Documentation Oracle Cloud Infrastructure

Activation de l'authentification Microsoft Entra ID sur Autonomous Database

Un administrateur Microsoft Entra ID et un administrateur Autonomous Database effectuent les étapes de configuration de l'authentification Entra ID sur Autonomous Database.

Rubrique parent : Utilisation de Microsoft Entra ID avec Autonomous Database

Activation des jetons d'accès v2 Microsoft Entra ID

Oracle Database prend en charge l'intégration avec les jetons d'accès v1 et v2 Azure AD OAuth2.

Oracle Database prend en charge le jeton Entra ID v2 ainsi que le jeton v1 par défaut. Toutefois, pour utiliser le jeton Entra ID v2, vous devez effectuer des étapes supplémentaires afin de vous assurer qu'il fonctionne avec Oracle Database. Vous pouvez utiliser ce jeton avec des applications inscrites sur le portail Azure à l'aide de l'expérience Enregistrements d'application.
Lorsque vous utilisez le jeton d'accès v2 OAuth2 Azure AD, le flux d'informations d'identification continue de fonctionner comme avant sans aucune modification. Toutefois, la revendication upn: doit être ajoutée lorsque vous utilisez des jetons v2 avec le flux interactif.
  1. Vérifiez la version du jeton d'accès Entra ID que vous utilisez.
  2. Connectez-vous au portail Microsoft Entra ID.
  3. Recherchez et sélectionnez Entra ID.
  4. Sous Gérer, sélectionnez Enregistrements d'application.
  5. Choisissez l'application pour laquelle vous voulez configurer des déclarations facultatives en fonction de votre scénario et du résultat souhaité.
  6. Sous Gérer, sélectionnez Configuration de jeton.
  7. Cliquez sur Ajouter une réclamation facultative et sélectionnez Mise à jour.
Lorsque vous utilisez des jetons v2, la revendication aud: reflète uniquement la valeur de l'ID APP. Vous n'avez pas besoin de définir le préfixe https:domain sur l'URI d'ID d'application lorsque des jetons v2 sont utilisés. Cela simplifie la configuration de la base de données car l'URI d'ID APP par défaut peut être utilisé.

Rubriques connexes

Rubrique parent : Activation de l'authentification Microsoft Entra ID sur Autonomous Database

Vérification de la version du jeton d'accès Entra ID

Vous pouvez vérifier la version du jeton d'accès Entra ID utilisée par votre site à l'aide du site Web Jetons Web JSON.

Par défaut, jeton d'accès Entra ID v1, mais votre site a peut-être choisi d'utiliser v2. Oracle Database prend en charge les jetons v1 et Autonomous Database Serverless prend également en charge les jetons v2. Si vous voulez utiliser les jetons d'accès v2, vous pouvez activer leur utilisation pour la base de données Oracle. Pour trouver la version du jeton d'accès Entra ID que vous utilisez, vous pouvez soit vérifier auprès de l'administrateur Entra ID, soit confirmer la version à partir du site Web des jetons Web JSON, comme suit.
  1. Accédez au site Web des jetons Web JSON. 
    https://jwt.io/
  2. Copiez et collez la chaîne de jeton dans le champ Encodé.
  3. Vérifiez le champ Décodé, qui affiche des informations sur la chaîne de jeton.
    Près ou en bas du champ, vous verrez une réclamation intitulée ver, qui indique l'une des versions suivantes :
    • "ver": "1.0"
    • "ver": "2.0"

Configuration de Microsoft Entra ID en tant que fournisseur d'identités externe pour Autonomous Database

Un administrateur Autonomous Database peut activer Entra ID en tant que fournisseur d'identités externe sur une instance Autonomous Database.

Pour activer Entra ID en tant que fournisseur d'identités externe :

  1. Connectez-vous à l'instance Autonomous Database en tant qu'utilisateur disposant du privilège EXECUTE sur le package PL/SQL DBMS_CLOUD_ADMIN. L'utilisateur ADMIN dispose de ce privilège.
  2. Exécutez la procédure DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION avec les paramètres requis Entra ID.
    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                            'application_id' VALUE 'application_id',
                            'application_id_uri' VALUE 'application_id_uri'),
      force => TRUE
  );
END;

    Dans cette procédure, les paramètres Entra ID sont les suivants :

    • type : indique le fournisseur d'authentification externe. Pour Entra ID, comme indiqué, utilisez 'AZURE_AD'.
    • params : les valeurs des paramètres d'ID d'intervalle requis sont disponibles à partir du portail Azure dans le volet Aperçu de l'inscription d'application pour Azure Active Directory. Le fichier params requis pour l'ID entrée est :
      • tenant_id : ID locataire du compte Azure. L'ID de locataire indique l'inscription de l'application Entra ID de l'instance Autonomous Database.
      • application_id : ID d'application Azure créé dans Entra ID pour affecter des mappings de rôles/schéma pour l'authentification externe dans l'instance Autonomous Database.
      • application_id_uri : URI unique affecté à l'application Azure.

        Il s'agit de l'identificateur de l'instance Autonomous Database. Le nom doit être qualifié de domaine (cela prend en charge l'accès aux ressources entre les locations).

        La longueur maximale de ce paramètre est de 256 caractères.

    • force : définissez ce paramètre sur TRUE si une autre méthode EXTERNAL AUTHENTICATION est configurée pour l'instance Autonomous Database et que vous voulez la désactiver.

    Par exemple :

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                            'application_id' VALUE '11aa1a11-aaa',
                            'application_id_uri' VALUE 'https://example.com/111aa1aa'),
      force  => TRUE
  );
END;

    Définit le paramètre système IDENTITY_PROVIDER_TYPE.

    Par exemple, vous pouvez utiliser les éléments suivants pour vérifier IDENTITY_PROVIDER_TYPE : 

    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
 
NAME                   VALUE   
---------------------- -------- 
identity_provider_type AZURE_AD

    Pour plus d'informations, reportez-vous à Procédure ENABLE_EXTERNAL_AUTHENTICATION.