Documentation sur Oracle Cloud Infrastructure

Utiliser Microsoft Active Directory avec Autonomous AI Database

Vous pouvez configurer Autonomous AI Database pour authentifier et autoriser les utilisateurs Microsoft Active Directory.

Cette configuration permet aux utilisateurs d'Active Directory d'accéder à Autonomous AI Database à l'aide de leurs données d'identification Active Directory, notamment les mots de passe et Kerberos.

Rubrique parent : Gérer les utilisateurs

Préalables à la configuration de CMU avec Microsoft Active Directory sur Autonomous AI Database

Vous pouvez configurer Autonomous AI Database pour authentifier et autoriser les utilisateurs Microsoft Active Directory.

Selon l'emplacement des serveurs Active Directory, il existe deux options pour configurer Autonomous AI Database with Centrally Managed Users (CMU) avec Microsoft Active Directory :

  • Serveurs Active Directory (AD) accessibles publiquement : Les serveurs Active Directory sont accessibles à partir de la base de données Autonomous AI Database au moyen de l'Internet public.

  • Les serveurs Active Directory (AD) résident sur un point d'extrémité privé : Les serveurs Active Directory résident sur un point d'extrémité privé et ne sont pas accessibles à partir de la base de données IA autonome au moyen de l'Internet public. Dans ce cas, une étape de configuration supplémentaire est requise, comme indiqué à la dernière étape sous Configurer CMU avec Microsoft Active Directory dans Autonomous AI Database, où vous définissez la propriété de base de données ROUTE_OUTBOUND_CONNECTIONS.

Note

Voir Utiliser Microsoft Entra ID avec Autonomous Database pour plus d'informations sur l'utilisation d'Azure Active Directory avec Autonomous AI Database. L'option CMU prend en charge les serveurs Microsoft Active Directory, mais pas le service Azure Active Directory.

L'intégration d'Autonomous AI Database avec des utilisateurs gérés de manière centralisée assure l'intégration avec Microsoft Active Directory. CMU avec Active Directory fonctionne en mappant les utilisateurs et les rôles globaux de base de données Oracle aux utilisateurs et groupes Microsoft Active Directory.

Les préalables suivants sont requis pour configurer la connexion de Autonomous AI Database à Active Directory :

  • Microsoft Active Directory doit être installé et configuré. Voir Introduction à AD DS pour plus d'informations.

  • Vous devez créer un utilisateur de service de répertoire Oracle dans Active Directory. Voir Connexion à Microsoft Active Directory pour plus d'informations sur le compte d'utilisateur de service de répertoire Oracle.

  • Un administrateur système Active Directory doit avoir installé le filtre de mot de passe Oracle sur les serveurs Active Directory et configuré des groupes Active Directory avec des utilisateurs Active Directory selon vos besoins.

    Note

    Cette opération n'est pas requise si vous utilisez l'authentification Kerberos pour CMU Active Directory. Pour plus d'informations, voir Authentification Kerberos pour CMU avec Microsoft Active Directory.

    Si vous utilisez l'authentification par mot de passe avec CMU Active Directory pour Autonomous AI Database, vous devez utiliser l'utilitaire inclus opwdintg.exe pour installer le filtre de mot de passe Oracle dans Active Directory, étendre le schéma et créer trois nouveaux groupes ORA_VFR pour trois types de génération de vérificateur de mot de passe. Voir Connexion à Microsoft Active Directory pour plus d'informations sur l'installation du filtre de mot de passe Oracle.

  • Vous avez besoin du portefeuille de base de données de configuration CMU, cwallet.sso et du fichier de configuration CMU dsi.ora pour configurer CMU pour votre base de données IA autonome :

    • Si vous avez configuré CMU pour une base de données sur place, vous pouvez obtenir ces fichiers de configuration à partir de votre serveur de base de données sur place.

    • Si vous n'avez pas configuré CMU pour une base de données sur place, vous devez créer ces fichiers. Vous chargez ensuite les fichiers de configuration dans le nuage pour configurer CMU sur votre instance Autonomous AI Database. Vous pouvez valider le portefeuille et le fichier dsi.ora en configurant CMU pour une base de données sur place et en vérifiant qu'un utilisateur Active Directory peut se connecter à la base de données sur place avec ces fichiers de configuration.

    Pour plus de détails sur le fichier de portefeuille pour CMU, voir Créer le portefeuille pour une connexion sécurisée et Vérifier le portefeuille Oracle.

    Pour plus de détails sur le fichier dsi.ora pour CMU, voir Création du fichier dsi.ora.

    Pour plus de détails sur la configuration d'Active Directory pour CMU et sur le dépannage de CMU pour les bases de données sur place, voir Comment configurer des utilisateurs gérés de façon centralisée pour les bases de données version 18c ou ultérieures (ID document 2462012.1).

  • Le port 636 des serveurs Active Directory doit être ouvert à Autonomous AI Database dans Oracle Cloud Infrastructure. Cela permet à Autonomous AI Database d'accéder aux serveurs Active Directory.

  • Lorsque les serveurs Active Directory se trouvent sur un point d'extrémité public :

    • Les serveurs Active Directory doivent être accessibles à partir de la base de données d'IA autonome au moyen de l'Internet public.

    • Vous pouvez également étendre votre service Active Directory sur place à Oracle Cloud Infrastructure ce qui vous permet de configurer des contrôleurs de domaine en lecture seule (RODC) pour Active Directory sur place. Cela vous permet d'utiliser les RODC dans Oracle Cloud Infrastructure pour authentifier et autoriser les utilisateurs Active Directory sur place à accéder aux bases de données autonomes d'IA.

      Pour plus d'informations, voir Étendre l'intégration d'Active Directory dans le nuage hybride.

Configurer CMU avec Microsoft Active Directory dans Autonomous AI Database

Vous pouvez configurer Autonomous AI Database pour authentifier et autoriser les utilisateurs Microsoft Active Directory.

Pour configurer Autonomous AI Database pour que CMU se connecte à Active Directory :

Note

Lorsque vous effectuez les étapes de configuration, connectez-vous à la base de données en tant qu'utilisateur ADMIN.
  1. Vérifiez si un autre modèle d'authentification externe est activé dans votre base de données et désactivez-le.

    Vous pouvez continuer avec la configuration CMU-AD au-dessus de Kerberos pour fournir l'authentification CMU-AD Kerberos aux utilisateurs de Microsoft Active Directory.

    Pour plus d'informations, voir Authentification Kerberos pour CMU avec Microsoft Active Directory.

  2. Chargez les fichiers de configuration CMU, y compris le fichier de portefeuille de base de données, cwallet.sso et le fichier de configuration CMU, dsi.ora, dans votre magasin d'objets. Cette étape dépend du magasin d'objets que vous utilisez.

    Le fichier de configuration dsi.ora contient les informations permettant de trouver les serveurs Active Directory.

    Si vous utilisez le magasin d'objets Oracle Cloud Infrastructure, voir Ajout de données dans le stockage d'objets pour plus de détails sur le chargement de fichiers.

  3. Exécutez la procédure DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION et transmettez un URI d'emplacement avec l'argument JSON params. Vous devez placer les fichiers de configuration cwallet.sso et dsi.ora dans l'emplacement de stockage d'objets spécifié dans le paramètre location_uri.

    Exemple :

    BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

    Oracle recommande de stocker les fichiers de configuration CMU dans un seau privé du magasin d'objets.

    Dans cet exemple, namespace-string est l'espace de noms du stockage d'objets pour Oracle Cloud Infrastructure et bucketname est le nom du seau. Pour plus d'informations, voir Présentation des espaces de noms du stockage d'objets.

    La valeur credential_name que vous utilisez dans cette étape correspond aux données d'identification pour accéder au magasin d'objets.

    La création de données d'identification pour accéder au magasin d'objets Oracle Cloud Infrastructure n'est pas requise si vous activez les données d'identification du principal de ressource. Pour plus d'informations, voir Utiliser un principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure.

    Si location_uri est une URL préauthentifiée ou une URL pré-signée, l'indication d'une valeur credential_name n'est pas requise.

    La procédure crée un objet répertoire nommé CMU_WALLET_DIR dans votre base de données et copie les fichiers de configuration CMU de l'emplacement du magasin d'objets vers l'objet répertoire. Cette procédure règle également la propriété de base de données CMU_WALLET à la valeur 'CMU_WALLET_DIR' et règle la valeur du paramètre LDAP_DIRECTORY_ACCESS à la valeur PASSWORD pour permettre l'accès de l'instance de base de données IA autonome à Active Directory.

  4. Après avoir activé l'authentification CMU, supprimez les fichiers de configuration CMU, y compris le portefeuille de base de données cwallet.sso et le fichier de configuration CMU dsi.ora du magasin d'objets. Vous pouvez utiliser les méthodes du magasin d'objets local pour supprimer ces fichiers ou utiliser DBMS_CLOUD.DELETE_OBJECT pour supprimer les fichiers du magasin d'objets.
  5. Lorsque les serveurs Active Directory se trouvent sur un point d'extrémité privé, effectuez des étapes de configuration supplémentaires pour fournir l'accès au point d'extrémité privé.
    1. Réglez la propriété de base de données ROUTE_OUTBOUND_CONNECTIONS à la valeur 'PRIVATE_ENDPOINT'.
    2. Vérifiez que le fichier de configuration CMU-AD dsi.ora inclut des noms d'hôte. Lorsque ROUTE_OUTBOUND_CONNECTIONS est réglé à 'PRIVATE_TARGET', les adresses IP ne peuvent pas être spécifiées dans dsi.ora.

Note pour CMU avec Active Directory dans Autonomous AI Database :

  • Seules les authentifications par mot de passe ou Kerberos sont prises en charge pour CMU avec Autonomous AI Database. Lorsque vous utilisez l'authentification CMU avec Autonomous AI Database, d'autres méthodes d'authentification CMU telles qu'Azure AD, OCI IAM et PKI ne sont pas prises en charge.

Voir Désactiver l'accès Active Directory sur la base de données d'IA autonome pour obtenir des instructions pour désactiver l'accès de la base de données d'IA autonome à Active Directory.

Voir Procédure ENABLE_EXTERNAL_AUTHENTICATION pour plus d'informations sur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION.

Voir Configuration d'utilisateurs gérés de façon centralisée avec Microsoft Active Directory pour plus d'informations sur la configuration de CMU avec Microsoft Active Directory.

Authentification Kerberos pour CMU avec Microsoft Active Directory

Vous pouvez configurer Autonomous AI Database pour utiliser l'authentification Kerberos pour CMU avec les utilisateurs de Microsoft Active Directory. Cette configuration permet aux utilisateurs CMU Active Directory (CMU-AD) d'accéder à une instance Autonomous AI Database à l'aide des données d'identification Kerberos.

Kerberos peut être configuré avec ou sans CMU-AD. Pour configurer Kerberos, vous devez créer et tenir à jour un utilisateur de base de données pour chaque utilisateur Kerberos. La configuration de Kerberos avec CMU vous permet de mapper un groupe Active Directory d'utilisateurs Kerberos à un seul utilisateur de base de données, schéma partagé, de sorte que l'accès à la base de données peut être contrôlé par l'appartenance à un groupe Active Directory. Voir Configurer l'authentification Kerberos avec une base de données d'IA autonome pour plus de détails sur la configuration de Kerberos sans CMU-AD.

Note

Lors de la mise en oeuvre de l'authentification Kerberos et de CMU-AD pour l'autorisation, Oracle recommande de mettre en oeuvre d'abord l'authentification Kerberos, puis d'ajouter l'autorisation CMU-AD.
  1. Activez Kerberos dans votre instance Autonomous AI Database à l'aide du serveur Kerberos de Microsoft Active Directory.

    Seuls les serveurs Kerberos Microsoft Active Directory sont pris en charge pour Kerberos lorsque vous configurez l'authentification Kerberos avec CMU-AD.

    1. Pour activer l'authentification Kerberos pour votre base de données d'intelligence artificielle autonome, vous devez obtenir les fichiers de configuration Kerberos : krb.conf et le fichier de table de clés de service v5srvtab.

      Pour générer ces fichiers lorsque vous configurez l'authentification Kerberos avec CMU-AD, vous avez besoin du nom d'hôte du serveur. Vous pouvez obtenir la valeur de l'hôte du serveur à partir de l'attribut PUBLIC_DOMAIN_NAME dans la colonne CLOUD_IDENTITY de V$PDBS. Cette valeur est différente du nom de domaine complet (FQDN) pour une base de données sur un point d'extrémité privé.

      Utilisez la commande suivante pour obtenir le nom d'hôte du serveur :

      SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
    "KSERVICE/KINSTANCE" FROM v$pdbs;

      Vous pouvez utiliser une commande telle que la suivante pour générer le fichier de table de clés de service :

      ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                 -pass ACTIVE_DIRECTORY_PASSWORD 
                 -mapuser DATABASE_SERVER_HOST_NAME 
                 -crypto ALL 
                 -ptype KRB5_NT_PRINCIPAL 
                 -out database.keytab

      Exemple :

      ktpass -princ ORACLE/user.example.com@example.com 
                 -pass password -mapuser dbexamplekrb 
                 -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

      Pour plus d'informations sur ces fichiers et les étapes requises pour les obtenir, voir Configuration de l'authentification Kerberos.

    2. Copiez les fichiers de configuration Kerberos krb.conf et v5srvtab dans un seau du magasin d'objets.

      Cette étape diffère selon le magasin d'objets que vous utilisez.

      Si vous utilisez le magasin d'objets Oracle Cloud Infrastructure, voir Ajout de données dans le stockage d'objets pour plus de détails sur le chargement de fichiers.

    3. Exécutez DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION pour activer l'authentification externe Kerberos.

      Exemple :

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'KERBEROS',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/
      Note

      Oracle recommande de stocker les fichiers de configuration Kerberos dans un seau privé du magasin d'objets.

      Dans cet exemple, namespace-string est l'espace de noms du stockage d'objets pour Oracle Cloud Infrastructure et bucketname est le nom du seau. Pour plus d'informations, voir Présentation des espaces de noms du stockage d'objets.

      La valeur credential_name que vous utilisez dans cette étape correspond aux données d'identification pour le magasin d'objets.

      Pour plus d'informations, voir Activer l'authentification Kerberos sur une base de données d'IA autonome.

    4. Vérifiez que Kerberos est configuré et activé.
      SELECT property_value FROM database_properties 
      WHERE property_name='KERBEROS_DIRECTORY';
  2. Activer et configurer CMU-AD pour Autonomous AI Database.
    1. Chargez les fichiers de configuration CMU, y compris le fichier de portefeuille de base de données, cwallet.sso et le fichier de configuration CMU, dsi.ora, dans votre magasin d'objets.

      Vous chargez cwallet.sso pour que la configuration CMU-AD dispose des données d'identification permettant à l'instance de base de données IA autonome de se connecter au compte de service Active Directory.

      Le fichier de configuration dsi.ora contient les informations permettant de trouver les serveurs Active Directory.

      Cette étape diffère selon le magasin d'objets que vous utilisez.

      Si vous utilisez le magasin d'objets Oracle Cloud Infrastructure, voir Ajout de données dans le stockage d'objets pour plus de détails sur le chargement de fichiers.

    2. Exécutez la procédure DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION et transmettez un URI d'emplacement avec l'argument JSON params. Vous devez placer les fichiers de configuration cwallet.sso et dsi.ora dans l'emplacement de stockage d'objets spécifié dans le paramètre location_uri.

      Exemple :

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

      Oracle recommande de stocker les fichiers de configuration CMU dans un seau privé du magasin d'objets.

      Dans cet exemple, namespace-string est l'espace de noms du stockage d'objets pour Oracle Cloud Infrastructure et bucketname est le nom du seau. Pour plus d'informations, voir Présentation des espaces de noms du stockage d'objets.

      La valeur credential_name que vous utilisez dans cette étape correspond aux données d'identification pour accéder au magasin d'objets.

      La création de données d'identification pour accéder au magasin d'objets Oracle Cloud Infrastructure n'est pas requise si vous activez les données d'identification du principal de ressource. Pour plus d'informations, voir Utiliser un principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure.

      Si location_uri est une URL préauthentifiée ou une URL pré-signée, l'indication d'une valeur credential_name n'est pas requise.

      Pour plus d'informations, voir Préalables pour configurer CMU avec Microsoft Active Directory dans Autonomous AI Database.

    3. Vérifiez que CMU-AD est configuré et activé.
      SELECT property_value FROM database_properties
      WHERE property_name='CMU_WALLET';
  3. Après avoir terminé les étapes 1 et 2, vérifiez que la configuration de l'authentification Kerberos avec CMU-AD est terminée.
    1. Connectez-vous à l'instance Autonomous AI Database en tant qu'utilisateur Active Directory de sorte que les informations SYS_CONTEXT soient alimentées dans USERENV.
    2. Interrogez SYS_CONTEXT USERENV.
      SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')                                 
--------------------------------------------------------------------------------
KERBEROS_GLOBAL

    Lorsque l'authentification Kerberos est configurée et activée sans CMU-AD, cette interrogation retourne : KERBEROS. Pour plus d'informations, voir Configurer l'authentification Kerberos avec une base de données d'IA autonome.

    Lorsque l'authentification CMU-AD est configurée sans Kerberos, cette interrogation retourne : PASSWORD_GLOBAL. Pour plus d'informations, voir Préalables pour configurer CMU avec Microsoft Active Directory dans Autonomous AI Database.

Notes pour l'utilisation de l'authentification Kerberos avec CMU-AD :

  • Vous n'avez pas besoin d'ajouter le filtre de mot de passe lors de l'utilisation de l'authentification Kerberos avec CMU-AD. Pour plus d'informations, voir Préalables pour configurer CMU avec Microsoft Active Directory dans Autonomous AI Database.

  • L'ajout ou la suppression d'utilisateurs Active Directory est pris en charge, de la même manière qu'avec CMU avec Active Directory lorsque vous utilisez l'authentification par mot de passe. Pour plus d'informations, voir Ajouter des utilisateurs Microsoft Active Directory dans la base de données d'IA autonome.

  • Les restrictions existantes concernant l'authentification par rapport aux outils intégrés de base de données d'IA autonome avec CMU avec mot de passe Active Directory s'appliquent également à CMU avec Active Directory avec authentification Kerberos. Pour plus d'informations, voir Restrictions liées aux outils avec Active Directory sur Autonomous AI Database.

  • Utilisez DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION pour désactiver CMU-AD avec l'authentification Kerberos. Pour plus d'informations, voir ProcédureDISABLE_EXTERNAL_AUTHENTICATION.

  • Lorsque les serveurs CMU-AD se trouvent sur un point d'extrémité privé, pour utiliser CMU-AD avec l'authentification Kerberos, le nom d'hôte du serveur utilisé pour générer l'onglet de clé doit être réglé à la valeur de l'attribut PUBLIC_DOMAIN_NAME dans la colonne CLOUD_IDENTITY de V$PDBS. Cette valeur est différente du nom de domaine complet pour une base de données de point d'extrémité privée.

Ajouter des rôles Microsoft Active Directory dans une base de données d'intelligence artificielle autonome

Pour ajouter des rôles Active Directory, mappez les rôles de base de données globaux à des groupes Active Directory à l'aide d'énoncés CREATE ROLE ou ALTER ROLE (en incluant la clause IDENTIFIED GLOBALLY AS).

Pour ajouter des rôles globaux pour les groupes Active Directory dans Autonomous AI Database :

  1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données configurée pour utiliser Active Directory (l'utilisateur ADMIN dispose des privilèges système CREATE ROLE et ALTER ROLE dont vous avez besoin pour ces étapes).
  2. Définissez l'autorisation de base de données pour les rôles de base de données du service d'intelligence artificielle autonome avec l'énoncé CREATE ROLE ou ALTER ROLE. Inclure la clause IDENTIFIED GLOBALLY AS et spécifier le nom distinctif d'un groupe Active Directory.

    Utilisez la syntaxe suivante pour mapper un groupe d'utilisateurs Active Directory à un rôle de base de données global :

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Exemple :

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Dans cet exemple, tous les membres de widget_sales_group disposent des autorisations du rôle de base de données widget_sales_role lorsqu'ils se connectent à la base de données.

  3. Utilisez des énoncés GRANT pour accorder les privilèges requis ou d'autres rôles au rôle global.

    Exemple :

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE est un rôle prédéfini disposant de privilèges communs. Voir Gérer les privilèges d'utilisateur sur une base de données autonome avec intelligence artificielle - Connexion à un outil client pour plus d'informations sur la définition des privilèges communs pour les utilisateurs d'une base de données autonome avec intelligence artificielle.

  4. Pour associer un rôle de base de données existant à un groupe Active Directory, utilisez l'énoncé ALTER ROLE pour modifier le rôle de base de données existant afin de mapper ce rôle à un groupe Active Directory.

    Utilisez la syntaxe suivante pour modifier un rôle de base de données existant afin de le mapper à un groupe Active Directory :

    ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Pour créer des mappages de rôles globaux supplémentaires pour d'autres groupes Active Directory, suivez ces étapes pour chaque groupe Active Directory.

Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, voir Configuration de l'autorisation pour les utilisateurs gérés de manière centralisée dans le guide de sécurité Oracle Database 19c ou le guide de sécurité Oracle Database 26ai.

Ajouter des utilisateurs Microsoft Active Directory dans la base de données d'intelligence artificielle autonome

Pour ajouter des utilisateurs Active Directory pour accéder à une base de données, mappez des utilisateurs globaux de base de données à des groupes Active Directory ou à des utilisateurs avec des énoncés CREATE USER ou ALTER USER (avec la clause IDENTIFIED GLOBALLY AS).

L'intégration d'Autonomous AI Database à Active Directory fonctionne en mappant les utilisateurs et les groupes Microsoft Active Directory directement aux utilisateurs globaux et aux rôles globaux de base de données Oracle.

Pour ajouter des utilisateurs globaux pour des groupes ou des utilisateurs Active Directory dans Autonomous AI Database :

  1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données configurée pour utiliser Active Directory (l'utilisateur ADMIN dispose des privilèges système CREATE USER et ALTER USER requis pour ces étapes).
  2. Définissez l'autorisation de base de données pour les utilisateurs de base de données autonome avec des énoncés CREATE USER ou ALTER USER et incluez la clause IDENTIFIED GLOBALLY AS, en spécifiant le nom distinctif d'un utilisateur ou d'un groupe Active Directory.

    Utilisez la syntaxe suivante pour mapper un utilisateur Active Directory à un utilisateur de base de données global :

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Utilisez la syntaxe suivante pour mapper un groupe Active Directory à un utilisateur de base de données global :

    CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Par exemple, pour mapper un groupe Active Directory nommé widget_sales_group dans l'unité organisationnelle sales du domaine production.example.com à un utilisateur de base de données global partagé nommé WIDGET_SALES : 

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Un mappage d'utilisateur global partagé est créé. Ce mappage, avec l'utilisateur global widget_sales, est en vigueur pour tous les utilisateurs du groupe Active Directory. Ainsi, tout membre de widget_sales_group peut se connecter à la base de données à l'aide de ses données d'identification Active Directory (au moyen du mappage partagé de l'utilisateur global widget_sales).

  3. Si vous voulez que les utilisateurs d'Active Directory utilisent un utilisateur de base de données existant, possèdent son schéma et ses données existantes, utilisez ALTER USER pour modifier un utilisateur de base de données existant afin de le mapper à un groupe ou à un utilisateur Active Directory.

    • Utilisez la syntaxe suivante pour modifier un utilisateur de base de données existant afin de le mapper à un utilisateur Active Directory :

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    • Utilisez la syntaxe suivante pour modifier un utilisateur de base de données existant afin de le mapper à un groupe Active Directory :

      ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Pour créer des mappages d'utilisateurs globaux supplémentaires pour d'autres groupes Active Directory, suivez ces étapes pour chaque groupe ou utilisateur Active Directory.

Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, voir Configuration de l'autorisation pour les utilisateurs gérés de manière centralisée dans le guide de sécurité Oracle Database 19c ou le guide de sécurité Oracle Database 26ai.

Restrictions liées aux outils avec Active Directory sur Autonomous AI Database

Notes pour l'utilisation des outils de base de données IA autonome avec Active Directory :

Se connecter à une base de données autonome avec les données d'identification d'utilisateur Active Directory

Une fois que l'utilisateur ADMIN a terminé les étapes de configuration CMU Active Directory et créé des rôles globaux et des utilisateurs globaux, les utilisateurs se connectent à la base de données à l'aide de leur nom d'utilisateur et de leur mot de passe Active Directory.

Note

Ne vous connectez pas avec un nom d'utilisateur global. Les noms d'utilisateur globaux n'ont pas de mot de passe et la connexion avec un nom d'utilisateur global ne peut pas aboutir. Vous devez avoir un mappage d'utilisateur global dans votre base de données d'IA autonome pour vous connecter à la base de données. Vous ne pouvez pas vous connecter à la base de données avec des mappages de rôles globaux uniquement.
  1. Pour vous connecter à la base de données à l'aide d'un nom d'utilisateur et d'un mot de passe Active Directory, connectez-vous comme suit :
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Exemple :

    CONNECT "production\pfitch"/password@adbname_medium;

    Vous devez inclure des guillemets doubles lorsque le domaine Active Directory est indiqué avec le nom d'utilisateur, comme dans l'exemple suivant : "production\pfitch".

    Dans cet exemple, le nom d'utilisateur Active Directory est pfitch dans le domaine production. L'utilisateur Active Directory est membre du groupe widget_sales_group, identifié par son nom distinctif 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Après avoir configuré CMU avec Active Directory dans Autonomous AI Database et configuré l'autorisation Active Directory, avec des rôles globaux et des utilisateurs globaux, vous pouvez vous connecter à votre base de données à l'aide de l'une des méthodes de connexion décrites dans Se connecter à Autonomous AI Database. Lorsque vous vous connectez, si vous souhaitez utiliser un utilisateur Active Directory, fournissez les données d'identification de ce dernier. Par exemple, entrez un nom d'utilisateur au format "AD_DOMAIN\AD_USERNAME" (les guillemets doubles sont obligatoires) et utilisez votre AD_USER_PASSWORD comme mot de passe.

Si votre instance de base de données IA autonome est en mode restreint, ce mode permet uniquement aux utilisateurs disposant du privilège RESTRICTED SESSION de se connecter à la base de données. L'utilisateur ADMIN dispose de ce privilège. Vous pouvez utiliser le mode d'accès restreint pour effectuer des tâches d'administration telles que l'indexation, les chargements de données ou d'autres activités planifiées. Pour plus d'informations, voir Modifier le mode d'exploitation d'une base de données autonome avec lecture/écriture en lecture seule ou restreinte.

Vérifier les informations de connexion d'utilisateur Active Directory avec Autonomous AI Database

Lorsque les utilisateurs se connectent à la base de données à l'aide de leur nom d'utilisateur et de leur mot de passe Active Directory, vous pouvez vérifier et vérifier l'activité des utilisateurs.

Par exemple, lorsque l'utilisateur pfitch se connecte : 

CONNECT "production\pfitch"/password@exampleadb_medium;

Le nom d'utilisateur de connexion de l'utilisateur Active Directory (samAccountName) est pfitch et widget_sales_group est le nom du groupe Active Directory et widget_sales est l'utilisateur global de la base de données.

Une fois pfitch connecté à la base de données, la commande SHOW USER affiche le nom d'utilisateur global : 

SHOW USER;

USER is "WIDGET_SALES"

La commande suivante affiche le nom distinctif de l'utilisateur Active Directory :

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Par exemple, vous pouvez vérifier l'identité d'entreprise de cet utilisateur géré de manière centralisée :

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

La commande suivante affiche la valeur "AD_DOMAIN\AD_USERNAME" : 

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Par exemple, l'identité de l'utilisateur authentifié par Active Directory est saisie et vérifiée lorsque l'utilisateur se connecte à la base de données :

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Pour plus d'informations, voir Vérification des informations de connexion de l'utilisateur géré de manière centralisée dans le guide de sécurité d'Oracle Database 19c ou le guide de sécurité d'Oracle Database 26ai.

Supprimer des utilisateurs et des rôles Active Directory dans Autonomous AI Database

Pour supprimer des utilisateurs et des rôles Active Directory des bases de données d'intelligence artificielle autonomes, utilisez les commandes de base de données standard. Les utilisateurs ou les groupes Active Directory associés mappés à partir des utilisateurs ou des rôles de base de données, ne sont pas supprimés.

Pour supprimer des utilisateurs ou des rôles de la base de données Autonomous AI Database :

  1. Connectez-vous à la base de données configurée pour utiliser Active Directory en tant qu'utilisateur disposant du privilège système DROP USER ou DROP ROLE.
  2. Supprimez les utilisateurs ou les rôles globaux mappés aux groupes ou aux utilisateurs Active Directory à l'aide de l'énoncé DROP USER ou DROP ROLE.

Désactiver l'accès Active Directory dans une base de données d'intelligence artificielle autonome

Décrit les étapes pour supprimer la configuration CMU de votre base de données d'IA autonome (et désactiver l'accès LDAP de votre base de données d'IA autonome à Active Directory).

Après avoir configuré votre instance Autonomous AI Database pour accéder à CMU Active Directory, vous pouvez désactiver l'accès comme suit :

  1. Connectez-vous à la base de données IA autonome en tant qu'utilisateur ADMIN.
  2. Utilisez DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION pour désactiver l'authentification CMU.
    Note

    Pour exécuter cette procédure, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer du privilège EXECUTE sur DBMS_CLOUD_ADMIN.

    Exemple :

    BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/

    Désactive l'authentification CMU sur votre instance de base de données autonome avec intelligence artificielle.

Pour plus d'informations, voir ProcédureDISABLE_EXTERNAL_AUTHENTICATION.