejemplo: "production\pfitch".

   En este ejemplo, el nombre de usuario de Active Directory es pfitch en el dominio production. El usuario de Active Directory es miembro del grupo widget_sales_group que se identifica por su DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Después de configurar la CMU con Active Directory en Autonomous AI Database y de configurar la autorización de Active Directory, con roles globales y usuarios globales, puede conectarse a la base de datos mediante cualquiera de los métodos de conexión descritos en Connect to Autonomous AI Database. Al conectarse, si desea utilizar un usuario de Active Directory, utilice las credenciales de usuario de Active Directory. Por ejemplo, proporcione un nombre de usuario con este formato, "AD_DOMAIN**AD_USERNAME" (se deben incluir comillas dobles) y utilice AD_USER_PASSWORD para la contraseña.

Si su instancia de Autonomous AI Database está en el modo restringido, este modo solo permite conectarse a la base de información a usuarios con el privilegio RESTRICTED SESSION. El usuario ADMIN tiene este privilegio. Puede utilizar el modo de acceso restringido para realizar tareas administrativas, como la indexación, las cargas de datos u otras actividades planificadas. Consulte Change Autonomous AI Database Operation Mode to Read/Write Read-Only or Restricted para obtener más información.

Comprobación de la información de conexión de usuario de Active Directory con base de datos de IA autónoma

Cuando el usuario se conecta a la base de datos con su nombre del usuario y contraseña deActive Directory, puede verificar y auditar la actividad del usuario.

Por ejemplo, cuando el usuario pfitch se conecta:

CONNECT "production\pfitch"/password@exampleadb_medium;

El nombre del usuario de conexión del usuario de Active Directory (samAccountName) es pfitch, widget_sales_group es el nombre del Grupo de Active Directory, y widget_sales es el usuario global de la base de datos.

Después de que pfitch se conecte a la base de datos, el comando SHOW USER muestra el nombre de usuario global:

SHOW USER;

USER is "WIDGET_SALES"

El siguiente comando muestra el DN (nombre distintivo) del usuario de Active Directory:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Por ejemplo, puede verificar la identidad de empresa de este usuario gestionado de forma centralizada:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

El siguiente comando muestra "AD_DOMAIN\AD_USERNAME":

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Por ejemplo, la identidad del usuario autenticado de Active Directory se captura y audita cuando el usuario se conecta a la base de datos:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Consulte Verifying the Centrally Managed User Logon Information en la Oracle Database 19c Security Guide u Oracle AI Database 26ai Security Guide para obtener más información.

Eliminar usuarios y roles deActive Directory en la base de datos de IA autónoma

Para eliminar usuarios y funciones de Active Directory de bases de datos de IA autónomas, utilice comandos estándar de bases de datos. Esto no elimina los usuarios o los grupos relacionados de Active Directory asignados desde los roles o los usuarios de base de datos borrados.

Para eliminar usuarios o roles de la base de datos de IA autónoma:

1. Conéctese a la base de datos configurada para utilizar Active Directory como usuario al que se le ha otorgado el privilegio del sistema DROP USER o DROP ROLE.

2. Borre los usuarios globales o los roles globales asignados a grupos o usuarios de Active Directory con la sentencia DROP USER o DROP ROLE.

   Consulte Eliminación de usuarios en una base de datos de IA autónoma para obtener más información.

Desactivar el acceso a Active Directory en la base de datos de IA autónoma

Describe los pasos para eliminar la configuración de CMU de su base de datos de IA autónoma (y desactivar el acceso de LDAP de su base de datos de IA autónoma a Active Directory).

Después de configurar la instancia de base de datos de IA autónoma para acceder a CMU Active Directory, puede desactivar el acceso de la siguiente manera:

1. Conéctese a la base de datos de IA autónoma como usuario ADMIN.

2. Utilice DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desactivar la autenticación de CMU.

   Nota
   
   Nota: para ejecutar este procedimiento, debe estar conectado como usuario ADMIN o tener el privilegio EXECUTE en DBMS_CLOUD_ADMIN.

   Por ejemplo:

   BEGIN
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
   END;
   /

   Esto desactiva la autenticación de CMU en su instancia de base de datos de IA autónoma.

Consulte el Procedimiento DISABLE_EXTERNAL_AUTHENTICATION para obtener más información.