Documentation Oracle Cloud Infrastructure

Ajout d'utilisateurs IAM sur Autonomous Database

Pour ajouter des utilisateurs IAM afin qu'ils puissent accéder à Autonomous Database, mettez en correspondance des utilisateurs globaux de base de données avec des groupes ou utilisateurs IAM à l'aide d'instructions CREATE USER ou ALTER USER (avec la clause IDENTIFIED GLOBALLY AS).

L'autorisation d'utilisateurs IAM pour une instance Autonomous Database fonctionne par la mise en correspondance d'utilisateurs globaux IAM (schémas) avec des utilisateurs IAM (correspondance exclusive) ou des groupes IAM (correspondance de schéma partagée).

Pour autoriser les utilisateurs IAM sur une instance Autonomous Database, procédez comme suit :

  1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données qui peut utiliser IAM (l'utilisateur ADMIN dispose des privilèges système CREATE USER et ALTER USER requis dont vous avez besoin pour ces étapes).
  2. Créez une correspondance avec l'utilisateur Autonomous Database (schéma) à l'aide d'instructions CREATE USER ou ALTER USER. Incluez la clause IDENTIFIED GLOBALLY AS pour préciser le nom du groupe IAM.

    Utilisez la syntaxe suivante pour mettre en correspondance un utilisateur global avec un groupe IAM :

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_NAME';

    Par exemple, pour mettre en correspondance un groupe IAM nommé db_sales_group avec un utilisateur global de base de données partagé nommé sales_group : 

    CREATE USER sales_group IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=db_sales_group';

    Vous créez ainsi une correspondance d'utilisateur global partagé. La correspondance, avec l'utilisateur global sales_group, s'applique à tous les utilisateurs du groupe IAM. Ainsi, tout membre de db_sales_group peut se connecter à la base de données à l'aide de ses informations d'identification IAM (via la correspondance partagée de l'utilisateur global sales_group).

    L'exemple suivant montre comment effectuer cette opération pour un domaine autre que celui par défaut :

    CREATE USER shared_sales_schema IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=sales_domain/db_sales_group';
  3. Si vous voulez créer des correspondances d'utilisateur global supplémentaires pour d'autres groupes ou utilisateurs IAM, suivez ces étapes pour chaque groupe ou utilisateur IAM.
Remarque

Les utilisateurs de base de données non identifiés globalement (IDENTIFIED GLOBALLY) peuvent continuer à se connecter comme auparavant, même lorsque l'authentification IAM est activée pour la base de données autonome.

Pour établir une correspondance exclusive entre un utilisateur IAM local et un utilisateur global Oracle Database, procédez comme suit :

  1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données qui peut utiliser IAM (l'utilisateur ADMIN dispose des privilèges système CREATE USER et ALTER USER requis dont vous avez besoin pour ces étapes).

  2. Créez une correspondance avec l'utilisateur Autonomous Database (schéma) à l'aide d'instructions CREATE USER ou ALTER USER. Incluez la clause IDENTIFIED GLOBALLY AS pour préciser le nom de l'utilisateur IAM local.

    Par exemple, pour créer un utilisateur global de base de données nommé peter_fitch et le mettre en correspondance avec un utilisateur IAM local existant nommé peterfitch : 

    CREATE USER peter_fitch IDENTIFIED GLOBALLY AS 'IAM_PRINCIPAL_NAME=peterfitch'

    L'exemple suivant montre comment créer l'utilisateur en spécifiant un domaine autre que le domaine par défaut, sales_domain : 

    CREATE USER peter_fitch2 IDENTIFIED GLOBALLY AS
'IAM_PRINCIPAL_NAME=sales_domain/peterfitch';