Documentation sur Oracle Cloud Infrastructure

Activer l'authentification intra-ID Microsoft sur une base de données d'intelligence artificielle autonome

Un administrateur Microsoft Entra ID et un administrateur Autonomous AI Database effectuent des étapes pour configurer l'authentification Entra ID sur Autonomous AI Database.

Enregistrer l'instance Oracle AI Database dans une location Microsoft Entra ID

Un utilisateur disposant de privilèges d'administrateur Entra ID utilise Microsoft Entra ID pour enregistrer l'instance Oracle AI Database auprès de la location Microsoft Entra ID.

  1. Connectez-vous au portail Azure en tant qu'administrateur disposant des privilèges Microsoft Entra ID pour enregistrer des applications.

  2. Dans la page du centre d'administration du répertoire Azure Active, dans la barre de navigation de gauche, sélectionnez Azure Active Directory.

  3. Dans la page d'enregistrement d'applications, sélectionnez App registrations (Enregistrement des applications) dans la barre de navigation de gauche.

  4. Sélectionnez Nouvel enregistrement.

    La fenêtre d'enregistrement d'application s'affiche.

  5. Dans la page d'enregistrement d'application, entrez les informations d'enregistrement de l'instance Oracle AI Database suivantes :

    • Dans le champ Nom, entrez un nom pour la connexion à l'instance Oracle AI Database (par exemple, Example Database).

    • Sous Supported account types (Types de compte pris en charge), sélectionnez le type de compte correspondant à votre cas d'utilisation.

      • Comptes de ce répertoire organisationnel uniquement (tenant_name seulement - Locataire unique)

      • Comptes dans n'importe quel répertoire organisationnel (n'importe quel répertoire Entra ID - Multitenant)

      • Comptes dans n'importe quel répertoire organisationnel (n'importe quel répertoire Entra ID - Multitenant) et comptes Microsoft personnels (par exemple Skype, Xbox)

      • Personal Microsoft accounts only (Comptes Microsoft personnels seulement)

  6. Ignorez les paramètres d'URI de redirection. Il n'est pas nécessaire de créer un URI de redirection, car l'ID Entra n'en a pas besoin pour le serveur de base de données.

  7. Cliquez sur Enregistrer.

    Lorsque vous cliquez sur Inscrire, l'ID Entra affiche le volet d'aperçu de l'enregistrement de l'application, qui affiche l'ID application (client) sous Essentiels. Cette valeur est un identificateur unique pour l'application dans la plate-forme d'identités Microsoft. Notez que le terme Application fait référence à l'instance Oracle AI Database.

  8. Enregistrez une portée pour l'enregistrement de l'application de base de données.

    Une portée est une autorisation d'accès à la base de données. Chaque base de données aura besoin d'une portée afin que les clients puissent établir une relation de confiance avec la base en demandant l'autorisation d'utiliser la portée de la base de données. Cela permet au client de base de données d'obtenir des jetons d'accès pour la base de données.

    1. Dans la barre de navigation de gauche, sélectionnez Exposition d'une API.

    2. Sous Définir l'URI de l'ID application, dans le champ URI de l'ID application, entrez l'URI de l'ID application pour la connexion à la base de données au format suivant, puis cliquez sur Enregistrer :

      your_tenancy_url/application_(client)_id

      Dans cette spécification :

      • your_tenancy_url doit inclure https comme préfixe et le nom de domaine complet de votre location Entra ID.

      • application_(client)_id est l'ID généré lors de l'enregistrement de l'instance Oracle AI Database avec l'ID Entra. Il est affiché dans le volet d'aperçu de l'enregistrement de l'application.

      Exemple :

      https://sales_west.example.com/1aa11111-1a1z-1a11-1a1a-11aa11a1aa1a

    3. Sélectionnez Ajouter une portée, puis entrez les paramètres suivants :

Une fois ces étapes terminées, vous pouvez ajouter un ou plusieurs rôles d'application Azure, puis effectuer le mappage des schémas et des rôles Oracle.

Activer les jetons d'accès Microsoft Entra ID v2

Oracle AI Database prend en charge l'intégration avec le jeton d'accès v1 et v2 Azure AD OAuth2.

Oracle AI Database prend en charge le jeton Entra ID v2 ainsi que le jeton v1 par défaut. Toutefois, pour utiliser le jeton Entra ID v2, vous devez effectuer des étapes supplémentaires pour vous assurer qu'il fonctionne avec Oracle AI Database. Vous pouvez utiliser ce jeton avec des applications enregistrées dans le portail Azure à l'aide de l'expérience Enregistrements d'application.

Lorsque vous utilisez le jeton d'accès OAuth2 Azure AD v2, le flux de données d'identification continue de fonctionner comme avant, sans aucune modification. Toutefois, la revendication upn: doit être ajoutée lorsque vous utilisez des jetons v2 avec le flux interactif.

  1. Vérifiez la version du jeton d'accès Entra ID que vous utilisez.

  2. Connectez-vous au portail Microsoft Entra ID.

  3. Recherchez et sélectionnez Entra ID.

  4. Sous Manage (Gérer), sélectionnez App registrations (Inscriptions à l'application).

  5. Sélectionnez l'application pour laquelle vous souhaitez configurer des réclamations facultatives en fonction du scénario et du résultat souhaité.

  6. Sous Gérer, sélectionnez Configuration de jeton.

  7. Cliquez sur Ajouter une réclamation facultative et sélectionnez Mise à jour.

Lorsque vous utilisez des jetons v2, la revendication aud: reflète uniquement la valeur ID APP. Vous n'avez pas besoin de régler le préfixe https:domain à l'URI de l'ID application lorsque des jetons v2 sont utilisés. Cela simplifie la configuration de la base de données, car l'URI d'ID application par défaut peut être utilisé.

Vous pouvez vérifier la version du jeton d'accès Entra ID que votre site utilise à l'aide du site Web JSON Web Tokens.

Vérifier la version du jeton d'accès intra-ID

Vous pouvez vérifier la version du jeton d'accès Entra ID que votre site utilise à l'aide du site Web JSON Web Tokens.

Par défaut, le jeton d'accès Entra ID v1, mais votre site a peut-être choisi d'utiliser v2. Oracle AI Database prend en charge les jetons v1 et Autonomous AI Database Serverless prend en charge les jetons v2. Si vous voulez utiliser les jetons d'accès v2, vous pouvez activer leur utilisation pour Oracle AI Database. Pour trouver la version du jeton d'accès Entra ID que vous utilisez, vous pouvez soit vérifier auprès de votre administrateur Entra ID, soit confirmer la version à partir du site Web JSON Web Tokens, comme suit.

  1. Accédez au site Web JSON Web Tokens.

    https://jwt.io/

  2. Copiez et collez la chaîne de jeton dans le champ Encodé.

  3. Vérifiez le champ Décodé, qui affiche des informations sur la chaîne de jeton.

    Près ou au bas du champ, vous verrez une réclamation intitulée ver, qui indique l'une des versions suivantes :

    • "ver": "1.0"

    • "ver": "2.0"

Gérer les rôles d'application dans Microsoft Entra ID

Dans Entra ID, vous pouvez créer et gérer des rôles d'application qui seront affectés aux utilisateurs et aux groupes Azure et qui seront également mappés aux schémas et rôles globaux Oracle AI Database.

Créer un rôle d'application Microsoft Entra ID

Les utilisateurs, groupes et applications Azure qui doivent se connecter à la base de données seront affectés aux rôles d'application de base de données.

Voir l'article Microsoft Azure Créer et affecter un rôle personnalisé dans Azure Active Directory pour connaître les étapes détaillées de création d'un rôle d'application. Les étapes suivantes décrivent comment créer le rôle d'application à utiliser pour Oracle AI Database.

  1. Connectez-vous à Entra ID en tant qu'administrateur disposant des privilèges pour créer des rôles d'application.

  2. Accédez à l'enregistrement d'application Oracle AI Database que vous avez créé.

    1. Utilisez le filtre Répertoire + abonnement pour localiser le locataire Entra ID qui contient l'enregistrement d'application Oracle AI Database.

    2. Sélectionnez Azure Active Directory.

    3. Sous Gérer, sélectionnez Enregistrements d'application, puis sélectionnez l'instance Oracle AI Database que vous avez enregistrée précédemment.

  3. Sous Gérer, sélectionnez Rôles d'application.

  4. Dans la page App Roles (Rôles d'application), sélectionnez Create app role (Créer un rôle d'application).

  5. Dans la page Create app role (Créer un rôle d'application), entrez les informations suivantes :

    • Display name (Nom d'affichage) est le nom affiché du rôle (par exemple, HR App Schema). Vous pouvez inclure des espaces dans ce nom.

    • Valeur est le nom réel du rôle (par exemple, HR_APP). Assurez-vous que ce paramètre correspond exactement à la chaîne référencée dans le mappage de base de données à un schéma ou à un rôle. N'incluez pas d'espaces dans ce nom.

    • Description fournit une description de l'objectif de ce rôle.

    • Do Voulez-vous activer ce rôle d'application? permet d'activer le rôle.

  6. Cliquez sur Appliquer.

    Le rôle d'application apparaît dans le volet App roles (Rôles d'application).

Affecter des utilisateurs et des groupes au rôle d'application Microsoft Entra ID

Pour que les utilisateurs Microsoft Azure puissent accéder à Oracle AI Database, ils doivent d'abord être affectés aux rôles d'application qui seront mappés aux utilisateurs ou aux rôles du schéma Oracle AI Database.

Voir l'article Microsoft Azure Ajouter des rôles d'application à votre application et les recevoir dans le jeton pour connaître les étapes détaillées pour affecter des utilisateurs et des groupes à un rôle d'application. Les étapes suivantes expliquent comment ce faire pour Oracle AI Database.

  1. Connectez-vous à Entra ID en tant qu'administrateur disposant des privilèges permettant d'affecter des utilisateurs Azure et des groupes Entra ID aux rôles d'application.

  2. Dans les applications d'entreprise, recherchez le nom de l'enregistrement de l'application Oracle AI Database que vous avez créé. Ceci est créé automatiquement lorsque vous créez une inscription à une application.

    1. Utilisez le filtre Répertoire + abonnement pour localiser le locataire Azure Active Directory qui contient la connexion Oracle.

    2. Sélectionnez Azure Active Directory.

    3. Sous Manage (Gérer), sélectionnez Enterprise applications (Applications d'entreprise), puis sélectionnez le nom d'enregistrement de l'application Oracle AI Database que vous avez enregistré précédemment.

  3. Sous Préparation, sélectionnez Affecter des utilisateurs et des groupes.

  4. Sélectionnez Ajouter un utilisateur ou un groupe.

  5. Dans la fenêtre Add Assignment, sélectionnez Users and groups (Utilisateurs et groupes) pour afficher une liste d'utilisateurs et de groupes de sécurité.

  6. Dans cette liste, sélectionnez les utilisateurs et les groupes à affecter au rôle d'application, puis cliquez sur Sélectionner.

  7. Dans la fenêtre Ajouter une affectation, sélectionnez Sélectionner un rôle pour afficher la liste des rôles d'application que vous avez créés.

  8. Sélectionnez le rôle d'application, puis sélectionnez Sélectionner.

  9. Cliquez sur affecter.

Affecter une application à un rôle d'application

Une application qui doit se connecter à la base de données à l'aide du flux de données d'identification du client doit être affectée à un rôle d'application.

  1. Connectez-vous à Entra ID en tant qu'administrateur disposant des privilèges permettant d'affecter des utilisateurs Azure et des groupes Entra ID aux rôles d'application.

  2. Accédez à l'enregistrement de l'application.

  3. Sous Gérer, sélectionnez Autorisations d'API.

  4. Dans la zone Configuration des autorisations, sélectionnez + Ajouter une autorisation.

  5. Dans le volet Demander une autorisation d'API, sélectionnez l'onglet Mes API.

  6. Sélectionnez l'application Oracle AI Database à laquelle vous souhaitez que cette application ait accès. Sélectionnez ensuite l'option Application permissions.

  7. Sélectionnez les rôles d'application de base de données à affecter à l'application, puis cliquez sur la zone Add Permission (Ajouter une autorisation) en bas de l'écran pour affecter les rôles d'application et fermer la boîte de dialogue. Assurez-vous que les rôles d'application que vous venez d'affecter apparaissent sous Configured permissions (Autorisations configurées).

  8. Sélectionnez Grant admin consent for tenancy (Accorder le consentement de l'administrateur pour la location) pour accorder le consentement aux utilisateurs de la location, puis sélectionnez Yes (Oui) dans la boîte de dialogue de confirmation.

Voir aussi : Configurer le flux de travail de consentement de l'administrateur

Configurer Microsoft Entra ID en tant que fournisseur d'identités externe pour Autonomous AI Database

Un administrateur de base de données d'IA autonome peut activer Entra ID en tant que fournisseur d'identités externe sur une instance de base de données d'IA autonome.

Pour activer Entra ID en tant que fournisseur d'identités externe :

  1. Connectez-vous à l'instance de base de données du service d'intelligence artificielle autonome en tant qu'utilisateur disposant du privilège EXECUTE sur l'ensemble PL/SQL DBMS_CLOUD_ADMIN. L'utilisateur ADMIN dispose de ce privilège.

  2. Exécutez la procédure DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION avec les paramètres obligatoires de l'ID Entra.

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                            'application_id' VALUE 'application_id',
                            'application_id_uri' VALUE 'application_id_uri'),
      force => TRUE
  );
END;

    Dans cette procédure, les paramètres Entra ID sont les suivants :

    • type : Spécifie le fournisseur d'authentification externe. Pour l'ID Entra, comme illustré, utilisez 'AZURE_AD'.

    • params : Les valeurs des paramètres Entra ID requis sont disponibles à partir du portail Azure dans le volet Aperçu de l'enregistrement de l'application pour Azure Active Directory. La valeur params requise pour l'ID Entra est :

      • tenant_id : ID client du compte Azure. L'ID locataire spécifie l'enregistrement de l'application Entra ID de l'instance de base de données IA autonome.

      • application_id : ID application Azure créé dans Entra ID pour affecter des rôles/mappages de schéma pour l'authentification externe dans l'instance de base de données Autonomous AI Database.

      • application_id_uri : URI unique affecté à l'application Azure.

        Il s'agit de l'identificateur de l'instance Autonomous AI Database. Le nom doit être qualifié pour le domaine (cela prend en charge l'accès aux ressources interlocation).

        La longueur maximale de ce paramètre est de 256 caractères.

    • force : Réglez ce paramètre à TRUE si une autre méthode EXTERNAL AUTHENTICATION est configurée pour l'instance de base de données d'intelligence artificielle autonome et que vous voulez la désactiver.

    Par exemple :

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                            'application_id' VALUE '11aa1a11-aaa',
                            'application_id_uri' VALUE 'https://example.com/111aa1aa'),
      force  => TRUE
  );
END;

    Cela définit le paramètre de système IDENTITY_PROVIDER_TYPE.

    Par exemple, vous pouvez utiliser les éléments suivants pour vérifier IDENTITY_PROVIDER_TYPE :

    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';

NAME                   VALUE

---------------------- --------
identity_provider_type AZURE_AD

    Pour plus d'informations, voir Procédure ENABLE_EXTERNAL_AUTHENTICATION.

Contenu associé