Gestión de perfiles de usuario con Autonomous Database on Dedicated Exadata Infrastructure

Puede crear y modificar perfiles de usuario en Autonomous Database. Después de crear o modificar un perfil, puede especificar la cláusula de perfil con CREATE USER o ALTER USER. También puede importar perfiles de usuario existentes desde otro entorno con la importación de Oracle Data Pump.

Note:

Autonomous Database tiene restricciones en la cláusula de perfil. Consulte Limitaciones sobre el uso de comandos SQL para obtener información sobre las restricciones CREATE PROFILE y ALTER PROFILE.

Para agregar, modificar o eliminar un parámetro de contraseña en un perfil, incluido el perfil DEFAULT, debe tener el privilegio del sistema ALTER PROFILE.

  1. Para agregar o modificar un perfil, como usuario ADMIN ejecute CREATE PROFILE o ALTER PROFILE. Por ejemplo:
    CREATE PROFILE new_profile
  LIMIT PASSWORD_REUSE_MAX 10
  PASSWORD_LOCK_TIME 5;

    Si no es el usuario ADMIN, debe tener el privilegio CREATE PROFILE para ejecutar CREATE PROFILE. Si ejecuta ALTER PROFILE, debe tener el privilegio ALTER PROFILE.

  2. Utilice el perfil nuevo o modificado con un comando CREATE USER o ALTER USER. Por ejemplo:
    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
GRANT CREATE SESSION TO new_user;

Esto crea new_user con el perfil new_profile y con privilegios de conexión. new_user ahora puede conectarse a la base de datos y ejecutar consultas. Para otorgar privilegios adicionales a los usuarios, consulte Gestión de privilegios de usuarios de base de datos.

Consulte CREATE PROFILE en Oracle Database 19c SQL Language Reference o Oracle Database 23ai SQL Language Reference para obtener información sobre el uso de CREATE PROFILE.

Puede importar perfiles existentes creados en otros entornos mediante la importación de Oracle Data Pump (impdp). Cualquier asociación de perfil existente con usuarios de base de datos se conserva después de la importación a Autonomous Database. Cuando un usuario recién creado, creado a partir de una importación de Oracle Data Pump, intenta conectarse por primera vez, la conexión se maneja de la siguiente forma:

  • Las restricciones de complejidad de contraseña son las mismas que las restricciones para cualquier usuario de Autonomous Database.

  • Si la contraseña del usuario infringe los requisitos de complejidad de la contraseña, la cuenta caducará con un período de gracia de 30 días. En este caso, el usuario debe cambiar su contraseña antes de que finalice el período de gracia.

Note:

Las asignaciones de perfil para usuarios con perfil ORA_PROTECTED_PROFILE no se pueden modificar.

Al crear o modificar un perfil, puede especificar una Función de Verificación de Contraseñas (PVF) para gestionar la complejidad de la contraseña. Consulte Gestión de la complejidad de las contraseñas en Autonomous Database para obtener más información.

Temas relacionados

Gestión de la complejidad de las contraseñas en Autonomous Database

Puede crear una función de verificación de contraseña (PVF) y asociar la PVF a un perfil para gestionar la complejidad de las contraseñas de usuario.

Note:

La longitud mínima de la contraseña para una PVF especificada por el usuario es de 8 caracteres y debe incluir al menos una letra mayúscula, una letra minúscula y un carácter numérico. La longitud mínima de la contraseña para el perfil DEFAULT es de 12 caracteres (el perfil DEFAULT utiliza la PVF CLOUD_VERIFY_FUNCTION). La contraseña no puede contener el nombre de usuario.

Oracle recomienda utilizar una longitud de contraseña mínima de 12 caracteres. Si define la PVF de un perfil y define la longitud mínima de la contraseña en menos de 12 caracteres, las herramientas como Oracle Database Security Assessment Tool (DBSAT) y Qualys informan de ello como un riesgo para la seguridad de la base de datos.

Por ejemplo, para especificar una PVF para un perfil, utilice el siguiente comando:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Si cualquier usuario que no sea el usuario ADMIN que crea o modifica el perfil, debe otorgar el privilegio EXECUTE en la PVF. Si crea una PVF y la comprobación de contraseña falla, la base de datos informa del error ORA-28219.

Puede especificar una PVF proporcionada por Oracle, desde una de las siguientes opciones:

  • CLOUD_VERIFY_FUNCTION (esta es la función de verificación de contraseñas por defecto para Autonomous Database):

    Esta función comprueba los siguientes requisitos cuando los usuarios crean o modifican contraseñas:

    • La contraseña debe tener entre 12 y 30 caracteres de longitud y debe incluir al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico.

    • La contraseña no puede contener el nombre de usuario.

    • La contraseña no puede ser una de las últimas cuatro contraseñas utilizadas para el mismo nombre de usuario.

    • La contraseña no puede contener comillas dobles (").

    • La contraseña no debe ser la misma que se haya establecido hace menos de 24 horas.

  • ORA12C_STIG_VERIFY_FUNCTION

    Esta función comprueba los siguientes requisitos cuando los usuarios crean o modifican contraseñas:

    • La contraseña tiene al menos 15 caracteres.

    • La contraseña tiene al menos 1 carácter en minúscula y al menos 1 carácter en mayúscula.

    • La contraseña tiene al menos 1 dígito.

    • La contraseña tiene al menos 1 carácter especial.

    • La contraseña es distinta de la contraseña anterior en al menos 8 caracteres.

    Consulte ora12c_stig_verify_function Password Requirements en la Oracle Database 19c Security Guide o la Oracle Database 23ai Security Guide para obtener más información.

Tenga en cuenta las siguientes restricciones para una función de verificación de contraseñas (PVF) que cree y asigne a un perfil:

  • Si especifica un perfil de usuario, la longitud mínima de la contraseña depende de cómo defina la PVF asociada, de la siguiente manera:

    • Si se define una PVF, la longitud mínima de la contraseña aplicada es de 8 caracteres con al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico. La contraseña no puede contener el nombre de usuario.

    • Si la PVF se define como NULL, la longitud mínima de la contraseña aplicada es de 8 caracteres con al menos una letra en mayúsculas, una letra en minúsculas y un carácter numérico. La contraseña no puede contener el nombre de usuario.

    • Si el perfil no tiene una PVF definida, se asigna la PVF del perfil DEFAULT (CLOUD_VERIFY_FUNCTION) y la longitud de contraseña mínima aplicada es de 12 caracteres.

  • Si especifica una función de verificación de contraseña (PVF) más estricta que la CLOUD_VERIFY_FUNCTION por defecto, se utilizará la nueva función de verificación.

  • Una PVF que cree se debe crear como función PL/SQL DEFINER RIGHTS. Si se proporciona una PVF con derechos INVOKER como entrada para CREATE o ALTER PROFILE, se devuelve el error ORA-28220.

  • Las PVF que cree se deben crear en el esquema de usuario ADMIN. Si se proporciona una PVF que no es propiedad del usuario ADMIN como entrada para CREATE o ALTER PROFILE, se devuelve el error ORA-28220.

  • Un usuario no ADMIN no puede modificar ni borrar una PVF. Es decir, cualquier usuario con el privilegio CREATE o DROP ANY PROCEDURE no puede modificar ni borrar una PVF.

  • Si se borra la PVF asociada a un perfil, cualquier intento de cambiar la contraseña de un usuario que utiliza la PVF en su perfil devuelve el error ORA-7443. Los usuarios pueden seguir iniciando sesión cuando se borra la PVF asociada a su perfil. Sin embargo, si la contraseña de un usuario ha caducado y se borra el PVF, el usuario no puede iniciar sesión.

    Para recuperarse del error ORA-7443, el usuario ADMIN debe volver a crear la PVF borrada y asignarla al perfil o asignar una PVF existente al perfil. Esto permite al usuario cambiar su contraseña e iniciar sesión.

  • El privilegio del sistema CREATE ANY PROCEDURE y el privilegio del sistema DROP ANY PROCEDURE se auditan para la seguridad de PVF. Consulte la lista PROCEDURES en Listas de privilegios de sistema y objeto en Referencia de lenguaje SQL 19c de Oracle Database o Referencia de lenguaje SQL de Oracle Database 23ai para obtener más información.

Consulte Gestión de la complejidad de las contraseñas en Oracle Database 19c Security Guide o Oracle Database 23ai Security Guide para obtener más información.

Renovación gradual de las contraseñas de la base de datos para aplicaciones

Una aplicación puede cambiar sus contraseñas de base de datos sin que un administrador tenga que programar el tiempo de inactividad.

Para ello, puede asociar un perfil que tenga un límite distinto de cero para el parámetro de perfil de contraseña PASSWORD_ROLLOVER_TIME con un esquema de aplicación. Esto permite modificar la contraseña de base de datos del usuario de la aplicación, a la vez que permite que la contraseña anterior siga siendo válida durante el tiempo especificado por el límite PASSWORD_ROLLOVER_TIME. Durante el período de renovación, la instancia de la aplicación puede utilizar la contraseña antigua o la nueva para conectarse al servidor de base de datos. Cuando el tiempo de renovación caduca, solo se permite la nueva contraseña.

Consulte Gestión de la renovación gradual de las contraseñas de la base de datos para aplicaciones para obtener más información.