Gérer les profils d'utilisateur avec une base de données d'intelligence artificielle autonome sur une infrastructure Exadata dédiée

Vous pouvez créer et modifier des profils d'utilisateur dans Autonomous AI Database. Après avoir créé ou modifié un profil, vous pouvez spécifier la clause de profil avec CREATE USER ou ALTER USER. Vous pouvez également importer des profils utilisateur existants à partir d'un autre environnement à l'aide d'Oracle Data Pump Import.

Note : Autonomous AI Database comporte des restrictions sur la clause de profil. Voir Limitations relatives à l'utilisation des commandes SQL pour plus d'informations sur les restrictions CREATE PROFILE et ALTER PROFILE.

Pour ajouter, modifier ou supprimer un paramètre de mot de passe dans un profil, y compris le profil DEFAULT, vous devez disposer du privilège système ALTER PROFILE.

Pour ajouter ou modifier un profil, car l'utilisateur ADMIN exécute CREATE PROFILE ou ALTER PROFILE. Par exemple :
```
 CREATE PROFILE new_profile
   LIMIT PASSWORD_REUSE_MAX 10
   PASSWORD_LOCK_TIME 5;
```
Si vous n'êtes pas l'utilisateur ADMIN, vous devez disposer du privilège CREATE PROFILE pour exécuter CREATE PROFILE. Si vous exécutez ALTER PROFILE, vous devez disposer du privilège ALTER PROFILE.

Utilisez le profil nouveau ou modifié avec une commande CREATE USER ou ALTER USER. Par exemple :

 CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
 GRANT CREATE SESSION TO new_user;

Cela crée new_user avec le profil new_profile et avec les privilèges de connexion. new_user peut maintenant se connecter à la base de données et exécuter des interrogations. Pour accorder des privilèges supplémentaires aux utilisateurs, voir Gérer les privilèges des utilisateurs de base de données.

Voir CREATE PROFILE dans Informations de référence sur le langage SQL pour Oracle Database 19c ou Informations de référence sur le langage SQL pour Oracle Database 26ai pour plus d'informations sur l'utilisation de CREATE PROFILE.

Vous pouvez importer des profils existants créés dans d'autres environnements à l'aide d'Oracle Data Pump Import (impdp). Toute association de profil existante avec des utilisateurs de base de données est conservée après l'importation dans Autonomous AI Database. Lorsqu'un utilisateur nouvellement créé, créé à partir d'une importation Oracle Data Pump, tente de se connecter pour la première fois, la connexion est gérée comme suit :

Les restrictions relatives à la complexité des mots de passe sont les mêmes que celles applicables à tout utilisateur de la base de données IA autonome.
Si le mot de passe de l'utilisateur ne respecte pas les exigences de complexité du mot de passe, le compte est expiré avec un délai de grâce de 30 jours. Dans ce cas, l'utilisateur doit modifier son mot de passe avant la fin du délai de grâce.

Note : Les affectations de profil pour les utilisateurs ayant le profil ORA_PROTECTED_PROFILE ne peuvent pas être modifiées.

Lorsque vous créez ou modifiez un profil, vous pouvez spécifier une fonction de vérification de mot de passe (PVF) pour gérer la complexité du mot de passe. Pour plus d'informations, voir Gérer la complexité des mots de passe sur Autonomous AI Database.

Gérer la complexité des mots de passe dans une base de données d'intelligence artificielle autonome

Vous pouvez créer une fonction de vérification de mot de passe (PVF) et associer le PVF à un profil pour gérer la complexité des mots de passe utilisateur.

Note :

La longueur minimale du mot de passe pour un élément PVF spécifié par l'utilisateur est de 8 caractères et doit inclure au moins une lettre majuscule, une lettre minuscule et un caractère numérique. La longueur minimale du mot de passe pour le profil DEFAULT est de 12 caractères (le profil DEFAULT utilise CLOUD_VERIFY_FUNCTION PVF). Le mot de passe ne doit pas contenir le nom d'utilisateur.

Oracle recommande d'utiliser un mot de passe d'une longueur minimale de 12 caractères. Si vous définissez le PVF d'un profil et que la longueur minimale du mot de passe est inférieure à 12 caractères, des outils tels que l'outil d'évaluation de la sécurité d'Oracle Database (DBSAT) et Qualys le signalent comme un risque pour la sécurité de la base de données.

Par exemple, pour spécifier un PVF pour un profil, utilisez la commande suivante :

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Si le profil est créé ou modifié par un utilisateur autre que l'utilisateur ADMIN, vous devez accorder le privilège EXECUTE sur PVF. Si vous créez un PVF et que la vérification du mot de passe échoue, la base de données signale l'erreur ORA-28219.

Vous pouvez spécifier un PVF fourni par Oracle à partir de l'une des options suivantes :

CLOUD_VERIFY_FUNCTION (il s'agit de la fonction de vérification de mot de passe par défaut pour Autonomous AI Database) :

Cette fonction vérifie les exigences suivantes lorsque les utilisateurs créent ou modifient des mots de passe :
- Le mot de passe doit comporter entre 12 et 30 caractères et contenir au moins un caractère numérique, une majuscule et une minuscule.
- Le mot de passe ne peut pas contenir le nom d'utilisateur.
- Le mot de passe ne peut pas être l'un des quatre derniers mots de passe utilisés pour le même nom d'utilisateur.
- Le mot de passe ne peut pas contenir de guillemet (").
- Le mot de passe ne doit pas déjà avoir été défini il y a moins de 24 heures.
ORA12C_STIG_VERIFY_FUNCTION

Cette fonction vérifie les exigences suivantes lorsque les utilisateurs créent ou modifient des mots de passe :
- Le mot de passe contient au moins 15 caractères.
- Le mot de passe comporte au moins 1 caractère minuscule et au moins 1 caractère majuscule.
- Le mot de passe comporte au moins 1 chiffre.
- Le mot de passe contient au moins 1 caractère spécial.
- Le mot de passe diffère du mot de passe précédent d'au moins 8 caractères.
Pour plus d'informations, voir Exigences relatives au mot de passeora12c_stig_verify_function dans le guide de sécurité d'Oracle Database 19c ou le guide de sécurité d'Oracle Database 26ai.

Notez les restrictions suivantes pour une fonction de vérification de mot de passe (PVF) que vous créez et affectez à un profil :

Si vous spécifiez un profil d'utilisateur, la longueur minimale du mot de passe dépend de la façon dont vous définissez le PVF associé, comme suit :
- Si un PVF est défini, la longueur minimale du mot de passe appliquée est de 8 caractères avec au moins une lettre majuscule, une lettre minuscule et un caractère numérique. Le mot de passe ne peut pas contenir le nom d'utilisateur.
- Si le PVF est défini comme NULL, la longueur minimale du mot de passe appliquée est de 8 caractères avec au moins une lettre majuscule, une lettre minuscule et un caractère numérique. Le mot de passe ne peut pas contenir le nom d'utilisateur.
- Si aucun PVF n'est défini pour le profil, le PVF du profil DEFAULT (CLOUD_VERIFY_FUNCTION) est affecté et la longueur minimale du mot de passe appliquée est de 12 caractères.
Si vous spécifiez une fonction de vérification de mot de passe (PVF) plus stricte que la valeur par défaut CLOUD_VERIFY_FUNCTION, la nouvelle fonction de vérification est utilisée.
Un fichier PVF que vous créez doit être créé en tant que fonction PL/SQL DEFINER RIGHTS. Si un PVF de droits INVOKER est fourni en tant qu'entrée pour CREATE ou ALTER PROFILE, l'erreur ORA-28220 est générée.
Tout PVF que vous créez doit être créé dans le schéma d'utilisateur ADMIN. Si un PVF appartenant à un utilisateur non ADMIN est fourni en tant qu'entrée pour CREATE ou ALTER PROFILE, l'erreur ORA-28220 est générée.
Un PVF ne peut pas être modifié ou supprimé par un utilisateur non ADMIN. Autrement dit, tout utilisateur doté du privilège CREATE ou DROP ANY PROCEDURE n'est pas autorisé à modifier ou à supprimer un PVF.
Si le PVF associé à un profil est supprimé, toute tentative de modification du mot de passe d'un utilisateur qui utilise le PVF dans son profil génère l'erreur ORA-7443. Les utilisateurs peuvent toujours se connecter lorsque le PVF associé à leur profil est supprimé. Toutefois, si le mot de passe d'un utilisateur est expiré et que le PVF est supprimé, l'utilisateur ne peut pas se connecter.

Pour effectuer une récupération à partir de l'erreur ORA-7443, l'utilisateur ADMIN doit recréer le PVF supprimé et l'affecter au profil, ou affecter un PVF existant au profil. Cela permet à un utilisateur de modifier son mot de passe et sa connexion.
Le privilège système CREATE ANY PROCEDURE et le privilège système DROP ANY PROCEDURE sont vérifiés pour la sécurité PVF. Pour plus d'informations, voir la liste PROCEDURES sous Listes des privilèges système et objet dans Informations de référence sur le langage SQL pour Oracle Database 19c ou Informations de référence sur le langage SQL pour Oracle Database 26ai.

Pour plus d'informations, voir Gestion de la complexité des mots de passe dans le guide de sécurité d'Oracle Database 19c ou le guide de sécurité d'Oracle Database 26ai.

Report progressif des mots de passe de base de données pour les applications

Une application peut modifier ses mots de passe de base de données sans qu'un administrateur ait à programmer des temps d'arrêt.

Pour ce faire, vous pouvez associer un profil ayant une limite différente de zéro pour le paramètre de profil de mot de passe PASSWORD_ROLLOVER_TIME à un schéma d'application. Cela permet de modifier le mot de passe de base de données de l'utilisateur de l'application tout en permettant à l'ancien mot de passe de rester valide pendant la durée spécifiée par la limite PASSWORD_ROLLOVER_TIME. Pendant la période de report, l'instance d'application peut utiliser l'ancien mot de passe ou le nouveau mot de passe pour se connecter au serveur de base de données. À l'expiration du délai de report, seul le nouveau mot de passe est autorisé.

Pour plus d'informations, voir Gestion du report progressif des mots de passe de base de données pour les applications.

Contenu connexe

Gérer les utilisateurs de base de données avec intelligence artificielle autonome sur une infrastructure Exadata dédiée