Conditions requises
Pour utiliser le plugiciel authentication_oci
, vous avez besoin d'une paire de clés d'authentification, d'un fichier de configuration et d'énoncés de politique correctement définis.
Pour utiliser le plugiciel authentication_oci
, vous devez disposer des éléments suivants :
- L'une des données d'identification suivantes :
- Paire de clés d'API : Les utilisateurs locaux ou provisionnés peuvent utiliser une paire de clés d'API publique-privée correctement enregistrée dans IAM et une empreinte numérique d'API. Vous avez besoin de la paire de clés et de l'empreinte digitale pour chaque utilisateur individuel et chaque membre du groupe mappé. Voir Clés et OCID requis.
- Jeton de sécurité IAM : Les utilisateurs locaux, fédérés ou provisionnés peuvent utiliser un jeton de sécurité IAM généré à l'aide de l'interface de ligne de commande d'Oracle Cloud Infrastructure. Voir Génération d'un jeton de sécurité IAM.
- Fichier de configuration avec une empreinte numérique et une valeur key_file valides. Pour l'authentification à l'aide d'un jeton de sécurité IAM, spécifiez une valeur security_token_file valide. Voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande.
- L'énoncé de politique suivant défini dans chaque location que vous voulez connecter :
Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} IN TENANCY
Cet énoncé de politique doit être attaché au compartiment racine afin qu'il couvre l'ensemble de la location. Pour ce faire, vous devez sélectionner le compartiment racine lorsque vous ajoutez la politique et utiliser le paramètre
IN TENANCY
. Cela ne fonctionne pas s'il est créé dans un sous-compartiment avecIN COMPARTMENT <CompartmentName>
au lieu deIN TENANCY
.La politique ci-dessus est obsolète dans la version 9.4.0 et sera supprimée dans une version ultérieure. Pour la version 9.4.0 ou ultérieure, il est recommandé d'utiliser la politique suivante :Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'
Note
Si vous voulez utiliser les principaux sur différentes locations, vous avez besoin d'une politiqueAdmit
dans la location cible (où les utilisateurs et les groupes sont définis) et d'une politiqueEndorse
dans la location où la ressource (HeatWave système de base de données) est instanciée, comme décrit ci-dessous.- Définissez les éléments suivants dans la location cible contenant les utilisateurs et les groupes :
Define tenancy <resource_tenancy_name> AS <resource_tenancy_OCID> Admit any-user of tenancy <resource_tenancy_name> TO {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'
- Définissez les éléments suivants dans la location de ressource contenant le système de base de données :
Define tenancy <target_tenancy_name> AS <target_tenancy_OCID> Endorse any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy <target_tenancy_name> where request.principal.type = 'mysqldbsystem'
- Définissez les éléments suivants dans la location cible contenant les utilisateurs et les groupes :
Rubriques connexes