A propos de la connexion à une instance Autonomous Database

Après la création d'utilisateurs de base de données, les applications et les outils se connectent aux bases de données autonomes à l'aide d'Oracle Net Services ( également appelé SQL*Net). Oracle Net Services permet d'établir une session réseau depuis une application client vers un serveur Oracle Database.

Lorsqu'une session réseau est établie, Oracle Net Services joue le rôle de coursier de données pour l'application client et la base de données. Il est responsable de l'établissement et de la gestion de la connexion entre l'application client et la base de données, ainsi que de l'échange des messages entre ces dernières.

Oracle Net Services prend en charge différents types de connexion à une instance Autonomous Database :

  • Pilote JDBC Thin : pour les applications Java, le pilote JDBC Thin est un pilote Java pur. De nombreuses applications, notamment Oracle SQL Developer, prennent en charge les connexions de pilote JDBC fin.

  • JDBC OCI : utilisé par les applications en langage Java. JDBC OCI ajoute une couche par-dessus Oracle Call Interface pour les applications Java. L'interface de ligne de commande Oracle SQLcl utilise JDBC OCI.

  • Oracle Call Interface (OCI) : utilisé par de nombreuses applications écrites en langage C. Parmi les exemples d'utilisation d'Oracle Call Interface figurent les utilitaires Oracle tels qu'Oracle SQL*Plus, SQL*Loader et Oracle Data Pump.

  • Pilotes ODBC : utilisés par les applications exécutées sur Microsoft Windows, qui sont superposées à Oracle Call Interface (OCI).

Les produits tiers et les applications personnalisées peuvent utiliser n'importe lequel de ces types de connexion.

Rubriques

Connexions sécurisées à Autonomous Database avec mTLS ou TLS

Les connexions à Autonomous Database sont établies sur le réseau Internet public, éventuellement avec des règles de contrôle d'accès définies, ou à l'aide d'une adresse privée dans un réseau cloud virtuel (VCN) de votre location.

Lorsque vous indiquez une configuration d'adresse privée, cela autorise uniquement le trafic à partir du réseau cloud virtuel indiqué. L'accès à la base de données à partir de l'ensemble des adresses IP ou réseaux cloud virtuels publics est bloqué. La configuration d'une adresse privée vous permet de conserver tout le trafic vers et depuis votre base de données hors du réseau Internet public. Avec une adresse privée, lorsque l'accès public est activé avec Autoriser l'accès public, l'instance dispose à la fois d'une adresse privée et d'une adresse publique :

  • Le nom d'hôte privé, l'URL endpoint et l'adresse IP privée vous permettent de vous connecter à la base de données à partir du VCN où réside la base de données.

  • Le nom d'hôte public vous permet de vous connecter à la base de données à partir d'adresses IP publiques spécifiques ou de réseaux cloud virtuels spécifiques si ces derniers sont configurés pour vous connecter de manière privée à Autonomous Database à l'aide d'une passerelle de service.

De nombreuses applications prennent en charge plusieurs types de connexion, mais chaque type de connexion à Autonomous Database utilise l'authentification par certificat et la connexion de base de données TCPS (TCP sécurisé) à l'aide du protocole TLS 1.2 standard. Cela garantit l'absence d'accès non autorisés à Autonomous Database, et que les communications entre le client et le serveur sont entièrement cryptées, et ne peuvent pas être interceptées ou modifiées.

Par défaut, Autonomous Database prend en charge les connexions TLS mutuelles (mTLS) (utilisez le port 1522 pour vous connecter à mTLS). Vous avez la possibilité de configurer une instance Autonomous Database pour qu'elle prenne en charge à la fois les connexions mTLS et TLS (utilisez le port 1521 ou 1522 pour vous connecter à TLS).

Les clients utilisant l'authentification TLS avec Autonomous Database bénéficient des avantages suivants :

  • Les connexions TLS ne nécessitent pas le téléchargement d'un portefeuille. Pour les connexions TLS à l'aide du pilote JDBC Thin avec JDK8 ou une version supérieure, aucun portefeuille n'est requis. Cela inclut les connexions provenant des clients, telles que SQL Developer et la ligne de commande SQL (SQLcl).

  • Les clients qui se connectent avec TLS n'ont pas à se soucier de la rotation du portefeuille. La rotation de portefeuille est une procédure standard pour les connexions mTLS.

  • Les connexions TLS peuvent être plus rapides (ce qui réduit la latence de connexion). L'authentification TLS peut réduire la latence de connexion par rapport à mTLS.

  • Les connexions TLS et mTLS ne sont pas mutuellement exclusives. L'authentification TLS mutuelle (mTLS) est activée par défaut et toujours disponible. Lorsque vous activez l'authentification TLS, vous pouvez utiliser l'authentification mTLS ou TLS.

  • L'utilisation de l'authentification TLS ne compromet pas la communication complète de bout en bout entre un client et Autonomous Database.

Pour plus de détails sur l'obtention des chaînes de connexion TLS pour votre instance Autonomous Database, reportez-vous à Affichage des noms TNS et des chaînes de connexion pour une instance Autonomous Database.

A propos de l'authentification TLS mutuelle (mTLS)

Lorsque l'authentification mTLS (Mutual Transport Layer Security) est utilisée, les clients se connectent via une connexion de base de données TCP sécurisée (TCPS) à l'aide du protocole TLS 1.2 standard avec un certificat d'autorité de certification client sécurisée.

Avec l'authentification mutuelle, l'application client authentifie Autonomous Database, et inversement. Autonomous Database utilise l'authentification TLS mutuelle par défaut. Utilisez le port 1522 pour vous connecter à une instance Autonomous Database avec mTLS (l'affectation de port 1522 ne peut pas être modifiée).

L'authentification TLS mutuelle nécessite que le client télécharge ou obtient un certificat d'autorité de certification de client sécurisé pour la connexion à une instance Autonomous Database. Autonomous Database utilise ensuite le certificat pour authentifier le client. Cela améliore la sécurité et indique les clients qui peuvent communiquer avec une instance Autonomous Database.

L'authentification TLS mutuelle par certification utilise une clé cryptée stockée dans un portefeuille sur le client (où l'application est en cours d'exécution) et le serveur (où le service de base de données est en cours d'exécution sur l'instance Autonomous Database). La clé du client doit correspondre à celle du serveur pour établir une connexion. Un portefeuille contient un ensemble de fichiers, notamment la clé et d'autres informations nécessaires pour la connexion à l'instance Autonomous Database. Toutes les communications entre le client et le serveur sont cryptées.

Pour sécuriser la connexion à votre instance Autonomous Database, un administrateur de service télécharge les informations d'identification client ( fichiers de portefeuille) à partir d'Autonomous Database. Si vous n'êtes pas administrateur du service Autonomous Database, l'administrateur vous fournit les informations d'identification client. Pour plus d'informations, reportez-vous à Téléchargement des informations d'identification client (portefeuilles).

La figure suivante représente les connexions client sécurisées à Oracle Autonomous Database via le réseau Internet public utilisant des connexions TLS mutuelles. Si vous configurez votre base de données pour qu'elle utilise des adresses privées, le réseau Internet public n'est pas utilisé et la connexion utilise une adresse privée dans un réseau cloud virtuel (VCN) de votre location.

Description de l'image autonomous-database.eps
Description de l'illustration autonomous-database.eps

Pour plus de détails sur l'obtention des chaînes de connexion TLS pour votre instance Autonomous Database, reportez-vous à Affichage des noms TNS et des chaînes de connexion pour une instance Autonomous Database.

A propos de l'authentification TLS

Lorsque l'authentification TLS (Transport Layer Security) est utilisée, les clients se connectent via une connexion de base de données TCP sécurisée (TCPS) à l'aide du protocole TLS 1.2. Un client utilise sa liste d'autorités de certification sécurisées pour valider le certificat racine d'autorité de certification du serveur. Si l'autorité de certification émettrice est sécurisée, le client vérifie que le certificat est authentique.

Le client et Autonomous Database peuvent ainsi établir la connexion cryptée avant d'échanger des messages. Utilisez le port 1521 ou 1522 pour vous connecter à une instance Autonomous Database avec TLS (ces affectations de port ne peuvent pas être modifiées).

Lorsque vous utilisez l'authentification TLS à l'aide des clients JDBC Thin Driver, y compris Oracle SQL Developer et Oracle SQLcl, vous n'avez pas besoin de télécharger de portefeuille pour sécuriser la connexion à votre instance Autonomous Database. L'authentification TLS permet au client de vérifier l'identité du service Autonomous Database pour fournir une communication sécurisée.

Selon le type de client, une connexion TLS prend en charge Autonomous Database de la manière suivante :

  • Pour les connexions avec le pilote léger JDBC utilisant JDK8u162 ou une version supérieure, y compris les connexions avec Oracle SQL Developer et Oracle SQLcl, aucun portefeuille n'est requis.

  • Les clients Oracle Call Interface (OCI) prennent en charge l'authentification TLS sans portefeuille si vous utilisez les versions client suivantes :

    • Oracle Instant Client/Oracle Database Client 19.13 - uniquement sur Linux x64

    • Oracle Instant Client/Oracle Database Client 19.14 (ou supérieur) et 21.5 (ou supérieur) - uniquement sur Linux x64 et Windows

  • Si le client se connecte avec les versions 19.13 ou 21.4 (ou supérieures) de ODP.NET ou ODP.NET Core gérées utilisant l'authentification TLS, le client peut se connecter sans fournir de portefeuille.

Il existe des prérequis d'accès réseau pour les connexions TLS. Pour plus d'informations, reportez-vous à Prérequis d'accès réseau pour les connexions TLS.

Pour plus de détails sur l'obtention des chaînes de connexion TLS pour votre instance Autonomous Database, reportez-vous à Affichage des noms TNS et des chaînes de connexion pour une instance Autonomous Database.

Connexion à Autonomous Database via un pare-feu

La plupart des entreprises protègent les réseaux et les appareils sur un réseau à l'aide d'un pare-feu. Un pare-feu contrôle le trafic réseau entrant et sortant à l'aide de règles qui autorisent l'utilisation de certains ports et l'accès à certains ordinateurs (ou, plus précisément, à des adresses IP ou des noms d'hôte). Une fonction importante d'un pare-feu est d'assurer la séparation entre les réseaux internes et l'Internet public.

Si Autonomous Database est configuré pour un accès à l'aide du réseau Internet public, vous devez configurer le pare-feu de manière à autoriser l'accès aux serveurs Autonomous Database.

Pour accéder à Autonomous Database depuis l'arrière d'un pare-feu, ce dernier doit autoriser l'utilisation du port indiqué dans la connexion de base de données lors de la connexion aux serveurs de la connexion. Utilisez le port 1522 pour les connexions mTLS Autonomous Database (vous pouvez voir le numéro de port dans la chaîne de connexion du fichier tnsnames.ora dans le fichier credentials ZIP). Par exemple, reportez-vous à la valeur port dans le fichier tnsnames.ora suivant :

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

Le pare-feu doit autoriser l'accès aux serveurs dans le domaine .oraclecloud.com à l'aide du port 1522. Pour se connecter à Autonomous Database, selon la configuration réseau de votre organisation, vous devrez peut-être utiliser un serveur proxy ou demander à l'administrateur réseau d'ouvrir ce port.

Pour plus d'informations sur les plages d'adresses IP publiques dans Oracle Cloud Infrastructure, reportez-vous à Plages d'adresses IP. Vous devez autoriser le trafic vers ces blocs CIDR pour garantir l'accès à une instance Autonomous Database sur une adresse publique.

Utilisation de la continuité d'application

La continuité d'application masque les coupures aux utilisateurs finals et aux applications en récupérant le travail en attente des sessions de base de données concernées par les coupures. La continuité des applications effectue cette récupération sous l'application afin que la coupure apparaisse à l'application comme une exécution légèrement retardée.

Remarque

Par défaut, la continuité d'application est désactivée.

Pour plus d'informations sur la continuité d'application, reportez-vous à Utilisation de la continuité d'application sur Autonomous Database.