Uso de Microsoft Active Directory con Autonomous AI Database en infraestructura de Exadata dedicada

Puede configurar la base de datos de IA autónoma en una infraestructura de Exadata dedicada para autenticar y autorizar usuarios de la instancia de Microsoft Active Directory. Esta configuración permite a los usuarios de la instancia de Active Directory acceder a una base de datos de IA autónoma con sus credenciales de la instancia de Active Directory.

Nota: Consulte Uso de Azure Active Directory (Azure AD) con Autonomous AI Database para obtener información sobre el uso de Azure Active Directory con Autonomous AI Database. La opción de CMU soporta servidores Microsoft Active Directory pero no soporta el servicio Azure Active Directory.

La integración de la base de datos de IA autónoma con usuarios gestionados a nivel central (CMU) proporciona integración con Microsoft Active Directory. CMU con Active Directory funciona mediante la asignación de usuarios globales y roles globales de base de datos Oracle a usuarios y grupos de Microsoft Active Directory.

Requisitos para configurar CMU con Microsoft Active Directory en Autonomous AI Database

Se requieren los siguientes requisitos para configurar la conexión de Autonomous AI Database a Active Directory:

• Debe tener instalado y configurado Microsoft Active Directory. Consulte Introducción a AD DS para obtener más información.

• Debe crear un usuario de directorio del servicio de Oracle en Active Directory. Consulte el Paso 1: Creación de una cuenta de usuario de Oracle Service Directory en Microsoft Active Directory y otorgamiento de permisos en la Guía de seguridad de Oracle Database 19c o la Guía de seguridad de Oracle Database 26ai para obtener información sobre la cuenta de usuario del directorio de servicio de Oracle.

• Un administrador del sistema de Active Directory debe haber instalado el filtro de contraseñas de Oracle en los servidores de Active Directory y configurado grupos de Active Directory con usuarios de Active Directory que cumplan sus requisitos.

  Solo está soportada el proceso de autenticación por contraseña con CMU para Autonomous AI Database, por lo que debe utilizar la utilidad incluida, opwdintg.exe, para instalar el Filtro de contraseñas de Oracle en Active Directory, ampliar el esquema y crear tres nuevos grupos ORA_VFR para los tres tipos de generación del verificador de contraseñas. Consulte el Paso 2: Para autenticación de contraseñas, instalación del filtro de contraseñas y ampliación del esquema de Microsoft Active Directory en la Guía de seguridad de Oracle Database 19c o la Guía de seguridad de Oracle Database 26ai para obtener información sobre la instalación del filtro de contraseñas de Oracle

• Se debe tener acceso a los servidores Active Directory desde la base de datos de IA autónoma a través de la Internet pública, y el puerto 636 de los servidores Active Directory debe estar abierto a la base de datos de IA autónoma en Oracle Cloud Infrastructure, de modo que la base de datos de IA autónoma pueda tener acceso LDAP seguro por TLS/SSL a los servidores Active Directory a través de Internet.

  También puede ampliar Active Directory local a Oracle Cloud Infrastructure, donde puede configurar controladores de dominio de solo lectura (RODC) para Active Directory local. A continuación, puede utilizar estos RODC en Oracle Cloud Infrastructure para autenticar y autorizar a los usuarios de Active Directory locales para acceder a las bases de datos de IA autónomas.

  Consulte Ampliar la integración de Active Directory en la nube híbrida para obtener más información.

• Necesita la cartera, cwallet.sso y el archivo dsi.ora de configuración de CMU para configurar CMU para su base de datos de IA autónoma:

  • Si ha configurado los CMU para una base de datos local, puede obtener estos archivos de configuración del servidor de base de datos local.

  • Si no ha configurado la CMU para una base de Datos Local, debe crear estos archivos. A continuación, cargue los archivos a la nube para configurar la CMU en la instancia de la base de datos de IA autónoma. Puede validar la cartera y dsi.ora configurando la CMU para una base de Datos Local y verificando que un usuario deActive Directory puede conectarse correctamente a la base de Datos Local con estos archivos del entorno. A continuación, cargue estos archivo de configuración en la nube para configurar la CMU de su base de datos de IA autónoma.

  Para obtener más información sobre el archivo de cartera para CMU, consulte:

  • Paso 6: Creación de la cartera para una conexión segura en la Guía de seguridad de Oracle Database 19c o la Guía de seguridad de Oracle Database 26ai

  • Paso 8: Verifique Oracle Wallet en la Guía de seguridad de Oracle Database 19c y la Guía de seguridad de Oracle Database 26ai.

  Para obtener más información sobre el archivo dsi.ora para CMU, consulte Creating the dsi.ora File in Oracle Database 19c Security Guide or Oracle Database 26ai Security Guide.

  Para obtener detalles sobre la configuración de Active Directory para CMU y la solución de problemas de CMU para bases de datos locales, consulte cómo configurar los usuarios gestionados de forma centralizada para la base de datos versión 18c o versiones posteriores (ID de documento 2462012.1).

Configuración de CMU con Microsoft Active Directory en la base de datos de IA autónoma

Para configurar Autonomous AI Database para CMU para conectarse a los servidores de Active Directory:

1. Conéctese a la base de datos de IA autónoma como usuario ADMIN.

2. Verifique si hay otro esquema de autenticación externa activado en la base de datos y desactívelo.

   Nota: Puede continuar con la configuración de CMU-AD sobre Kerberos para proporcionar autenticación de Kerberos de CMU-AD para usuarios de Microsoft Active Directory.

3. Cargue los archivos de configuración de CMU, incluido el archivo de cartera, cwallet.sso y el archivo de configuración de CM U, dsi.ora en el almacén de objetos. Este paso depende del almacén de objetos que utilice.

   El archivo de configuración dsi.ora contiene la información para buscar los servidores de Active Directory.

   Si utiliza el almacén de objetos de Oracle Cloud Infrastructure, consulte Colocación de datos en Object Storage para obtener más información sobre la carga de archivos.

4. En la base de datos de IA autónoma, cree un nuevo objeto del directorio o seleccione un objeto del directorio existente. Este es el directorio en el que almacena la cartera y el archivo de configuración para conectarse a Active Directory:

   Por ejemplo:

    CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
   

   Utilice la siguiente sentencia SQL para consultar la ruta del directorio del sistema de archivos del objeto de directorio:

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
       DIRECTORY_NAME='directory_object_name';
   

   Por ejemplo:

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
       DIRECTORY_NAME='CMU_WALLET_DIR';
   

    DIRECTORY_PATH
   
    ----------------------------------------------------------------------------
    /file_system_directory_path_example/cmu_wallet
   

   Nota: El nombre Del Objeto de Directorio en la Consulta Debe Estar en Mayúsculas, ya Que No Se Conservaron las Mayúsculas/minúsculas cuando se creó el Objeto de Directorio.

   Si desea conservar mayúsculas y minúsculas para el nombre del objeto de directorio, debe incluir su nombre entre comillas dobles. Por ejemplo:

    CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
   

5. Utilice DBMS_CLOUD.GET_OBJECT para copiar los archivos cwallet.sso y dsi.ora de la cartera de base de datos del almacén de objetos al directorio que ha creado o seleccionado en el paso 4 anterior.

   Por ejemplo, utilice DBMS_CLOUD.GET_OBJECT para copiar los archivos del almacén de objetos en la siguiente forma: CMU_WALLET_DIR

    BEGIN
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
          directory_name => 'CMU_WALLET_DIR');
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
          directory_name => 'CMU_WALLET_DIR');
    END;
    /
   

   En este ejemplo, *namespace-string* es el espacio en el que se almacenan objetos de Oracle Cloud Infrastructure y bucketname es el nombre del cubo. Consulte Descripción de los espacios de nombres de Object Storage para obtener más información.

   Consulte Procedimiento GET_OBJECT para obtener más información.

   Utilice la siguiente sentencia SQL para consultar archivos copiados en el directorio.

    SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');
   

   Por ejemplo:

    SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
   

   Tenga en cuenta que el nombre del objeto de directorio en esta consulta debe estar en mayúsculas, ya que no se conservaron las mayúsculas/minúsculas cuando se creó el objeto de directorio.

6. Active CMU-AD en su base de datos de IA autónoma mediante el paquete DBMS_CLOUD_ADMIN.

   Nota: Sustituya los nombres de directorio del siguiente ejemplo por los seleccionados para su entorno. Asegúrese de haber iniciado sesión como usuario ADMIN antes de ejecutar este comando.

    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      );
    END;
    /
   

7. Para mantener el nivel de seguridad, elimine la cartera cwallet.sso de base de datos de configuración CMU y el archivo dsi.ora de configuración del almacén de objetos. Puede utilizar los métodos del almacén de objetos local para eliminar estos archivos o utilizar DBMS_CLOUD.DELETE_OBJECT para suprimir los archivos del almacén de objetos.

   Consulte Procedimiento DELETE_OBJECT para obtener más información sobre DBMS_CLOUD.DELETE_OBJECT.

Nota: Consulte Desactivar el acceso de Active Directory en la base de datos de IA autónoma para ver instrucciones sobre la desactivación del acceso de la base de datos de IA autónoma a Active Directory.

Para obtener más información, consulte Configuring Centrally Managed Users with Microsoft Active Directory en la Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide.

Configuración de CMU con Microsoft Active Directory en Exadata Cloud@Customer

SE APLICA A: Solo Exadata Cloud@Customer

Para configurar la base de datos de IA autónoma en Exadata Cloud@Customer para que CMU se conecte a los servidores de Active Directory, sin utilizar el servicio Oracle Object Store:

1. Conéctese a la base de datos de IA autónoma como usuario ADMIN.

2. Verifique si hay otro esquema de autenticación externo activado en la base de datos y desactívelo mediante el siguiente comando SQL.

    BEGIN
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /
   

3. CMU-AD necesita la cartera de conexión de Active Directory cwallet.sso y los archivos dsi.ora en un sistema de archivos local del cluster de VM de Exadata autónomo (AVMC). Para lograrlo, puede alojar estos archivos en el servicio Oracle Object Store en Oracle Cloud Infrastructure y, a continuación, copiarlos localmente mediante el paquete DBMS_CLOUD. Puede encontrar este proceso con pasos y ejemplos detallados en Configuración de CMU con Microsoft Active Directory en Autonomous AI Database.

4. Si no es posible alojar cwallet.sso y dsi.ora en el almacenamiento en la nube, puede utilizar un recurso compartido del sistema de archivos de red (NFS) en el centro de datos para alojar estos archivos y, a continuación, moverlos a un directorio de base de datos en el sistema de archivos de base de datos (DBFS). Para ello, primero debe asociar un recurso compartido NFS disponible localmente al objeto de directorio de la base de datos de IA autónoma, como se muestra a continuación:

   1. Cree un directorio de base de datos en su instancia de base de datos de IA autónoma mediante el siguiente comando SQL desde su cliente SQL:

       create or replace directory TMPFSSDIR as 'tmpfssdir';
      

   2. Monte el recurso compartido NFS en este directorio mediante el paquete DBMS_CLOUD_ADMIN disponible en Autonomous AI Database.

      Consejo: puede que necesite trabajar con el administrador de red o almacenamiento para que un recurso compartido NFS esté disponible.

       BEGIN
         DBMS_CLOUD_ADMIN.attach_file_system(
           file_system_name => <some_name_you_assign>,
           file_system_location => <your_nfs_fs_path>,
           directory_name => <tmpfssdir_created_above>,
           description => 'Any_desc_you_like_to_give'
         );
       END
      

      Por ejemplo:

       BEGIN
         DBMS_CLOUD_ADMIN.attach_file_system(
           file_system_name => 'AD-FSS',
           file_system_location => acme.com:/nfs/mount1',
           directory_name => 'TMPFSSDIR',
           description => 'nfs to host AD files'
         );
       END;
      

5. Para evitar una dependencia en el recurso compartido NFS para que los archivos cwallet.sso y dsi.ora estén disponibles para CMU, muévalos a una carpeta del sistema de archivos local mediante una asignación de directorio de base de datos. Dado que la base de datos de IA autónoma restringe el acceso al sistema de archivos local, cree un procedimiento de copia mediante utl_file como se muestra a continuación:

   1. Cree un directorio de base de datos en su instancia de base de datos de IA autónoma mediante el siguiente comando SQL desde su cliente SQL:

       CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
      

   2. Compruebe la ruta del directorio del directorio creado anteriormente mediante el siguiente comando SQL:

       SELECT DIRECTORY_PATH
       FROM DBA_DIRECTORIES
       WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';
      

      Nota: El nombre del objeto de directorio debe estar en mayúsculas en la consulta, ya que no se han conservado las mayúsculas y minúsculas al crear el objeto de directorio.

   3. Copie dsi.ora y cwallet.sso del directorio NFS en el directorio de cartera de CMU local mediante la utilidad UTL_FILE.

      Por ejemplo:

      Cree un procedimiento almacenado denominado copyfile como se muestra a continuación:

       CREATE OR REPLACE PROCEDURE copyfile(
         in_loc_dir IN VARCHAR2,
         in_filename IN VARCHAR2,
         out_loc_dir IN VARCHAR2,
         out_filename IN VARCHAR2
       )
       IS
         in_file UTL_FILE.file_type;
         out_file UTL_FILE.file_type;
         buffer_size CONSTANT INTEGER := 32767;
         buffer RAW (32767);
         buffer_length INTEGER;
       BEGIN
         in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
         out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
         UTL_FILE.get_raw (in_file, buffer, buffer_size);
         buffer_length := UTL_RAW.LENGTH (buffer);
      
         WHILE buffer_length > 0
         LOOP
           UTL_FILE.put_raw (out_file, buffer, TRUE);
      
           IF buffer_length = buffer_size
             THEN
               UTL_FILE.get_raw (in_file, buffer, buffer_size);
               buffer_length := UTL_RAW.LENGTH (buffer);
             ELSE
               buffer_length := 0;
             END IF;
         END LOOP;
      
         UTL_FILE.fclose (in_file);
         UTL_FILE.fclose (out_file);
       EXCEPTION
         WHEN NO_DATA_FOUND
         THEN
           UTL_FILE.fclose (in_file);
           UTL_FILE.fclose (out_file);
       END;
       /
      

      Compile el procedimiento almacenado copyfile. Una vez compilado correctamente, ejecute el procedimiento copyfile una vez cada uno para copiar dsi.ora y cwallet.sso del directorio NFS al directorio de cartera de CMU local, como se muestra a continuación:

       EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
      

       EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
      

   4. Ejecute la siguiente consulta SQL para validar si los archivos se copian correctamente en el directorio local de la cartera de CMU.

       SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
      

6. Con el siguiente comando, desasocie el recurso compartido NFS, ya que no lo necesita para CMU-AD después de copiar los archivos en el directorio local.

    exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
   

7. Active CMU-AD en su base de datos de IA autónoma mediante el paquete DBMS_CLOUD_ADMIN.

   Nota: Sustituya los nombres de directorio del siguiente ejemplo por los seleccionados para su entorno. Asegúrese de haber iniciado sesión como usuario ADMIN antes de ejecutar este comando.

    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      );
    END;
    /
   

8. Valide consultando el valor de propiedad de la propiedad de la base de datos CMU_WALLET como se muestra a continuación.

    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME = 'CMU_WALLET';
   

   Por ejemplo:

    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME='CMU_WALLET';
   

    PROPERTY_VALUE
   
    --------------
    CMU_WALLET_DIR
   

Ahora ha configurado CMU-AD para utilizar la autenticación externa a través de Microsoft Active Directory con su base de datos de IA autónoma en Exadata Cloud@Customer.

Agregar roles de Microsoft Active Directory en la base de datos de IA autónoma

Para agregar roles de Active Directory, asigne los roles globales de la base de datos a los grupos de Active Directory con sentencias CREATE ROLE o ALTER ROLE (e incluya la cláusula IDENTIFIED GLOBALLY AS).

Para agregar roles globales para los grupos de Active Directory en la base de datos de IA autónoma:

1. Conéctese como usuario ADMIN a la base de datos configurada para utilizar Active Directory (el usuario ADMIN tiene los privilegios del sistema CREATE ROLE y ALTER ROLE que necesita para estos pasos).

2. Defina la autorización para los roles de bases de datos de Autonomous AI con las sentencias CREATE ROLE o ALTER ROLE. Incluya la cláusula IDENTIFIED GLOBALLY AS y especifique el DN de un grupo de los Active Directory.

   Utilice la siguiente sintaxis para asignar un grupo de usuarios de directorio a un rol global de base de datos:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS
         'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

   Por ejemplo:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
   

   En este ejemplo, todos los miembros de widget_sales_group están autorizados con el rol de base de datos widget_sales_role cuando se conectan a la base de datos.

3. Utilice las sentencias GRANT para otorgar los privilegios necesarios u otros roles al rol global.

   Por ejemplo:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
    GRANT DWROLE TO WIDGET_SALES_ROLE;
   

   DWROLE es un rol predefinido que tiene privilegios comunes definidos. Consulte Gestión de privilegios de usuario de base de datos para obtener información sobre la configuración de privilegios comunes para usuarios de base de datos de IA autónoma.

4. Si desea hacer que un rol de base de datos existente se asocie a un grupo de Active Directory, utilice la sentencia ALTER ROLE para modificar el rol de base de datos existente para asignarlo a un grupo de Active Directory.

   Utilice la siguiente sintaxis para modificar un rol de base de datos existente para asignarlo a un grupo de Active Directory:

    ALTER ROLE existing_database_role
       IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

5. Si desea crear asignaciones de rol global adicionales para otros grupos de Active Directory, siga estos pasos para cada grupo de Active Directory.

Para obtener más información sobre la configuración de roles con Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users en la Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide.

Agregar usuarios de Microsoft Active Directory en la base de datos de IA autónoma

Para agregar usuarios de la instancia de Active Directory para acceder a una instancia de Autonomous AI Database, asigne usuarios globales a grupos o usuarios de la instancia de Active Directory con sentencias CREATE USER o ALTER USER (con el cláusula IDENTIFIED GLOBALLY AS).

La integración de Autonomous AI Database con Active Directory funciona mediante la asignación de usuarios y grupos de Microsoft Active Directory directamente a usuarios y roles globales de base de datos Oracle.

Para agregar usuarios globales para grupos de Active Directory o usuarios en Autonomous AI Database:

1. Conéctese como usuario ADMIN a la base de datos configurada para utilizar Active Directory (el usuario ADMIN tiene los privilegios del sistema CREATE USER y ALTER USER necesarios para estos pasos).

2. Defina la autorización de base de Datos para usuarios de Autonomous AI Database con sentencias CREATE USER o ALTER USER e incluya la cláusula IDENTIFIED GLOBALLY AS, especificando el DN de un usuario o grupo deActive Directory.

   Utilice la siguiente sintaxis para asignar un usuario de directorio a un usuario global de base de datos:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
   

   Utilice la siguiente sintaxis para asignar un grupo de directorio a un usuario global de base de datos:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

   Por ejemplo, para asignar un grupo de directorio denominado widget_sales_group en la unidad de organización sales del dominio production.example.com a un usuario global de base de datos compartida denominado WIDGET_SALES:

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
   

   De este modo se crea una asignación de usuario global compartida. La asignación, con el usuario global widget_sales, es efectiva para todos los usuarios del grupo de Active Directory. Por lo tanto, cualquier usuario de widget_sales_group puede conectarse a la base de datos utilizando las credenciales de Active Directory (mediante la asignación compartida del usuario global widget_sales).

3. Si desea que los usuarios de Active Directory utilicen un usuario de base de datos existente, posean su esquema y posean sus datos existentes, utilice ALTER USER para modificar un usuario de base de datos existente para asignar el usuario a un grupo o usuario de Active Directory.

   • Utilice la siguiente sintaxis para modificar un usuario de base de datos existente para asignarlo a un usuario de Active Directory:

     ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
     

   • Utilice la siguiente sintaxis para modificar un usuario de base de datos existente para asignarlo a un grupo de Active Directory:

     ALTER USER existing_database_user
          IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
     

4. Si desea crear asignaciones de usuario global adicionales para otros grupos o usuarios de Active Directory, siga estos pasos para cada grupo o usuario de Active Directory.

Para obtener más información sobre la configuración de roles con Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users en la Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide.

Conexión a la base de datos de IA autónoma con las credenciales de usuario de Active Directory

Después de que el usuario ADMIN haya realizado los pasos para configurar CMU de Active Directory y haya creado roles globales y usuarios globales, los usuarios se conectarán a la base de datos de IA autónoma con su nombre del usuario y contraseña de de Active Directory.

Nota: No se conecte con un nombre de usuario global. Los nombres de usuario globales no tienen contraseña y la conexión con un nombre de usuario global no se realizará correctamente. Debe tener una asignación de usuario global en su base de datos de IA autónoma para conectarse a la base de datos. No puede conectarse a la base de datos solo con asignaciones de rol global.

Para conectarse a la base de datos de IA autónoma mediante un nombre y una contraseña de usuario de Active Directory, conéctese de la siguiente manera:

CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

Por ejemplo:

CONNECT "production\pfitch"/password@adbname_medium;

Debe incluir comillas dobles cuando se incluya el dominio de Active Directory junto con el nombre de usuario, como en este ejemplo: "production\pfitch".

En este ejemplo, el nombre de usuario de Active Directory es pfitch en el dominio production. El usuario de Active Directory es miembro del grupo widget_sales_group que se identifica por su DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Después de configurar CMU con Active Directory en Autonomous AI Database y de configurar la autorización de Active Directory, con roles globales y usuarios globales, puede conectarse a su base de datos de IA autónoma mediante cualquiera de los métodos de conexión descritos en Acerca de la conexión a una base de datos de IA autónoma dedicada. Al conectarse, si desea utilizar un usuario de Active Directory, utilice las credenciales de usuario de Active Directory. Por ejemplo, proporcione un nombre de usuario con este formato, "AD_DOMAIN\AD_USERNAME" (se deben incluir comillas dobles) y utilice AD_USER_PASSWORD para la contraseña.

Comprobación de la información de conexión de usuario de Active Directory con base de datos de IA autónoma

Cuando el usuario se conecta a la base de datos de IA autónoma con su usuario y contraseña de de Active Directory, puede verificar y auditar la actividad del usuario.

Por ejemplo, cuando el usuario pfitch se conecta:

CONNECT "production\pfitch"/password@exampleadb_medium;

El nombre del usuario de conexión del usuario de Active Directory (samAccountName) es pfitch, widget_sales_group es el nombre del Grupo de Active Directory, y widget_sales es el usuario global de la base de datos de IA autónoma.

Después de que pfitch se conecte a la base de datos, el comando SHOW USER muestra el nombre de usuario global:

SHOW USER;

USER is "WIDGET_SALES"

El siguiente comando muestra el DN (nombre distintivo) del usuario de Active Directory:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Por ejemplo, puede verificar la identidad de empresa de este usuario gestionado de forma centralizada:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

El siguiente comando muestra "AD_DOMAIN\AD_USERNAME":

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Por ejemplo, la identidad del usuario autenticado de Active Directory se captura y audita cuando el usuario se conecta a la base de datos:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Consulte Verifying the Centrally Managed User Logon Information in Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide para obtener más información.

Eliminar usuarios y roles deActive Directory en la base de datos de IA autónoma

Para eliminar usuarios y funciones de Active Directory de bases de datos de IA autónomas, utilice comandos estándar de bases de datos. Esto no elimina los usuarios o los grupos relacionados de Active Directory asignados desde los roles o los usuarios de base de datos borrados.

Para eliminar usuarios o roles de la base de datos de IA autónoma:

1. Conéctese a la base de datos configurada para utilizar Active Directory como usuario al que se le ha otorgado el privilegio del sistema DROP USER o DROP ROLE.

2. Borre los usuarios globales o los roles globales asignados a grupos o usuarios de Active Directory con la sentencia DROP USER o DROP ROLE.

   Consulte Eliminación de usuarios de base de datos para obtener más información.

Desactivar el acceso a Active Directory en la base de datos de IA autónoma

Describe los pasos para eliminar la configuración de CMU de su base de datos de IA autónoma (y desactivar el acceso de LDAP de su base de datos de IA autónoma a Active Directory).

Después de configurar la instancia de base de datos de IA autónoma para acceder a CMU Active Directory, puede desactivar el acceso de la siguiente manera:

1. Conéctese a la base de datos de IA autónoma como usuario ADMIN.

2. Utilice DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desactivar la autenticación de CMU.

   Nota: Para ejecutar este procedimiento, debe estar conectado como usuario ADMIN o tener el privilegio EXECUTE en DBMS_CLOUD_ADMIN.

   Por ejemplo:

      BEGIN
        DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
      END;
      /
   

   Esto desactiva la autenticación de CMU en su instancia de base de datos de IA autónoma.

Consulte el Procedimiento DISABLE_EXTERNAL_AUTHENTICATION para obtener más información.

Limitaciones con Microsoft Active Directory en Autonomous AI Database

Las siguientes limitaciones se aplican a CMU con Active Directory en Autonomous AI Database:

• Solo está soportada la "autenticación a través de contraseña" y Kerberos para CMU con Autonomous AI Database. Cuando se utiliza la autenticación de CMU con Autonomous AI Database, no se admiten otros métodos de autenticación como Azure AD, OCI IAM y PKI.

• Oracle Application Express y Database Actions no están soportados para los usuarios de la base de datos de IA autónoma de Active Directory.