Package DBMS_MFA_ADMIN

Le package DBMS_MFA_ADMIN facilite et configure l'accès aux jetons SQL.

Récapitulatif des sous-programmes DBMS_MFA_ADMIN
Récapitulatif des sous-programmes inclus dans le package DBMS_MFA_ADMIN.

Rubrique parent : Référence de package fourni par la base de données Autonomous AI

Récapitulatif des sous-programmes DBMS_MFA_ADMIN

Récapitule les sous-programmes inclus dans le package DBMS_MFA_ADMIN.

Procédure REGISTER_USER
La procédure DBMS_MFA_ADMIN.REGISTER_USER enregistre un utilisateur de base de données existant pour l'authentification à plusieurs facteurs en associant l'utilisateur à une adresse électronique en tant qu'identité externe. Vous pouvez activer l'authentification à plusieurs facteurs pour l'authentification de connexion, l'accès SQL ou les deux. Il prend en charge les applications de messagerie, Slack et d'authentification pour fournir des jetons d'accès sécurisés.
Procédure SET_GLOBAL_TOKEN_ATTRIBUTES
La procédure DBMS_MFA_ADMIN.SET_GLOBAL_TOKEN_ATTRIBUTES définit ou met à jour globalement les attributs d'authentification à plusieurs facteurs de jeton d'accès SQL pour tous les utilisateurs inscrits.
Procédure SET_ATTRIBUTE
DBMS_MFA_ADMIN.SET_ATTRIBUTE définit ou met à jour un attribut d'authentification à plusieurs facteurs unique pour un utilisateur inscrit et remplace toute valeur par défaut globale applicable pour cet attribut.
Procédure SET_ATTRIBUTES
La procédure DBMS_MFA_ADMIN.SET_ATTRIBUTES définit ou met à jour un ou plusieurs attributs d'authentification à plusieurs facteurs pour un utilisateur inscrit et remplace toutes les valeurs par défaut globales applicables pour ces attributs.
Procédure CONFIGURE_NOTIFICATION
La procédure DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION configure les canaux par lesquels les jetons d'authentification à plusieurs facteurs sont envoyés aux utilisateurs inscrits. Cela inclut la définition du mode de transmission et des propriétés spécifiques au canal requises pour la distribution de jetons.
Procédure DEREGISTER_USER
La procédure DBMS_MFA_ADMIN.DEREGISTER_USER enlève un utilisateur de base de données actuellement inscrit pour l'authentification à plusieurs facteurs. Une fois l'utilisateur supprimé, l'authentification à plusieurs facteurs n'est plus appliquée pour ce compte et l'utilisateur peut s'authentifier sans un second facteur.

Rubrique parent : Package DBMS_MFA_ADMIN

Procédure REGISTER_USER

La procédure DBMS_MFA_ADMIN.REGISTER_USER enregistre un utilisateur de base de données existant pour l'authentification à plusieurs facteurs en associant l'utilisateur à une adresse électronique en tant qu'identité externe. Vous pouvez activer l'authentification à plusieurs facteurs pour l'authentification de connexion, l'accès SQL ou les deux. Il prend en charge les applications de messagerie, Slack et d'authentification pour fournir des jetons d'accès sécurisés.

Syntaxe

DBMS_MFA_ADMIN.REGISTER_USER (       
       username    IN VARCHAR2,
       type        IN VARCHAR2,
       email       IN CLOB DEFAULT NULL,
       attributes  IN CLOB DEFAULT NULL
 );

Paramètres

Paramètre	Description
`username`	Spécifie le nom utilisateur pour lequel l'authentification multifacteur doit être appliquée.
`type`	Spécifie l'attribut d'authentification à plusieurs facteurs qui contrôle la mise en oeuvre de l'authentification à plusieurs facteurs pour l'utilisateur. `type` accepte les valeurs suivantes : `LOGON` : l'authentification à plusieurs facteurs est requise lors de la connexion à la base de données. `SQL ACCESS` : l'authentification à plusieurs facteurs est requise pour effectuer toute opération SQL ou LMD sur la base de données.
`email`	Spécifie l'adresse électronique à associer à l'utilisateur pour l'authentification à plusieurs facteurs.
`attributes`	Spécifie les attributs d'authentification à plusieurs facteurs au format JSON. Utilisez `attributes` pour indiquer les attributs suivants afin de générer un jeton : `auth_method` : indique la méthode d'authentification à plusieurs facteurs utilisée pour l'authentification de l'utilisateur de base de données. Les valeurs possibles pour ce paramètre sont les suivantes : `OMA_PUSH` : l'authentification à plusieurs facteurs de connexion et d'accès SQL sont pris en charge. `DUO_PUSH` : seule l'authentification à plusieurs facteurs de connexion est prise en charge. `EMAIL` : seul l'authentification à plusieurs facteurs d'accès SQL est pris en charge. `SLACK` : seul l'authentification à plusieurs facteurs d'accès SQL est pris en charge. Remarque Pour `type =>'LOGON', auth_method`, seul l'attribut pris en charge est utilisé. `duration_min` : indique une durée entière positive, en minutes, pour laquelle le jeton est valide. La valeur par défaut de cet attribut est de `1440` minutes (1 jour). `idle_timeout_min` : indique le temps d'inactivité maximal autorisé, en minutes, pour une session avant l'expiration du jeton d'accès SQL pour cette session. La valeur par défaut est `NULL`. `read_only` : indique si l'utilisateur inscrit dispose d'un accès en lecture seule aux requêtes SQL à la base de données. La valeur par défaut est `FALSE`. Cet attribut s'applique uniquement lorsque la portée est définie sur `SESSION`. `roles` : indique un tableau JSON de rôles de base de données qui doivent être affectés au jeton d'accès SQL généré pour l'utilisateur. Par exemple, `"roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE')`. La valeur par défaut de cet attribut est `NULL`. `scope` : indique la portée à laquelle le jeton d'accès SQL est valide. `scope` accepte les valeurs suivantes : `session`: Le jeton validé accorde l'accès SQL à la session de base de données en cours uniquement pendant la durée indiquée dans l'attribut `duration_min`. `user`: Le jeton validé accorde un accès SQL aux sessions de base de données en cours et suivantes pendant la durée indiquée dans l'attribut `duration_min`. La valeur par défaut pour cet attribut est `session`. `enable_authenticator` : indique que l'application d'authentification est configurée pour l'utilisateur et utilisée pour le jeton d'accès SQL. La valeur par défaut de cet attribut est `FALSE`. `slack_member_id` : indique l'ID Slack où le jeton d'accès SQL doit être transmis via un message Slack.

Exemples

Exemple d'inscription d'un utilisateur pour la connexion à l'authentification à plusieurs facteurs :

BEGIN
    DBMS_MFA_ADMIN.REGISTER_USER(
      user_name        => 'SCOTT',
      type             => 'LOGON',
      email            => 'scott@example.com',
      token_attributes => '{"auth_method":"oma_push"}'
   );
END;
/

Exemple d'enregistrement d'un utilisateur pour l'accès SQL en définissant les attributs d'authentification à plusieurs facteurs.

BEGIN
    DBMS_MFA_ADMIN.REGISTER_USER( 
      user_name   => 'SCOTT',
      type        => 'SQL ACCESS',
      email       => 'scott@example.com',
      attributes  => '{
             "duration_min"   : 720,
             "read_only"      : true,
             "roles"          : ["DEVELOPER_ROLE", "INFRA_ROLE"],
             "scope"          : "SESSION",
             "slack_member_id": "<slack_user_id>"
      }'
   );
END;
/

Notes d'utilisation

Pour inscrire un utilisateur, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer de privilèges sur le package DBMS_MFA_ADMIN.
Vous pouvez inscrire des utilisateurs de base de données pour l'authentification à plusieurs facteurs à l'aide de différents fournisseurs en fonction du type d'authentification à plusieurs facteurs : Duo et OMA sont pris en charge pour l'authentification à plusieurs facteurs lors de la connexion, tandis que Slack, OMA et les courriels sont pris en charge pour l'authentification à plusieurs facteurs par jeton d'accès SQL.
Vous pouvez inscrire le même utilisateur pour les deux types d'authentification à plusieurs facteurs (connexion à l'authentification à plusieurs facteurs et accès SQL) en les enregistrant séparément pour chacun d'eux. Vous pouvez utiliser la même adresse électronique ou une adresse différente pour chaque inscription ; une fois configurée, l'utilisateur reçoit une notification push à l'adresse électronique enregistrée lors de la connexion, et une autre notification, à la même adresse, si elle est utilisée, lorsque l'utilisateur exécute INITIALIZE_SESSION pour l'accès SQL.

Rubrique parent : Récapitulatif des sous-programmes DBMS_MFA_ADMIN

Procédure SET_GLOBAL_TOKEN_ATTRIBUTES

La procédure DBMS_MFA_ADMIN.SET_GLOBAL_TOKEN_ATTRIBUTES définit ou met à jour globalement les attributs d'authentification à plusieurs facteurs de jeton d'accès SQL pour tous les utilisateurs inscrits.

Syntaxe

DBMS_MFA_ADMIN.SET_GLOBAL_TOKEN_ATTRIBUTES(       
    attributes IN VARCHAR2
);

Paramètres

Paramètre Description

Paramètre	Description
`attributes`	Spécifie les attributs de jeton au format JSON pour générer un jeton d'accès. Les valeurs valides sont les suivantes : `duration_min` : indique la durée, en minutes, pendant laquelle le jeton est valide. La valeur par défaut est de `1440` minutes (1 jour). `idle_timeout_min` : indique le temps d'inactivité maximal autorisé, en minutes, pour une session avant l'expiration du jeton d'accès SQL pour cette session. La valeur par défaut est `NULL`. `read_only` : indique si l'utilisateur inscrit dispose d'un accès en lecture seule aux requêtes SQL à la base de données. La valeur par défaut est `FALSE`. Cet attribut s'applique uniquement lorsque la portée est définie sur `SESSION`. `roles` : indique un tableau JSON de rôles de base de données qui doivent être affectés au jeton d'accès SQL généré pour l'utilisateur. Par exemple, `"roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE')`. La valeur par défaut est `NULL`. `scope` : indique la portée à laquelle le jeton d'accès SQL est valide. Les valeurs valides sont les suivantes : `session` : le jeton validé accorde l'accès SQL à la session de base de données en cours uniquement pendant la durée indiquée dans l'attribut `duration_min`. `user` : le jeton validé accorde un accès SQL aux sessions de base de données en cours et suivantes pendant la durée indiquée dans l'attribut `duration_min`. La valeur par défaut est `session`. `enable_authenticator` : indique que l'application d'authentification est configurée pour l'utilisateur et utilisée pour le jeton d'accès SQL. La valeur par défaut est `FALSE`.

attributes

Spécifie les attributs de jeton au format JSON pour générer un jeton d'accès. Les valeurs valides sont les suivantes :

duration_min : indique la durée, en minutes, pendant laquelle le jeton est valide.

La valeur par défaut est de 1440 minutes (1 jour).
idle_timeout_min : indique le temps d'inactivité maximal autorisé, en minutes, pour une session avant l'expiration du jeton d'accès SQL pour cette session.

La valeur par défaut est NULL.
read_only : indique si l'utilisateur inscrit dispose d'un accès en lecture seule aux requêtes SQL à la base de données. La valeur par défaut est FALSE. Cet attribut s'applique uniquement lorsque la portée est définie sur SESSION.
roles : indique un tableau JSON de rôles de base de données qui doivent être affectés au jeton d'accès SQL généré pour l'utilisateur.

Par exemple, "roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE').

La valeur par défaut est NULL.
scope : indique la portée à laquelle le jeton d'accès SQL est valide.

Les valeurs valides sont les suivantes :
- session : le jeton validé accorde l'accès SQL à la session de base de données en cours uniquement pendant la durée indiquée dans l'attribut duration_min.
- user : le jeton validé accorde un accès SQL aux sessions de base de données en cours et suivantes pendant la durée indiquée dans l'attribut duration_min.
La valeur par défaut est session.
enable_authenticator : indique que l'application d'authentification est configurée pour l'utilisateur et utilisée pour le jeton d'accès SQL.

La valeur par défaut est FALSE.

Remarque sur l'utilisation

Pour définir les attributs de jeton, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer de privilèges sur le package DBMS_MFA_ADMIN.

Rubrique parent : Récapitulatif des sous-programmes DBMS_MFA_ADMIN

Procédure SET_ATTRIBUTE

DBMS_MFA_ADMIN.SET_ATTRIBUTE définit ou met à jour un attribut d'authentification à plusieurs facteurs unique pour un utilisateur inscrit et remplace toute valeur par défaut globale applicable pour cet attribut.

Remarque

Pour l'authentification à plusieurs facteurs lors de la connexion, auth_method est le seul attribut pris en charge.

Syntaxe

DBMS_MFA_ADMIN.SET_ATTRIBUTE(            
  username         IN VARCHAR2,
  type             IN VARCHAR2,
  email            IN VARCHAR2 DEFAULT NULL,
  attribute_name   IN VARCHAR2,
  attribute_value  IN CLOB
);

Paramètres

Paramètre	Description
`username`	Indique l'utilisateur de base de données dont l'attribut d'authentification à plusieurs facteurs doit être mis à jour.
`type`	Spécifie l'attribut d'authentification à plusieurs facteurs qui contrôle la mise en oeuvre de l'authentification à plusieurs facteurs pour l'utilisateur. Les valeurs valides sont les suivantes : `LOGON` : l'authentification à plusieurs facteurs est requise lors de la connexion à une application Oracle. `SQL ACCESS` : l'authentification à plusieurs facteurs est requise pour effectuer toute opération SQL ou LMD sur la base de données.
`email`	Spécifie l'adresse électronique à associer à l'utilisateur pour l'authentification à plusieurs facteurs. Ce paramètre est facultatif et est défini par défaut sur `NULL.`
`attribute_name`	Indique le nom de l'attribut d'authentification à plusieurs facteurs à mettre à jour. Les valeurs valides sont les suivantes : `auth_method` : indique la méthode d'authentification à plusieurs facteurs utilisée pour l'authentification de l'utilisateur de base de données. Les valeurs possibles pour ce paramètre sont les suivantes : `OMA_PUSH` : l'authentification à plusieurs facteurs de connexion et d'accès SQL sont pris en charge. `DUO_PUSH` : seule l'authentification à plusieurs facteurs de connexion est prise en charge. `EMAIL` : seul l'authentification à plusieurs facteurs d'accès SQL est pris en charge. `SLACK` : seul l'authentification à plusieurs facteurs d'accès SQL est pris en charge. `duration_min` : indique la durée, en minutes, pendant laquelle le jeton est valide. La valeur par défaut est de 1440 minutes (1 jour). `idle_timeout_min` : indique le temps d'inactivité maximal autorisé, en minutes, pour une session avant l'expiration du jeton d'accès SQL pour cette session. La valeur par défaut est `NULL`. `read_only` : indique si l'utilisateur inscrit dispose d'un accès en lecture seule aux requêtes SQL à la base de données. La valeur par défaut est `FALSE`. Cet attribut s'applique uniquement lorsque la portée est définie sur `SESSION`. `roles` : indique un tableau JSON de rôles de base de données qui doivent être affectés au jeton d'accès SQL généré pour l'utilisateur. Par exemple, `"roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE')`. La valeur par défaut est `NULL`. `scope` : indique la portée à laquelle le jeton d'accès SQL est valide. Les valeurs valides sont les suivantes : `session`: Le jeton validé accorde l'accès SQL à la session de base de données en cours uniquement pendant la durée indiquée dans l'attribut `duration_min`. `user`: Le jeton validé accorde un accès SQL aux sessions de base de données en cours et suivantes pendant la durée indiquée dans l'attribut `duration_min`. La valeur par défaut de cet attribut est `session`. `enable_authenticator` : indique que l'application d'authentification est configurée pour l'utilisateur et utilisée pour le jeton d'accès SQL. La valeur par défaut de cet attribut est `FALSE`. `slack_member_id` : indique l'ID Slack où le jeton d'accès SQL doit être transmis via un message Slack.
`attribute_value`	Nouvelle valeur pour l'attribut spécifié.

Exemple

Exemple de mise à jour du paramètre d'authentification à plusieurs facteurs pour l'utilisateur SCOTT :

BEGIN
  DBMS_MFA_ADMIN.SET_ATTRIBUTE(    
    username         => 'scott',
    type             => 'sql access',
    email            => 'testscott@example.com',
    attribute_name   => 'duration_min',
    attribute_value  => '20');
END;
/

Notes d'utilisation

Le paramètre username doit indiquer un utilisateur de base de données existant inscrit pour l'authentification à plusieurs facteurs.
Vous devez être connecté en tant qu'utilisateur ADMIN ou disposer de privilèges sur le package DBMS_MFA_ADMIN pour exécuter cette procédure.

Rubrique parent : Récapitulatif des sous-programmes DBMS_MFA_ADMIN

Procédure SET_ATTRIBUTES

La procédure DBMS_MFA_ADMIN.SET_ATTRIBUTES définit ou met à jour un ou plusieurs attributs d'authentification à plusieurs facteurs pour un utilisateur inscrit et remplace toutes les valeurs par défaut globales applicables pour ces attributs.

Remarque

Pour l'authentification à plusieurs facteurs lors de la connexion, auth_method est le seul attribut pris en charge.

Syntaxe

DBMS_MFA_ADMIN.SET_ATTRIBUTES (          
   username    IN VARCHAR2,
   type        IN VARCHAR2,
   attributes  IN CLOB
);

Paramètres

Paramètre	Description
`username`	Spécifie le nom utilisateur dont les attributs d'authentification à plusieurs facteurs doivent être mis à jour.
`type`	Spécifie l'attribut d'authentification à plusieurs facteurs qui contrôle la mise en oeuvre de l'authentification à plusieurs facteurs pour l'utilisateur. Les valeurs valides sont les suivantes : `LOGON` : l'authentification à plusieurs facteurs est requise lors de la connexion à la base de données. `SQL ACCESS` : l'authentification à plusieurs facteurs est requise pour effectuer toute opération SQL ou LMD sur la base de données.
`attributes`	Spécifie les attributs d'authentification à plusieurs facteurs au format JSON. Les valeurs valides sont les suivantes : `auth_method` : indique la méthode d'authentification à plusieurs facteurs utilisée pour l'authentification de l'utilisateur de base de données. Les valeurs possibles pour ce paramètre sont les suivantes : `OMA_PUSH` : l'authentification à plusieurs facteurs de connexion et d'accès SQL sont pris en charge. `DUO_PUSH` : seule l'authentification à plusieurs facteurs de connexion est prise en charge. `EMAIL` : seul l'authentification à plusieurs facteurs d'accès SQL est pris en charge. `SLACK` : seul l'authentification à plusieurs facteurs d'accès SQL est pris en charge. `duration_min` : indique la durée, en minutes, pendant laquelle le jeton est valide. La valeur par défaut est de 1440 minutes (1 jour). `idle_timeout_min` : indique le temps d'inactivité maximal autorisé, en minutes, pour une session avant l'expiration du jeton d'accès SQL pour cette session. La valeur par défaut est `NULL`. `read_only` : indique si l'utilisateur inscrit dispose d'un accès en lecture seule aux requêtes SQL à la base de données. La valeur par défaut est `FALSE`. Cet attribut s'applique uniquement lorsque la portée est définie sur `SESSION`. `roles` : indique un tableau JSON de rôles de base de données qui doivent être affectés au jeton d'accès SQL généré pour l'utilisateur. Par exemple, `"roles": JSON_ARRAY('DEVELOPER_ROLE', 'INFRA_ROLE')`. La valeur par défaut est `NULL`. `scope` : indique la portée à laquelle le jeton d'accès SQL est valide. Les valeurs valides sont les suivantes : `session`: Le jeton validé accorde l'accès SQL à la session de base de données en cours uniquement pendant la durée indiquée dans l'attribut `duration_min`. `user`: Le jeton validé accorde un accès SQL aux sessions de base de données en cours et suivantes pendant la durée indiquée dans l'attribut `duration_min`. La valeur par défaut de cet attribut est `session`. `enable_authenticator` : indique que l'application d'authentification est configurée pour l'utilisateur et utilisée pour le jeton d'accès SQL. La valeur par défaut de cet attribut est `FALSE`. `slack_member_id` : indique l'ID Slack où le jeton d'accès SQL doit être transmis via un message Slack.

Exemple

Exemple de mise à jour du paramètre d'authentification à plusieurs facteurs pour l'utilisateur SCOTT :

BEGIN
  DBMS_MFA_ADMIN.SET_ATTRIBUTES(
    username   => 'SCOTT',
    type       => 'SQL ACCESS',
    attributes => json_object(
                    'duration_min'        VALUE 15,
                    'email'               VALUE 'testscott@example.com',
                    'scope'               VALUE 'session',
                    'idle_timeout_min'    VALUE 10)
  );
END;
/

Notes d'utilisation

Le paramètre USERNAME doit indiquer un utilisateur de base de données existant inscrit pour l'authentification à plusieurs facteurs.
Vous devez être connecté en tant qu'utilisateur ADMIN ou disposer de privilèges sur le package DBMS_MFA_ADMIN pour exécuter cette procédure.

Rubrique parent : Récapitulatif des sous-programmes DBMS_MFA_ADMIN

Procédure CONFIGURE_NOTIFICATION

La procédure DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION configure les canaux par lesquels les jetons d'authentification à plusieurs facteurs sont envoyés aux utilisateurs inscrits. Cela inclut la définition du mode de transmission et des propriétés spécifiques au canal requises pour la distribution de jetons.

Syntaxe

DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION (        
    notification_type  IN VARCHAR2,
    attributes         IN CLOB
);

Paramètres

Paramètre Description

Paramètre	Description
`notification_type`	Indique le type de canal de notification à configurer. Les valeurs valides sont : `EMAIL`, `SLACK`, `OMA`, `DUO`.
`attributes`	Fournit les détails de configuration du canal de notification indiqué au format JSON. Voici les types d'attribut valides pour chacun des canaux de notification suivants : COURRIEL : requis pour la configuration de la connexion à l'authentification à plusieurs facteurs ; mot de passe à usage unique par courriel pris en charge uniquement pour l'authentification à plusieurs facteurs par jeton d'accès SQL `credential_name` : nom de l'objet d'informations d'identification par courriel créé dans la base de données. `sender` : adresse électronique de l'hôte approuvé qui apparaîtra en tant qu'expéditeur des messages d'authentification à plusieurs facteurs. Cette adresse doit être autorisée par votre serveur SMTP. `smtp_host` : nom de domaine complet ou adresse IP du serveur SMTP qui enverra des courriels de notification d'authentification à plusieurs facteurs. `smtp_port` : numéro de port utilisé pour la connexion au serveur SMTP, généralement `587` pour TLS ou `465` pour SSL. Ce paramètre est facultatif et est défini par défaut sur `587`. `sender_email_display_name` : nom d'affichage qui apparaîtra comme expéditeur. Ce paramètre est facultatif et est défini par défaut sur `NULL`. SLACK : pris en charge uniquement pour l'authentification multifacteurs SQL Acccess Token `credential_name` : nom des informations d'identification contenant les informations d'authentification pour l'envoi de jetons en tant que notifications Slack. OMA : pris en charge pour l'authentification à plusieurs facteurs de connexion et de jeton SQL Acccess `credential_name` : nom de l'objet d'informations d'identification qui contient les informations d'authentification utilisées pour envoyer des notifications d'authentification à plusieurs facteurs en toute sécurité via OMA. `api_endpoint` : URL du domaine Oracle Identity and Access Management (IAM) associé à ces informations d'identification. Cette adresse identifie l'instance IAM utilisée pour inscrire les utilisateurs au domaine OCI IAM, gérer le facteur d'authentification à plusieurs facteurs et traiter les demandes d'authentification OMA, y compris l'envoi de notifications d'authentification à plusieurs facteurs aux utilisateurs. DUO : uniquement pris en charge pour l'authentification à plusieurs facteurs de connexion : `credential_name` : nom de l'objet d'informations d'identification qui contient les informations d'authentification utilisées pour envoyer des notifications d'authentification à plusieurs facteurs en toute sécurité via OMA. `api_endpoint` : nom d'hôte d'API fourni par Duo Security pour votre intégration, par exemple, API-xxxxxxxx.duosecurity.com..

notification_type

Indique le type de canal de notification à configurer. Les valeurs valides sont : EMAIL, SLACK, OMA, DUO.

attributes

Fournit les détails de configuration du canal de notification indiqué au format JSON.

Voici les types d'attribut valides pour chacun des canaux de notification suivants :

COURRIEL : requis pour la configuration de la connexion à l'authentification à plusieurs facteurs ; mot de passe à usage unique par courriel pris en charge uniquement pour l'authentification à plusieurs facteurs par jeton d'accès SQL

credential_name : nom de l'objet d'informations d'identification par courriel créé dans la base de données.
sender : adresse électronique de l'hôte approuvé qui apparaîtra en tant qu'expéditeur des messages d'authentification à plusieurs facteurs. Cette adresse doit être autorisée par votre serveur SMTP.
smtp_host : nom de domaine complet ou adresse IP du serveur SMTP qui enverra des courriels de notification d'authentification à plusieurs facteurs.
smtp_port : numéro de port utilisé pour la connexion au serveur SMTP, généralement 587 pour TLS ou 465 pour SSL. Ce paramètre est facultatif et est défini par défaut sur 587.
sender_email_display_name : nom d'affichage qui apparaîtra comme expéditeur. Ce paramètre est facultatif et est défini par défaut sur NULL.

SLACK : pris en charge uniquement pour l'authentification multifacteurs SQL Acccess Token

credential_name : nom des informations d'identification contenant les informations d'authentification pour l'envoi de jetons en tant que notifications Slack.

OMA : pris en charge pour l'authentification à plusieurs facteurs de connexion et de jeton SQL Acccess

credential_name : nom de l'objet d'informations d'identification qui contient les informations d'authentification utilisées pour envoyer des notifications d'authentification à plusieurs facteurs en toute sécurité via OMA.
api_endpoint : URL du domaine Oracle Identity and Access Management (IAM) associé à ces informations d'identification. Cette adresse identifie l'instance IAM utilisée pour inscrire les utilisateurs au domaine OCI IAM, gérer le facteur d'authentification à plusieurs facteurs et traiter les demandes d'authentification OMA, y compris l'envoi de notifications d'authentification à plusieurs facteurs aux utilisateurs.

DUO : uniquement pris en charge pour l'authentification à plusieurs facteurs de connexion :

credential_name : nom de l'objet d'informations d'identification qui contient les informations d'authentification utilisées pour envoyer des notifications d'authentification à plusieurs facteurs en toute sécurité via OMA.
api_endpoint : nom d'hôte d'API fourni par Duo Security pour votre intégration, par exemple, API-xxxxxxxx.duosecurity.com..

Exemples

Exemple : configuration du canal de notification EMAIL

BEGIN
    DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION (
    notification_type => 'EMAIL',
    attributes        => JSON_OBJECT(
                          'credential_name'           VALUE 'EMAIL_CRED',
                          'smtp_host'                 VALUE 'smtp.email.us-phoenix-1.oci.oraclecloud.com',
                          'sender'                    VALUE 'send.email@test.com',
                          'smtp_port'                 VALUE 587,
                          'sender_email_display_name' VALUE 'DB SECURITY')
  );
END;
/

Exemple : configuration du canal de notification Slack

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
        notification_type => 'SLACK',
        attributes             => JSON_OBJECT('credential_name' VALUE 'SLACK_CRED')
  );
END;
/

Exemple : configuration du canal de notification OMA

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
    notification_type => 'OMA',
    attributes        => JSON_OBJECT(
                                     'credential_name' VALUE 'OMA_CRED_01',
                                     'api_endpoint'    VALUE 'https://idcs-xyz.identity.oraclecloud.com'
    )
  );
END;
/

Exemple : Configurer le canal de notification DUO

BEGIN
  DBMS_MFA_ADMIN.CONFIGURE_NOTIFICATION(
    notification_type => 'OMA',
    attributes        => JSON_OBJECT(
                                      'credential_name' VALUE 'OMA_CRED_01',
                                      'api_endpoint'    VALUE 'https://idcs-xyz.identity.oraclecloud.com'
    )
  );
END;
/

Notes d'utilisation

Pour exécuter cette procédure, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer de privilèges sur le package DBMS_MFA_ADMIN.
Pour les notifications Slack, définissez les informations d'identification requises et vérifiez que l'intégration Slack est activée dans votre environnement. Les notifications Slack sont prises en charge uniquement pour les opérations d'authentification à plusieurs facteurs d'accès SQL.
- Pour définir les attributs de jeton, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer de privilèges sur le package DBMS_MFA_ADMIN.
- Pour les jetons basés sur l'application d'authentification :
  - Installez une application d'authentification prise en charge sur l'appareil mobile que vous souhaitez inscrire pour l'authentification à multiples facteurs.
  - Vous devez configurer l'authentification à plusieurs facteurs à l'aide d'un appareil auquel vous pouvez accéder à chaque connexion. L'authentification multifacteur ne peut pas être activée en votre nom par un autre utilisateur.
  - Pour activer l'authentification à plusieurs facteurs, utilisez l'application d'authentification sur votre appareil mobile pour scanner le code QR généré dans l'interface utilisateur Database Actions. Pour plus d'informations, reportez-vous à Configuration d'Oracle Mobile Authenticator.
    
    Vous ne pouvez enregistrer qu'un seul appareil mobile pour l'authentification à plusieurs facteurs.
- Pour la remise de jetons par courriel, assurez-vous que la remise de courriels est activée et que les adresses électroniques valides sont configurées pour les utilisateurs de base de données. Pour plus d'informations, reportez-vous à Envoi de courriels sur une base de données d'IA autonome.
- Pour la distribution de jetons basés sur Slack, configurez le module d'extension Slack et inscrivez l'ID Slack de l'utilisateur pour la distribution des mots de passe à usage unique. Pour plus d'informations, reportez-vous à Envoi de notifications Slack à partir d'une base de données Autonomous AI.

Rubrique parent : Récapitulatif des sous-programmes DBMS_MFA_ADMIN

Procédure DEREGISTER_USER

La procédure DBMS_MFA_ADMIN.DEREGISTER_USER enlève un utilisateur de base de données actuellement inscrit pour l'authentification à plusieurs facteurs. Une fois l'utilisateur supprimé, l'authentification à plusieurs facteurs n'est plus appliquée pour ce compte et l'utilisateur peut s'authentifier sans un second facteur.

Syntaxe

PROCEDURE DBMS_MFA_ADMIN.DEREGISTER_USER (
  username IN VARCHAR2,
  type     IN VARCHAR2,
  email    IN VARCHAR2 DEFAULT NULL
);

Paramètres

Paramètre Description

Paramètre	Description
`username`	Spécifie le nom utilisateur pour lequel l'authentification multifacteur doit être supprimée.
`type`	Spécifie l'attribut d'authentification à plusieurs facteurs qui contrôle la mise en oeuvre de l'authentification à plusieurs facteurs pour l'utilisateur. Les valeurs valides sont les suivantes : `LOGON` : l'authentification à plusieurs facteurs est requise lors de la connexion à la base de données. `SQL ACCESS` : l'authentification à plusieurs facteurs est requise pour effectuer toute opération SQL ou LMD sur la base de données.
`email`	Spécifie l'adresse électronique associée à l'utilisateur pour l'authentification à plusieurs facteurs. Ce paramètre est facultatif et est défini par défaut sur `NULL`.

username

Spécifie le nom utilisateur pour lequel l'authentification multifacteur doit être supprimée.

type

Spécifie l'attribut d'authentification à plusieurs facteurs qui contrôle la mise en oeuvre de l'authentification à plusieurs facteurs pour l'utilisateur. Les valeurs valides sont les suivantes :

LOGON : l'authentification à plusieurs facteurs est requise lors de la connexion à la base de données.
SQL ACCESS : l'authentification à plusieurs facteurs est requise pour effectuer toute opération SQL ou LMD sur la base de données.

email

Spécifie l'adresse électronique associée à l'utilisateur pour l'authentification à plusieurs facteurs.

Ce paramètre est facultatif et est défini par défaut sur NULL.

Exemples

BEGIN
  DBMS_MFA_ADMIN.DEREGISTER_USER(
    username => 'SCOTT',
    type     => 'SQL ACCESS',
    email    => 'scott@example.com'
  );
END;
/

Cet exemple annule l'inscription de l'utilisateur SCOTT à l'authentification à plusieurs facteurs pour l'élément type (SQL ACCESS) indiqué et enlève l'identité de messagerie associée (scott@example.com) de la configuration de l'authentification à plusieurs facteurs.

Remarque sur l'utilisation

Pour exécuter cette procédure, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer de privilèges sur le package DBMS_MFA_ADMIN.
Si un utilisateur est enregistré avec plusieurs adresses e-mail, annulez l'enregistrement de chaque adresse e-mail individuellement.

Rubrique parent : Récapitulatif des sous-programmes DBMS_MFA_ADMIN

Documentation Oracle Cloud Infrastructure

Package DBMS_MFA_ADMIN

Récapitulatif des sous-programmes DBMS_MFA_ADMIN

Procédure REGISTER_USER

Procédure SET_GLOBAL_TOKEN_ATTRIBUTES

Procédure SET_ATTRIBUTE

Procédure SET_ATTRIBUTES

Procédure CONFIGURE_NOTIFICATION

Procédure DEREGISTER_USER