Utilisation de Microsoft Active Directory avec Autonomous Database
Les utilisateurs Active Directory peuvent ainsi accéder à Autonomous Database à l'aide de leurs informations d'identification Active Directory, y compris les mots de passe et Kerberos.
- Prérequis pour la configuration de la CMU avec Microsoft Active Directory sur Autonomous Database
Vous pouvez configurer Autonomous Database de façon à authentifier et à autoriser les utilisateurs Microsoft Active Directory. - Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database
Vous pouvez configurer Autonomous Database de façon à authentifier et à autoriser les utilisateurs Microsoft Active Directory. - Authentification Kerberos pour la CMU avec Microsoft Active Directory
Vous pouvez configurer Autonomous Database de façon à utiliser l'authentification Kerberos pour la CMU avec les utilisateurs Microsoft Active Directory. Cette configuration permet aux utilisateurs de CMU Active Directory (CMU-AD) d'accéder à une instance Autonomous Database à l'aide d'informations d'identification Kerberos. - Ajout de rôles Microsoft Active Directory sur Autonomous Database
Pour ajouter des rôles Active Directory, mettez en correspondance les rôles globaux de base de données avec les groupes Active Directory à l'aide d'instructionsCREATE ROLE
ouALTER ROLE
(et incluez la clauseIDENTIFIED GLOBALLY AS
). - Ajout d'utilisateurs Microsoft Active Directory sur Autonomous Database
Pour ajouter des utilisateurs Active Directory afin qu'ils accèdent à une base de données, mettez en correspondance des utilisateurs globaux de base de données avec des groupes ou utilisateurs Active Directory à l'aide d'instructionsCREATE USER
ouALTER USER
(avec la clauseIDENTIFIED GLOBALLY AS
). - Restrictions liées aux outils avec Active Directory sur Autonomous Database
- Connexion à Autonomous Database avec les informations d'identification utilisateur Active Directory
Une fois que l'utilisateur ADMIN a terminé les étapes de configuration de la fonctionnalité commune Active Directory et créé des rôles et utilisateurs globaux, les utilisateurs se connectent à la base de données à l'aide de leur nom utilisateur et de leur mot de passe Active Directory. - Vérification des informations de connexion d'utilisateur Active Directory avec Autonomous Database
Lorsque les utilisateurs se connectent à la base de données à l'aide de leur nom utilisateur et de leur mot de passe Active Directory, vous pouvez vérifier et auditer l'activité utilisateur. - Suppression d'utilisateurs et de rôles Active Directory sur Autonomous Database
Pour enlever des utilisateurs et des rôles Active Directory des bases de données autonomes, utilisez des commandes de base de données standard. Vous n'enlevez pas les utilisateurs ou groupes Active Directory associés qui ont été mis en correspondance à partir des utilisateurs ou des rôles de base de données supprimés. - Activation de l'accès à Active Directory sur Autonomous Database
Décrit les étapes permettant d'enlever la configuration de la fonctionnalité commune de votre instance Autonomous Database (et de désactiver l'accès LDAP de votre instance Autonomous Database vers Active Directory).
Rubrique parent : Gestion des utilisateurs
Prérequis pour la configuration de la CMU avec Microsoft Active Directory sur Autonomous Database
Selon l'emplacement des serveurs Active Directory, il existe deux options de configuration d'Autonomous Database avec des utilisateurs gérés centralement (CMU) avec Microsoft Active Directory :
-
Serveurs Active Directory (AD) accessibles publiquement : les serveurs Active Directory sont accessibles à partir d'Autonomous Database via le réseau Internet public.
-
Les serveurs Active Directory (AD) résident sur une adresse privée : les serveurs Active Directory résident sur une adresse privée et ne sont pas accessibles à partir d'Autonomous Database via le réseau Internet public. Dans ce cas, une étape de configuration supplémentaire est requise, comme indiqué à la dernière étape de Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database, où vous définissez la propriété de base de données
ROUTE_OUTBOUND_CONNECTIONS
.
Pour plus d'informations sur l'utilisation d'Azure Active Directory avec Autonomous Database, reportez-vous à Utilisation de l'ID Microsoft Entra avec Autonomous Database. L'option CMU prend en charge les serveurs Microsoft Active Directory, mais pas le service Azure Active Directory.
L'intégration d'Autonomous Database avec la fonctionnalité Utilisateurs gérés centralement permet l'intégration à Microsoft Active Directory. La fonctionnalité Utilisateurs gérés centralement avec Active Directory fonctionne en mettant en correspondance les utilisateurs et rôles globaux de base de données Oracle avec les utilisateurs et groupes Microsoft Active Directory.
Voici les prérequis pour configurer la connexion entre Autonomous Database et Active Directory :
-
Microsoft Active Directory doit être installé et configuré. Pour plus d'informations, reportez-vous à Introduction à AD DS.
-
Vous devez créer un utilisateur d'annuaire de service Oracle dans Active Directory. Pour plus d'informations sur le compte utilisateur d'annuaire de service Oracle, reportez-vous à Connexion à Microsoft Active Directory.
-
Un administrateur système Active Directory doit avoir installé le filtre de mot de passe Oracle sur les serveurs Active Directory, et configuré des groupes Active Directory avec des utilisateurs Active Directory pour répondre à vos besoins.
Remarque
Ceci n'est pas requis si vous utilisez l'authentification Kerberos pour la CMU Active Directory. Pour plus d'informations, reportez-vous à la section Kerberos Authentication for CMU with Microsoft Active Directory.Si vous utilisez l'authentification par mot de passe avec la CMU Active Directory pour Autonomous Database, vous devez utiliser l'utilitaire inclus
opwdintg.exe
pour installer le filtre de mot de passe Oracle sur Active Directory, étendre le schéma et créer trois groupesORA_VFR
pour trois types de génération de vérificateur de mot de passe. Pour plus d'informations sur l'installation du filtre de mot de passe Oracle, reportez-vous à Connexion à Microsoft Active Directory. -
Vous avez besoin du portefeuille de base de données de configuration de la fonctionnalité Utilisateurs gérés centralement
cwallet.sso
et du fichier de configuration de la fonctionnalitédsi.ora
afin de configurer cette dernière pour votre base de données autonome:-
Si vous avez configuré la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site, vous pouvez obtenir ces fichiers de configuration à partir du serveur de base de données sur site.
-
Si vous n'avez pas configuré la CMU pour une base de données sur site, vous devez créer ces fichiers. Vous téléchargez ensuite les fichiers de configuration vers le cloud afin de configurer la fonctionnalité Utilisateurs gérés centralement sur votre instance Autonomous Database. Vous pouvez valider le portefeuille et le fichier
dsi.ora
en configurant la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site et en vérifiant qu'un utilisateur Active Directory peut se connecter à cette base de données avec ces fichiers de configuration.
Pour plus de détails sur le fichier de portefeuille dans le cadre de la fonctionnalité Utilisateurs gérés centralement, reportez-vous à Création du portefeuille pour une connexion sécurisée et à Vérification du portefeuille Oracle.
Pour plus d'informations sur le fichier
dsi.ora
dans le cadre de la fonctionnalité Utilisateurs gérés centralement, reportez-vous à Création du fichier dsi.ora.Pour plus d'informations sur la configuration d'Active Directory pour la fonctionnalité Utilisateurs gérés centralement et sur le dépannage de cette dernière pour les bases de données sur site, reportez-vous à Procédure de configuration de la fonctionnalité Utilisateurs gérés centralement pour Database version 18c ou ultérieure (ID de document 2462012.1).
-
-
Le port 636 des serveurs Active Directory doit être ouvert à Autonomous Database dans Oracle Cloud Infrastructure. Cela permet à Autonomous Database d'accéder aux serveurs Active Directory.
-
Lorsque les serveurs Active Directory se trouvent sur une adresse publique :
-
Les serveurs Active Directory doivent être accessibles à partir d'Autonomous Database via le réseau Internet public.
-
Vous pouvez également étendre votre annuaire Active Directory sur site à Oracle Cloud Infrastructure où vous pouvez configurer des contrôleurs de domaine en lecture seule pour l'annuaire Active Directory sur site. Cela vous permet d'utiliser les RODC dans Oracle Cloud Infrastructure pour authentifier et autoriser les utilisateurs Active Directory sur site à accéder aux bases de données autonomes.
Pour plus d'informations, reportez-vous à Extension de l'intégration Active Directory dans le cloud hybride.
-
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database
Afin de configurer Autonomous Database pour la fonctionnalité Utilisateurs gérés centralement afin qu'il se connecte à Active Directory, procédez comme suit :
Lorsque vous effectuez les étapes de configuration, connectez-vous à la base de données en tant qu'utilisateur ADMIN.
Remarque relative à la fonctionnalité Utilisateurs gérés simultanément avec Active Directory sur Autonomous Database :
-
Seules l'authentification par mot de passe ou l'authentification Kerberos sont prises en charge pour la fonctionnalité Utilisateurs gérés centralement avec Autonomous Database. Lorsque vous utilisez l'authentification CMU avec Autonomous Database, les autres méthodes d'authentification CMU telles qu'Azure AD, OCI IAM et PKI ne sont pas prises en charge.
Reportez-vous à Activation de l'accès à Active Directory sur Autonomous Database pour obtenir les instructions de désactivation de l'accès d'Autonomous Database à Active Directory.
Reportez-vous à Procédure ENABLE_EXTERNAL_AUTHENTICATION pour plus d'informations sur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
.
Pour plus d'informations sur la configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory, reportez-vous à Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Authentification Kerberos pour la CMU avec Microsoft Active Directory
Kerberos peut être configuré avec ou sans CMU-AD. La simple configuration de Kerberos nécessite la création et la maintenance d'un utilisateur de base de données pour chaque utilisateur Kerberos. La configuration de Kerberos avec la CMU vous permet de mapper un groupe Active Directory d'utilisateurs Kerberos à un seul utilisateur de base de données, schéma partagé, afin que l'accès à la base de données puisse être contrôlé par l'appartenance à un groupe Active Directory. Pour plus d'informations sur la configuration de Kerberos sans CMU-AD, reportez-vous à la section Configure Kerberos Authentication with Autonomous Database.
Lors de l'implémentation de l'authentification Kerberos et de la CMU-AD pour l'autorisation, Oracle recommande d'implémenter d'abord l'authentification Kerberos, puis d'ajouter l'autorisation CMU-AD.
Remarques relatives à l'utilisation de l'authentification Kerberos avec CMU-AD :
-
Vous n'avez pas besoin d'ajouter le filtre de mot de passe lorsque vous utilisez l'authentification Kerberos avec CMU-AD. Pour plus d'informations, reportez-vous à Prérequis pour la configuration de la CMU avec Microsoft Active Directory sur Autonomous Database.
-
L'ajout ou la suppression d'utilisateurs Active Directory est pris en charge, de la même manière qu'avec la CMU avec Active Directory lorsque vous utilisez l'authentification par mot de passe. Pour plus d'informations, reportez-vous à Ajout d'utilisateurs Microsoft Active Directory sur Autonomous Database.
-
Les restrictions existantes relatives à l'authentification par rapport aux outils intégrés Autonomous Database avec CMU avec mot de passe Active Directory s'appliquent également à la CMU avec Active Directory avec authentification Kerberos. Pour plus d'informations, reportez-vous à Restrictions liées aux outils avec Active Directory sur Autonomous Database.
-
Utilisez
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
pour désactiver la fonctionnalité CMU-AD avec l'authentification Kerberos. Pour plus d'informations, reportez-vous à Procédure DISABLE_EXTERNAL_AUTHENTICATION. -
Lorsque les serveurs CMU-AD se trouvent sur une adresse privée, pour utiliser CMU-AD avec l'authentification Kerberos, le nom d'hôte du serveur utilisé pour générer l'onglet de clé doit être défini sur la valeur de l'attribut
PUBLIC_DOMAIN_NAME
dans la colonneCLOUD_IDENTITY
deV$PDBS
. Cette valeur est différente du nom de domaine qualifié complet pour une base de données d'adresse privée.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Ajout de rôles Microsoft Active Directory sur Autonomous Database
Pour ajouter des rôles Active Directory, mettez en correspondance les rôles globaux de base de données avec les groupes Active Directory à l'aide d'instructions CREATE ROLE
ou ALTER ROLE
(et incluez la clause IDENTIFIED GLOBALLY AS
).
Afin d'ajouter des rôles globaux pour les groupes Active Directory sur Autonomous Database, procédez comme suit :
Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à Configuration de l'autorisation pour les utilisateurs gérés centralement dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Ajout d'utilisateurs Microsoft Active Directory sur Autonomous Database
Pour ajouter des utilisateurs Active Directory afin qu'ils accèdent à une base de données, mettez en correspondance des utilisateurs globaux de base de données avec des groupes ou utilisateurs Active Directory à l'aide d'instructions CREATE USER
ou ALTER USER
(avec la clause IDENTIFIED GLOBALLY AS
).
L'intégration d'Autonomous Database à Active Directory fonctionne en mettant en correspondance les utilisateurs et groupes Microsoft Active Directory directement avec les utilisateurs et rôles globaux de base de données Oracle.
Afin d'ajouter des utilisateurs globaux pour les groupes ou utilisateurs Active Directory sur Autonomous Database, procédez comme suit :
Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à Configuration de l'autorisation pour les utilisateurs gérés centralement dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Restrictions liées aux outils avec Active Directory sur Autonomous Database
Remarques sur l'utilisation des outils Autonomous Database avec Active Directory :
- Oracle APEX n'est pas pris en charge pour les utilisateurs Active Directory avec Autonomous Database. Reportez-vous à Création d'espaces de travail Oracle APEX dans Autonomous Database pour plus d'informations sur l'utilisation d'utilisateurs de base de données standard avec Autonomous Database.
-
Database Actions n'est pas pris en charge pour les utilisateurs Active Directory avec Autonomous Database. Pour plus d'informations sur l'utilisation d'utilisateurs de base de données standard avec Autonomous Database, reportez-vous à Fourniture de l'accès à Database Actions aux utilisateurs de base de données.
-
Les blocs-notes Oracle Machine Learning ne sont pas pris en charge pour les utilisateurs Active Directory avec Autonomous Database. Pour plus d'informations sur l'utilisation des utilisateurs de base de données standard avec Autonomous Database, reportez-vous à Ajout d'un compte utilisateur de base de données existante aux composants Oracle Machine Learning.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Connexion à Autonomous Database avec des informations d'identification d'utilisateur Active Directory
Une fois que l'utilisateur ADMIN a terminé les étapes de configuration de la CMU Active Directory et créé des rôles et utilisateurs globaux, les utilisateurs se connectent à la base de données à l'aide de leur nom utilisateur et de leur mot de passe Active Directory.
Ne vous connectez pas à l'aide d'un nom utilisateur global. Un nom utilisateur global ne dispose d'aucun mot de passe et entraîne l'échec de la connexion. Vous devez avoir mis en place une correspondance d'utilisateur global dans votre base de données autonome pour vous connecter à la base de données. Vous ne pouvez pas vous connecter à la base de données avec des correspondances de rôle global uniquement.
Après avoir configuré la CMU avec Active Directory sur Autonomous Database et configuré l'autorisation Active Directory, avec les rôles et utilisateurs globaux, vous pouvez vous connecter à votre base de données à l'aide de l'une des méthodes de connexion décrites dans Connexion à Autonomous Database. Lorsque vous vous connectez, si vous voulez employer un utilisateur Active Directory, indiquez les informations d'identification de l'utilisateur Active Directory. Par exemple, indiquez le nom utilisateur au format suivant "AD_DOMAIN\AD_USERNAME" (les guillemets doivent être inclus) et utilisez votre mot de passe AD_USER_PASSWORD.
Si votre instance Autonomous Database est en mode restreint, seuls les utilisateurs disposant du privilège RESTRICTED SESSION
peuvent se connecter à la base de données. Ce privilège est accordé à l'utilisateur ADMIN. Vous pouvez utiliser le mode d'accès restreint pour effectuer des tâches d'administration telles que l'indexation, les chargements de données ou d'autres activités planifiées. Pour plus d'informations, reportez-vous à Modification du mode de fonctionnement d'Autonomous Database sur lecture/écriture, lecture seule ou restreint.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Vérification des informations de connexion d'utilisateur Active Directory avec Autonomous Database
Lorsque les utilisateurs se connectent à la base de données à l'aide de leur nom utilisateur et de leur mot de passe Active Directory, vous pouvez vérifier et auditer l'activité utilisateur.
Par exemple, lorsque l'utilisateur pfitch
se connecte :
CONNECT "production\pfitch"/password@exampleadb_medium;
Le nom utilisateur de connexion de l'utilisateur Active Directory (samAccountName) est pfitch
, widget_sales_group
est le nom du groupe Active Directory et widget_sales
est l'utilisateur global de la base de données.
Une fois que pfitch
se connecte à la base de données, la commande SHOW USER
affiche le nom utilisateur global :
SHOW USER;
USER is "WIDGET_SALES"
La commande suivante affiche le nom distinctif de l'utilisateur Active Directory :
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Par exemple, vous pouvez vérifier l'identité d'entreprise de cet utilisateur géré centralement :
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
La commande suivante affiche "AD_DOMAIN\AD_USERNAME
" :
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Par exemple, l'identité de l'utilisateur authentifié par Active Directory est capturée et auditée lorsque l'utilisateur se connecte à la base de données :
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Pour plus d'informations, reportez-vous à Vérification des informations de connexion utilisateur gérées de manière centralisée dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Suppression d'utilisateurs et de rôles Active Directory sur Autonomous Database
Pour enlever des utilisateurs et des rôles Active Directory des bases de données autonomes, utilisez des commandes de base de données standard. Vous n'enlevez pas les utilisateurs ou groupes Active Directory associés qui ont été mis en correspondance à partir des utilisateurs ou des rôles de base de données supprimés.
Pour enlever des utilisateurs ou des rôles d'Autonomous Database, procédez comme suit :
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Désactivation de l'accès à Active Directory sur Autonomous Database
Décrit les étapes permettant d'enlever la configuration de la fonctionnalité partagée de votre instance Autonomous Database (et de désactiver l'accès LDAP de votre instance Autonomous Database vers Active Directory).
Une fois que vous avez configuré votre instance Autonomous Database de manière à accéder à Active Directory pour la fonctionnalité Utilisateurs gérés simultanés, vous pouvez désactiver l'accès comme suit :
Pour plus d'informations, reportez-vous à Procédure DISABLE_EXTERNAL_AUTHENTICATION.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database