Propagación de Rol e Identidad de Sesión de Base de Datos
Cuando se ejecuta una herramienta SQL personalizada o un informe SQL a través de Database Tools MCP Server, el servidor propaga la identidad del usuario final a la sesión de la base de datos.
Los atributos de identidad se almacenan en el espacio de nombres de contexto de sesión de base de datos CLIENTCONTEXT.
En SQL o PL/SQL, puede recuperar estos valores mediante la función SYS_CONTEXT:
SYS_CONTEXT('CLIENTCONTEXT', '<PARAMETER_NAME>')Puede utilizar valores CLIENTCONTEXT en SQL o PL/SQL para implantar controles de acceso basados en roles de aplicación, aplicar filtros de nivel de fila y devolver resultados específicos del usuario. Esto también mejora la auditoría asociando la actividad de la base de datos al usuario de IAM de origen.
Los atributos de identidad propagados también se pueden capturar mediante Oracle Database Unified Auditing y correlacionar con los logs de OCI Audit para proporcionar un rastreo completo de las solicitudes de MCP. Para obtener más información, consulte Auditoría.
Todos los parámetros de la siguiente tabla se encuentran en el espacio de nombres: CLIENTCONTEXT
CLIENTCONTEXT |
|||
|---|---|---|---|
| Parámetro | Descripción | Ejemplos | Origen |
| OAUTH_SUB_TYPE | Tipo de Asunto | usuario | reclamación de subtipo |
| OAUTH_SUB | Asunto | first.last@example.com | subreclamación |
| OAUTH_USER_OCID | OCID de usuario | ocid1.user.oc1..xxxx | reclamación user_ocid |
| OAUTH_CLIENT_OCID | OCID de cliente | ocid1.domainapp.oc1.iad.xxxx | reclamación client_ocid |
| NOMBRE_CLIENTE_AUTENTICACIÓN | Nombre del Cliente | Línea | reclamación client_name |
| OAUTH_CA_OCID | OCID de cuenta en la nube | ocid1.tenancy.oc1..xxxx | reclamación ca_ocid |
| NOMBRE DE OAUTH_CA | Nombre de cuenta de nube | oraclefreedb | reclamación ca_name |
| ID DE DOMINIO DE OAUTH | Identificador de Dominio | ocid1.domain.oc1..xxxx | reclamación domain_id |
| NOMBRE DE DOMINIO DE OAUTH | Nombre de dominio | dbtools-mcp | reclamación de dominio |
| IAM_DOMAIN_APP_ROLES | Roles de aplicación asignados | MCP_User, MCP_Operator | Roles de aplicación asignados al sujeto |
| OID DE RECURSO | OCID de servidor MCP de Database Tools | ocid1.databasetoolsmcpserver.oc1.phx.xxxx | OCID de servidor MCP de Database Tools |
| RESOURCE_COMPARTMENT_OCID | OCID de compartimento del servidor MCP de Database Tools | ocid1.compartment.oc1..xxxx | OCID de compartimento de servidor MCP de Database Tools |