Utilisation de Microsoft Active Directory avec Autonomous Database
Cette configuration permet aux utilisateurs Active Directory d'accéder à Autonomous Database à l'aide de leurs informations d'identification Active Directory, y compris les mots de passe et Kerberos.
- Prérequis pour la configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database
Vous pouvez configurer Autonomous Database de façon à authentifier et autoriser les utilisateurs Microsoft Active Directory. - Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database
Vous pouvez configurer Autonomous Database de façon à authentifier et à autoriser les utilisateurs Microsoft Active Directory. - Authentification Kerberos pour CMU avec Microsoft Active Directory
Vous pouvez configurer Autonomous Database pour qu'il utilise l'authentification Kerberos pour CMU avec les utilisateurs Microsoft Active Directory. Cette configuration permet aux utilisateurs CMU Active Directory (CMU-AD) d'accéder à une instance Autonomous Database à l'aide des informations d'identification Kerberos. - Ajout de rôles Microsoft Active Directory sur Autonomous Database
Pour ajouter des rôles Active Directory, mettez en correspondance les rôles globaux de base de données avec les groupes Active Directory à l'aide d'instructionsCREATE ROLE
ouALTER ROLE
(et incluez la clauseIDENTIFIED GLOBALLY AS
). - Ajout d'utilisateurs Microsoft Active Directory sur Autonomous Database
Pour ajouter des utilisateurs Active Directory afin d'accéder à une base de données, mettez en correspondance des utilisateurs globaux de base de données avec des groupes Active Directory ou des utilisateurs avec des instructionsCREATE USER
ouALTER USER
(avec la clauseIDENTIFIED GLOBALLY AS
). - Restrictions liées aux outils avec Active Directory sur Autonomous Database
- Connexion à Autonomous Database avec les informations d'identification utilisateur Active Directory
Une fois que l'utilisateur ADMIN a terminé les étapes de configuration CMU Active Directory et créé des rôles globaux et des utilisateurs globaux, les utilisateurs se connectent à la base de données à l'aide de leur nom utilisateur et de leur mot de passe Active Directory. - Vérification des informations de connexion utilisateur Active Directory avec Autonomous Database
Lorsque les utilisateurs se connectent à la base de données à l'aide de leur nom utilisateur et de leur mot de passe Active Directory, vous pouvez vérifier et auditer l'activité utilisateur. - Enlèvement d'utilisateurs et de rôles Active Directory sur Autonomous Database
Pour enlever des utilisateurs et des rôles Active Directory des base de données autonomes, utilisez les commandes de base de données standard. Vous n'enlevez pas les utilisateurs ou groupes Active Directory associés qui ont été mis en correspondance à partir des utilisateurs ou des rôles de base de données supprimés. - Désactivation de l'accès à Active Directory sur Autonomous Database
Décrit les étapes permettant de supprimer la configuration CMU de votre instance Autonomous Database (et de désactiver l'accès LDAP de votre instance Autonomous Database à Active Directory).
Rubrique parent : Gestion des utilisateurs
Configuration de la fonctionnalité CMU avec Microsoft Active Directory sur Autonomous Database
Selon l'emplacement des serveurs Active Directory, il existe deux options pour configurer Autonomous Database avec des utilisateurs gérés de manière centralisée (CMU) avec Microsoft Active Directory :
-
Serveurs Active Directory (AD) accessibles au public : les serveurs Active Directory sont accessibles à partir d'Autonomous Database via le réseau Internet public.
-
Les serveurs Active Directory (AD) résident sur une adresse privée : les serveurs Active Directory résident sur une adresse privée et ne sont pas accessibles à partir d'Autonomous Database via le réseau Internet public. Dans ce cas, une étape de configuration supplémentaire est requise, comme indiqué dans la dernière étape de Configuration de la CMU avec Microsoft Active Directory sur Autonomous Database, où vous définissez la propriété de base de données
ROUTE_OUTBOUND_CONNECTIONS
.
Pour plus d'informations sur l'utilisation d'Azure Active Directory avec Autonomous Database, reportez-vous à Utilisation d'un ID Microsoft avec Autonomous Database. L'option CMU prend en charge le serveur Microsoft Active Directory, mais pas le service Azure Active Directory.
L'intégration d'Autonomous Database avec la fonctionnalité Utilisateurs gérés centralement permet l'intégration à Microsoft Active Directory. La fonctionnalité Utilisateurs gérés centralement avec Active Directory fonctionne en mettant en correspondance les utilisateurs et rôles globaux de base de données Oracle avec les utilisateurs et groupes Microsoft Active Directory.
Vous devez remplir les prérequis suivants pour configurer la connexion entre Autonomous Database et Active Directory :
-
Microsoft Active Directory doit être installé et configuré. Pour plus d'informations, reportez-vous à Introduction à AD DS.
-
Vous devez créer un utilisateur d'annuaire de service Oracle dans Active Directory. Pour plus d'informations sur le compte utilisateur d'annuaire de service Oracle, reportez-vous à Connexion à Microsoft Active Directory.
-
Un administrateur système Active Directory doit avoir installé le filtre de mot de passe Oracle sur les serveurs Active Directory, et configuré des groupes Active Directory avec des utilisateurs Active Directory pour répondre à vos besoins.
Remarque
Cette opération n'est pas requise si vous utilisez l'authentification Kerberos pour CMU Active Directory. Pour plus d'informations, reportez-vous à la section Kerberos Authentication for CMU with Microsoft Active Directory.Si vous utilisez l'authentification par motde passe avec la fonctionnalité CMU Active Directory pour Autonomous Database, vous devez donc passer par l'utilitaire inclus
opwdintg.exe
pour installer le filtre de mots de passe Oracle sur Active Directory, étendre le schéma et créer trois groupesORA_VFR
pour trois types De génération De vérificateur De Mot de passe. Pour plus d'informations sur l'installation du filtre de mot de passe Oracle, reportez-vous à Connexion à Microsoft Active Directory. -
Vous avez besoin du portefeuille de base de données de configuration de la fonctionnalité Utilisateurs gérés centralement
cwallet.sso
et du fichier de configuration de la fonctionnalitédsi.ora
afin de configurer cette dernière pour votre base de données autonome:-
Si vous avez configuré la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site, vous pouvez obtenir ces fichiers de configuration à partir du serveur de base de données sur site.
-
Si vous n'avez pas configuré la fonctionnalité CMU pour une base de données on-premise, vous devez créer ces fichiers. Vous téléchargez ensuite les fichiers de configuration vers le cloud pour configurer la CMU sur votre instance Autonomous Database. Vous pouvez valider le portefeuille et le fichier
dsi.ora
en configurant la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site et en vérifiant qu'un utilisateur Active Directory peut se connecter à cette base de données avec ces fichiers de configuration.
Pour plus de détails sur le fichier de portefeuille dans le cadre de la fonctionnalité Utilisateurs gérés centralement, reportez-vous à Création du portefeuille pour une connexion sécurisée et à Vérification du portefeuille Oracle.
Pour plus d'informations sur le fichier
dsi.ora
dans le cadre de la fonctionnalité Utilisateurs gérés centralement, reportez-vous à Création du fichier dsi.ora.Pour plus d'informations sur la configuration d'Active Directory pour la fonctionnalité Utilisateurs gérés centralement et sur le dépannage de cette dernière pour les bases de données sur site, reportez-vous à Procédure de configuration de la fonctionnalité Utilisateurs gérés centralement pour Database version 18c ou ultérieure (ID de document 2462012.1).
-
-
Le port 636 des serveurs Active Directory doit être ouvert à Autonomous Database dans Oracle Cloud Infrastructure. Cela permet à Autonomous Database d'accéder aux serveurs Active Directory.
-
Lorsque les serveurs Active Directory se trouvent sur une adresse publique :
-
Les serveurs Active Directory doivent être accessibles à partir d'Autonomous Database via le réseau Internet public.
-
Vous pouvez également étendre votre annuaire Active Directory sur site à Oracle Cloud Infrastructure où vous pouvez configurer des contrôleurs de domaine en lecture seule pour l'annuaire Active Directory sur site. Vous pouvez ainsi utiliser les RODC dans Oracle Cloud Infrastructure pour authentifier et autoriser les utilisateurs Active Directory sur site à accéder aux bases de données autonomes.
Pour plus d'informations, reportez-vous à Etendre l'intégration Active Directory dans le cloud hybride.
-
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database
Pour configurer Autonomous Database pour la CMU afin qu'il se connecte à Active Directory :
Lorsque vous effectuez les étapes de configuration, connectez-vous à la base de données en tant qu'utilisateur ADMIN.
Remarque pour la fonctionnalité Utilisateurs gérés centralement avec Active Directory sur Autonomous Database :
-
Seule l'authentification par mot de passe ou Kerberos est prise en charge pour la CMU avec Autonomous Database. Lorsque vous utilisez l'authentification CMU avec Autonomous Database, les autres méthodes d'authentification CMU telles qu'Azure AD, OCI IAM et PKI ne sont pas prises en charge.
See Disable Active Directory Access on Autonomous Database for instructions to disable the access from Autonomous Database to Active Directory.
Pour plus d'informations sur DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
, reportez-vous à Procédure ENABLE_EXTERNAL_AUTHENTICATION.
Pour plus d'informations sur la configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory, reportez-vous à Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Authentification Kerberos pour CMU avec Microsoft Active Directory
Kerberos peut être configuré avec ou sans CMU-AD. Il vous suffit de configurer Kerberos pour créer et gérer un utilisateur de base de données pour chaque utilisateur Kerberos. La configuration de Kerberos avec CMU vous permet de mettre en correspondance un groupe Active Directory d'utilisateurs Kerberos avec un seul utilisateur de base de données, schéma partagé, afin que l'accès à la base de données puisse être contrôlé par l'appartenance à un groupe Active Directory. Pour plus de détails sur la configuration de Kerberos sans CMU-AD, reportez-vous à la section Configure Kerberos Authentication with Autonomous Database.
Lors de l'implémentation à la fois de l'authentification Kerberos et de CMU-AD pour autorisation, Oracle recommande d'implémenter d'abord l'authentification Kerberos, puis d'ajouter l'autorisation CMU-AD.
Remarques concernant l'utilisation de l'authentification Kerberos avec CMU-AD :
-
Vous n'avez pas besoin d'ajouter le filtre de mot de passe lorsque vous utilisez l'authentification Kerberos avec CMU-AD. Pour plus d'informations, reportez-vous à Prérequis pour la configuration de la fonctionnalité CMU avec Microsoft Active Directory sur Autonomous Database.
-
L'ajout ou la suppression d'utilisateurs Active Directory est pris en charge, de la même manière qu'avec CMU avec Active Directory lorsque vous utilisez l'authentification par mot de passe. Pour plus d'informations, reportez-vous à Ajout d'utilisateurs Microsoft Active Directory sur Autonomous Database.
-
Les restrictions existantes concernant l'authentification par rapport aux outils intégrés Autonomous Database avec CMU avec mot de passe Active Directory s'appliquent également à CMU avec Active Directory avec authentification Kerberos. Pour plus d'informations, reportez-vous à Restrictions liées aux outils avec Active Directory sur Autonomous Database.
-
Utilisez
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
pour désactiver CMU-AD avec l'authentification Kerberos. Pour plus d'informations, reportez-vous à Procédure DISABLE_EXTERNAL_AUTHENTICATION. -
Lorsque les serveurs CMU-AD se trouvent sur une adresse privée, pour utiliser CMU-AD avec l'authentification Kerberos, le nom d'hôte du serveur utilisé pour générer l'onglet de clé doit être défini sur la valeur de l'attribut
PUBLIC_DOMAIN_NAME
dans la colonneCLOUD_IDENTITY
deV$PDBS
. Cette valeur est différente du nom de domaine qualifié complet pour une base de données d'adresse privée.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Ajout de rôles Microsoft Active Directory sur Autonomous Database
Pour ajouter des rôles Active Directory, mettez en correspondance les rôles globaux de base de données avec les groupes Active Directory à l'aide d'instructions CREATE ROLE
ou ALTER ROLE
(et incluez la clause IDENTIFIED GLOBALLY AS
).
Afin d'ajouter des rôles globaux pour les groupes Active Directory sur Autonomous Database, procédez comme suit :
Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à la section Configuring Authorization for Centrally Managed Users dans Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Ajout d'utilisateurs Microsoft Active Directory sur Autonomous Database
Pour ajouter des utilisateurs Active Directory afin d'accéder à une base de données, mettez en correspondance des utilisateurs globaux de base de données avec des groupes Active Directory ou des utilisateurs avec des instructions CREATE USER
ou ALTER USER
(avec la clause IDENTIFIED GLOBALLY AS
).
L'intégration d'Autonomous Database à Active Directory fonctionne en mettant en correspondance les utilisateurs et groupes Microsoft Active Directory directement avec les utilisateurs et rôles globaux de base de données Oracle.
Afin d'ajouter des utilisateurs globaux pour les groupes ou utilisateurs Active Directory sur Autonomous Database, procédez comme suit :
Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à la section Configuring Authorization for Centrally Managed Users dans Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Restrictions liées aux outils avec Active Directory sur Autonomous Database
Remarques sur l'utilisation des outils Autonomous Database avec Active Directory :
- Oracle APEX n'est pas pris en charge pour les utilisateurs Active Directory avec Autonomous Database. Pour plus d'informations sur l'utilisation des utilisateurs de base de données standard avec Autonomous Database, reportez-vous à Création d'espaces de travail Oracle APEX dans Autonomous Database.
-
Database Actions n'est pas pris en charge pour les utilisateurs Active Directory avec Autonomous Database. Reportez-vous à Fourniture d'un accès à Database Actions aux utilisateurs des bases de données pour plus d'informations sur l'utilisation de l'accès à Database Actions aux utilisateurs standard avec Autonomous Database.
-
Les blocs-notes Oracle Machine Learning ne sont pas pris en charge pour les utilisateurs Active Directory avec Autonomous Database. Reportez-vous à Ajout d'un compte utilisateur de base de données existant à des composants Oracle Machine Learning pour plus d'informations sur l'utilisation d'utilisateurs de base de données standard avec Autonomous Database.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Connexion à Autonomous Database avec des informations d'identification d'utilisateur Active Directory
Une fois que l'utilisateur ADMIN a terminé les étapes de configuration de CMU Active Directory et créé des rôles globaux et des utilisateurs globaux, les utilisateurs se connectent à la base de données à l'aide de leur nom utilisateur et de leur mot de passe Active Directory.
Ne vous connectez pas à l'aide d'un nom utilisateur global. Un nom utilisateur global ne dispose d'aucun mot de passe et entraîne l'échec de la connexion. Vous devez avoir mis en place une correspondance d'utilisateur global dans votre base de données autonome pour vous connecter à la base de données. Vous ne pouvez pas vous connecter à la base de données avec des correspondances de rôle global uniquement.
Après avoir configuré la CMU avec Active Directory sur Autonomous Database et configuré l'autorisation Active Directory, avec des rôles globaux et des utilisateurs globaux, vous pouvez vous connecter à votre base de données à l'aide de l'une des méthodes de connexion décrites dans Connexion à Autonomous Database. Lorsque vous vous connectez, si vous voulez employer un utilisateur Active Directory, indiquez les informations d'identification de l'utilisateur Active Directory. Par exemple, indiquez le nom utilisateur au format suivant "AD_DOMAIN\AD_USERNAME" (les guillemets doivent être inclus) et utilisez votre mot de passe AD_USER_PASSWORD.
Si votre instance Autonomous Database est en mode restreint, seuls les utilisateurs disposant du privilège RESTRICTED SESSION
peuvent se connecter à la base de données. Ce privilège est accordé à l'utilisateur ADMIN. Vous pouvez utiliser le mode d'accès restreint pour effectuer des tâches d'administration telles que l'indexation, les chargements de données ou d'autres activités planifiées. Pour plus d'informations, reportez-vous à Modification du mode d'opération d'Autonomous Database sur Lecture/Ecriture, Lecture seule ou Restreint.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Vérification des informations de connexion d'utilisateur Active Directory avec Autonomous Database
Lorsque les utilisateurs se connectent à la base de données à l'aide de leur nom utilisateur et de leur mot de passe Active Directory, vous pouvez vérifier et auditer l'activité de l'utilisateur.
Par exemple, lorsque l'utilisateur pfitch
se connecte :
CONNECT "production\pfitch"/password@exampleadb_medium;
Le nom utilisateur de connexion de l'utilisateur Active Directory (samAccountName) est pfitch
et widget_sales_group
est le nom du groupe Active Directory, et widget_sales
est l'utilisateur global de base de données.
Une fois que pfitch
se connecte à la base de données, la commande SHOW USER
affiche le nom utilisateur global :
SHOW USER;
USER is "WIDGET_SALES"
La commande suivante affiche le nom distinctif de l'utilisateur Active Directory :
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Par exemple, vous pouvez vérifier l'identité d'entreprise de cet utilisateur géré centralement :
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
La commande suivante affiche "AD_DOMAIN\AD_USERNAME
" :
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Par exemple, l'identité de l'utilisateur authentifié par Active Directory est capturée et auditée lorsque l'utilisateur se connecte à la base de données :
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Pour plus d'informations, reportez-vous à la section Verifying the Centrally Managed User Logon Information dans Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Suppression d'utilisateurs et de rôles Active Directory sur Autonomous Database
Pour enlever des utilisateurs et des rôles Active Directory des bases de données autonomes, utilisez des commandes de base de données standard. Vous n'enlevez pas les utilisateurs ou groupes Active Directory associés qui ont été mis en correspondance à partir des utilisateurs ou des rôles de base de données supprimés.
Pour enlever des utilisateurs ou des rôles d'Autonomous Database, procédez comme suit :
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database
Désactivation de l'accès à Active Directory sur Autonomous Database
Décrit les étapes à suivre pour enlever la configuration CMU de votre instance Autonomous Database (et désactiver l'accès LDAP de votre instance Autonomous Database vers Active Directory).
Après avoir configuré votre instance Autonomous Database pour accéder à CMU Active Directory, vous pouvez désactiver l'accès comme suit :
Pour plus d'informations, reportez-vous à Procédure DISABLE_EXTERNAL_AUTHENTICATION.
Rubrique parent : Utilisation de Microsoft Active Directory avec Autonomous Database