Documentation sur Oracle Cloud Infrastructure

Utiliser l'authentification multifacteur avec une base de données autonome basée sur l'IA

L'authentification multifacteur est une méthode d'authentification qui requiert l'utilisation de plusieurs facteurs pour vérifier l'identité d'un utilisateur afin d'accéder à une ressource.

Rubriques :

Rubrique parent : Sécurité

À propos de l'authentification multifacteur

Autonomous AI Database prend en charge l'authentification multifacteur pour améliorer la sécurité d'accès en nécessitant une étape de vérification supplémentaire au-delà du mot de passe de l'utilisateur. Vous pouvez activer l'authentification multifacteur pour les connexions à la base de données, pour l'exécution d'instructions SQL protégées ou pour les deux.

Avec l'authentification multifacteur activée, lorsque vous connectez à votre base de données, vous fournissez votre nom d'utilisateur et votre mot de passe, ce qui est le premier facteur - quelque chose que vous connaissez ou pouvez mémoriser. Vous devez ensuite fournir un deuxième code de vérification à partir d'un appareil d'authentification multifacteur enregistré, ce qui est le deuxième facteur - quelque chose que vous avez. Les deux facteurs fonctionnent ensemble pour ajouter une couche supplémentaire de sécurité en utilisant des informations supplémentaires ou un deuxième appareil pour vérifier votre identité et terminer le processus de connexion.

La base de données autonome d'IA améliore la sécurité en intégrant l'authentification multifacteur dans le cycle de vie de l'authentification et de l'exécution SQL. Cette approche permet de réduire le risque d'accès non autorisé et de limiter l'impact des données d'identification compromises en veillant à ce que seuls les utilisateurs authentifiés et vérifiés puissent se connecter et exécuter des opérations SQL. En appliquant l'authentification multifacteur basée sur un jeton ou une notification Push pour les flux de travail de connexion et SQL, Autonomous AI Database renforce la protection contre le vol de données d'identification, les activités malveillantes et l'exposition potentielle aux données.

L'authentification multifacteur est activée sur votre base de données d'intelligence artificielle autonome au moyen des ensembles DBMS_MFA_*, qui permettent d'utiliser des méthodes de vérification en couches lors de l'authentification. Cela inclut des données d'identification principales, telles qu'un nom d'utilisateur et un mot de passe, combinées à un deuxième facteur d'authentification, tel qu'un code secret à usage unique (OTP) ou une vérification au moyen d'une application d'authentification mobile. Cela garantit que seules les identités autorisées et vérifiées peuvent accéder à la base de données et effectuer des opérations SQL.

Autonomous AI Database prend en charge deux options d'application de l'authentification multifacteur, ce qui vous permet de choisir le niveau de protection en fonction de vos besoins en matière de sécurité :

  • Authentification multifacteur lors de la connexion, qui requiert l'authentification multifacteur lors de la connexion à la base de données avant l'établissement d'une session de base de données.

  • L'authentification multifacteur d'accès SQL (Jetons d'accès SQL), qui permet la connexion avec des données d'identification principales et applique l'authentification multifacteur uniquement lorsque des énoncés SQL sensibles sont exécutés.

Note

L'authentification multifacteur n'est prise en charge que pour la version de base de données Oracle 19c.

Principaux avantages de l'utilisation de l'authentification multifacteur avec une base de données autonome basée sur l'IA

  • Protection renforcée pour l'accès à la base de données : L'authentification multifacteur améliore la sécurité en ajoutant des étapes de vérification supplémentaires lors de l'authentification ou de l'exécution d'un énoncé SQL. Même si un mot de passe est compromis, l'accès est toujours bloqué sauf si le facteur d'authentification supplémentaire, tel qu'un code secret à usage unique (OTP) ou l'approbation d'une application d'authentification, est terminé avec succès. Cela réduit le risque d'accès non autorisé aux ressources de base de données.

  • Défense contre les attaques courantes : L'authentification multifacteur permet de se protéger contre les méthodes d'attaque courantes telles que l'hameçonnage ou les tentatives de force brute. Alors que les attaquants peuvent tenter de voler ou de deviner des mots de passe, MFA ajoute une barrière supplémentaire qui empêche l'accès sans le deuxième facteur d'authentification, ce qui rend ces attaques beaucoup moins efficaces.

  • Prise en charge des exigences réglementaires : De nombreux secteurs, notamment les finances, l'assurance et la santé, nécessitent des contrôles d'authentification stricts pour protéger les données sensibles. L'activation de l'authentification multifacteur dans Autonomous AI Database aide les organisations à répondre à ces exigences réglementaires tout en démontrant le respect des meilleures pratiques de sécurité.

  • Amélioration de la visibilité et de la surveillance : L'authentification multifacteur comprend des fonctions de surveillance qui fournissent une visibilité sur l'activité d'authentification. Ces capacités aident à identifier les tentatives d'accès inhabituelles ou suspectes, ce qui vous permet de maintenir un niveau de sécurité élevé.

Concepts liés à l'authentification multifacteur

Voici les concepts clés utilisés dans l'authentification multifacteur :

  • Authentification multifacteur (AMF) : L'authentification multifacteur est un mécanisme de sécurité qui exige que les utilisateurs fournissent deux formes de vérification distinctes ou plus avant d'accéder à un système, à une application ou à des données. Les facteurs de vérification sont les suivants :

    • Quelque chose que vous connaissez : un mot de passe, un NIP ou une question de sécurité.

    • Quelque chose que vous avez – Un appareil physique comme un smartphone, un jeton matériel ou une clé de sécurité.

    • Quelque chose que vous êtes – la biométrie, comme une empreinte digitale, la reconnaissance faciale ou la reconnaissance vocale.

  • Application d'authentification : Application que vous installez sur votre appareil mobile pouvant fournir des jetons sécurisés par logiciel pour la vérification des identités. Par exemple, Oracle Mobile Authenticator. Pour activer l'authentification multifacteur pour votre base de données autonome d'IA, vous aurez besoin d'un appareil avec une application d'authentification installée. Vous utiliserez l'application pour enregistrer votre appareil, puis vous utiliserez la même application (sur le même appareil) pour recevoir une notification push ou à chaque connexion à votre base de données IA autonome.

  • Appareil mobile enregistré : L'authentification multifacteur est activée pour un utilisateur spécifique et pour un appareil spécifique. La procédure d'activation de l'authentification multifacteur pour un utilisateur comprend l'enregistrement de l'appareil mobile. Ce même appareil doit être utilisé pour générer le code TOTP chaque fois que l'utilisateur se connecte. Si l'appareil mobile enregistré n'est plus disponible, un administrateur doit désactiver l'authentification multifacteur pour l'utilisateur afin que l'authentification multifacteur puisse être réactivée au moyen d'un nouvel appareil.

  • Jeton d'accès SQL : Les jetons d'accès SQL fournissent une authentification multifacteur sécurisée pour les bases de données autonomes à l'aide de mots de passe à usage unique (OTP) standard de l'industrie. Ces jetons sont nécessaires pour accéder à la base de données ou exécuter des opérations SQL protégées, ce qui réduit considérablement le risque d'accès non autorisé.

  • Avis poussé : Les avis poussés sont des messages cliquables, courts et surgissants envoyés à partir d'applications ou de sites Web vers l'appareil mobile d'un utilisateur, même lorsque le navigateur ou l'application n'est pas actif.

Types d'authentification multifacteur dans la base de données autonome avec intelligence artificielle

Décrit les options d'authentification multifacteur disponibles dans Autonomous AI Database et comment chacune s'applique à l'accès à la base de données, lors de la connexion ou de l'exécution d'énoncés SQL protégés.

Authentification multifacteur lors de la connexion

L'authentification multifacteur à la connexion dans Autonomous AI Database ne peut être mise en oeuvre qu'à l'aide d'avis poussés sécurisés transmis à l'appareil mobile enregistré de l'utilisateur au moyen de l'application Oracle Mobile Authenticator (OMA) ou Cisco Duo Mobile. Les autres méthodes, telles que le courriel ou Slack, ne sont pas prises en charge pour ce flux de travail. Cela garantit que seuls les utilisateurs possédant à la fois des informations d'identification valides et l'appareil mobile autorisé peuvent accéder à la base de données, offrant une protection robuste contre le vol d'informations d'identification et prenant en charge la conformité réglementaire pour l'authentification multifacteur.

Lorsque vous tentez d'enregistrer un utilisateur de base de données existant pour l'authentification multifacteur à la connexion, Oracle envoie un courriel d'inscription unique à l'adresse de courriel de l'utilisateur. Le contenu de l'inscription dépend de l'authentificateur sélectionné : les courriels OMA incluent un lien d'inscription et un code QR pour inscrire l'appareil de l'utilisateur dans l'application OMA, tandis que les courriels DUO fournissent le lien d'inscription et des instructions pour terminer l'inscription de l'appareil. L'utilisateur doit installer l'application d'authentification appropriée et terminer l'enregistrement en cliquant sur le lien ou en balayant le code QR dans l'application. Le courriel est envoyé dans un format fixe en anglais seulement et sa personnalisation n'est pas autorisée.

Après l'enregistrement de l'appareil, l'utilisateur peut se connecter à la base de données en utilisant son mot de passe comme facteur d'authentification principal. Une fois le mot de passe validé, le serveur de base de données envoie une notification push à l'application enregistrée. Si l'utilisateur accepte l'avis poussé, le processus d'authentification est terminé et la session de connexion est établie.

Jeton d'accès SQL

L'authentification de type jeton d'accès SQL dans Autonomous AI Database est une méthode d'authentification multifacteur qui exige que les utilisateurs vérifient leur identité à l'aide de leurs données d'identification et d'un deuxième facteur, soit un jeton d'accès SQL unique, soit un avis poussé, avant qu'ils puissent exécuter des énoncés SQL. Après s'être connecté avec un nom d'utilisateur et un mot de passe, l'utilisateur doit demander un code secret à usage unique ou une notification push, qui est fournie par l'intermédiaire d'une application d'authentification, d'un courriel ou de Slack, pour authentifier la session et permettre l'exécution d'instructions SQL protégées. L'authentification multifacteur SQL Access Token renforce la sécurité de la base de données en s'assurant que les énoncés SQL sensibles ne peuvent être exécutés que par des utilisateurs possédant à la fois les données d'identification correctes et le deuxième facteur vérifié, ce qui réduit le risque d'accès non autorisé et prend en charge les exigences de conformité.

Après vous être connecté à Autonomous AI Database à l'aide de votre méthode d'authentification standard, telle qu'un nom d'utilisateur/mot de passe de base de données local ou un fournisseur d'identités externe, notamment OCI IAM, Azure Entra ou Kerberos, ce qui suit décrit le flux d'autorisation de l'authentification multifacteur avec jeton d'accès SQL.


Description d'autonomous-sqlaccesstoken-workflow.png :
Description de l'illustration autonomous-sqlaccesstoken-workflow.png

  1. Demander un jeton d'accès SQL

    Une fois votre session établie, demandez un jeton d'accès SQL afin d'activer les opérations SQL.

  2. Recevoir l'avis de mot de passe à usage unique ou poussé

    Oracle génère un code secret à usage unique uniquement lorsque vous sélectionnez un canal de transmission, un courriel ou Slack basé sur un code secret à usage unique. Ces codes secrets à usage unique sont limités dans le temps et doivent être extraits du canal sélectionné avant leur expiration. Pour l'authentification basée sur une application, Oracle Mobile Authenticator (OMA) et Cisco Duo sont des applications d'authentification prises en charge. Ils utilisent les avis poussés comme deuxième facteur plutôt que de générer des codes secrets à usage unique. Par conséquent, pour l'authentification multifacteur de jeton d'accès SQL, les codes secrets à usage unique sont transmis uniquement par courriel ou Slack, tandis qu'OMA et Duo fournissent une approbation à l'aide d'avis poussés.

  3. Authentifiez la session

    Entrez le code secret à usage unique que vous avez reçu pour vérifier votre identité et activer la session SQL. Cette étape n'est requise que pour l'authentification par courriel ou par mot de passe à usage unique Slack et n'est pas nécessaire lors de l'utilisation de l'authentification basée sur une application, qui utilise plutôt une notification push.

  4. Exécuter les énoncés SQL

    Une fois le jeton vérifié, vous pouvez exécuter des énoncés SQL sur la base de données comme autorisé.

Note

Vous pouvez enregistrer un utilisateur pour l'authentification multifacteur et le jeton d'accès SQL lors de la connexion. Avec cette configuration, l'utilisateur doit remplir l'authentification multifacteur lors de la connexion, approuver une notification Push sur son appareil mobile et vérifier également un jeton d'accès SQL au moyen du canal de transmission choisi avant d'exécuter des énoncés SQL.

Conditions requises

Répertorie les préalables à l'activation de l'authentification multifacteur pour votre base de données d'intelligence artificielle autonome.

Selon le type d'authentification multifacteur sélectionné, effectuez les étapes de configuration nécessaires :

  • Authentification multifacteur pour l'heure de connexion : L'authentification multifacteur pour l'heure de connexion n'est prise en charge que par les avis poussés utilisant OMA et Duo. Téléchargez, installez et configurez l'application sélectionnée sur votre appareil mobile avant de l'utiliser.

  • Jeton d'accès SQL : Au moins un canal de transmission de jeton doit être configuré pour les jetons d'accès SQL. Les modes de transmission pris en charge sont le courriel, Slack, Duo et l'authentificateur OMA.

    • Application d'authentification : Téléchargez et installez OMA ou Duo sur votre appareil mobile. Vous devez configurer l'authentification multifacteur sur un appareil auquel vous pouvez accéder à chaque connexion. Un autre utilisateur ne peut pas l'activer pour vous.

      Pour activer l'authentification multifacteur, utilisez OMA sur votre appareil mobile pour balayer le code QR affiché dans l'interface utilisateur Database Actions. Pour plus de détails, voir Configuration d'Oracle Mobile Authenticator pour plus d'informations.

    • Courriel : Assurez-vous que la transmission de messages est activée et que tous les utilisateurs de base de données ont des adresses de courriel configurées valides.

      Pour plus d'informations, voir Envoyer un courriel sur la base de données d'IA autonome.

    • Slack : Configurez le plugiciel Slack et enregistrez l'ID Slack de chaque utilisateur pour activer la livraison par mot de passe à usage unique au moyen de Slack.

      Pour plus d'informations, voir Envoyer des avis Slack à partir d'une base de données autonome sur l'IA.

  • Vous devez être connecté en tant qu'utilisateur ADMIN ou disposer des privilèges requis sur l'ensemble DBMS_MFA_ADMIN pour enregistrer les utilisateurs pour l'authentification multifacteur et gérer les attributs de jeton.

  • Pour les flux de travail de jeton d'accès SQL, les utilisateurs doivent disposer des privilèges requis sur l'ensemble DBMS_MFA pour initialiser une session d'authentification multifacteur et valider un jeton d'accès SQL.

Configurer l'authentification multifacteur pour Autonomous AI Database

Décrit comment configurer l'authentification multifacteur pour votre base de données d'intelligence artificielle autonome, notamment configurer les données d'identification requises, configurer les canaux d'avis, enregistrer les utilisateurs pour l'authentification multifacteur LOGON ou SQL Access et gérer les jetons d'accès SQL.

Rubriques :

Rubrique parent : Utiliser l'authentification multifacteur avec une base de données d'intelligence artificielle autonome

Configurer les canaux d'avis pour l'authentification multifacteur

Décrit comment configurer des canaux d'avis pour l'authentification multifacteur, tels que courriel, Slack et Oracle Mobile Authenticator (OMA), afin de fournir des codes secrets à usage unique ou des avis poussés.

Un canal d'avis est le mécanisme utilisé pour fournir des identifications d'authentification multifacteur aux utilisateurs, telles que les approbations poussées ou les codes secrets à usage unique, dans les flux d'authentification multifacteur (LOGON) et de jeton d'accès SQL. Les canaux pris en charge incluent les applications de courriel, SMS, Slack et d'authentification, et chaque canal nécessite des attributs de configuration spécifiques, par exemple des détails SMTP pour la transmission de messages ou une configuration d'espace de travail Slack pour Slack, pour s'assurer que les messages sont livrés de manière sécurisée et fiable à l'utilisateur prévu.

Avant de configurer les canaux d'avis, assurez-vous d'avoir configuré les données d'identification requises pour les canaux que vous prévoyez d'utiliser. Notez que certains canaux s'appliquent uniquement à l'authentification multifacteur LOGON, par exemple OMA et Duo, tandis que d'autres s'appliquent uniquement à l'authentification multifacteur SQL Access Token, par exemple OMA, Duo, Slack et email. Configurez donc uniquement ce dont vous avez besoin pour le flux d'authentification multifacteur sélectionné.

Le tableau suivant résume les canaux d'avis d'authentification multifacteur disponibles et indique le type d'authentification multifacteur pris en charge par chaque canal (authentification multifacteur et/ou jeton d'accès SQL), ainsi que la méthode d'avis correspondante (livraison OTP ou approbation poussée).

Canal d'avis Connexion à l'authentification multifacteur Authentification multifacteur de jeton d'accès SQL Mode d'avis

Adresse de courriel

Oui (courriels d'inscription à l'authentification multifacteur uniquement)

Oui

Jeton d'accès SQL : Mot de passe à usage unique transmis par courriel.

Connexion : deuxième facteur non pris en charge; courriel envoyé uniquement pour les avis d'inscription.

Slack

Nombre

Oui

Mot de passe à usage unique fourni au moyen de Slack.

Oracle Mobile Authenticator (OMA)

Oui

Oui

approbation des avis poussés; Aucun mot de passe à usage unique généré.

Duo Cisco

Oui

Oui

Avis poussé par Duo.

Utilisez la procédure DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION pour définir les canaux d'avis utilisés pour transmettre les messages d'authentification multifacteur (par exemple, identifications de jeton d'accès SQL). Dans cette procédure, vous spécifiez le type de canal, tel que le courriel, Slack ou un authentificateur, et vous fournissez les attributs propres au canal ou les références de données d'identification requis pour une transmission sécurisée et fiable. Comme chaque canal a des exigences différentes, les valeurs d'attribut que vous fournissez dépendent du canal que vous configurez. Consultez les exemples suivants pour connaître les entrées attendues par canal.

Notification par courriel

Configurez l'objet de données d'identification de courriel et les paramètres d'avis SMTP afin qu'Oracle puisse envoyer des courriels liés à l'authentification multifacteur. Ceci est requis pour la configuration de la connexion à l'authentification multifacteur (OMA et Duo), y compris les courriels d'enregistrement d'appareil; sans cela, les utilisateurs ne recevront pas les avis d'enregistrement requis. Le courriel n'est pas un deuxième facteur pris en charge pour la connexion à l'authentification multifacteur. La transmission du mot de passe à usage unique par courriel n'est prise en charge que pour l'authentification multifacteur de jeton d'accès SQL.

Pour configurer un fournisseur de courriel personnalisé pour l'envoi des jetons d'accès à l'authentification multifacteur, vous devez créer des données d'identification de fournisseur de courriel dans la base de données à l'aide de la procédure DBMS_CLOUD.CREATE_CREDENTIAL. Exemple : 

BEGIN
   DBMS_CLOUD.CREATE_CREDENTIAL(
       credential_name => 'EMAIL_CRED_01',
       username        => '<username>',
       password        => '<password>'
   );
END;
/
Cela configure les données d'identification nécessaires pour permettre la communication entre la base de données Autonomous AI Database et votre fournisseur de messagerie personnalisé.

Accordez à la base de données l'autorisation de se connecter à votre hôte SMTP pour envoyer des courriels en mettant à jour la liste de contrôle d'accès (ACL). Exemple :

BEGIN
  DBMS_NETWORK_ACL_ADMIN.APPEND_HOST_ACE(
    host        => 'smtp.email.us-ashburn-1.oci.oraclecloud.com',
    lower_port  => 587,
    upper_port  => 587,
    ace         => xs$ace_type(
                     privilege_list  => xs$name_list('SMTP'),
                     principal_name  => 'ADMIN',
                     principal_type  => xs_acl.ptype_db
                   )
  );
END;
/
Cela vous permet de vous connecter à l'hôte SMTP sur le port 587 pour l'envoi de courriels.

Définissez les paramètres du canal de courriel pour la distribution des jetons d'accès à l'authentification multifacteur à l'aide des données d'identification que vous avez créées. Exemple :

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
    notification_type => 'EMAIL',
    attributes       => JSON_OBJECT(
      'credential_name'                 VALUE 'EMAIL_CRED_01',
      'smtp_host'                       VALUE 'smtp.email.us-ashburn-1.oci.oraclecloud.com',
      'smtp_port'                       VALUE 465,
      'sender'                          VALUE 'mfa_alerts@example.com',
      'sender_email_display_name'       VALUE 'DB MFA ALERTS'
    )
  );
END;
/
Cela configure les paramètres d'avis par courriel pour la transmission de jeton d'authentification multifacteur, en liant le canal de courriel à vos données d'identification personnalisées et en permettant à la base de données d'envoyer des codes d'accès uniques par courriel; notez que la transmission de jeton d'authentification multifacteur par courriel n'est disponible que pour l'accès SQL.

Avis Slack

Créez des données d'identification pour stocker en toute sécurité les détails d'authentification de votre intégration Slack. Exemple :

BEGIN
  DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name => 'SLACK_CRED',
    username        => '<username>',
    password        => '<password>'
  );
END;
/
Cela enregistre les données d'identification requises pour l'authentification auprès de votre intégration Slack.

Autorisez la base de données à se connecter au point d'extrémité d'API de Slack en mettant à jour la liste de contrôle d'accès (ACL) pour les appels HTTPS sortants. Exemple :

BEGIN
  DBMS_NETWORK_ACL_ADMIN.APPEND_HOST_ACE (
    host           => 'slack.com',
    lower_port     => 443,
    upper_port     => 443,
    ace            => xs$ace_type(
                        privilege_list  => xs$name_list('http'),
                        principal_name  => 'ADMIN',
                        principal_type  => xs_acl.ptype_db
                      )
  );
END;
/
Cela vous permet de vous connecter à Slack via HTTPS (port 443) pour envoyer des notifications.

Configurez le canal Slack pour la livraison du jeton d'authentification multifacteur en référençant les données d'identification que vous avez créées. Exemple :

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
    notification_type => 'SLACK',
    attributes        => JSON_OBJECT(
      'credential_name' VALUE 'SLACK_CRED'
    )
  );
END;
/
Vos données d'identification Slack sont ainsi liées au canal d'avis, ce qui permet la transmission du jeton d'authentification multifacteur à l'aide de Slack.

Avis Oracle Mobile Authenticator (OMA)

Créez des données d'identification pour stocker en toute sécurité l'ID client OMA et la clé secrète client. Exemple :

BEGIN
  DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name => 'OMA_CRED',
    username        => '<username>',
    password        => '<password>'
  );
END;
/
Cela enregistre les données d'identification de client de votre application OMA dans la base de données.

Définissez le canal d'avis OMA et associez-le aux données d'identification et au point d'extrémité d'API OMA que vous avez créés. Exemple :

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
    notification_type => 'OMA',
    attributes        => JSON_OBJECT(
      'credential_name' VALUE 'OMA_CRED',
      'api_endpoint'    VALUE 'https://idcs-c*****************60.identity.oraclecloud.com'
    )
  );
END;
/
Cette étape configure la base de données pour fournir des jetons d'authentification multifacteur à l'aide d'Oracle Mobile Authenticator au moyen du point d'extrémité spécifié.

Avis Cisco DUO

Créez des données d'identification pour stocker en toute sécurité la clé d'intégration DUO et la clé secrète. Exemple :

BEGIN
  DBMS_CLOUD.CREATE_CREDENTIAL(
    credential_name => 'DUO_CRED',
    username        => '<username>',
    password        => '<password>'
  );
END;
/
Cela enregistre la clé d'intégration et la clé secrète de votre application DUO en tant que données d'identification dans la base de données.

Configurez le canal d'avis DUO en l'associant aux données d'identification créées et en spécifiant le point d'extrémité de l'API DUO.

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
    notification_type => 'DUO',
    attributes        => JSON_OBJECT(
      'credential_name' VALUE 'DUO_CRED',
      'api_endpoint'    VALUE 'api-855fd6a0.duosecurity.com'
    )
  );
END;
/
Cela configure la base de données pour fournir des jetons d'authentification multifacteur au moyen de DUO à l'aide des données d'identification d'application et du point d'extrémité d'API fournis.

Pour plus d'informations, voir :

Enregistrer un utilisateur

Affiche les étapes d'enregistrement d'un utilisateur de base de données pour l'authentification multifacteur.

Après avoir configuré le canal de notification, l'étape suivante consiste à enregistrer un utilisateur de base de données existant pour l'authentification multifacteur. Lors de l'inscription, réglez le type d'authentification multifacteur à Authentification multifacteur ou à Jeton d'accès SQL. Vous pouvez éventuellement spécifier le canal d'avis. S'il n'est pas indiqué, le courriel est utilisé par défaut. Toutefois, pour l'authentification multifacteur de type connexion, vous devez spécifier OMA ou Duo comme canal.

Utilisez DBMS_MFA_ADMIN.REGISTER_USER pour enregistrer un utilisateur de base de données existant pour l'authentification multifacteur. Lorsque vous enregistrez l'utilisateur, réglez l'authentification à l'authentification multifacteur type pour spécifier le flux à activer :

  • LOGON pour l'authentification multifacteur lors de la connexion à la base de données, ou

  • Type de jeton d'accès SQL pour l'authentification multifacteur basée sur un jeton.

Si vous fournissez le JSON attributes facultatif, notez que les attributs pris en charge varient en fonction du type d'authentification multifacteur. Par exemple, LOGON prend en charge les paramètres propres à la connexion, tels que la méthode d'authentification (par exemple, auth_method => 'duo_push'), mais ne prend pas en charge les attributs de validité du jeton tels que duration_min, qui s'appliquent uniquement à l'authentification multifacteur avec jeton d'accès SQL.

Pour plus d'informations, voir DBMS_MFA_ADMIN.REGISTER_USER.

Exemple d'enregistrement de l'utilisateur de base de données existant SCOTT pour l'authentification multifacteur de temps de connexion en utilisant OMA comme canal de notification

BEGIN  
  DBMS_MFA_ADMIN.REGISTER_USER(  
    username   => 'SCOTT',  
    type       => 'LOGON',  
    email      => 'scott@example.com',  
    attributes => JSON_OBJECT(  
                          'auth_method' VALUE 'oma_push')  
  );  
END;  
/

Dans cet exemple, si SCOTT est déjà inscrit à l'authentificateur, aucun nouveau courriel d'inscription n'est envoyé. Si SCOTT n'est pas encore inscrit, cet exemple lance l'inscription à l'authentification multifacteur en envoyant un courriel ponctuel à scott@example.com avec un lien d'inscription et un code QR pour Oracle Mobile Authenticator (OMA).

SCOTT installe l'application OMA et termine l'inscription de l'appareil à l'aide du lien ou du code QR. Après l'inscription, SCOTT se connecte avec un mot de passe, puis approuve l'avis poussé OMA pour terminer l'authentification à l'authentification multifacteur LOGON.

Exemple pour enregistrer l'utilisateur de base de données existant SCOTT pour l'authentification multifacteur temps de connexion en utilisant Duo comme canal de notification

BEGIN
  DBMS_MFA_ADMIN.REGISTER_USER(
    username   => 'SCOTT',
    type       => 'LOGON',
    email      => 'scott@example.com',
    attributes => JSON_OBJECT(
                    'auth_method' VALUE 'duo_push') 
  );
END;
/

Dans cet exemple, si SCOTT est déjà inscrit à l'authentificateur, aucun nouveau courriel d'inscription n'est envoyé. Si SCOTT n'est pas encore inscrit, cet exemple lance l'inscription à l'authentification multifacteur en envoyant un courriel ponctuel à l'adresse indiquée avec un lien d'inscription.

SCOTT installe l'application Cisco Duo et termine l'inscription de l'appareil en utilisant le lien. Après l'inscription, SCOTT se connecte avec un mot de passe, puis approuve l'avis poussé Duo pour terminer la connexion avec une authentification à deux facteurs.

Note

Pour l'authentification multifacteur (LOGON) lors de la connexion, auth_method est le seul attribut pris en charge.

Exemple pour enregistrer SCOTT pour l'authentification multifacteur de jeton d'accès SQL à l'aide de Slack en tant que canal d'avis 

BEGIN
  DBMS_MFA_ADMIN.REGISTER_USER(
    username   => 'SCOTT',
    type       => 'SQL ACCESS',
    email      => 'scott@example.com',
    attributes => JSON_OBJECT(
      'duration_min'   VALUE 720,
      'read_only'      VALUE TRUE,
      'roles'          VALUE JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE'),
      'scope'          VALUE 'SESSION',
      'slack_member_id' VALUE '<slack_member_id>'    
    )
  );
END;
/

Cet exemple montre comment enregistrer l'utilisateur SCOTT avec l'authentification multifacteur SQL Access. Il définit la durée du jeton à 720 minutes, accorde un accès en lecture seule, associe des rôles spécifiques, définit la portée du jeton en tant qu'étendue basée sur une session, spécifie un ID membre Slack pour les notifications.

Note

read_only s'applique uniquement lorsque scope est réglé à SESSION. Si scope n'est pas SESSION, l'attribut read_only n'est pas pris en charge.

Exemple pour enregistrer SCOTT pour l'authentification multifacteur de jeton d'accès SQL en utilisant OMA comme canal de notification

BEGIN
  DBMS_MFA_ADMIN.REGISTER_USER(
    username   => 'scott',
    type       => 'SQL ACCESS',
    email      => 'scott@example.com',
    attributes => JSON_OBJECT(
      'scope'            VALUE 'USER',
      'duration_min'     VALUE 5,
      'idle_timeout_min' VALUE 2,
      'auth_method'      VALUE 'OMA_PUSH'
  );
END;
/

Cet exemple enregistre l'authentification multifacteur SCOTT de l'utilisateur pour le jeton d'accès SQL. Il configure également le jeton à durée de vie courte qui est valide pendant 5 minutes et expire après 2 minutes d'inactivité et nécessite une approbation à l'aide d'une notification OMA push.

Note

Vous pouvez enregistrer le même utilisateur pour l'authentification multifacteur Connexion et l'authentification multifacteur Jeton d'accès SQL en les enregistrant séparément avec les mêmes adresses de courriel. Cette approche permet à l'utilisateur d'utiliser plusieurs types d'authentification multifacteur selon les besoins.

Valider la session pour l'authentification par jeton d'accès SQL

Affiche les étapes de validation d'une session pour l'authentification par jeton d'accès SQL.

Pour exécuter des énoncés SQL dans une session protégée par l'authentification par jeton d'accès SQL, vous devez valider votre session à l'aide d'un code secret à usage unique fourni au moyen du canal d'avis configuré et l'utilisateur doit disposer du privilège requis sur DBMS_MFA.

Pour valider la session :
  1. Connectez-vous à la base de données avec vos données d'identification standard.
    CONNECT scott/<password>@<adbs_connect_string>;
  2. Tentative d'exécution d'une instruction SQL
    SELECT COUNT(*) FROM SCOTT.EMP;

    Si la validation du jeton d'accès SQL est en attente, vous rencontrerez une erreur telle que ORA-64660: Token Authorization is not complete for the user or the session.

  3. Initialisez la session et demandez un jeton d'accès SQL. Selon le canal d'avis configuré, ce processus vous enverra un code secret à usage unique ou un avis poussé.
    BEGIN
DBMS_MFA.INITIALIZE_SESSION(
  email => 'scott_alert@example.com'
);
END;
/

    Pour plus d'informations, voir ProcédureINITIALIZE_SESSION.

  4. Définissez le jeton dans la session. Cette étape n'est pas requise si l'utilisateur est enregistré pour utiliser une application d'authentification pour l'authentification multifacteur; dans ce cas, l'utilisateur reçoit une notification push et approuve simplement la demande d'authentification.
    BEGIN
  DBMS_MFA.SET_TOKEN(
    token => '98475683'
  );
END;
/
  5. Une fois le jeton validé, vous pouvez exécuter des énoncés SQL comme autorisé.
    SELECT COUNT(*) FROM SCOTT.EMP;

    
Count
_________
15

Gérer les utilisateurs de l'authentification multifacteur et les attributs de jeton

Cette section explique comment gérer les utilisateurs inscrits à l'authentification multifacteur, notamment comment annuler l'enregistrement des utilisateurs lorsqu'ils n'ont plus besoin d'un accès à l'authentification multifacteur, et comment configurer ou mettre à jour les attributs de jeton.

Rubriques :

  • Définir les attributs de jeton
    Cette section explique comment configurer le comportement du jeton d'authentification multifacteur, comme la portée, la durée de validité, la temporisation d'inactivité, le mode de transmission et les restrictions d'accès, à l'aide des valeurs par défaut globales (jetons d'accès SQL uniquement) et des remplacements par utilisateur (pour la connexion et les jetons d'accès SQL).
  • Annuler l'enregistrement d'un utilisateur
    Affiche comment utiliser la procédure DBMS_MFA_ADMIN.DEREGISTER_USER pour supprimer un utilisateur de base de données de l'authentification multifacteur.

Rubrique parent : Utiliser l'authentification multifacteur avec une base de données d'intelligence artificielle autonome

Définir les attributs de jeton

Cette section explique comment configurer le comportement du jeton d'authentification multifacteur, comme la portée, la durée de validité, la temporisation d'inactivité, le mode de transmission et les restrictions d'accès, à l'aide des valeurs par défaut globales (jetons d'accès SQL uniquement) et des remplacements par utilisateur (pour la connexion et les jetons d'accès SQL).

Les attributs de jeton contrôlent le comportement des jetons d'accès SQL, notamment la portée du jeton, la durée de validité, la temporisation d'inactivité, le mode de transmission et les restrictions d'accès. Ces attributs peuvent être configurés à deux niveaux : globalement ou par utilisateur.
  • Les attributs de jeton globaux définissent le comportement de jeton par défaut pour tous les utilisateurs enregistrés pour l'authentification multifacteur de jeton d'accès SQL. Lorsqu'elles sont définies globalement, ces valeurs par défaut s'appliquent à chaque utilisateur admissible, sauf si elles sont explicitement remplacées par des paramètres propres à l'utilisateur, ce qui permet d'appliquer des politiques de sécurité cohérentes dans la base de données. Les attributs de jeton global ne peuvent être définis que pour les jetons d'accès SQL.
  • Les attributs de jeton propres à l'utilisateur vous permettent de personnaliser le comportement du jeton pour un utilisateur individuel. Ces paramètres remplacent les valeurs par défaut globales et peuvent être utilisés pour appliquer des contrôles plus stricts ou plus flexibles en fonction du rôle de l'utilisateur et des exigences d'accès.

L'utilisation d'attributs de jeton globaux et de niveau utilisateur permet d'équilibrer l'application centralisée de la sécurité avec la flexibilité nécessaire pour répondre aux besoins d'accès individuels.

Définir les attributs globaux du jeton d'accès SQL

Utilisez la procédure DBMS_MFA_ADMIN.SET_GLOBAL_TOKEN_ATTRIBUTES pour configurer les attributs globaux de jeton d'accès SQL par défaut. Cette procédure définit un jeu global de valeurs d'attribut de jeton (fournies en tant que JSON) que la base de données applique automatiquement chaque fois qu'un jeton d'accès SQL est émis pour les utilisateurs enregistrés pour l'authentification multifacteur de jeton d'accès SQL. Vous pouvez également définir des attributs de jeton propres à l'utilisateur pour remplacer ces valeurs par défaut globales si nécessaire. 

BEGIN
  DBMS_MFA_ADMIN.SET_GLOBAL_TOKEN_ATTRIBUTES(
    attributes => '{
      "duration_min": 60,
      "scope": "session",
      "idle_timeout_min": 15,
      "read_only": false
    }'
  );
END;
/

Cela définit les attributs de jeton globaux pour tous les utilisateurs enregistrés pour l'authentification multifacteur de jeton d'accès SQL, tels que la durée du jeton, la portée, la temporisation d'inactivité et l'accès en lecture seule. Ces attributs globaux servent de paramètres par défaut et sont automatiquement appliqués à chaque utilisateur activé pour l'authentification multifacteur de jeton d'accès SQL, sauf si des attributs propres à l'utilisateur sont définis pour les remplacer.

Pour plus d'informations, voir ProcédureSET_GLOBAL_TOKEN_ATTRIBUTES.

Définir les attributs de jeton pour la connexion et le jeton d'accès SQL

Utilisez les procédures DBMS_MFA_ADMIN.SET_ATTRIBUTES et DBMS_MFA_ADMIN.SET_ATTRIBUTE pour définir les attributs de jeton pour un utilisateur spécifique. Ces paramètres au niveau de l'utilisateur s'appliquent au type d'authentification multifacteur spécifié (par exemple, LOGON ou SQL ACCESS TOKEN) et remplacent toutes les valeurs par défaut applicables.
  • Utilisez DBMS_MFA_ADMIN.SET_ATTRIBUTES pour définir un ou plusieurs attributs de jeton pour un utilisateur dans un seul appel (en transmettant un objet JSON de paires nom/valeur d'attribut).
  • Utilisez DBMS_MFA_ADMIN.SET_ATTRIBUTE pour définir un attribut de jeton à la fois pour un utilisateur (en spécifiant un seul attribut attribute_name et attribute_value).
  • auth_method indique quel fournisseur d'authentification multifacteur configuré est utilisé pour transmettre et valider l'identification de connexion pour la session (par exemple, OMA, Duo ou Slack). Pour l'authentification multifacteur pour la connexion, auth_method est le seul attribut pris en charge; les autres attributs liés à l'authentification multifacteur ne s'appliquent pas à l'authentification multifacteur pour la connexion.

Exemple 5-1 : Utilisez DBMS_MFA_ADMIN.SET_ATTRIBUTES pour définir un ou plusieurs attributs de jeton pour un utilisateur spécifié

Indiquez le nom d'utilisateur, le type d'authentification multifacteur et un objet JSON attributes contenant les noms et les valeurs d'attribut. Les paramètres spécifiés sont appliqués pour cet utilisateur et remplacent toutes les valeurs par défaut applicables. 

BEGIN
  DBMS_MFA_ADMIN.SET_ATTRIBUTES (
    username   => 'SCOTT3',
    type       => 'SQL ACCESS',
    attributes => JSON_OBJECT(
      'duration_min'     VALUE 30,
      'email'            VALUE 'scott3_alerts@example.com',
      'scope'            VALUE 'session',
      'idle_timeout_min' VALUE 20
    )
  );
END;
/

Cet exemple configure les attributs de jeton d'accès SQL propres à l'utilisateur pour SCOTT3, en définissant une durée de jeton de 30 minutes, une temporisation d'inactivité de 20 minutes, la portée de la session et l'adresse de courriel utilisée pour la transmission de jeton, en remplaçant toutes les valeurs par défaut globales.

Pour plus d'informations, voir ProcédureSET_ATTRIBUTES.

Exemple 5-2 : Utiliser DBMS_MFA_ADMIN.SET_ATTRIBUTE pour définir un attribut de jeton unique pour un utilisateur spécifié

Indiquez le nom d'utilisateur, le type d'authentification multifacteur, l'ID courriel, le nom d'attribut et la valeur d'attribut. Le paramètre est appliqué à cet utilisateur et remplace toutes les valeurs par défaut applicables.

BEGIN
  DBMS_MFA_ADMIN.SET_ATTRIBUTE(
    username        => 'SCOTT4',
    type            => 'SQL ACCESS',
    email           => 'scott4_alerts@example.com',
    attribute_name  => 'duration_min',
    attribute_value => '25'
  );
END;
/

Cet exemple définit l'attribut duration_min pour SCOTT4, en réglant la période de validité du jeton d'accès SQL à 25 minutes et en spécifiant l'adresse de courriel de livraison. Ce paramètre au niveau de l'utilisateur remplace toutes les valeurs par défaut applicables (y compris les valeurs par défaut globales du jeton d'accès SQL, si elles sont configurées).

Pour plus d'informations, voir ProcédureSET_ATTRIBUTE.

Annuler l'enregistrement d'un utilisateur

Indique comment utiliser la procédure DBMS_MFA_ADMIN.DEREGISTER_USER pour supprimer un utilisateur de base de données de l'authentification multifacteur.

L'annulation de l'enregistrement de l'utilisateur désactive les jetons d'accès pour le schéma spécifié et arrête l'application de l'authentification multifacteur pour l'utilisateur.

Exemple :
BEGIN
  DBMS_MFA_ADMIN.DEREGISTER_USER(
    username => 'SCOTT',
    type     => 'SQL ACCESS',
    email    => 'scott@example.com'
  );
END;
/

Cela supprime l'utilisateur SCOTT de l'authentification multifacteur d'accès SQL. L'application de l'authentification multifacteur et les jetons d'accès ne sont plus nécessaires pour cet utilisateur. Toutefois, si SCOTT est enregistré pour l'authentification multifacteur avec plusieurs courriels, vous devrez annuler l'enregistrement de chaque entrée séparément pour suppression complète.

Pour plus d'informations, voir ProcédureDEREGISTER_USER.

Limites pour l'authentification multifacteur sur une base de données d'intelligence artificielle autonome

Répertorie les limites de l'authentification multifacteur pour Autonomous AI Database.

Les limitations suivantes s'appliquent lorsque vous utilisez l'authentification multifacteur avec Autonomous AI Database :

  • Les jetons d'accès SQL ne sont pas pris en charge pour les utilisateurs RAS (Remote Application Service). Il s'agit de comptes d'application non interactifs, qui ne peuvent pas fournir le deuxième facteur requis pour l'authentification multifacteur.

  • Avec la continuité des applications ou la continuité transparente des applications, la continuité des sessions n'est pas maintenue. Si une session utilisateur est interrompue, la session se déconnecte même si le jeton d'accès SQL était valide.

  • Les travaux du programmateur doivent être créés au sein d'une session authentifiée valide. Une fois créées, ces tâches s'exécutent indépendamment et ne nécessitent pas l'exécution de jetons d'accès SQL.

  • Les utilisateurs non inscrits à l'authentification multifacteur de jeton d'accès SQL ne peuvent pas exécuter SQL sur un lien de base de données appartenant à un utilisateur inscrit à l'authentification multifacteur de jeton d'accès SQL, car les jetons d'accès SQL ne sont pas propagés entre les liens de base de données. Oracle recommande d'éviter les liens de base de données appartenant aux utilisateurs inscrits à l'authentification multifacteur de jeton d'accès SQL; utilisez plutôt un responsable de lien de base de données dédié qui n'est pas configuré pour l'authentification multifacteur de jeton d'accès SQL.
  • Les utilisateurs enregistrés ne peuvent pas importer ou exporter leur propre schéma après avoir défini un jeton d'accès SQL. Échec des opérations d'exportation avec une erreur d'autorisation de jeton, car la validation de jeton est requise pour exécuter des énoncés SQL.
  • Les utilisateurs enregistrés dans SQL ACCESS ne sont pas pris en charge pour une utilisation avec les outils DBActions.