Conditions requises

Pour utiliser le plugiciel authentication_oci, vous avez besoin d'une paire de clés d'authentification, d'un fichier de configuration et d'énoncés de politique correctement définis.

Pour utiliser le plugiciel authentication_oci, vous devez disposer des éléments suivants :

  • L'une des données d'identification suivantes :
    • Paire de clés d'API : Les utilisateurs locaux ou provisionnés peuvent utiliser une paire de clés d'API publique-privée correctement enregistrée dans IAM et une empreinte numérique d'API. Vous avez besoin de la paire de clés et de l'empreinte digitale pour chaque utilisateur individuel et chaque membre du groupe mappé. Voir Clés et OCID requis.
    • Jeton de sécurité IAM : Les utilisateurs locaux, fédérés ou provisionnés peuvent utiliser un jeton de sécurité IAM généré à l'aide de l'interface de ligne de commande d'Oracle Cloud Infrastructure. Voir Génération d'un jeton de sécurité IAM.
  • Fichier de configuration avec une empreinte numérique et une valeur key_file valides. Pour l'authentification à l'aide d'un jeton de sécurité IAM, spécifiez une valeur security_token_file valide. Voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande.
  • L'énoncé de politique suivant défini dans chaque location que vous voulez connecter :
    Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
      DYNAMIC_GROUP_INSPECT} IN TENANCY

    Cet énoncé de politique doit être attaché au compartiment racine afin qu'il couvre l'ensemble de la location. Pour ce faire, vous devez sélectionner le compartiment racine lorsque vous ajoutez la politique et utiliser le paramètre IN TENANCY. Cela ne fonctionne pas s'il est créé dans un sous-compartiment avec IN COMPARTMENT <CompartmentName> au lieu de IN TENANCY.

    La politique ci-dessus est obsolète dans la version 9.4.0 et sera supprimée dans une version ultérieure. Pour la version 9.4.0 ou ultérieure, il est recommandé d'utiliser la politique suivante :
    Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
      DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'
    Note

    Si vous voulez utiliser les principaux sur différentes locations, vous avez besoin d'une politique Admit dans la location cible (où les utilisateurs et les groupes sont définis) et d'une politique Endorse dans la location où la ressource (HeatWave système de base de données) est instanciée, comme décrit ci-dessous.
    • Définissez les éléments suivants dans la location cible contenant les utilisateurs et les groupes :
      Define tenancy <resource_tenancy_name> AS <resource_tenancy_OCID>
      Admit any-user of tenancy <resource_tenancy_name> TO {AUTHENTICATION_INSPECT, 
        GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy 
        where request.principal.type = 'mysqldbsystem'
    • Définissez les éléments suivants dans la location de ressource contenant le système de base de données :
      Define tenancy <target_tenancy_name> AS <target_tenancy_OCID>
      Endorse any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
        DYNAMIC_GROUP_INSPECT} in tenancy <target_tenancy_name> 
        where request.principal.type = 'mysqldbsystem'

Rubriques connexes

Génération d'un jeton de sécurité IAM

Les utilisateurs locaux, fédérés ou provisionnés peuvent utiliser un jeton de sécurité IAM pour s'authentifier au moyen du plugiciel authentication_oci.

Utilisation de l'interface de ligne de commande

Utilisez l'interface de ligne de commande d'Oracle Cloud Infrastructure pour générer un jeton de sécurité IAM.

  1. Exécutez la commande suivante dans l'interface de ligne de commande d'Oracle Cloud Infrastructure :
    oci session authenticate
  2. À l'invite, sélectionnez la région.
    Un navigateur Web est lancé.
  3. Dans le navigateur, entrez vos données d'identification d'utilisateur.
  4. Entrez le nom du profil que vous souhaitez créer dans l'interface de ligne de commande.
    Le jeton de sécurité IAM est généré avec une paire de clés éphémère. Les informations d'authentification sont enregistrées dans le fichier .config. Par défaut, le jeton de sécurité expire dans une heure.
  5. (Facultatif) Pour actualiser le jeton de sécurité (dans la période de validité) pendant une heure, exécutez la commande suivante :
    oci session refresh --profile <profile_name>
    Vous pouvez actualiser le jeton jusqu'à 24 heures.