Documentación de Oracle Cloud Infrastructure

Requisitos

Antes de crear una conexión de Database Tools que utilice la autenticación de IAM, asegúrese de que se cumplen los siguientes requisitos.

Requisitos previos de bases de datos

Antes de configurar una conexión de Database Tools para utilizar la autenticación de IAM, asegúrese de que se cumplen los siguientes requisitos de base de datos:

Nota

Para ADB, los requisitos de autenticación de IAM (como la conectividad segura/TLS) ya están configurados en el servicio Database Tools. En la mayoría de los casos, puede ir directamente a los pasos de asignación de usuario de base de datos y política de IAM.

Para bases de datos Oracle que no sean de ADB (como Exadata y Base Database Service), primero debe verificar y configurar los requisitos (como la autenticación del servidor TCPS/TLS, carteras/certificados) para que funcionen las conexiones de token de IAM. Consulte Requisitos para la autenticación de IAM en Oracle Database

Versiones de base de datos soportadas

  • Los entornos soportados de Oracle Database-as-a-Service (DBaaS) son:

    • Oracle Autonomous Database (ADB)
    • Oracle Exadata Database Service
    • Oracle Base Database Service

  • Necesita Oracle Database versión 19c, versión 19.16 o posterior.

  • El cliente de Oracle Database 21c no soporta por completo la autenticación basada en token de IAM. Utilice una versión de cliente que soporte la funcionalidad de token de base de datos de IAM necesaria. Consulte la sección Autenticación basada en token de SSO de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) en Autenticación de IAM con Oracle Database.

Conectividad TLS (TCPS) y Autenticación del Servidor

La autenticación de IAM requiere una conectividad segura a la base de datos:

  • Utilice TCPS del servicio Database Tools a la base de datos. Seleccione esta opción al crear una conexión.
  • Configure la autenticación del servidor TLS para la base de datos. Para entornos que no sean de ADB, asegúrese de configurar una cartera TLS y los certificados relacionados en WALLET_ROOT, siguiendo los requisitos para la configuración y el servicio de base de datos específicos.

Para obtener más información, consulte Configuración de TLS para utilizar tokens de IAM.

Activar autenticación de IAM para Oracle Database

Para activar la autenticación de IAM:

  1. Cree una conexión a Database Tools mediante la autenticación de contraseñas con un usuario de base de datos con privilegios (por ejemplo, SYS o ADMIN). Para crear una conexión, consulte Creación de una conexión.

  2. Configure la autenticación externa para la instancia de base de datos.

    1. Seleccione la conexión de Database Tools.
    2. Amplíe Acciones y seleccione Configurar autenticación externa.
    3. En Tipo de autenticación externa, seleccione OCI_IAM.
    4. Haga clic en Actualizar para guardar la configuración.

Crear usuarios de base de datos global

La autenticación de IAM necesita una asignación de usuario global en la base de datos para que la base de datos pueda asignar un principal de IAM (usuario o grupo) a un usuario de base de datos (esquema).

Asignación exclusiva

Utilice la asignación exclusiva cuando desee una asignación uno a uno entre un usuario de IAM y un esquema de base de datos.

CREATE USER scott IDENTIFIED GLOBALLY AS 'IAM_PRINCIPAL_NAME=<iam-user-name-or-identifier>';
GRANT CREATE SESSION TO scott;

donde <iam-user-name-or-identifier> hace referencia al atributo Nombre de usuario de base de datos del usuario de IAM. Si el nombre de usuario de la base de datos no está disponible para el usuario de IAM, el nombre de usuario estándar del usuario de IAM se utiliza como reserva.

Para obtener más información sobre el nombre de usuario de la base de datos y el nombre de usuario estándar de IAM, consulte:

Asignación compartida

Utilice la asignación compartida cuando desee que varios usuarios de IAM (miembros de un grupo de IAM) se conecten como un esquema compartido.

CREATE USER scott IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=<iam-group-name>';
GRANT CREATE SESSION TO scott;

donde <iam-group-name> hace referencia al valor de nombre de grupo de IAM, tal como se define en IAM para el grupo. Todos los usuarios de IAM que sean miembros de este grupo de IAM se conectarán como usuario de base de datos compartida.

Nota

Si un usuario es miembro de varios grupos de IAM que tienen una asignación compartida, la base de datos determina la asignación en función de las reglas de asignación de la base de datos (por ejemplo, el orden de creación). Asegúrese de que las asignaciones no sean ambiguas para el modelo de autorización deseado.

Para obtener más información, consulte:

Otorgamiento de permisos de IAM para conexiones a bases de datos

Para permitir a los usuarios generar y utilizar tokens de base de datos, otorgue permisos de IAM para las conexiones de Database Tools (tipo de recurso: database-connections). Estos permisos incluyen el permiso DB_CONNECT.

Utilice sentencias de política, como los siguientes ejemplos:

  • Permitir que un grupo utilice conexiones de base de datos en el arrendamiento.

    allow group dbuser to use database-connections in tenancy

  • Permitir que un grupo utilice conexiones de base de datos en un compartimento. 

    allow group dbuser to use database-connections in compartment prod

  • Restringir el acceso a una base de datos específica (por OCID).

    allow group dbuser to use database-connections in compartment prod 
where target.database.id = 'ocid1.autonomousdatabase.oc1.phx.xxxx'

Para obtener más información sobre las políticas de IAM, consulte Uso de la autenticación de IAM con Autonomous AI Database.