Documentation sur Oracle Cloud Infrastructure

Gérer les profils d'utilisateur avec Autonomous AI Database

Vous pouvez créer et modifier des profils d'utilisateur dans Autonomous AI Database. Après avoir créé ou modifié un profil, vous pouvez spécifier la clause de profil avec CREATE USER ou ALTER USER. Vous pouvez également importer des profils utilisateur existants à partir d'un autre environnement à l'aide d'Oracle Data Pump Import.

Note

La base de données autonome d'IA comporte des restrictions sur la clause de profil. Voir Commandes SQL pour plus d'informations sur les restrictions CREATE PROFILE et ALTER PROFILE.

Pour ajouter, modifier ou supprimer un paramètre de mot de passe dans un profil, y compris le profil DEFAULT, vous devez disposer du privilège système ALTER PROFILE.

  1. Pour ajouter ou modifier un profil, car l'utilisateur ADMIN exécute CREATE PROFILE ou ALTER PROFILE. Exemple :
    CREATE PROFILE new_profile
  LIMIT PASSWORD_REUSE_MAX 10
  PASSWORD_LOCK_TIME 5;

    Si vous n'êtes pas l'utilisateur ADMIN, vous devez disposer du privilège CREATE PROFILE pour exécuter CREATE PROFILE. Si vous exécutez ALTER PROFILE, vous devez disposer du privilège ALTER PROFILE.

  2. Utilisez le profil nouveau ou modifié avec une commande CREATE USER ou ALTER USER. Exemple :
    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
GRANT CREATE SESSION TO new_user;

new_user est créé avec le profil new_profile et avec les privilèges de connexion. new_user peut maintenant se connecter à la base de données et exécuter des interrogations. Pour accorder des privilèges supplémentaires aux utilisateurs, voir Gérer les privilèges d'utilisateur sur une base de données d'IA autonome - Connexion à un outil client.

Voir PROFIL DE CRÉATION pour plus d'informations sur l'utilisation de CREATE PROFILE ou ALTER PROFILE.

Vous pouvez importer des profils existants créés dans d'autres environnements à l'aide d'Oracle Data Pump Import (impdp). Toute association de profil existante avec des utilisateurs de base de données est conservée après l'importation dans Autonomous AI Database. Lorsqu'un utilisateur nouvellement créé, créé à partir d'une importation Oracle Data Pump, tente de se connecter pour la première fois, la connexion est gérée comme suit :

  • Les restrictions relatives à la complexité des mots de passe sont les mêmes que celles applicables à tout utilisateur de la base de données IA autonome.

  • Si le mot de passe de l'utilisateur ne respecte pas les exigences de complexité du mot de passe, le compte est expiré avec un délai de grâce de 30 jours. Dans ce cas, l'utilisateur doit modifier son mot de passe avant la fin du délai de grâce.

Note

Les affectations de profil des utilisateurs avec les profils ORA_PROTECTED_PROFILE et ORA_ADMIN_PROFILE ne peuvent pas être modifiées.

Les utilisateurs suivants partagent le profil ORA_PROTECTED_PROFILE et l'affectation de profil de ces utilisateurs ne peut pas être modifiée :

  • ADBSNMP
  • ADB_APP_STORE
  • DCAT_ADMIN
  • GGADMIN
  • RMAN$CATALOG

L'utilisateur ADMIN est affecté à ORA_ADMIN_PROFILE.

Lorsque vous créez ou modifiez un profil, vous pouvez spécifier une fonction de vérification de mot de passe (PVF) pour gérer la complexité du mot de passe. Pour plus d'informations, voir Gérer la complexité des mots de passe sur la base de données d'IA autonome.

Rubrique parent : Gérer les utilisateurs

Gérer la complexité des mots de passe dans une base de données d'intelligence artificielle autonome

Vous pouvez créer une fonction de vérification de mot de passe (PVF) et associer le PVF à un profil pour gérer la complexité des mots de passe utilisateur.

Note

La longueur minimale du mot de passe pour un élément PVF spécifié par l'utilisateur est de 8 caractères et doit inclure au moins une lettre majuscule, une lettre minuscule et un caractère numérique. La longueur minimale du mot de passe pour le profil DEFAULT est de 12 caractères (le profil DEFAULT utilise CLOUD_VERIFY_FUNCTION PVF). Le mot de passe ne doit pas contenir le nom d'utilisateur.

Oracle recommande d'utiliser un mot de passe d'une longueur minimale de 12 caractères. Si vous définissez le PVF d'un profil et que la longueur minimale du mot de passe est inférieure à 12 caractères, des outils tels que l'outil d'évaluation de la sécurité d'Oracle Database (DBSAT) et Qualys le signalent comme un risque pour la sécurité de la base de données.

Par exemple, pour spécifier un PVF pour un profil, utilisez la commande suivante :

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Si le profil est créé ou modifié par un utilisateur autre que l'utilisateur ADMIN, vous devez accorder le privilège EXECUTE sur PVF. Si vous créez un PVF et que la vérification du mot de passe échoue, la base de données signale l'erreur ORA-28219.

Vous pouvez spécifier un PVF fourni par Oracle à partir de l'une des options suivantes :

  • CLOUD_VERIFY_FUNCTION (il s'agit de la fonction de vérification de mot de passe par défaut pour Autonomous AI Database) :

    Cette fonction vérifie les exigences suivantes lorsque les utilisateurs créent ou modifient des mots de passe :

    • Le mot de passe doit comporter entre 12 et 30 caractères et contenir au moins un caractère numérique, une majuscule et une minuscule.

    • Le mot de passe ne doit pas contenir le nom d'utilisateur.

    • Le mot de passe ne peut pas être l'un des quatre derniers mots de passe utilisés pour le même nom d'utilisateur.

    • Le mot de passe ne peut pas contenir de guillemet (").

    • Le mot de passe ne doit pas déjà avoir été défini il y a moins de 24 heures.

  • ORA12C_STIG_VERIFY_FUNCTION

    Cette fonction vérifie les exigences suivantes lorsque les utilisateurs créent ou modifient des mots de passe :

    • Le mot de passe contient au moins 15 caractères.

    • Le mot de passe comporte au moins 1 caractère minuscule et au moins 1 caractère majuscule.

    • Le mot de passe comporte au moins 1 chiffre.

    • Le mot de passe contient au moins 1 caractère spécial.

    • Le mot de passe diffère du mot de passe précédent d'au moins 8 caractères.

    Pour plus d'informations, voir ora12c_stig_verify_function Exigences relatives aux mots de passe.

Notez les restrictions suivantes pour une fonction de vérification de mot de passe (PVF) que vous créez et affectez à un profil :

  • Si vous spécifiez un profil d'utilisateur, la longueur minimale du mot de passe dépend de la façon dont vous définissez le PVF associé, comme suit :

    • Si un PVF est défini, la longueur minimale du mot de passe appliquée est de 8 caractères avec au moins une lettre majuscule, une lettre minuscule et un caractère numérique. Le mot de passe ne doit pas contenir le nom d'utilisateur.

    • Si le PVF est défini comme NULL, la longueur minimale du mot de passe appliquée est de 8 caractères avec au moins une lettre majuscule, une lettre minuscule et un caractère numérique. Le mot de passe ne doit pas contenir le nom d'utilisateur.

    • Si aucun PVF n'est défini pour le profil, le PVF du profil DEFAULT (CLOUD_VERIFY_FUNCTION) est affecté et la longueur minimale du mot de passe appliquée est de 12 caractères.

  • Si vous spécifiez une fonction de vérification de mot de passe (PVF) plus stricte que la valeur par défaut CLOUD_VERIFY_FUNCTION, la nouvelle fonction de vérification est utilisée.

  • Un fichier PVF que vous créez doit être créé en tant que fonction PL/SQL DEFINER RIGHTS. Si un PVF de droits INVOKER est fourni en tant qu'entrée pour CREATE ou ALTER PROFILE, l'erreur ORA-28220 est générée.

  • Tout PVF que vous créez doit être créé dans le schéma d'utilisateur ADMIN. Si un PVF appartenant à un utilisateur non ADMIN est fourni en tant qu'entrée pour CREATE ou ALTER PROFILE, l'erreur ORA-28220 est générée.

  • Un PVF ne peut pas être modifié ou supprimé par un utilisateur non ADMIN. Autrement dit, tout utilisateur doté du privilège CREATE ou DROP ANY PROCEDURE n'est pas autorisé à modifier ou à supprimer un PVF.

  • Si le PVF associé à un profil est supprimé, toute tentative de modification du mot de passe d'un utilisateur qui utilise le PVF dans son profil génère l'erreur ORA-7443. Les utilisateurs peuvent toujours se connecter lorsque le PVF associé à leur profil est supprimé. Toutefois, si le mot de passe d'un utilisateur est expiré et que le PVF est supprimé, l'utilisateur ne peut pas se connecter.

    Pour effectuer une récupération à partir de l'erreur ORA-7443, l'utilisateur ADMIN doit recréer le PVF supprimé et l'affecter au profil, ou affecter un PVF existant au profil. Cela permet à un utilisateur de modifier son mot de passe et sa connexion.

  • Le privilège système CREATE ANY PROCEDURE et le privilège système DROP ANY PROCEDURE sont vérifiés pour la sécurité PVF. Pour plus d'informations, voir la liste PROCEDURES sous Listes des privilèges de système et d'objet.

Pour plus d'informations, voir Gestion de la complexité des mots de passe.

Report progressif des mots de passe de base de données pour les applications

Une application peut modifier ses mots de passe de base de données sans qu'un administrateur ait à programmer des temps d'arrêt.

Pour ce faire, vous pouvez associer un profil ayant une limite différente de zéro pour le paramètre de profil de mot de passe PASSWORD_ROLLOVER_TIME à un schéma d'application. Cela permet de modifier le mot de passe de base de données de l'utilisateur de l'application tout en permettant à l'ancien mot de passe de rester valide pendant la durée spécifiée par la limite PASSWORD_ROLLOVER_TIME. Pendant la période de report, l'instance d'application peut utiliser l'ancien mot de passe ou le nouveau mot de passe pour se connecter au serveur de base de données. À l'expiration du délai de report, seul le nouveau mot de passe est autorisé.

Pour plus d'informations, voir Gestion du report progressif des mots de passe de base de données pour les applications.