Documentación de Oracle Cloud Infrastructure

Creación y gestión de usuarios en una base de datos de IA autónoma

Hay varias opciones para crear usuarios en Autonomous AI Database. Puede utilizar la tarjeta de usuarios de base de datos de Oracle Database Actions o utilizar herramientas de cliente que se conectan a la base de datos para crear usuarios de base de datos.

Tema principal: Gestión de usuarios

Creación de usuarios en una base de datos de IA autónoma con Database Actions

Puede crear rápidamente usuarios de base de datos de IA autónoma con Database Actions.

En primer lugar, acceda a Database Actions como usuario ADMIN. Consulte Acceso a Database Actions como ADMIN para obtener más información.

  1. Haga clic en la parte superior izquierda icono de navegación junto a Oracle Database Actions.

    Se muestra el menú Database Actions, que incluye Desarrollo, Data Studio, Administración, Descargas, Supervisión y Servicios relacionados.

  2. En Administración, haga clic en Usuarios de base de datos.
  3. En la página Usuarios de base de datos, en el área Todos los usuarios, haga clic en + Crear usuario.
  4. Para crear un nuevo usuario, introduzca un nombre de usuario, una contraseña y vuelva a introducirla para confirmar la contraseña. Seleccione también las opciones que desee activar para el usuario: Gráfico, OML o Acceso web.
  5. Defina un valor para Cuota en DATA de tablespace para el usuario.
  6. Si desea otorgar roles para el nuevo usuario, haga clic en el separador Roles otorgados y seleccione los roles para el usuario. Por ejemplo, seleccione DWROLE y CONNECT.
  7. Haga clic en Crear usuario.

    Database Actions muestra el mensaje de confirmación User Created.

Consulte Gestión de roles y privilegios de usuario en la base de datos de IA autónoma para obtener más información sobre cómo otorgar roles y agregar o actualizar privilegios para un usuario.

Consulte Página Usuarios de Base de Datos para obtener información detallada sobre los usuarios de base de datos de Database Actions.

Si proporciona acceso web para el nuevo usuario, debe enviar una URL al nuevo usuario. Consulte Proporcionar acceso a Database Actions a los usuarios de la Base de Datos para obtener más información.

El administrador debe proporcionar la cartera de credenciales al nuevo usuario para el acceso del cliente. Consulte Conexión a la base de datos de IA autónoma para obtener más información sobre las credenciales de acceso del cliente.

Nota

La base de datos de IA autónoma requiere contraseñas fuertes; la contraseña que especifique debe cumplir las reglas a nivel de complejidad para contraseñas por defecto. Consulte Acerca de las contraseñas de usuario en la base de datos de IA autónoma para obtener más información.

Consulte Creación de espacios de trabajo de Oracle APEX en una base de datos de IA autónoma para obtener información sobre la creación de espacios de trabajo de APEX.

Consulte Creación y actualización de cuentas de usuario para los componentes de Oracle Machine Learning en la base de datos de IA autónoma para agregar cuentas de usuario para Oracle Machine Learning Notebooks.

Creación de usuarios en base de datos de IA autónoma: conexión con una herramienta de cliente

Puede crear usuarios conectándose a la base de datos como usuario ADMIN mediante cualquier herramienta de cliente SQL.

Por ejemplo, conéctese mediante Oracle SQL Developer (consulte Conexión a una base de datos de IA autónoma).

  1. Conéctese como usuario ADMIN.
  2. ejecute las siguientes sentencias SQL:
    CREATE USER new_user IDENTIFIED BY password;
GRANT CREATE SESSION TO new_user;
    Nota

    IDENTIFIED con la cláusula EXTERNALLY no está soportado con la base de datos de IA autónoma.

    Además, no se permite IDENTIFIED con la cláusula BY VALUES.

Esto crea new_user con privilegios de conexión. Este usuario ahora puede conectarse a la base de datos y ejecutar consultas. Para otorgar privilegios adicionales a los usuarios, consulte Gestión de roles y privilegios de usuario en la base de datos de IA autónoma.

El administrador debe proporcionar la cartera de credenciales al usuario new_user. Consulte Conexión a base de datos de IA autónoma para obtener más información sobre las credenciales de cliente.

Nota

La base de datos de IA autónoma requiere contraseñas fuertes; la contraseña que especifique debe cumplir las reglas a nivel de complejidad para contraseñas por defecto. Consulte Acerca de las contraseñas de usuario en la base de datos de IA autónoma para obtener más información.

Consulte Proporcionar acceso a Database Actions a los usuarios de la base de datos para agregar usuarios a Database Actions.

Consulte Creación de espacios de trabajo de Oracle APEX en una base de datos de IA autónoma para obtener información sobre la creación de espacios de trabajo de APEX.

Consulte Creación y actualización de cuentas de usuario para los componentes de Oracle Machine Learning en Autonomous AI Database para agregar cuentas de usuario para los componentes de Oracle Machine Learning.

Tema principal: Creación y gestión de usuarios en una base de datos de IA autónoma

Creación de usuarios con autenticación de contraseña basada en secreto

Puede almacenar contraseñas de usuario de forma segura en un almacén externo y hacer referencia a ellas desde la base de datos, en lugar de gestionar contraseñas directamente en la base de datos.

Cuando un usuario se autentica con credenciales basadas en secretos, la base de datos recupera la contraseña del almacén durante el inicio de sesión, genera verificadores de autenticación y completa el proceso de autenticación. La contraseña de usuario nunca se almacena en la base de datos.

La autenticación de usuario basada en secretos le permite:
  • Almacenar contraseñas de usuario de base de datos de forma segura en servicios de almacén externos
  • Rotación de contraseñas de soporte
  • Mantener la seguridad de la contraseña
    • Evite almacenar las contraseñas de usuario de la base de datos como texto sin formato en los scripts de aplicación
  • Activar despliegues de base de datos multinube con gestión de credenciales segura

La base de datos de IA autónoma soporta los siguientes proveedores de almacén para las credenciales de secreto de almacén:

  • Oracle Cloud Infrastructure Vault
  • Almacén de claves de Azure
  • AWS Secrets Manager
  • Gestor de secretos de GCP

Puede crear usuarios de base de datos en una base de datos de IA autónoma que se autentique mediante una contraseña almacenada de forma segura en un secreto en el almacén en la nube soportado.

En la siguiente sección se describe el aprovisionamiento de un secreto de almacén, la definición de una credencial y la creación de un usuario de base de datos que extrae los detalles de autenticación de forma segura del almacén:

Requisitos:

  • Antes de crear usuarios con credenciales de secreto de almacén, debe crear un secreto en el almacén que contenga la contraseña deseada en función de los proveedores de almacén que seleccione. Anote el identificador secreto y los detalles de ubicación, como la región, el nombre del almacén o el ID del proyecto, según el proveedor que seleccione.

  • También debe asegurarse de configurar el permiso necesario en la nube para que la base de datos de IA autónoma pueda leer el secreto. Por ejemplo, si selecciona el almacén de OCI, se debe permitir que la base de datos de IA autónoma lea el secreto mediante un grupo dinámico y una política de IAM que otorgue acceso a los paquetes secretos del compartimento que contiene el secreto.

    Consulte Uso de credenciales de secreto de almacén para obtener más información sobre la creación de un secreto en los proveedores de almacén soportados junto con los permisos necesarios según el proveedor de almacén que seleccione.

Nota

La base de datos de IA autónoma requiere contraseñas fuertes; la contraseña que especifique debe cumplir las reglas a nivel de complejidad para contraseñas por defecto. Consulte Acerca de las contraseñas de usuario en la base de datos de IA autónoma para obtener más información.
  1. Cree la credencial de secreto de almacén:
    Después de crear el secreto, cree un objeto de credencial de secreto de almacén que almacene los metadatos necesarios para acceder al secreto:
    BEGIN
DBMS_CLOUD.CREATE_CREDENTIAL(
credential_name => 'vault_credential_name',
params => JSON_OBJECT(
'username' VALUE 'database_username',
'secret_id' VALUE 'vault_secret_identifier',
'region' VALUE 'vault_region'
)
);
END;
/
    • credential_name: especifica el nombre que asigna al objeto de credencial dentro de la base de datos. Éste es el parámetro al que hace referencia al crear el usuario.
    • username: especifica el nombre de usuario de la base de datos asociado a la contraseña almacenada en el secreto externo.
    • secret_id: especifica el identificador único del secreto en el almacén externo. Para Oracle Cloud Infrastructure Vault, este es el secreto de almacén OCID. Este valor de parámetro varía según los distintos proveedores de almacén.
    • region: especifica la base de datos cuya región contiene el secreto de almacén.

    Según el proveedor de almacén, puede que necesite proporcionar campos específicos de proveedor equivalentes, como region, azure_vault_name o gcp_project_id. Consulte Uso de credenciales secretas de almacén para obtener más información.

  2. Cree el usuario de base de datos:
    Después de crear la credencial de secreto de almacén, cree el usuario de base de datos y haga referencia a la credencial:
    CREATE USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."vault_credential_name";
GRANT CREATE SESSION TO database_username;
    • database_username: especifica el nombre del nuevo usuario de base de datos que crea.
    • IDENTIFIED BY CREDENTIAL: especifica que el usuario se autenticará mediante la autenticación basada en secretos, extrayendo la contraseña del almacén en lugar de almacenarla localmente.
    • credential_schema: especifica el esquema que posee el objeto de credencial.
    • vault_credential_name: especifica el nombre de credencial que apunta al secreto de almacén que ha creado en el procedimiento DBMS_CLOUD.CREATE_CREDENTIAL anterior.

    Después de crear el usuario, la base de datos de IA autónoma utiliza el secreto de almacén de referencia durante la autenticación para que el usuario se conecte con la contraseña almacenada en el gestor de secretos externo.

Al crear un usuario con autenticación basada en secretos, las siguientes columnas del diccionario de datos de las vistas de diccionario DBA_USERS y USER_USERS muestran la información de credenciales asociada:
  • LOGON_CREDENTIAL_OWNER: esquema propietario del objeto de credencial
  • LOGON_CREDENTIAL_NAME: nombre del objeto de credencial de almacén

    Las columnas del diccionario de datos hacen referencia a las columnas de las vistas incorporadas del diccionario de datos que describen las tablas, columnas, restricciones y otros objetos.

Actualización de usuarios en Autonomous AI Database: conexión con una herramienta de cliente

Puede crear usuarios conectándose a la base de datos como usuario ADMIN mediante cualquier herramienta de cliente SQL.

Por ejemplo, conéctese mediante Oracle SQL Developer (consulte Conexión a una base de datos de IA autónoma).

  1. Conéctese como usuario ADMIN.
  2. Ejecute la siguiente sentencia SQL:
    ALTER USER username IDENTIFIED BY new_password;
    Nota

    La base de datos de IA autónoma requiere contraseñas fuertes; la contraseña que especifique debe cumplir las reglas a nivel de complejidad para contraseñas por defecto. Consulte Acerca de las contraseñas de usuario en la base de datos de IA autónoma para obtener más información.

Esto actualiza la contraseña de username a new_password.

Tema principal: Creación y gestión de usuarios en una base de datos de IA autónoma

Actualización de la contraseña de usuario con autenticación de contraseña basada en secreto

En esta sección, se trata la actualización de la contraseña de un usuario existente mediante la referencia a una credencial de secreto de almacén.

Puede configurar un usuario para que se autentique mediante una contraseña que se almacena de forma segura en un almacén externo en lugar de definirse directamente en la base de datos. Se trata de una autenticación basada en secretos. Al utilizar esta opción, la base de datos recupera la contraseña del almacén en tiempo de ejecución mediante un objeto de credencial, en lugar de almacenar o exponer la contraseña en sentencias SQL o metadatos.

El uso de autenticación basada en secretos mejora la seguridad al eliminar las contraseñas de texto sin formato de las operaciones de la base de datos, lo que reduce el riesgo de exposición accidental en scripts, logs o pistas de auditoría. También simplifica la rotación de contraseñas y la gestión centralizada de credenciales, ya que las actualizaciones se pueden manejar en el almacén sin necesidad de realizar cambios en las definiciones de usuario de la base de datos.

La sentencia ALTER USER permite actualizar un usuario existente para utilizar una credencial basada en almacén sin borrar ni volver a crear la cuenta. De esta forma, se conservan los privilegios y roles existentes.

Por ejemplo, conéctese mediante Oracle SQL Developer (consulte Conexión a una base de datos de IA autónoma).
  1. Conéctese como usuario ADMIN.
  2. Debe asegurarse de que la credencial de secreto de almacén se cree y configure en su base de datos de IA autónoma. Consulte Uso de credenciales secretas de almacén para obtener más información.
    Ejecute la siguiente sentencia SQL para actualizar un usuario para que utilice una credencial de almacén:
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."credential_name";
    • database_username: especifica el usuario de base de datos existente cuya contraseña desea actualizar.
    • IDENTIFIED BY CREDENTIAL: especifica la autenticación basada en secretos, extrayendo la contraseña del almacén en lugar de almacenarla localmente.
    • credential_schema: especifica el esquema que contiene el objeto de credencial.
    • credential_name: especifica el nombre de credencial específico que apunta al secreto de almacén.
    Nota

    La base de datos de IA autónoma requiere contraseñas fuertes; la contraseña que especifique debe cumplir las reglas a nivel de complejidad para contraseñas por defecto. Consulte Acerca de las contraseñas de usuario en la base de datos de IA autónoma para obtener más información.
    Al crear un usuario con autenticación basada en secretos, las siguientes columnas del diccionario de datos de las vistas de diccionario DBA_USERS y USER_USERS muestran la información de credenciales asociada:
    • LOGON_CREDENTIAL_OWNER: esquema propietario del objeto de credencial
    • LOGON_CREDENTIAL_NAME: nombre del objeto de credencial de almacén

      Las columnas del diccionario de datos hacen referencia a las columnas de las vistas incorporadas del diccionario de datos que describen las tablas, columnas, restricciones y otros objetos. Consulte Data Dictionary para obtener más información.

Rotación de contraseña

Puede rotar la contraseña en dos métodos que utilicen la autenticación basada en secretos:
  1. Crear una nueva versión del secreto en el mismo secreto: puede crear varias versiones del mismo secreto en el almacén. Al rotar el secreto mediante la creación de una nueva versión y ejecutar la siguiente sentencia, se utilizará la última versión del secreto para autenticar al usuario. Si se configura la renovación de la contraseña global, la contraseña anterior seguirá siendo válida durante el tiempo especificado por el límite de PASSWORD_ROLLOVER_TIME.
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."vault_credential_name";
  2. Cree un nuevo secreto:

    Puede crear un nuevo secreto de almacén y un nuevo objeto de credencial para la nueva contraseña.

    Si se configura la renovación de la contraseña global, la contraseña anterior seguirá siendo válida durante el tiempo especificado por el límite de PASSWORD_ROLLOVER_TIME. Consulte Renovación de contraseña de base de datos gradual para aplicaciones para obtener más información.

    Para rotar la contraseña de usuario, ejecute la siguiente sentencia que utiliza el nuevo objeto de credencial que apunta al nuevo secreto:
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."new_vault_credential_name";
Nota

La rotación o creación de una nueva versión de un secreto en el almacén no rota automáticamente la contraseña de usuario de la base de datos. Debe seguir cualquiera de los enfoques descritos anteriormente para rotar la contraseña de usuario de la base de datos.

Puede crear o modificar un usuario con credenciales basadas en secretos si tiene el privilegio EXECUTE en el objeto de credenciales de almacén.

Nota

Si no tiene el privilegio necesario, la sentencia CREATE USER o ALTER USER falla.

Ejecute la siguiente sentencia SQL para otorgar el privilegio EXECUTE:
GRANT EXECUTE ON vault_credential_name TO user_or_role;

La sentencia anterior otorga al usuario o rol especificado el permiso para usar un objeto de credencial de Vault denominado vault_credential_name.

Desbloquear cuentas de usuario en base de datos de IA autónoma

Si una cuenta de usuario está bloqueada, como usuario ADMIN, puede desbloquear la cuenta.

Para desbloquear la cuenta, conéctese a la base del sistema como usuario ADMIN y ejecute el siguiente comando: 

ALTER USER username IDENTIFIED BY password ACCOUNT UNLOCK;

Consulte Referencia de lenguaje SQL para obtener información sobre el comando ALTER USER.

Acerca de las contraseñas de usuario en la base de datos de IA autónoma

La base de datos de IA autónoma requiere contraseñas seguras; la contraseña que especifique para un usuario debe cumplir las reglas mínimas de complejidad de contraseñas por defecto.

La base de datos de IA autónoma establece estándares mínimos para las contraseñas y el perfil por defecto establece parámetros para limitar el número de intentos de conexión fallidos.

  • La contraseña debe tener entre 12 y 30 caracteres de longitud y debe incluir al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico.

    Tenga en cuenta que se muestra un límite de contraseña de 60 caracteres en algunas ventanas emergentes de pista. Limite las contraseñas a un máximo de 30 caracteres.

  • La contraseña no puede contener el nombre de usuario.

  • La contraseña no puede ser una de las últimas cuatro contraseñas utilizadas para el mismo nombre de usuario.

  • La clave no puede contener comillas dobles (") ni comillas simples (').

  • La contraseña no debe ser la misma que se haya establecido hace menos de 24 horas.

Para cambiar las reglas de complejidad de contraseña y los valores de parámetros de contraseña, puede modificar el perfil por defecto o crear un nuevo perfil y asignarlo a los usuarios. Consulte Gestión de perfiles de usuario con base de datos de IA autónoma para obtener más información.

A continuación, se muestran los valores de parámetros de contraseña de perfil por defecto de la base de datos de IA autónoma:

Parámetro de contraseña Descripción Valor
FAILED_LOGIN_ATTEMPTS

El número máximo de veces que un usuario puede intentar conectarse y fallar antes de bloquear la cuenta. Este límite se aplica a las cuentas de usuario de base de datos normales.

10
PASSWORD_GRACE_TIME

Número de días después de que comience el período de gracia durante los cuales se emite una advertencia y se permite el inicio de sesión.

 30
PASSWORD_LIFE_TIME

El número de días que se puede utilizar la misma contraseña para autenticación.

 360
PASSWORD_LOCK_TIME

Número de días que se bloqueará una cuenta después del número especificado del número de intentos de conexión consecutivos fallidos.

 1
PASSWORD_REUSE_MAX

Número de cambios de contraseña necesarios antes de que se pueda volver a utilizar la contraseña actual.

 4
PASSWORD_REUSE_TIME

El número de días antes del que una contraseña no se puede volver a utilizar.

 1

Consulte Gestión de perfiles de usuario con base de datos de IA autónoma para obtener información sobre el uso de CREATE USER o ALTER USER con una cláusula de perfil.

Consulte Referencia de lenguaje SQL para obtener información sobre el comando ALTER USER.

Gestionar la cuenta de administrador en una base de datos de IA autónoma

El usuario administrador de la base de datos de IA autónoma es ADMIN y esta cuenta de administrador tiene varios privilegios del sistema otorgados para poder gestionar usuarios y otras áreas de la base de datos.

Puede cambiar la contraseña del usuario administrador (ADMIN) y, cuando se bloquee, desbloquear la cuenta de usuario administrador en la base de datos de IA autónoma. Cuando utiliza las API para crear una base de datos de IA autónoma o para restablecer la contraseña de administrador, puede utilizar opcionalmente un secreto de Oracle Cloud Infrastructure Vault para almacenar la contraseña.

Consulte CreateAutonomousDatabase para obtener más información.

Consulte ADMIN User Roles and Privileges para obtener más información sobre el usuario ADMIN.

Tema principal: Creación y gestión de usuarios en una base de datos de IA autónoma

Definición de la contraseña de administrador en la base de datos de IA autónoma

Proporciona los pasos para definir la contraseña de ADMIN.

En la consola de Oracle Cloud Infrastructure, cambie la contraseña del usuario ADMIN siguiendo estos pasos:

  1. En la página Detalles, en la lista desplegable Más acciones, seleccione Contraseña de administrador.
  2. En el panel Contraseña del administrador, introduzca la nueva contraseña y confirme.
  3. Haga clic en Cambiar.
Nota

También puede utilizar Database Actions para cambiar la contraseña del usuario ADMIN. Consulte Gestión de usuarios y roles de usuario en Autonomous AI Database - Conexión con Database Actions para obtener más información.

La contraseña de la cuenta de administrador por defecto, ADMIN, tiene las mismas reglas de complejidad de contraseña mencionadas en la sección Acerca de las contraseñas de usuario en la base de datos de IA autónoma.

Desbloquear la cuenta ADMIN en la base de datos de IA autónoma

Muestra los pasos para desbloquear la cuenta de usuario ADMIN.

Realice los siguientes pasos de requisitos previos según sea necesario:

  • Open the Oracle Cloud Infrastructure Console by clicking the icono de navegación next to Cloud.

  • En el menú de navegación de la izquierda de Oracle Cloud Infrastructure, haga clic en Oracle Database y, a continuación, en Autonomous AI Database.

  • En la página Autonomous AI Databases, seleccione una base de datos de IA autónoma en los enlaces de la columna Nombre mostrado.

Utilice los siguientes pasos para desbloquear la cuenta ADMIN mediante la actualización de la contraseña ADMIN:

  1. En la página Detalles, en la lista desplegable Más acciones, seleccione Contraseña de administrador.
  2. En la contraseña de administrador, introduzca la nueva contraseña y confírmala.
  3. Haga clic en Cambiar.

Esta operación desbloquea la cuenta ADMIN si se bloqueó.

La contraseña de la cuenta de administrador por defecto, ADMIN, tiene las mismas reglas de complejidad de contraseña mencionadas en la sección Acerca de las contraseñas de usuario en la base de datos de IA autónoma.

Uso del secreto de Oracle Cloud Infrastructure Vault para la contraseña de administrador

Al crear o clonar una instancia de base de datos de IA autónoma o al restablecer la contraseña de administrador, puede utilizar un secreto de almacén de Oracle Cloud Infrastructure para especificar la contraseña de administrador.

La base de datos de IA autónoma permite utilizar las API para proporcionar un secreto de almacén protegido como contraseña de administrador, con acceso seguro al secreto de almacén otorgado mediante políticas de IAM de Oracle Cloud Infrastructure.

Nota

El uso de un secreto de almacén de Oracle Cloud Infrastructure para la contraseña de administrador solo está soportado con las API.

Los secretos de Oracle Cloud Infrastructure Vault son credenciales que se utilizan con los servicios de Oracle Cloud Infrastructure. El almacenamiento de secretos en un almacén proporciona un mayor nivel de seguridad que el que podría conseguir al almacenarlos en otro lugar, como en archivo de código o configuración. Al llamar a las API de base de datos, puede utilizar secretos del servicio Vault para definir la contraseña ADMIN. La opción de contraseña secreta de almacén está disponible al crear o clonar una instancia de base de datos de IA autónoma, o al definir o restablecer la contraseña de administrador.

Puede crear secretos mediante la consola, la CLI o la API de Oracle Cloud Infrastructure.

Notas para utilizar un secreto de almacén para definir o restablecer la contraseña de ADMIN:

  • Para que la base de datos de IA autónoma alcance el secreto en un almacén, se deben aplicar las siguientes condiciones:

    • El secreto debe tener el estado current o previous.

    • Si especifica una versión del secreto en la llamada de API, se utiliza la versión del secreto especificada. Si no especifica una versión del secreto, la llamada utiliza la última versión del secreto.

    • Debe tener la política de grupo de usuarios adecuada que permita a READ acceder al secreto específico en un compartimento determinado. Por ejemplo: 

      Allow userGroup1 to read secret-bundles in compartment training

  • La contraseña almacenada en el secreto debe cumplir los requisitos de contraseña de la base de datos de IA autónoma.

Puede obtener más información en los siguientes enlaces: