Documentación de Oracle Cloud Infrastructure

Conexión de usuarios de Identity and Access Management (IAM) a Oracle Exadata Database Service en infraestructura de Exascale

Puede configurar Exadata Database Service en la infraestructura de Exascale para utilizar la autenticación y la autorización de Oracle Cloud Infrastructure Identity and Access Management (IAM) para permitir a los usuarios de IAM acceder a una instancia de Oracle Database con credenciales de IAM.

Tema principal: Guías de procedimientos

Autenticación de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) con Oracle Database

Aprenda a activar una instancia de Oracle Database en Oracle Exadata Database Service en la infraestructura de Exascale para permitir el acceso de usuario con una contraseña de base de datos de Oracle Cloud Infrastructure IAM (con un verificador de contraseña) o con tokens SSO.

Tema principal: Conexión de usuarios de IAM a Oracle Exadata Database Service en infraestructura de Exascale

Acerca de la autenticación de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) con Oracle Database

Los usuarios de IAM se pueden conectar a la instancia de base de datos mediante un verificador de contraseña de base de datos de IAM o un token de IAM.

El uso del verificador de contraseña de base de datos de IAM es similar al proceso de autenticación de contraseña de base de datos. Sin embargo, en lugar de almacenar el verificador de contraseña (hash cifrado de la contraseña) en la base de datos, el verificador se almacena como parte del perfil de usuario de OCI IAM.

El segundo método de conexión, el uso de un token de IAM para la base de datos, es más moderno. El uso del acceso basado en token es una opción más adecuada para recursos en la nube como instancias de Oracle Database en Exadata Cloud Infrastructure. El token se basa en la seguridad que puede aplicar el punto final de IAM. Puede ser una autenticación multifactor, que es más segura que el uso únicamente de contraseñas. Otra ventaja del uso de tokens es que el verificador de contraseña (que se considera confidencial) nunca se almacena ni está disponible en la memoria.

Nota

Oracle Database soporta la integración de Oracle DBaaS para Oracle Cloud Infrastructure (OCI) IAM con dominios de identidad, así como el IAM heredado, que no incluye dominios de identidad. Los usuarios y grupos de dominios por defecto y no por defecto están soportados al utilizar IAM con dominios de identidad.

El soporte para dominios personalizados que no son por defecto solo está disponible con Oracle Database versión 19c, versión 19.21 y posteriores (pero no con Oracle Database versión 21c).

La integración de Oracle Cloud Infrastructure IAM con Oracle Exadata Database Service on Dedicated Infrastructure soporta los siguientes métodos de autenticación:

  • Autenticación mediante verificador de contraseña de base de datos de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)
  • Autenticación basada en token SSO de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)

Para obtener más información sobre la arquitectura para utilizar usuarios de IAM en Oracle Exadata Database Service on Dedicated Infrastructure, consulte Autenticación y autorización de usuarios de IAM para Oracle DBaaS Databases en la Guía de seguridad de Oracle Database 19c y la Guía de seguridad de Oracle Database 23ai.

Autenticación mediante verificador de contraseña de base de datos de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)

Puede activar una instancia de Oracle Database para permitir el acceso de usuario con una contraseña de base de datos de Oracle Cloud Infrastructure IAM (mediante un verificador de contraseña).

Nota

Cualquier cliente de base de datos 12c o superior soportado se puede utilizar para el acceso de contraseña de base de datos de IAM a Oracle Database.

Una contraseña de base de datos de Oracle Cloud Infrastructure IAM permite a un usuario de IAM conectarse a una instancia de Oracle Database, ya que los usuarios de Oracle Database se suelen conectar con un nombre de usuario y una contraseña. El usuario introduce su nombre de usuario de IAM y la contraseña de base de datos de IAM. Una contraseña de base de datos de IAM es una contraseña diferente a la contraseña de la consola de Oracle Cloud Infrastructure. Mediante un usuario de IAM con un verificador de contraseña, puede conectarse a Oracle Database con cualquier cliente de base de datos soportado.

Para el acceso a la base de datos del verificador de contraseñas, cree las asignaciones para usuarios de IAM y aplicaciones de OCI a la instancia de Oracle Database. Las propias cuentas de usuario de IAM se gestionan en IAM. Las cuentas de usuario y los grupos de usuarios pueden estar en el dominio por defecto o en un dominio personalizado no por defecto.

Para obtener más información sobre la gestión de contraseñas de bases de datos de IAM, consulte Gestión de credenciales de usuario.

Autenticación basada en token de SSO de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)

Para el acceso de token de IAM a la base de datos, la aplicación o herramienta de cliente solicita un token de base de datos de IAM para el usuario de IAM.

La aplicación cliente transferirá el token de base de datos directamente al cliente de base de datos a través de la API de cliente de base de datos.

Si la aplicación o herramienta no se ha actualizado para que solicite un token de IAM, el usuario de IAM puede utilizar la interfaz de línea de comandos de OCI para solicitar y almacenar el token de base de datos. Puede solicitar un token de acceso a la base de datos (db-token) con las siguientes credenciales:

  • Tokens de seguridad (con autenticación de IAM), tokens de delegación (en OCI Cloud Shell) y API-keys, que son credenciales que representan al usuario de IAM para activar la autenticación
  • Tokens de principal de instancia, que permiten que las instancias sean actores (o principales) autorizados para realizar acciones en recursos de OCI después de la autenticación
  • Token principal de recurso, que es una credencial que permite a la aplicación autenticarse en otros servicios de OCI
  • Nombre de usuario de IAM y contraseña de base de datos de IAM (solo puede solicitarlo el cliente de base de datos)

Cuando los usuarios de IAM se conectan al cliente con una barra inclinada / y se configura el parámetro OCI_IAM (sqlnet.ora, tnsnames.ora o como parte de una cadena de conexión), el cliente de base de datos recupera el token de base de datos de un archivo. Si el usuario de IAM envía un nombre de usuario y una contraseña, la conexión utilizará el acceso del verificador de base de datos de IAM descrito para las conexiones de cliente que utilizan verificadores de contraseña de base de datos de IAM. Si el parámetro PASSWORD_AUTH=OCI_TOKEN, el controlador de base de datos utilizará el nombre de usuario y la contraseña para conectarse directamente a IAM y solicitar un token de base de datos. En las instrucciones de esta guía se muestra cómo utilizar la CLI de OCI como ayuda para el token de base de datos. Si la aplicación o la herramienta se ha actualizado para que funcione con IAM, siga las instrucciones de la aplicación o la herramienta. Algunos casos de uso habituales son: SQL*Plus local, SQLcl local, SQL*Plus en Cloud Shell o aplicaciones que utilizan carteras SEP.

Un cliente de base de datos puede obtener un token de base de datos de IAM de varias maneras:
  • Una aplicación o una herramienta de cliente puede solicitar el token de base de datos de IAM para el usuario y puede transferir el token de base de datos a través de la API de cliente. El uso de la API para enviar el token sustituye otros valores en el cliente de base de datos. El uso de tokens de IAM requiere la actualización más reciente de la versión 19c del cliente de Oracle Database (19.16 como mínimo). Algunos clientes anteriores (19c y 21c) disponen de un juego limitado de capacidades para el acceso de token. La versión 21c del cliente de Oracle Database no soporta por completo la función de acceso de token de IAM:
    • JDBC-thin en todas las plataformas
      • Consulte Soporte para la autenticación basada en token de IAM y Descargas de JDBC y UCP para obtener más información.
    • SQL*Plus y Oracle Instant Client OCI-C en Linux:

      Consulte Autenticación basada en token de Identity and Access Management (IAM) para obtener más información

    • Oracle Data Provider para .NET (ODP.NET) Core: clientes .NET (versión más reciente de Linux o Windows). Los componentes de software .NET están disponibles como descarga gratuita en los siguientes sitios:
      • Oracle Data Access Components: descargas de .NET
      • Galería NuGet
      • Visual Studio Code Marketplace
  • Si la aplicación o la herramienta no soporta la solicitud de un token de base de datos de IAM a través de la API de cliente, el usuario de IAM puede utilizar primero la interfaz de línea de comandos (CLI) de Oracle Cloud Infrastructure para recuperar el token de base de datos de IAM y guardarlo en una ubicación de archivo. Por ejemplo, para utilizar SQL*Plus y otras aplicaciones y herramientas con este método de conexión, primero debe obtener el token de base de datos mediante la interfaz de línea de comandos (CLI) de Oracle Cloud Infrastructure (OCI). Para obtener más información, consulte db-token get. Si el cliente de base de datos está configurado para tokens de base de datos de IAM, cuando un usuario se conecta con el formulario de conexión de barra inclinada, el controlador de base de datos utiliza el token de base de datos IAM que se ha guardado en la ubicación de archivo por defecto o en una especificada.
  • Algunos clientes de Oracle Database 23ai también pueden obtener un token directamente desde OCI IAM en lugar de utilizar la interfaz de línea de comandos de OCI. Revise la documentación del cliente para ver qué clientes soportan esta integración nativa de IAM.
  • Una aplicación o una herramienta de cliente puede utilizar un principal de recurso o un principal de instancia de Oracle Cloud Infrastructure IAM para obtener un token de base de datos de IAM y utilizar el token de base de datos de IAM para autenticarse en una instancia de Autonomous Database. Para obtener más información, consulte Asignación de principales de instancia y de recurso.
  • Los usuarios de IAM y las aplicaciones de OCI pueden solicitar un token de base de datos de IAM con varios métodos, incluido el uso de una clave de API. Consulte Configuración de una conexión de cliente para SQL*Plus que utilice un token de IAM para obtener un ejemplo. Consulte Autenticación y autorización de usuarios de IAM para bases de datos Oracle DBaaS para obtener una descripción de otros métodos, como el uso de un token de delegación dentro de OCI Cloud Shell.
Nota

Si la base de datos está en modo restringido, solo los administradores de base de datos con el privilegio RESTRICTED SESSION pueden conectarse a la base de datos.

Si un usuario introduce un nombre de usuario/contraseña para conectarse, el controlador de base de datos utiliza el método de verificador de contraseña para acceder a la base de datos. Si el parámetro PASSWORD_AUTH=OCI_TOKEN, el controlador de base de datos utilizará en su lugar el nombre de usuario y la contraseña para conectarse directamente a IAM y solicitar un token de base de datos.

Requisitos para la autenticación de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) en Oracle Database

Revise los requisitos para la autenticación de Identity and Access Management (IAM) en una instancia de Oracle Database.

  • Requisitos para la autenticación de IAM en Oracle Database
    Antes de utilizar la autenticación de IAM en bases de datos de Exadata Cloud Infrastructure, debe utilizar el servicio Networking para agregar un gateway de servicio, una regla de ruta y una regla de seguridad de salida a la red virtual en la nube (VCN) y las subredes en las que residen los recursos de la base de datos.
  • Desactivación de esquema de autenticación externa
    Revise los requisitos para activar el acceso de usuario de IAM a Oracle Database.
  • Configuración de TLS para utilizar tokens de IAM
    Al enviar tokens de IAM desde el cliente de base de datos al servidor de base de datos, se debe establecer una conexión TLS. La cartera TLS con el certificado de base de datos para la instancia de servicio ExaDB-D se debe almacenar en la ubicación WALLET_ROOT. Cree un directorio tls para que tenga el siguiente aspecto: WALLET_ROOT/<PDB GUID>/tls.

Tema principal: Conexión de usuarios de IAM a Oracle Exadata Database Service en infraestructura de Exascale

Requisitos para la autenticación de IAM en Oracle Database

Antes de utilizar la autenticación de IAM en bases de datos de Exadata Cloud Infrastructure, debe utilizar el servicio Networking para agregar un gateway de servicio, una regla de ruta y una regla de seguridad de salida a la red virtual en la nube (VCN) y las subredes en las que residen los recursos de la base de datos.

  1. Cree un gateway de servicio en la VCN en la que residan los recursos de base de datos siguiendo las instrucciones de la Tarea 1: creación del gateway de servicio de la documentación de OCI.
  2. Después de crear el gateway de servicio, agregue una regla de ruta y una regla de seguridad de salida a cada subred (en la VCN) en la que residan los recursos de la base de datos para que estos recursos puedan utilizar el gateway para usar la autenticación de IAM:
    1. Vaya a la página Detalles de subred de la subred.
    2. En el separador Información de subred, haga clic en el nombre de la Tabla de rutas de la subred para mostrar su página Detalles de tabla de rutas.
    3. En la tabla de Reglas de ruta existentes, compruebe si ya hay una regla con las siguientes características:
      • Destino: todos los servicios de IAD en Oracle Services Network
      • Tipo de destino: gateway de servicio
      • Destino: nombre del gateway de servicio que acaba de crear en la VCN

      Si dicha regla no existe, haga clic en Agregar reglas de ruta y agregue una regla de ruta con estas características.

    4. Vuelva a la página Detalles de subred de la subred.
    5. En la tabla Listas de seguridad de la subred, haga clic en el nombre de la lista de seguridad de la subred para mostrar su página Detalles de lista de seguridad.
    6. En el menú lateral, en Recursos, haga clic en Reglas de salida.
    7. En la tabla de Reglas de salida existentes, compruebe si ya hay una regla con las siguientes características:
      • Sin estado: no
      • Destino: todos los servicios de IAD en Oracle Services Network
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todo
      • Rango de puertos de destino: 443
    8. Si dicha regla no existe, haga clic en Agregar reglas de salida y agregue una regla de salida con estas características.

Desactivación de esquema de autenticación externa

Revise los requisitos para activar el acceso de usuario de IAM a Oracle Database.

Si la base de datos está activada para otro esquema de autenticación externo, verifique que desea utilizar IAM en la instancia de Oracle Database. Solo puede haber un esquema de autenticación externo activado en un momento determinado.

Si desea utilizar IAM y otro esquema de autenticación externo está activado, primero debe desactivar el otro esquema de autenticación externo.

Configuración de TLS para utilizar tokens de IAM

Al enviar tokens de IAM desde el cliente de base de datos al servidor de base de datos, se debe establecer una conexión TLS. La cartera TLS con el certificado de base de datos para la instancia de servicio ExaDB-D se debe almacenar en la ubicación WALLET_ROOT. Cree un directorio tls para que tenga el siguiente aspecto: WALLET_ROOT/<PDB GUID>/tls.

Al configurar TLS entre el cliente y el servidor de base de datos, hay varias opciones que se deben tener en cuenta.

  • Uso de un certificado de servidor de base de datos autofirmado frente a un certificado de servidor de base de datos firmado por una autoridad de certificación comúnmente conocida
  • TLS unidireccional (TLS) frente a TLS mutua o bidireccional (mTLS)
  • Cliente con o sin cartera

Certificado autofirmado

El uso de un certificado autofirmado es una práctica habitual para los recursos de TI internos, ya que puede crearlos usted mismo y de forma gratuita. El recurso (en nuestro caso, el servidor de base de datos) tendrá un certificado autofirmado para autenticarse en el cliente de base de datos. El certificado autofirmado y el certificado raíz se almacenarán en la cartera del servidor de base de datos. Para que el cliente de base de datos pueda reconocer el certificado del servidor de base de datos, también se necesitará una copia del certificado raíz en el cliente. Este certificado raíz creado automáticamente se puede almacenar en una cartera del cliente o se puede instalar en el almacén de certificados por defecto del sistema cliente (solo Windows y Linux). Cuando se establece la sesión, el cliente de base de datos comprobará que el certificado enviado por el servidor de base de datos ha sido firmado por el mismo certificado raíz.

Una autoridad de certificación conocida

El uso de una autoridad de certificación raíz conocida tiene algunas ventajas, ya que es muy probable que el certificado raíz ya esté almacenado en el almacén de certificados por defecto del sistema cliente. No hay ningún paso adicional necesario para que el cliente almacene el certificado raíz si es un certificado raíz común. La desventaja es que esto tiene normalmente un costo asociado.

TLS unidireccional

En la sesión TLS estándar, solo el servidor proporciona un certificado al cliente para autenticarse a sí mismo. El cliente no necesita tener un certificado de cliente independiente para autenticarse en el servidor (proceso similar a cómo se establecen las sesiones HTTPS). Aunque la base de datos necesita una cartera para almacenar el certificado del servidor, lo único que debe tener el cliente es el certificado raíz utilizado para firmar el certificado del servidor.

TLS bidireccional (también denominada TLS mutua, mTLS)

En mTLS, tanto el cliente como el servidor tienen certificados de identidad que se presentan entre sí. En la mayoría de los casos, el mismo certificado raíz firmará ambos certificados, por lo que el mismo certificado raíz se puede utilizar con el servidor de base de datos y el cliente para autenticar el otro certificado. mTLS se utiliza a veces para autenticar al usuario, ya que el servidor de base de datos autentica la identidad del usuario mediante el certificado. Esto no es necesario para transferir tokens de IAM, pero se puede utilizar al transferir tokens de IAM.

Cliente con cartera

Es obligatoria una cartera de cliente cuando se utiliza mTLS para almacenar el certificado de cliente. Sin embargo, el certificado raíz se puede almacenar en la misma cartera o en el almacén de certificados por defecto del sistema.

Un cliente sin cartera

Los clientes se pueden configurar sin una cartera al utilizar TLS en estas condiciones: 1) TLS unidireccional se está configurando en el caso en que el cliente no tiene su propio certificado y 2) el certificado raíz que ha firmado el certificado del servidor de base de datos se almacena en el almacén de certificados por defecto del sistema. Es probable que el certificado raíz ya exista si el certificado de servidor está firmado por una autoridad de certificación común. Si se trata de un certificado autofirmado, el certificado raíz se deberá instalar en el almacén de certificados por defecto del sistema para evitar el uso de una cartera de cliente.

Para obtener detalles sobre cómo configurar TLS entre el cliente de base de datos y el servidor de base de datos, incluidas las opciones descritas anteriormente, consulte Configuración de autenticación de seguridad de capa de transporte en la Guía de seguridad de Oracle Database.

Si decide utilizar certificados autofirmados para tareas adicionales relacionadas con la cartera, consulte Gestión de elementos de infraestructuras de claves públicas (PKI) en la Guía de seguridad de Oracle Database.

Activación, desactivación y reactivación de la autenticación de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) en Oracle Database

Aprenda a activar, desactivar y volver a activar la autenticación de Identity and Access Management (IAM) en Oracle Database.

Tema principal: Conexión de usuarios de IAM a Oracle Exadata Database Service en infraestructura de Exascale

Activación de la autenticación de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) en Oracle Database

Revise los pasos para activar o reactivar el acceso de usuario de IAM a Oracle Database.

Nota

Oracle Database soporta la integración de Oracle DBaaS para Oracle Cloud Infrastructure (OCI) IAM con dominios de identidad, así como el IAM heredado, que no incluye dominios de identidad. Los usuarios y grupos de dominios por defecto y no por defecto están soportados al utilizar IAM con dominios de identidad.
  1. Realice los requisitos para la autorización y autenticación de IAM en Oracle Database. Consulte Requisitos para la autenticación de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) en Oracle Database para obtener más información.
  2. Active la autenticación y la autorización de Oracle Cloud Infrastructure (IAM) mediante el comando ALTER SYSTEM.
    ALTER SYSTEM SET IDENTITY_PROVIDER_TYPE=OCI_IAM SCOPE=BOTH;
  3. Verifique el valor del parámetro del sistema IDENTITY_PROVIDER_TYPE. 
    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
    
NAME                     VALUE
----------------------   -------
identity_provider_type   OCI_IAM

Desactivación de la autenticación de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) en Oracle Database

Describe los pasos para desactivar el acceso de usuario de autenticación externa de IAM para Oracle Database.

Para desactivar el acceso de usuario de IAM en la instancia de Oracle Database:

  1. Desactive la integración de IAM con el comando ALTER SYSTEM. 
    ALTER SYSTEM RESET IDENTITY_PROVIDER_TYPE SCOPE=BOTH;
  2. Si también desea eliminar la política de IAM para permitir el acceso a la base de datos, puede que necesite revisar y modificar o eliminar los grupos de IAM y las políticas que haya configurado para permitir que los usuarios de IAM puedan acceder a la base de datos.

Uso de herramientas de Oracle Database con la autenticación de Identity and Access Management (IAM)

Revise las notas para utilizar las herramientas de Oracle Database con la autenticación de IAM activada.

  • Oracle APEX no está soportado para usuarios de IAM con Oracle Database.
  • Database Actions no están soportado para los usuarios de IAM con Oracle Database. Consulte Cómo proporcionar acceso a Database Actions a los usuarios de la base de datos para obtener información sobre el uso de usuarios de base de datos normales con Oracle Database.
  • Oracle Machine Learning Notebooks y otros componentes no están soportados para usuarios autorizados de IAM con Oracle Database. Consulte Adición de una cuenta de usuario de base de datos existente a los componentes de Oracle Machine Learning para obtener información sobre el uso de usuarios de base de datos normales con Oracle Database.

Gestión de grupos y políticas, usuarios, roles y contraseñas de base de datos de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)

Su sistema Oracle Exadata Database Service on Exascale Infrastructure proporciona varios métodos diferentes de gestión de servicios.

Tema principal: Conexión de usuarios de IAM a Oracle Exadata Database Service en infraestructura de Exascale

Creación de grupos y políticas de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) para usuarios de IAM

Revise los pasos para escribir sentencias de política para un grupo de IAM a fin de permitir el acceso del usuario de IAM a los recursos de Oracle Cloud Infrastructure, en concreto a las instancias de Oracle Database que utilicen tokens de base de datos de IAM.

Una política es un grupo de sentencias que especifica quién puede acceder a determinados recursos y cómo. Se puede otorgar acceso a todo el arrendamiento, a las bases de datos de un compartimento o a bases de datos individuales. Esto significa que debe escribir una sentencia de política que otorgue a un grupo específico un tipo de acceso específico a un tipo específico de recurso dentro de un compartimento específico.

Nota: Es necesario definir una política para utilizar tokens de IAM para acceder a Oracle Database. No es necesaria una política al utilizar verificadores de contraseña de base de datos de IAM para acceder a Oracle Database.

  1. Cree un grupo de IAM para los usuarios de IAM que vayan a acceder a la base de datos. Revise la documentación de OCI IAM para crear grupos y agregar usuarios de IAM a un grupo.

    Por ejemplo, cree el grupo DBUsers. Para obtener más información, consulte Gestión de Grupos.

  2. Escriba sentencias de política para permitir el acceso a los recursos de Oracle Cloud Infrastructure.
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad y, a continuación, en Políticas.
    2. Para escribir una política, haga clic en Crear política y, a continuación, introduzca un nombre y una descripción.
    3. Utilice el Creador de política para crear una política. Por ejemplo, para crear una política que permita a los usuarios del grupo de IAM DBUsers acceder a cualquier instancia de Oracle Database de su arrendamiento:
      Allow group DBUsers to use database-connections in tenancy

      Donde database-connections es el nombre del recurso de OCI para conectarse a la base de datos. Use es el verbo mínimo para permitir el acceso a la base de datos. Puede utilizar tanto use como manage.

      Por ejemplo, para crear una política que limite a los miembros del grupo DBUsers para que accedan solo a las instancias de Oracle Database del compartimento testing_compartment:
      allow group DBUsers to use database-connections in compartment testing_compartment
      Por ejemplo, para crear una política que limite el acceso de grupo a una única base de datos de un compartimento:
      allow group DBUsers to use database-connections in compartment testing_compartment where target.database.id = 'ocid1.database.oc1.iad.aaaabbbbcccc'
    4. Haga clic en Crear.

      Para obtener más información sobre las políticas, consulte Gestión de políticas.

Notas para crear políticas para su uso con usuarios de IAM en Oracle Database:
  • Las políticas pueden permitir a los usuarios de IAM acceder a las instancias de Oracle Database en todo el arrendamiento, en un compartimento, o pueden limitar el acceso a una única instancia de Oracle Database.
  • Debe utilizar grupos dinámicos para los principales de instancia y los principales de recurso. Puede crear grupos dinámicos y grupos dinámicos de referencia en las políticas que cree para acceder a Oracle Cloud Infrastructure. Consulte Acceso a recursos en la nube mediante la configuración de políticas y roles y Gestión de grupos dinámicos para obtener más información.

Autorización de usuarios de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) en Oracle Database

Revise los pasos para autorizar a los usuarios de IAM en una instancia de Oracle Database.

Para autorizar a los usuarios de IAM para permitirles al acceso a Oracle Database, asigne usuarios globales de base de datos a grupos de IAM o directamente a usuarios de IAM con las sentencias CREATE USER o ALTER USER con la cláusula IDENTIFIED GLOBALLY AS.

La autorización de usuarios de IAM a una instancia de Oracle Database funciona asignando usuarios globales de IAM (esquemas) a usuarios de IAM (asignación exclusiva) o grupos de IAM (asignación de esquema compartido).

Para autorizar a los usuarios de IAM en una instancia de base de datos:

  1. Conéctese como usuario con privilegios de administrador de base de datos a la base de datos activada para utilizar IAM. Un usuario con el rol de administrador de base de datos necesitará los privilegios del sistema obligatorios CREATE USER y ALTER USER para estos pasos.
  2. Cree una asignación entre el usuario de Oracle Database (esquema) con las sentencias CREATE USER o ALTER USER e incluya la cláusula IDENTIFIED GLOBALLY AS especificando el nombre del grupo de IAM. Utilice la siguiente sintaxis para asignar un usuario global a un grupo de IAM: 
    CREATE USER global_user IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_NAME';
    Por ejemplo, para asignar un grupo de IAM denominado db_sales_group a un usuario global de base de datos compartida denominado sales_group: 
    CREATE USER sales_group IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=db_sales_group';

    De este modo se crea una asignación de usuario global compartida. La asignación, con el usuario global sales_group es efectiva para todos los usuarios del grupo de IAM. Por lo tanto, cualquier usuario de db_sales_group se puede conectar a la base de datos con sus credenciales de IAM mediante la asignación compartida del usuario global sales_group.

    Si desea crear asignaciones de usuario globales adicionales para otros grupos o usuarios de IAM, siga estos pasos para cada grupo o usuario de IAM.

    Nota

    Los usuarios de base de datos que no sean IDENTIFIED GLOBALLY pueden seguir conectándose como antes, incluso cuando Oracle Database está activado para la autenticación de IAM.

Para asignar exclusivamente un usuario de IAM local a un usuario global de Oracle Database

Puede asignar exclusivamente un usuario de IAM local a un usuario global de Oracle Database.

  1. Conéctese como usuario con privilegios de administrador de base de datos a la base de datos activada para utilizar IAM. Un usuario con el rol de administrador de base de datos necesitará los privilegios del sistema obligatorios CREATE USER y ALTER USER que necesita para estos pasos.
  2. Cree una asignación entre el usuario de Oracle Database (esquema) con las sentencias CREATE USER o ALTER USER e incluya la cláusula IDENTIFIED GLOBALLY AS especificando el nombre de usuario de IAM local. Por ejemplo, para crear un nuevo usuario global de base de datos denominado peter_fitch y asignar este usuario a un usuario de IAM local existente denominado peterfitch: 
    CREATE USER peter_fitch IDENTIFIED GLOBALLY AS 'IAM_PRINCIPAL_NAME=peterfitch'

Puede utilizar el principal de instancia o el principal de recurso para recuperar tokens de base de datos para establecer una conexión de la aplicación a una instancia de Oracle Database.

Si utiliza un principal de instancia o un principal de recurso, debe asignar un grupo dinámico. Por lo tanto, no se puede asignar exclusivamente principales de instancia y de recurso. Solo se pueden asignar mediante una asignación compartida y colocando la instancia o la instancia de recurso en un grupo dinámico de IAM.

Adición de roles de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) en Oracle Database

Si lo desea, puede crear roles globales para proporcionar roles y privilegios de base de datos adicionales a los usuarios de IAM cuando se asignen varios usuarios de IAM al mismo usuario global compartido.

La creación de roles globales es opcional, pero resulta útil al asignar usuarios a un esquema compartido.

Utilice un rol global para diferenciar opcionalmente a los usuarios que utilizan el mismo esquema compartido. Por ejemplo, un juego de usuarios puede tener todos el mismo esquema compartido y el esquema compartido podría tener el privilegio CREATE SESSION. A continuación, los roles globales se pueden utilizar para otorgar privilegios y roles diferenciados asignados a diferentes grupos de usuarios que utilizan el mismo esquema compartido.

El otorgamiento de roles adicionales a usuarios de IAM en Oracle Database funciona mediante la asignación de roles globales de Oracle Database a grupos de IAM.

  1. Conéctese como usuario con privilegios de administrador de base de datos a la base de datos activada para utilizar IAM. Se necesita un usuario con los privilegios de administrador de base de datos CREATE ROLE y ALTER ROLE para estos pasos.
  2. Defina la autorización de base de datos para los roles de Oracle Database con las sentencias CREATE ROLE o ALTER ROLE e incluya la cláusula IDENTIFIED GLOBALLY AS especificando el nombre del grupo de IAM. Utilice la siguiente sintaxis para asignar un rol global a un grupo de IAM:
    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';
    Por ejemplo, para asignar un grupo de IAM denominado ExporterGroup a un rol global de base de datos compartido denominado export_role: 
    CREATE ROLE export_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=ExporterGroup';
  3. Utilice las sentencias GRANT para otorgar los privilegios necesarios u otros roles al rol global. 
    GRANT CREATE SESSION TO export_role;
GRANT DWROLE TO export_role;
  4. Si desea asociar un rol de base de datos existente a un grupo de IAM, utilice la sentencia ALTER ROLE para modificar el rol de base de datos existente para asignar el rol a un grupo de IAM. Utilice la siguiente sintaxis para modificar un rol de base de datos existente para asignarlo a un grupo de IAM: 
    ALTER ROLE existing_database_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_Group_Name';

Siga estos pasos para cada grupo de IAM a fin de agregar asignaciones de roles globales adicionales para otros grupos de IAM.

Creación de contraseñas de base de datos de Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) para usuarios de IAM

Para agregar un usuario de IAM y permitir que el usuario de IAM se conecte a Oracle Database proporcionando un nombre de usuario y una contraseña, debe crear una contraseña de base de datos de IAM.

Para obtener más información, consulte Cómo trabajar con contraseñas de bases de datos de IAM.

Temas relacionados

Configuración de conexión de cliente

Configure varios clientes para utilizar la autenticación de IAM.

Tema principal: Conexión de usuarios de IAM a Oracle Exadata Database Service en infraestructura de Exascale

Configuración de una conexión de cliente para SQL*Plus que utilice un verificador de contraseña de base de datos de IAM

Puede configurar SQL*Plus para que utilice un verificador de contraseña de base de datos de IAM.

Como usuario de IAM, conéctese a la base de datos utilizando la siguiente sintaxis: 
CONNECT user_name@db_connect_string
Enter password: password

En esta especificación, user_name es el nombre de usuario de IAM. Hay un límite de 128 bytes para la combinación de domain_name/user_name.

En el siguiente ejemplo se muestra cómo el usuario de IAM peter_fitch puede conectarse a una instancia de base de datos. 
sqlplus /nolog
connect peter_fitch@db_connect_string
Enter password: password
Algunos caracteres especiales requerirán que user_name y vayan entre comillas dobles. Por ejemplo: 
"peter_fitch@example.com"@db_connect_string

"IAM database password"

Configuración de una conexión de cliente para que SQL*Plus utilice un token de IAM

Puede configurar una conexión de cliente para SQL*Plus que utilice un token de IAM.

  1. Asegúrese de que tiene una cuenta de usuario de IAM.
  2. Compruebe con un administrador de IAM y un administrador de base de datos que tiene una política que le permite acceder a la base de datos en el compartimento o su arrendamiento, y que está asignado a un esquema global en la base de datos.
  3. Si la aplicación o la herramienta no soporta la integración directa con IAM, descargue, instale y configure la CLI de OCI. (Consulte la sección de inicio rápido de la interfaz de línea de comandos de OCI). Configure una clave de API como parte de la configuración de la CLI de OCI y seleccione los valores por defecto.
    1. Configure el acceso de clave de API para el usuario de IAM.
    2. Recupere db-token. Por ejemplo:
      • Recuperación de db-token con API-key mediante la interfaz de línea de comandos de OCI: 
        oci iam db-token get
      • Recuperación de db-token con un token de seguridad (o sesión): 
        oci iam db-token get --auth security_token
      • Recuperación de db-token con un token de delegación: al conectarse a Cloud Shell, el token de delegación se genera automáticamente y se ubica en el directorio /etc. Para obtener este token, ejecute el siguiente comando en la interfaz de línea de comandos de OCI: 
        oci iam db-token get
      • Uso de un principal de instancia para recuperar db-token mediante la interfaz de línea de comandos de OCI: 
        oci iam db-token get --auth instance_principal

      Si el token de seguridad ha caducado, aparecerá una ventana para que el usuario pueda volver a conectarse a OCI. Esto genera el token de seguridad para el usuario. La CLI de OCI utilizará este token refrescado para obtener db-token.

      Consulte Claves y OCID necesarios para obtener más información.

  4. Asegúrese de utilizar las actualizaciones más recientes de las versiones 19c del cliente de Oracle Database.

    Esta configuración solo funciona con la versión 19c del cliente de Oracle Database.

  5. Siga el proceso existente para descargar la cartera de la base de datos y, a continuación, siga las instrucciones para configurarla para su uso con SQL*Plus.
    1. Confirme que la coincidencia de DN está activada buscando SSL_SERVER_DN_MATCH=ON en sqlnet.ora.
    2. Configure el cliente de base de datos para que utilice el token de IAM agregando TOKEN_AUTH=OCI_TOKEN al archivo sqlnet.ora. Puesto que utilizará las ubicaciones por defecto para el archivo de token de base de datos, no es necesario incluir la ubicación del token.
    Los valores TOKEN_AUTH y TOKEN_LOCATION en las cadenas de conexión de tnsnames.ora tienen prioridad sobre la configuración de sqlnet.ora de esa conexión. Por ejemplo, para la cadena de conexión, suponiendo que el token está en la ubicación por defecto ( ~/.oci/db-token para Linux): 
    (description= 
  (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)
  (host=example.us-phoenix-1.oraclecloud.com))
  (connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
  (security=(ssl_server_cert_dn="CN=example.uscom-east-1.oraclecloud.com, 
     OU=Oracle BMCS US, O=Example Corporation, 
     L=Redwood City, ST=California, C=US")
  (TOKEN_AUTH=OCI_TOKEN)))
Después de que se actualice la cadena de conexión con el parámetro TOKEN_AUTH, el usuario de IAM se puede conectar a la instancia de base de datos ejecutando el siguiente comando para iniciar SQL*Plus. Puede incluir el propio descriptor de conexión o utilizar el nombre del descriptor del archivo tnsnames.ora. 
connect /@exampledb_high
O bien: 
connect /@(description= 
  (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)
  (host=example.us-phoenix-1.oraclecloud.com))
  (connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
  (security=(ssl_server_cert_dn="CN=example.uscom-east-1.oraclecloud.com, 
     OU=Oracle BMCS US, O=Example Corporation, 
     L=Redwood City, ST=California, C=US")
  (TOKEN_AUTH=OCI_TOKEN)))

El cliente de base de datos ya está configurado para obtener db-token porque TOKEN_AUTH ya está definido, ya sea mediante el archivo sqlnet.ora o en una cadena de conexión. El cliente de base de datos obtiene db-token y lo firma mediante la clave privada y, a continuación, envía el token a la base de datos. Si se ha especificado un nombre de usuario de IAM y una contraseña de base de datos de IAM en lugar de una barra inclinada /, el cliente de base de datos se conectará utilizando la contraseña en lugar de db-token.

Conexiones de cliente que utilizan un token solicitado por un nombre de usuario y una contraseña de base de datos de IAM

Puede crear una conexión de cliente que utilice un token solicitado por un nombre de usuario y una contraseña de base de datos de IAM.

  • Los usuarios de IAM pueden conectarse a la instancia de Oracle DBaaS mediante un token de IAM que se haya recuperado con un nombre de usuario y una contraseña de base de datos de IAM.

    Para obtener más información, consulte Acerca de las conexiones de cliente que utilizan un token solicitado por un nombre de usuario y una contraseña de base de datos de IAM

  • Para definir estos parámetros, modifique el archivo sqlnet.ora o el archivo tnsnames.ora.

    Para obtener más información, consulte Parámetros que definir para conexiones de cliente que utilizan un token solicitado por un nombre de usuario y una contraseña de base de datos de IAM

  • Puede configurar el cliente de base de datos para que recupere el token de base de datos de IAM mediante el nombre de usuario y la contraseña de base de datos de IAM proporcionados.

    Para obtener más información, consulte Configuración del cliente de base de datos para recuperar un token mediante un nombre de usuario y una contraseña de base de datos de IAM

  • Puede activar un nombre de usuario de IAM y un almacén de contraseñas externo seguro (SEPS) para solicitar el token de base de datos de IAM.

    Para obtener más información, consulte Configuración de una cartera de almacén de contraseñas externo seguro para recuperar un token de IAM

Uso del principal de instancia para acceder a la base de datos con autenticación de IAM

Una vez que el usuario ADMIN ha activado OCI IAM en la base de datos, una aplicación puede acceder a la base de datos a través de un token de base de datos de OCI IAM mediante un principal de instancia.

Para obtener más información, consulte Acceso a la API de Oracle Cloud Infrastructure con principales de instancia.

Para obtener más información, consulte Acceso a la base de datos mediante un principal de instancia o un principal de recurso.

Configuración de autenticación de proxy

La autenticación de proxy permite a un usuario de IAM conectarse mediante proxy a un esquema de base de datos para tareas como el mantenimiento de la aplicación.

La autenticación de proxy se suele utilizar para autenticar al usuario real y, a continuación, autorizarlo a utilizar un esquema de base de datos con los privilegios y los roles de esquema para gestionar una aplicación. Alternativas como el uso compartido de la contraseña del esquema de la aplicación se consideran inseguras e impiden auditar qué usuario real ha realizado una acción.

Un caso de uso puede ser un entorno en el que un usuario de IAM con nombre que sea administrador de la base de datos de la aplicación pueda autenticarse mediante sus credenciales y, a continuación, conectarse mediante proxy a un usuario de esquema de base de datos (por ejemplo, hrapp). Esta autenticación permite al administrador de IAM utilizar los privilegios y los de roles hrapp como usuario hrapp para realizar el mantenimiento de la aplicación, y seguir utilizando sus credenciales de IAM para la autenticación. El administrador de base de datos de una aplicación se puede conectar a la base de datos y, a continuación, conectarse mediante proxy a un esquema de aplicación para gestionar este esquema.

Puede configurar la autenticación de proxy para los métodos de autenticación de contraseña y de token.

Configuración de autenticación de proxy para el usuario de IAM

Para configurar la autenticación de proxy para un usuario de IAM, el usuario de IAM ya debe tener una asignación a un esquema global (asignación exclusiva o compartida). También debe estar disponible un esquema de base de datos independiente para que el usuario de IAM pueda conectarse a este mediante proxy.

Después de asegurarse de que tiene este tipo de usuario, modifique el usuario de base de datos para permitir que el usuario de IAM pueda conectarse a este mediante proxy.

  1. Conéctese a la instancia de base de datos como un usuario que tenga los privilegios del sistema ALTER USER.
  2. Otorgue permiso al usuario de IAM para que realice la autenticación de proxy en la cuenta de usuario de la base de datos local. No se puede hacer referencia a un usuario de IAM en el comando, por lo que se debe crear el proxy entre el usuario global de la base de datos (asignado al usuario de IAM) y el usuario de la base de datos de destino. En el siguiente ejemplo, hrapp es el esquema de base de datos al que se realizará la conexión mediante proxy, y peterfitch_schema es el usuario global de base de datos asignado exclusivamente al usuario peterfitch. 
    ALTER USER hrapp GRANT CONNECT THROUGH peterfitch_schema;
En esta etapa, el usuario de IAM se puede conectar a la instancia de base de datos mediante el proxy. Por ejemplo:
  • Para conectarse mediante un verificador de contraseña: 
    CONNECT peterfitch[hrapp]@connect_string
Enter password: password
  • Para conectarse mediante un token: 
    CONNECT [hrapp]/@connect_string

Validación de la autenticación de proxy del usuario de IAM

Puede validar la configuración del proxy de usuario de IAM para métodos de autenticación de contraseña y token.

  1. Conéctese como el usuario de IAM conectado mediante proxy al usuario de base de datos. Ejecute los comandos SHOW USER y SELECT SYS_CONTEXT.

    Por ejemplo, supongamos que desea comprobar la autenticación de proxy del usuario de IAM peterfitch cuando se conecta mediante proxy al usuario de base de datos hrapp. Tendrá que conectarse a la base de datos utilizando los diferentes tipos de métodos de autenticación que se muestran aquí, pero la salida de los comandos que ejecute será la misma para todos los tipos.

    • Para la autenticación mediante contraseña: 
      CONNECT peterfitch[hrapp]/password\!@connect_string SHOW USER;
      --The output should be USER is "HRAPP" 
SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
--The output should be "PASSWORD_GLOBAL" 
SELECT SYS_CONTEXT('USERENV','PROXY_USER') FROM DUAL; 
--The output should be "PETERFITCH_SCHEMA" 
SELECT SYS_CONTEXT('USERENV','CURRENT_USER') FROM DUAL;
--The output should be "HRAPP"
    • Para la autenticación mediante token: 
      CONNECT [hrapp]/@connect_string
SHOW USER;

      --The output should be USER is "HRAPP "
SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
--The output should be "TOKEN_GLOBAL"
SELECT SYS_CONTEXT('USERENV','PROXY_USER') FROM DUAL;
--The output should be "PETERFITCH_SCHEMA"
SELECT SYS_CONTEXT('USERENV','CURRENT_USER') FROM DUAL;
--The output should be "HRAPP"

Uso de un enlace de base de datos con usuarios autenticados de IAM

Puede utilizar un enlace de base de datos para conectarse desde una instancia de base de datos a otra como usuario de OCI IAM.

Puede utilizar un usuario conectado o un enlace de base de datos de usuario fijo para conectarse a una base de datos como usuario de OCI IAM.

Nota

El enlace de base de datos de usuario actual no está soportado para la conexión a una base de datos de Exadata Cloud Infrastructure como usuario de OCI IAM.

  • Enlace de base de datos de usuario conectado: para un enlace de base de datos de usuario conectado, un usuario de IAM debe estar asignado a un esquema en la base de datos de origen y en la de destino conectado mediante un enlace de base de datos. Puede utilizar un verificador de contraseña de base de datos o un token de base de datos de IAM para utilizar un enlace de base de datos de usuario conectado.

  • Enlace de base de datos de usuario fijo: se puede crear un enlace de base de datos de usuario fijo mediante un usuario de base de datos o un usuario de IAM. Al utilizar un usuario de IAM como enlace de base de datos de usuario fijo, el usuario de IAM debe tener una asignación de esquema en la base de datos de destino. El usuario de IAM para un enlace de base de datos solo se puede configurar con un verificador de contraseña.