Rôles et privilèges utilisateur ADMIN

Dans Autonomous Database, l'administrateur prédéfini est ADMIN et ce compte dispose de privilèges permettant de gérer les utilisateurs et la base de données.

Il est recommandé d'utiliser l'utilisateur ADMIN pour créer des comptes et accorder des privilèges permettant aux utilisateurs de se connecter à la base de données. Pour plus d'informations, reportez-vous au chapitre Gérer les utilisateurs.

Pour maintenir la sécurité, le privilège SYSDBA n'est pas accordé à l'utilisateur ADMIN ; un nombre limité de privilèges système sont accordés à ADMIN. L'interrogation suivante affiche les privilèges accordés à SYS qui ne sont pas accordés à l'utilisateur ADMIN :

SELECT privilege FROM dba_sys_privs WHERE grantee='SYS' MINUS
    SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;

ADMIN - L'utilisateur accorde toutes les restrictions

Le privilège système GRANT ANY PRIVILEGE n'est pas disponible pour l'utilisateur ADMIN. Utilisez plutôt GRANT ANY OBJECT PRIVILEGE, GRANT ANY SCHEMA PRIVILEGE ou GRANT ANY ROLE.

Privilège système Description
GRANT ANY OBJECT PRIVILEGE

Cela permet d'accorder des privilèges objet sur les objets, y compris ceux détenus par SYS, à quelques exceptions près. Dans Autonomous Database, GRANT ANY OBJECT PRIVILEGE peut uniquement être exercé sur les schémas utilisateur créés par le client et ne peut pas être exercé sur les schémas gérés par Oracle, tels que SYSTEM ou SYS, et bien d'autres, pour garantir la sécurité.

Les erreurs ORA-1031/942 indiquent qu'un privilège ne peut pas être accordé par ADMIN.

GRANT ANY PRIVILEGE

Cela permet d'accorder tous les privilèges système, à l'exception des privilèges d'administration tels que SYSDBA. L'utilisateur ADMIN ne dispose pas des privilèges SYSDBA (au lieu d'une liste de privilèges système). Utilisez la requête suivante pour répertorier les privilèges ADMIN :

SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;
GRANT ANY ROLE

Cela permet d'accorder des rôles aux utilisateurs et aux rôles utilisateur. Dans Autonomous Database, GRANT ANY ROLE peut uniquement être exercé par rapport aux rôles créés par le client. Les privilèges qui ne sont PAS accordés avec WITH ADMIN OPTION à l'utilisateur ADMIN, tels que DBA, EXP_FULL_DATABASE, et d'autres ne peuvent pas être accordés par l'utilisateur ADMIN.

Les erreurs ORA-1031 indiquent qu'un rôle ne peut pas être accordé par l'administrateur.

Restrictions relatives aux rôles et aux vues pour le dictionnaire de données

L'octroi de SELECT ANY DICTIONARY ne permet pas d'accéder aux schémas SYS/SYSTEM. Vous pouvez accorder à SELECT_CATALOG_ROLE des privilèges SELECT sur toutes les vues du dictionnaire de données, si nécessaire.