Documentation sur Oracle Cloud Infrastructure

Activer l'authentification intra-ID Microsoft sur une base de données d'intelligence artificielle autonome

Un administrateur Microsoft Entra ID et un administrateur Autonomous AI Database effectuent des étapes pour configurer l'authentification Entra ID sur Autonomous AI Database.

Rubrique parent : Utiliser Microsoft Entra ID avec Autonomous AI Database

Activation des jetons d'accès v2 avec l'ID Microsoft Entra

Oracle Database prend en charge l'intégration avec le jeton d'accès v1 et v2 Azure AD OAuth2.

Oracle Database prend en charge le jeton Entra ID v2 ainsi que le jeton v1 par défaut. Toutefois, pour utiliser le jeton Entra ID v2, vous devez effectuer des étapes supplémentaires pour vous assurer qu'il fonctionne avec Oracle Database. Vous pouvez utiliser ce jeton avec des applications enregistrées dans le portail Azure à l'aide de l'expérience Enregistrements d'application.
Lorsque vous utilisez le jeton d'accès v2 OAuth2 pour Azure AD, le flux de données d'identification continue de fonctionner comme avant, sans aucune modification. Toutefois, la revendication upn: doit être ajoutée lorsque vous utilisez des jetons v2 avec le flux interactif.
  1. Vérifiez la version du jeton d'accès Entra ID que vous utilisez.
  2. Connectez-vous au portail Microsoft Entra ID.
  3. Recherchez et sélectionnez Entra ID.
  4. Sous Manage (Gérer), sélectionnez App registrations (Enregistrements d'application).
  5. Sélectionnez l'application pour laquelle vous souhaitez configurer des réclamations facultatives en fonction du scénario et du résultat souhaité.
  6. Sous Manage (Gérer), sélectionnez Token configuration (Configuration de jeton).
  7. Cliquez sur Ajouter une réclamation facultative et sélectionnez upn (Mise à jour).
Lorsque vous utilisez des jetons v2, la revendication aud: reflète uniquement la valeur de l'ID application. Vous n'avez pas besoin de régler le préfixe https:domain à l'URI de l'ID application lorsque des jetons v2 sont utilisés. Cela simplifie la configuration de la base de données, car l'URI d'ID application par défaut peut être utilisé.

Rubriques connexes

Rubrique parent : Activer l'authentification intra-ID Microsoft sur une base de données IA autonome

Vérification de la version du jeton d'accès intra-ID

Vous pouvez vérifier la version du jeton d'accès Entra ID que votre site utilise à l'aide du site Web JSON Web Tokens.

Par défaut, le jeton d'accès Entra ID v1, mais votre site a peut-être choisi d'utiliser v2. Oracle Database prend en charge les jetons v1 et Autonomous AI Database Serverless prend en charge les jetons v2. Si vous voulez utiliser les jetons d'accès v2, vous pouvez activer leur utilisation pour la base de données Oracle. Pour trouver la version du jeton d'accès Entra ID que vous utilisez, vous pouvez soit vérifier auprès de votre administrateur Entra ID, soit confirmer la version à partir du site Web JSON Web Tokens, comme suit.
  1. Accédez au site Web JSON Web Tokens. 
    https://jwt.io/
  2. Copiez et collez la chaîne de jeton dans le champ Encodé.
  3. Vérifiez le champ Décodé, qui affiche des informations sur la chaîne de jeton.
    Près ou au bas du champ, vous verrez une réclamation intitulée ver, qui indique l'une des versions suivantes :
    • "ver": "1.0"
    • "ver": "2.0"

Configuration de Microsoft Entra ID en tant que fournisseur d'identités externe pour une base de données d'intelligence artificielle autonome

Un administrateur de base de données d'IA autonome peut activer Entra ID en tant que fournisseur d'identités externe sur une instance de base de données d'IA autonome.

Pour activer Entra ID en tant que fournisseur d'identités externe :

  1. Connectez-vous à l'instance de base de données du service d'intelligence artificielle autonome en tant qu'utilisateur disposant du privilège EXECUTE sur l'ensemble PL/SQL DBMS_CLOUD_ADMIN. L'utilisateur ADMIN dispose de ce privilège.
  2. Exécutez la procédure DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION avec les paramètres obligatoires de l'ID Entra.
    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                            'application_id' VALUE 'application_id',
                            'application_id_uri' VALUE 'application_id_uri'),
      force => TRUE
  );
END;

    Dans cette procédure, les paramètres Entra ID sont les suivants :

    • type : Spécifie le fournisseur d'authentification externe. Pour l'ID Entra, comme illustré, utilisez 'AZURE_AD'.
    • params : Les valeurs des paramètres Entra ID requis sont disponibles à partir du portail Azure dans le volet Aperçu de l'enregistrement de l'application pour Azure Active Directory. La valeur params requise pour l'ID Entra est :
      • tenant_id : ID client du compte Azure. L'ID locataire spécifie l'enregistrement de l'application Entra ID de l'instance de base de données IA autonome.
      • application_id : ID application Azure créé dans Entra ID pour affecter des rôles/mappages de schéma pour l'authentification externe dans l'instance de base de données Autonomous AI Database.
      • application_id_uri : URI unique affecté à l'application Azure.

        Il s'agit de l'identificateur de l'instance Autonomous AI Database. Le nom doit être qualifié pour le domaine (cela prend en charge l'accès aux ressources interlocation).

        La longueur maximale de ce paramètre est de 256 caractères.

    • force : Réglez ce paramètre à TRUE si une autre méthode EXTERNAL AUTHENTICATION est configurée pour l'instance de base de données d'intelligence artificielle autonome et que vous voulez la désactiver.

    Exemple :

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                            'application_id' VALUE '11aa1a11-aaa',
                            'application_id_uri' VALUE 'https://example.com/111aa1aa'),
      force  => TRUE
  );
END;

    Cela définit le paramètre de système IDENTITY_PROVIDER_TYPE.

    Par exemple, vous pouvez utiliser les éléments suivants pour vérifier IDENTITY_PROVIDER_TYPE : 

    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
 
NAME                   VALUE   
---------------------- -------- 
identity_provider_type AZURE_AD

    Pour plus d'informations, voir ProcédureENABLE_EXTERNAL_AUTHENTICATION.