Uso de Microsoft Active Directory con Autonomous Database en una infraestructura de Exadata dedicada
Puede configurar Autonomous Database on Dedicated Exadata Infrastructure para autenticar y autorizar usuarios de Microsoft Active Directory. Esta configuración permite a los usuarios de Active Directory acceder a una instancia de Autonomous Database con sus credenciales de Active Directory.
Note:
Consulte Uso de Azure Active Directory (Azure AD) con Autonomous Database para obtener información sobre el uso de Azure Active Directory con Autonomous Database. La opción CMU admite servidores de Microsoft Active Directory pero no admite el servicio Azure Active Directory.La integración de Autonomous Database con usuarios gestionados de forma centralizada (CMU) proporciona integración con Microsoft Active Directory. CMU con Active Directory funciona mediante la asignación de usuarios globales y roles globales de base de datos Oracle a usuarios y grupos de Microsoft Active Directory.
Requisitos para configurar CMU con Microsoft Active Directory en Autonomous Database
Para configurar la conexión de Autonomous Database a Active Directory, son necesarios los siguientes requisitos:
-
Debe tener instalado y configurado Microsoft Active Directory. Consulte Introducción a AD DS para obtener más información.
-
Debe crear un usuario de directorio del servicio de Oracle en Active Directory. Consulte el Paso 1: Crear una cuenta de usuario de Oracle Service Directory en Microsoft Active Directory y otorgar permisos en Oracle Database 19c Security Guide u Oracle Database 23ai Security Guide para obtener información sobre la cuenta de usuario del directorio de servicio de Oracle.
-
Un administrador del sistema de Active Directory debe haber instalado el filtro de contraseñas de Oracle en los servidores de Active Directory y configurado grupos de Active Directory con usuarios de Active Directory que cumplan sus requisitos.
Solo está soportada la autenticación de contraseñas con CMU para Autonomous Database, por lo que debe utilizar la utilidad incluida,
opwdintg.exe
, para instalar el filtro de contraseñas de Oracle en Active Directory, ampliar el esquema y crear tres nuevos gruposORA_VFR
para la generación de tres tipos de verificadores de contraseñas. Consulte Paso 2: Para la autenticación de contraseñas, instale el filtro de contraseñas y amplíe el esquema de Microsoft Active Directory en Oracle Database 19c Security Guide u Oracle Database 23ai Security Guide para obtener información sobre la instalación del filtro de contraseñas de Oracle. -
Se debe poder acceder a los servidores de Active Directory desde Autonomous Database a través de la red pública de Internet, y el puerto 636 de los servidores de Active Directory debe estar abierto a Autonomous Database en Oracle Cloud Infrastructure, de modo que Autonomous Database pueda tener acceso LDAP seguro a través de TLS/SSL a los servidores de Active Directory a través de Internet.
También puede ampliar Active Directory local a Oracle Cloud Infrastructure, donde puede configurar controladores de dominio de solo lectura (RODC) para Active Directory local. A continuación, puede utilizar estos RODC en Oracle Cloud Infrastructure para autenticar y autorizar a los usuarios de Active Directory local para acceder a Autonomous Database.
Consulte Ampliación de la integración de Active Directory en la nube híbrida para obtener más información.
-
Necesita la cartera de base de datos de configuración de CMU,
cwallet.sso
y el archivo de configuración de CMUdsi.ora
para configurar la CMU para Autonomous Database:-
Si ha configurado los CMU para una base de datos local, puede obtener estos archivos de configuración del servidor de base de datos local.
-
Si no ha configurado los CMU para una base de datos local, debe crear estos archivos. A continuación, cargue los archivos de configuración en la nube para configurar los CMU en la instancia de Autonomous Database. Puede validar la cartera y
dsi.ora
configurando los CMU para una base de datos local y verificando que un usuario de Active Directory puede conectarse correctamente a la base de datos local con estos archivos de configuración. A continuación, cargue estos archivos de configuración en la nube para configurar los CMU de Autonomous Database.
Para obtener más información sobre el archivo de cartera para CMU, consulte:- Paso 6: Creación de la cartera para una conexión segura en la Guía de seguridad de Oracle Database 19c u Guía de seguridad de Oracle Database 23ai
- Paso 8: Verifique Oracle Wallet en Oracle Database 19c Security Guide y Oracle Database 23ai Security Guide.
Para obtener más información sobre el archivo
dsi.ora
para CMU, consulte Creating the dsi.ora File en Oracle Database 19c Security Guide u Oracle Database 23ai Security Guide.Para obtener detalles sobre la configuración de Active Directory para CMU y la solución de problemas de CMU para bases de datos locales, consulte cómo configurar los usuarios gestionados de forma centralizada para la base de datos versión 18c o versiones posteriores (ID de documento 2462012.1).
-
Configuración de CMU con Microsoft Active Directory en Autonomous Database
Para configurar Autonomous Database para CMU para conectarse a los servidores de Active Directory:
Note:
Consulte Desactivación del acceso a Active Directory en Autonomous Database para obtener instrucciones sobre cómo desactivar el acceso de Autonomous Database a Active Directory.Para obtener más información, consulte Configuring Centrally Managed Users with Microsoft Active Directory en la Oracle Database 19c Security Guide o la Oracle Database 19c Security Guide.
Configuración de CMU con Microsoft Active Directory en Exadata Cloud@Customer
SOLO SE APLICA A: Exadata Cloud@Customer
Para configurar Autonomous Database en Exadata Cloud@Customer para que CMU se conecte a los servidores de Active Directory, sin utilizar el servicio Oracle Object Store:
Ahora ha configurado CMU-AD para utilizar la autenticación externa a través de Microsoft Active Directory con Autonomous Database en Exadata Cloud@Customer.
Adición de roles de Microsoft Active Directory en Autonomous Database
Para agregar roles de Active Directory, asigne los roles globales de la base de datos a los grupos de Active Directory con sentencias CREATE ROLE
o ALTER ROLE
(e incluya la cláusula IDENTIFIED GLOBALLY AS
).
Para agregar roles globales para los grupos de Active Directory en Autonomous Database:
Para obtener más información sobre la configuración de roles con Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users en la Oracle Database 19c Security Guide o la Oracle Database 23ai Security Guide.
Adición de usuarios de Microsoft Active Directory en Autonomous Database
Para agregar usuarios de Active Directory para acceder a una instancia de Autonomous Database, asigne usuarios globales de base de datos a grupos o usuarios de Active Directory con sentencias CREATE USER
o ALTER USER
(con la cláusula IDENTIFIED GLOBALLY AS
).
La integración de Autonomous Database con Active Directory funciona mediante la asignación de usuarios y grupos de Microsoft Active Directory directamente a usuarios globales y roles globales de la base de datos Oracle.
Para agregar usuarios globales para grupos o usuarios de Active Directory en Autonomous Database:
Para obtener más información sobre la configuración de roles con Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users en la Oracle Database 19c Security Guide o la Oracle Database 23ai Security Guide.
Conexión a Autonomous Database con credenciales de usuario de Active Directory
Después de que el usuario ADMIN haya completado los pasos de configuración de CMU con Active Directory y creado roles globales y usuarios globales, los usuarios se conectan a la Autonomous Database con su nombre de usuario y contraseña de Active Directory.
Note:
No inicie sesión con un nombre de usuario global. Los nombres de usuario globales no tienen contraseña y la conexión con un nombre de usuario global no se realizará correctamente. Debe tener una asignación de usuario global en Autonomous Database para conectarse a la base de datos. No puede conectarse a la base de datos solo con asignaciones de rol global.Después de configurar la CMU con Active Directory en Autonomous Database y de configurar la autorización de Active Directory, con roles globales y usuarios globales, puede conectarse a Autonomous Database mediante cualquiera de los métodos de conexión que se describen en Acerca de la conexión a una Autonomous Database dedicada. Al conectarse, si desea utilizar un usuario de Active Directory, utilice las credenciales de usuario de Active Directory. Por ejemplo, proporcione un nombre de usuario con este formato, "AD_DOMAIN\AD_USERNAME" (se deben incluir comillas dobles) y utilice AD_USER_PASSWORD para la contraseña.
Verificación de la información de conexión de usuario de Active Directory con Autonomous Database
Cuando los usuarios se conectan a Autonomous Database con su nombre de usuario y contraseña de Active Directory, puede verificar y auditar la actividad del usuario.
Por ejemplo, cuando el usuario pfitch
se conecta:
CONNECT "production\pfitch"/password@exampleadb_medium;
El nombre de usuario de conexión del usuario de conexión del usuario de Active Directory (samAccountName) es pfitch
, widget_sales_group
es el nombre de grupo de Active Directory, y widget_sales
es el usuario global de Autonomous Database.
Después de que pfitch
se conecte a la base de datos, el comando SHOW USER
muestra el nombre de usuario global:
SHOW USER;
USER is "WIDGET_SALES"
El siguiente comando muestra el DN (nombre distintivo) del usuario de Active Directory:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Por ejemplo, puede verificar la identidad de empresa de este usuario gestionado de forma centralizada:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
El siguiente comando muestra "AD_DOMAIN\AD_USERNAME
":
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Por ejemplo, la identidad del usuario autenticado de Active Directory se captura y audita cuando el usuario se conecta a la base de datos:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Consulte Verificación de la información de conexión del usuario gestionado de forma centralizada en la Guía de seguridad de Oracle Database 19c o la Guía de seguridad de Oracle Database 23ai para obtener más información.
Eliminación de usuarios y roles de Active Directory en Autonomous Database
Para eliminar usuarios y roles de Active Directory de Autonomous Database, utilice comandos de base de datos estándar. Esto no elimina los usuarios o los grupos relacionados de Active Directory asignados desde los roles o los usuarios de base de datos borrados.
Para eliminar usuarios o roles de Autonomous Database:
Desactivación del acceso a Active Directory en Autonomous Database
Describe los pasos para eliminar la configuración de CMU de Autonomous Database (y desactivar el acceso LDAP desde Autonomous Database a Active Directory).
Después de configurar la instancia de Autonomous Database para acceder a CMU Active Directory, puede desactivar el acceso de la siguiente manera:
Consulte Procedimiento DISABLE_EXTERNAL_AUTHENTICATION para obtener más información.
Limitaciones con Microsoft Active Directory en Autonomous Database
The following limitations apply to CMU with Active Directory on Autonomous Database:
-
Solo está soportada la "autenticación de contraseña" y Kerberos para CMU con Autonomous Database. Cuando utiliza la autenticación de CMU con Autonomous Database, no están soportados otros métodos de autenticación como Azure AD, OCI IAM y PKI.
-
Oracle Application Express y Database Actions no están soportados para los usuarios de Active Directory con Autonomous Database.