Documentation Oracle Cloud Infrastructure

Conditions requises

Pour utiliser le module d'extension authentication_oci, vous avez besoin d'une paire de clés d'authentification, d'un fichier de configuration et d'instructions de stratégie correctement définies.

Pour utiliser le module d'extension authentication_oci, vous devez disposer des éléments suivants :

  • L'une des informations d'identification suivantes :
    • Paire de clés d'API : les utilisateurs locaux ou provisionnés peuvent utiliser une paire de clés d'API publique-privée inscrite correctement dans IAM et une empreinte d'API. Vous avez besoin de la paire de clés et de l'empreinte de chaque utilisateur individuel et membre de groupe mis en correspondance. Reportez-vous à Clés et OCID requis.
    • Jeton de sécurité IAM : les utilisateurs locaux, fédérés ou provisionnés peuvent utiliser un jeton de sécurité IAM généré à l'aide de l'interface de ligne de commande Oracle Cloud Infrastructure. Reportez-vous à Génération d'un jeton de sécurité IAM.
  • Fichier de configuration avec une empreinte et une valeur key_file valides. Pour l'authentification à l'aide d'un jeton de sécurité IAM, indiquez une valeur security_token_file valide. Reportez-vous à Fichier de configuration du kit SDK et de l'interface de ligne de commande.
  • Instruction de stratégie suivante, définie dans chaque location à connecter :
    Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
  DYNAMIC_GROUP_INSPECT} IN TENANCY

    Cette instruction de stratégie doit être attachée au compartiment racine afin qu'elle couvre l'ensemble de la location. Pour ce faire, vous devez sélectionner le compartiment racine lorsque vous ajoutez la stratégie et utiliser le paramètre IN TENANCY. Elle ne fonctionne pas si elle est créée dans un sous-compartiment avec IN COMPARTMENT <CompartmentName> à la place de IN TENANCY.

    La stratégie ci-dessus est obsolète dans la version 9.4.0 et sera supprimée dans une version ultérieure. Pour la version 9.4.0 ou supérieure, il est recommandé d'utiliser la stratégie suivante :
    Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
  DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'
    Remarque

    Si vous voulez utiliser les principaux dans différentes locations, vous avez besoin d'une stratégie Admit dans la location cible (où les utilisateurs et les groupes sont définis) et d'une stratégie Endorse dans la location où la ressource (système de base de données HeatWave) est instanciée, comme décrit ci-dessous.
    • Définissez les éléments suivants dans la location cible contenant les utilisateurs et les groupes :
      Define tenancy <resource_tenancy_name> AS <resource_tenancy_OCID>
Admit any-user of tenancy <resource_tenancy_name> TO {AUTHENTICATION_INSPECT, 
  GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy 
  where request.principal.type = 'mysqldbsystem'
    • Définissez les éléments suivants dans la location de ressource contenant le système de base de données :
      Define tenancy <target_tenancy_name> AS <target_tenancy_OCID>
Endorse any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
  DYNAMIC_GROUP_INSPECT} in tenancy <target_tenancy_name> 
  where request.principal.type = 'mysqldbsystem'

Rubriques connexes

Génération d'un jeton de sécurité IAM

Les utilisateurs locaux, fédérés ou provisionnés peuvent utiliser un jeton de sécurité IAM pour s'authentifier via le module d'extension authentication_oci.

Utilisation de l'interface de ligne de commande

Utilisez l'interface de ligne de commande Oracle Cloud Infrastructure pour générer un jeton de sécurité IAM.

  1. Exécutez la commande suivante dans l'interface de ligne de commande Oracle Cloud Infrastructure :
    oci session authenticate
  2. Lorsque vous y êtes invité, choisissez la région.
    Un navigateur Web est lancé.
  3. Dans le navigateur, entrez vos informations d'identification utilisateur.
  4. Entrez le nom du profil que vous souhaitez créer dans l'interface de ligne de commande.
    Le jeton de sécurité IAM est généré avec une paire de clés éphémère. Les informations d'authentification sont enregistrées dans le fichier .config. Par défaut, le jeton de sécurité expire dans une heure.
  5. (Facultatif) Pour actualiser le jeton de sécurité (dans la période de validité) pendant une heure, exécutez la commande suivante :
    oci session refresh --profile <profile_name>
    Vous pouvez actualiser le jeton jusqu'à 24 heures.