Gestión de perfiles de usuario con base de datos de IA autónoma en infraestructura de Exadata dedicada

Puede crear y modificar perfiles de usuario en Autonomous AI Database. Después de crear o modificar un perfil, puede especificar la cláusula de perfil con CREATE USER o ALTER USER. También puede importar perfiles de usuario existentes desde otro entorno con la importación de Oracle Data Pump.

Nota: Autonomous AI Database tiene restricciones en la cláusula de perfil. Consulte Limitaciones sobre el uso de comandos SQL para obtener información sobre las restricciones CREATE PROFILE y ALTER PROFILE.

Para agregar, modificar o eliminar un parámetro de contraseña en un perfil, incluido el perfil DEFAULT, debe tener el privilegio del sistema ALTER PROFILE.

1. Para agregar o modificar un perfil, ya que el usuario ADMIN ejecuta CREATE PROFILE o ALTER PROFILE. Por ejemplo:

    CREATE PROFILE new_profile
      LIMIT PASSWORD_REUSE_MAX 10
      PASSWORD_LOCK_TIME 5;
   

   Si no es el usuario ADMIN, debe tener el privilegio CREATE PROFILE para ejecutar CREATE PROFILE. Si ejecuta ALTER PROFILE, debe tener el privilegio ALTER PROFILE.

2. Utilice el perfil nuevo o modificado con un comando CREATE USER o ALTER USER. Por ejemplo:

    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
    GRANT CREATE SESSION TO new_user;
   

Esto crea new_user con el perfil new_profile y con privilegios de conexión. new_user ahora se puede conectar a la base de datos y ejecutar consultas. Para otorgar privilegios adicionales a los usuarios, consulte Gestión de privilegios de usuarios de base de datos.

Consulte CREATE PROFILE en Referencia de lenguaje SQL de Oracle Database 19c o Referencia de lenguaje SQL de Oracle Database 26ai para obtener información sobre cómo utilizar CREATE PROFILE.

Puede importar perfiles existentes creados en otros entornos mediante la importación de Oracle Data Pump (impdp). Cualquier asociación de perfil existente con usuarios de base de datos se conserva después de importar a la base de datos de IA autónoma. Cuando un usuario recién creado, creado a partir de una importación de Oracle Data Pump, intenta conectarse por primera vez, la conexión se gestiona de la siguiente manera:

• Las restricciones de complejidad de contraseña son las mismas que las restricciones para cualquier usuario de Autonomous AI Database.

• Si la contraseña del usuario infringe los requisitos de complejidad de la contraseña, la cuenta caduca con un período de gracia de 30 días. En este caso, el usuario debe cambiar su contraseña antes de que finalice el período de gracia.

Nota: Las asignaciones de perfil para usuarios con el perfil ORA_PROTECTED_PROFILE no se pueden modificar.

Al crear o modificar un perfil, puede especificar una función de verificación de contraseñas (PVF) para gestionar la complejidad de la contraseña. Consulte Gestión de la complejidad de las contraseñas en la base de datos de IA autónoma para obtener más información.

Gestionar la complejidad de las contraseñas en una base de datos de IA autónoma

Puede crear una función de verificación de contraseña (PVF) y asociar la PVF a un perfil para gestionar la complejidad de las contraseñas de usuario.

Nota:

La longitud mínima de la contraseña para un PVF especificado por el usuario es de 8 caracteres y debe incluir al menos una letra en mayúscula, una letra en minúscula y un carácter numérico. La longitud mínima de la contraseña para el perfil DEFAULT es de 12 caracteres (el perfil DEFAULT utiliza el PVF CLOUD_VERIFY_FUNCTION). La contraseña no puede contener el nombre de usuario.

Oracle recomienda utilizar una longitud mínima de contraseña de 12 caracteres. Si define la PVF de un perfil y establece la longitud mínima de la contraseña en menos de 12 caracteres, herramientas como Oracle Database Security Assessment Tool (DBSAT) y Qualys informan de ello como un riesgo de seguridad de la base de datos.

Por ejemplo, para especificar una PVF para un perfil, utilice el siguiente comando:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Si cualquier usuario que no sea el usuario ADMIN crea o modifica el perfil, debe otorgar el privilegio EXECUTE en la PVF. Si crea una PVF y falla la comprobación de contraseña, la base de datos informa el error ORA-28219.

Puede especificar una PVF proporcionada por Oracle, de una de las siguientes opciones:

• CLOUD_VERIFY_FUNCTION (esta es la función de verificación de contraseñas por defecto para la base de datos de IA autónoma):

  Esta función comprueba los siguientes requisitos cuando los usuarios crean o modifican contraseñas:

  • La contraseña debe tener entre 12 y 30 caracteres de longitud y debe incluir al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico.

  • La contraseña no puede contener el nombre de usuario.

  • La contraseña no puede ser una de las últimas cuatro contraseñas utilizadas para el mismo nombre del usuario.

  • La contraseña no puede contener comillas dobles (").

  • La contraseña no debe ser la misma que se haya establecido hace menos de 24 horas.

• ORA12C_STIG_VERIFY_FUNCTION

  Esta función comprueba los siguientes requisitos cuando los usuarios crean o modifican contraseñas:

  • La contraseña tiene al menos 15 caracteres.

  • La contraseña tiene al menos 1 carácter en minúsculas y al menos 1 carácter en mayúsculas.

  • La contraseña tiene al menos 1 dígito.

  • La contraseña tiene al menos 1 carácter especial.

  • La contraseña es distinta de la contraseña anterior en al menos 8 caracteres.

  Consulte ora12c_stig_verify_function Password Requirements en Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide para obtener más información.

Tenga en cuenta las siguientes restricciones para una función de verificación de contraseñas (PVF) que cree y asigne a un perfil:

• Si especifica un perfil de usuario, la longitud mínima de la contraseña depende de cómo defina la PVF asociada, de la siguiente manera:

  • Si se define un PVF, la longitud mínima de contraseña aplicada es de 8 caracteres con al menos una letra en mayúscula, una letra en minúscula y un carácter numérico. La contraseña no puede contener el nombre de usuario.

  • Si la PVF se define como NULL, la longitud mínima de la contraseña aplicada es de 8 caracteres con al menos una letra en mayúscula, una letra en minúscula y un carácter numérico. La contraseña no puede contener el nombre de usuario.

  • Si el perfil no tiene una PVF definida, se asigna la PVF (CLOUD_VERIFY_FUNCTION) del perfil DEFAULT y la longitud mínima de la contraseña aplicada es de 12 caracteres.

• Si especifica una función de verificación de contraseña (PVF) que es más estricta que la CLOUD_VERIFY_FUNCTION por defecto, se utiliza la nueva función de verificación.

• Se debe crear una PVF como función PL/SQL DEFINER RIGHTS. Si se proporciona un PVF de derechos INVOKER como entrada para CREATE o ALTER PROFILE, se devuelve el error ORA-28220.

• Cualquier PVF que cree se debe crear en el esquema de usuario ADMIN. Si se proporciona un PVF que no es propiedad de un usuario ADMIN como entrada para CREATE o ALTER PROFILE, se devuelve el error ORA-28220.

• Un usuario no administrador no puede modificar ni borrar una PVF. Es decir, cualquier usuario con el privilegio CREATE o DROP ANY PROCEDURE no puede modificar ni borrar una PVF.

• Si se borra la PVF asociada a un perfil, cualquier intento de cambiar la contraseña de un usuario que utiliza la PVF en su perfil devuelve el error ORA-7443. Los usuarios aún pueden iniciar sesión cuando se borra la PVF asociada a su perfil. Sin embargo, si la contraseña de un usuario ha caducado y se ha borrado la PVF, el usuario no puede iniciar sesión.

  Para recuperarse del error ORA-7443, el usuario ADMIN debe volver a crear la PVF borrada y asignarla al perfil, o asignar una PVF existente al perfil. Esto permite al usuario cambiar su contraseña y conectarse.

• El privilegio del sistema CREATE ANY PROCEDURE y el privilegio del sistema DROP ANY PROCEDURE se auditan para la seguridad de PVF. Consulte la lista PROCEDURES en Listings of System and Object Privileges en Oracle Database 19c SQL Language Reference u Oracle Database 26ai SQL Language Reference para obtener más información.

Consulte Gestión de la complejidad de las contraseñas en la Guía de seguridad de Oracle Database 19c u Guía de seguridad de Oracle Database 26ai para obtener más información.

Renovación gradual de contraseñas de bases de datos para aplicaciones

Una aplicación puede cambiar sus contraseñas de base de datos sin que un administrador tenga que programar el tiempo de inactividad.

Para ello, puede asociar un perfil que tenga un límite distinto de cero para el parámetro de perfil de contraseña PASSWORD_ROLLOVER_TIME, a un esquema de aplicación. Esto permite modificar la contraseña de la base de datos del usuario de la aplicación, al tiempo que permite que la contraseña anterior siga siendo válida durante el tiempo especificado por el límite de PASSWORD_ROLLOVER_TIME. Durante el período de renovación, la instancia de aplicación puede utilizar la contraseña antigua o la nueva para conectarse al servidor de base de datos. Cuando caduca el tiempo de renovación, solo se permite la nueva contraseña.

Consulte Gestión de renovación gradual de contraseñas de bases de datos para aplicaciones para obtener más información.

Contenido relacionado

Gestión de usuarios de bases de datos de IA autónomas en una infraestructura de Exadata dedicada