Utilisation de Microsoft Active Directory avec Autonomous AI Database sur une infrastructure Exadata dédiée

Vous pouvez configurer la base de données Autonomous AI sur une infrastructure Exadata dédiée de façon à authentifier et autoriser les utilisateurs Microsoft Active Directory. Cette configuration permet aux utilisateurs Active Directory d'accéder à une base de données Autonomous AI à l'aide de leurs informations d'identification d'Active Directory.

Remarque : pour plus d'informations sur l'utilisation d'Azure Active Directory avec Autonomous AI Database, reportez-vous à Utilisation d'Azure Active Directory (Azure AD) avec Autonomous AI Database. L'option CMU prend en charge le serveur Microsoft Active Directory, mais pas le service Azure Active Directory.

L'intégration d'Autonomous AI Database avec la fonction Utilisateurs gérés centralément permet l'intégration à Microsoft Active Directory. La fonctionnalité Utilisateurs gérés centralement avec Active Directory fonctionne en mettant en correspondance les utilisateurs et rôles globaux de base de données Oracle avec les utilisateurs et groupes Microsoft Active Directory.

Prérequis pour la configuration de la CMU avec Microsoft Active Directory sur la base de données Autonomous AI

Les prérequis suivants sont requis pour configurer la connexion d'Autonomous AI Database à Active Directory :

• Microsoft Active Directory doit être installé et configuré. Pour plus d'informations, reportez-vous à Introduction à AD DS.

• Vous devez créer un utilisateur d'annuaire de service Oracle dans Active Directory. Reportez-vous à Etape 1 : création d'un compte utilisateur d'annuaire Oracle Service sur Microsoft Active Directory et octroi d'autorisations dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 26ai pour plus d'informations sur le compte utilisateur d'annuaire de services Oracle.

• Un administrateur système Active Directory doit avoir installé le filtre de mot de passe Oracle sur les serveurs Active Directory, et configuré des groupes Active Directory avec des utilisateurs Active Directory pour répondre à vos besoins.

  SEULE L'authentification par mot de passe est prise en charge avec CMU pour Autonomous AI Database. Vous devez donc passer par l'Utilitaire inclus, opwdintg.exe, pour installer le filtre de mot de passe Oracle sur Active Directory, étendre le schéma et créer trois groupes ORA_VFR pour trois types de génération de vérificateur de mot de passe. Pour plus d'informations sur l'installation du filtre de mot de passe Oracle, reportez-vous à la section Step 2 : For Password Authentication, Install the Password Filter and Extend the Microsoft Active Directory Schema in Oracle Database 19c Security Guide or Oracle Database 26ai Security Guide.

• Les serveurs Active Directory doivent être accessibles à partir de la base de données Autonomous AI via l'Internet public, et le port 636 des serveurs Active Directory doit être ouvert à Autonomous AI Database dans Oracle Cloud Infrastructure, de sorte qu'Autonomous AI Database puisse sécuriser l'accès LDAP TLS/SSL aux serveurs Active Directory via Internet.

  Vous pouvez également étendre votre annuaire Active Directory sur site à Oracle Cloud Infrastructure, où vous pouvez configurer des contrôleurs de domaine en lecture seule pour l'annuaire Active Directory sur site. Vous pouvez ensuite utiliser ces RODC dans Oracle Cloud Infrastructure pour authentifier et autoriser les utilisateurs Active Directory sur site à accéder aux bases de données d'IA autonomes.

  Pour plus d'informations, reportez-vous à Etendre l'intégration Active Directory dans le cloud hybride.

• Vous avez besoin du portefeuille de base de données de configuration de la CMU, cwallet.sso et du fichier de configuration de la CMU dsi.ora pour configurer la CMU pour votre base de données Autonomous AI :

  • Si vous avez configuré la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site, vous pouvez obtenir ces fichiers de configuration à partir du serveur de base de données sur site.

  • Si vous n'avez pas configuré la fonctionnalité CMU pour une base de données on-premise, vous devez créer ces fichiers. Ensuite, vous téléchargez les fichiers de configuration vers le cloud pour configurer la CMU sur votre instance de base de données Autonomous AI. Vous pouvez valider le portefeuille et le fichier, dsi.ora, en configurant la fonctionnalité Utilisateurs gérés centralément pour une base de données sur site et en vérifiant qu'un utilisateur Active Directory peut être connecté à la base de données sur site avec ces fichiers. Vous téléchargez ensuite ces fichiers de configuration vers le cloud afin de configurer la CMU pour votre base de données Autonomous AI.

  Pour plus d'informations sur le fichier de portefeuille pour la CMU, reportez-vous aux sections suivantes :

  • Etape 6 : création du portefeuille pour une connexion sécurisée dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 26ai

  • Etape 8 : vérification d'Oracle Wallet dans le Guide de sécurité Oracle Database 19c et le Guide de sécurité Oracle Database 26ai.

  Pour plus d'informations sur le fichier dsi.ora pour CMU, reportez-vous à la section Creating the dsi.ora File dans Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

  Pour plus d'informations sur la configuration d'Active Directory pour la fonctionnalité Utilisateurs gérés centralement et sur le dépannage de cette dernière pour les bases de données sur site, reportez-vous à Procédure de configuration de la fonctionnalité Utilisateurs gérés centralement pour Database version 18c ou ultérieure (ID de document 2462012.1).

Configuration de la fonctionnalité Utilisateurs gérés centralément avec Microsoft Active Directory sur Autonomous AI Database

Pour configurer Autonomous AI Database pour la CMU afin qu'il se connecte aux serveurs Active Directory :

1. Connectez-vous à la base de données Autonomous AI en tant qu'utilisateur ADMIN.

2. Vérifiez si un autre modèle d'authentification externe est activé sur la base de données et désactivez-le.

   Remarque : vous pouvez continuer avec la configuration CMU-AD en plus de Kerberos pour fournir l'authentification CMU-AD Kerberos pour les utilisateurs Microsoft Active Directory.

3. Téléchargez le fichier de base de données de configuration de la fonctionnalité Utilisateurs gérés centralement (cwallet.sso), le fichier de base de données de configuration de la fonctionnalité dsi.ora vers votre banque d'objets. Cette étape dépend de la banque d'objets que vous utilisez.

   Le fichier de configuration dsi.ora contient les informations permettant de trouver les serveurs Active Directory.

   Si vous utilisez la banque d'objets Oracle Cloud Infrastructure, reportez-vous à Stockage de données dans Object Storage pour plus d'informations sur le téléchargement de fichiers.

4. Sur votre base de données Autonomous AI, créez un objet de répertoire ou choisissez un objet de répertoire existant. Il s'agit du répertoire dans lequel vous stockez le portefeuille et le fichier de configuration pour la connexion à Active Directory.

   Exemple :

    CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
   

   Utilisez l'instruction SQL suivante pour interroger le chemin de répertoire de système de fichiers de l'objet de répertoire :

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
       DIRECTORY_NAME='directory_object_name';
   

   Exemple :

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
       DIRECTORY_NAME='CMU_WALLET_DIR';
   

    DIRECTORY_PATH
   
    ----------------------------------------------------------------------------
    /file_system_directory_path_example/cmu_wallet
   

   Remarque : le nom de l'objet du répertoire dans la requête doit être En majuscules, car sa casse n'a pas été conservée lors de la création de l'objet du répertoire.

   Si vous voulez conserver la casse du nom d'objet répertoire, vous devez inclure son nom entre guillemets doubles. Exemple :

    CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
   

5. Utilisez DBMS_CLOUD.GET_OBJECT pour copier les fichiers d'une configuration CMU, le portefeuille de base de données cwallet.sso et dsi.ora, de votre banque d'objets vers le répertoire que vous venez de créer ou de choisir à l'étape 4 ci-dessus.

   Par exemple, utilisez DBMS_CLOUD.GET_OBJECT pour copier les fichiers à partir de la banque d'objets vers CMU_WALLET_DIR comme suit :

    BEGIN
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
          directory_name => 'CMU_WALLET_DIR');
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
          directory_name => 'CMU_WALLET_DIR');
    END;
    /
   

   Dans cet exemple, *namespace-string* est l'espace de noms Oracle Cloud Infrastructure Object Storage et bucketname est le nom du bucket. Pour plus d'informations, reportez-vous à Présentation des espaces de noms Object Storage.

   Pour plus d'informations, reportez-vous à Procédure GET_OBJECT.

   Utilisez l'instruction SQL suivante pour interroger les fichiers copiés dans le répertoire.

    SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');
   

   Exemple :

    SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
   

   Le nom de l'objet de répertoire dans cette requête doit être en majuscules, car sa casse n'a pas été conservée lors de la création de l'objet de répertoire.

6. Activez CMU-AD dans votre base de données Autonomous AI à l'aide du package DBMS_CLOUD_ADMIN.

   Remarque : remplacez les noms de répertoire de l'exemple ci-dessous par ceux choisis pour votre environnement. Assurez-vous d'être connecté en tant qu'utilisateur ADMIN avant d'exécuter cette commande.

    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      );
    END;
    /
   

7. Pour garantir la sécurité, enlevez les fichiers de configuration de CMU, y compris le portefeuille cwallet.sso de base de données et le fichier dsi.ora de configuration de CMU, dans la banque d'objets. Vous pouvez utiliser les méthodes de la banque d'objets locale pour enlever ces fichiers, ou utiliser DBMS_CLOUD.DELETE_OBJECT pour les supprimer de la banque d'objets.

   Pour plus d'informations sur DBMS_CLOUD.DELETE_OBJECT, reportez-vous à Procédure DELETE_OBJECT.

Remarque : reportez-vous à Désactivation d'un accès à Active Directory sur une base de données Autonomous AI pour des instructions permettant de désactiver l'accès d'Autonomous AI Database à Active Directory.

Pour plus d'informations, reportez-vous à la section Configuring Centrally Managed Users with Microsoft Active Directory dans Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

Configuration de la CMU avec Microsoft Active Directory sur Exadata Cloud@Customer

S'applique à : Exadata Cloud@Customer uniquement

Pour configurer la base de données Autonomous AI sur Exadata Cloud@Customer pour CMU afin qu'elle se connecte aux serveurs Active Directory, sans utiliser le service Oracle Object Store :

1. Connectez-vous à la base de données Autonomous AI en tant qu'utilisateur ADMIN.

2. Vérifiez si un autre modèle d'authentification externe est activé sur votre base de données et désactivez-le à l'aide de la commande SQL suivante.

    BEGIN
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /
   

3. CMU-AD a besoin de votre portefeuille de connexion Active Directory cwallet.sso et des fichiers dsi.ora sur un système de fichiers local sur votre cluster de machines virtuelles Exadata Autonomous (AVMC). Pour ce faire, hébergez ces fichiers dans le service de banque d'objets Oracle sur Oracle Cloud Infrastructure, puis copiez-les localement à l'aide du package DBMS_CLOUD. Vous trouverez ce processus avec des étapes détaillées et des exemples dans Configuration de CMU avec Microsoft Active Directory sur une base de données Autonomous AI.

4. Si l'hébergement de cwallet.sso et dsi.ora dans le stockage cloud n'est pas possible, vous pouvez utiliser un partage NFS (Network File System) dans votre centre de données pour héberger ces fichiers, puis les déplacer vers un répertoire de base de données sous le système de fichiers de base de données. Pour ce faire, vous devez d'abord attacher un partage NFS disponible localement à l'objet de répertoire Autonomous AI Database, comme illustré ci-dessous :

   1. Créez un répertoire de base de données dans votre instance de base de données Autonomous AI à l'aide de la commande SQL suivante à partir de votre client SQL :

       create or replace directory TMPFSSDIR as 'tmpfssdir';
      

   2. Montez votre partage NFS dans ce répertoire à l'aide du package DBMS_CLOUD_ADMIN disponible dans la base de données Autonomous AI.

      A savoir : Vous devrez peut-être travailler avec votre administrateur réseau ou de stockage pour rendre un partage NFS disponible.

       BEGIN
         DBMS_CLOUD_ADMIN.attach_file_system(
           file_system_name => <some_name_you_assign>,
           file_system_location => <your_nfs_fs_path>,
           directory_name => <tmpfssdir_created_above>,
           description => 'Any_desc_you_like_to_give'
         );
       END
      

      Exemple :

       BEGIN
         DBMS_CLOUD_ADMIN.attach_file_system(
           file_system_name => 'AD-FSS',
           file_system_location => acme.com:/nfs/mount1',
           directory_name => 'TMPFSSDIR',
           description => 'nfs to host AD files'
         );
       END;
      

5. Pour éviter une dépendance sur le partage NFS pour que les fichiers cwallet.sso et dsi.ora soient disponibles pour la CMU, déplacez-les vers un dossier de système de fichiers local à l'aide d'un mappage de répertoire de base de données. Etant donné qu'Autonomous AI Database restreint l'accès au système de fichiers local, créez une procédure de copie à l'aide de utl_file comme indiqué ci-dessous :

   1. Créez un répertoire de base de données dans votre instance de base de données Autonomous AI à l'aide de la commande SQL suivante à partir de votre client SQL :

       CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
      

   2. Vérifiez le chemin d'accès au répertoire créé ci-dessus à l'aide de la commande SQL suivante :

       SELECT DIRECTORY_PATH
       FROM DBA_DIRECTORIES
       WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';
      

      Remarque : le nom de l'objet de répertoire doit être en majuscules dans la requête, car sa casse n'a pas été préservée lors de la création de l'objet de répertoire.

   3. Copiez dsi.ora et cwallet.sso du répertoire NFS vers le répertoire de portefeuille CMU local à l'aide de l'utilitaire UTL_FILE.

      Exemple :

      Créez une procédure stockée nommée copyfile comme indiqué ci-dessous :

       CREATE OR REPLACE PROCEDURE copyfile(
         in_loc_dir IN VARCHAR2,
         in_filename IN VARCHAR2,
         out_loc_dir IN VARCHAR2,
         out_filename IN VARCHAR2
       )
       IS
         in_file UTL_FILE.file_type;
         out_file UTL_FILE.file_type;
         buffer_size CONSTANT INTEGER := 32767;
         buffer RAW (32767);
         buffer_length INTEGER;
       BEGIN
         in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
         out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
         UTL_FILE.get_raw (in_file, buffer, buffer_size);
         buffer_length := UTL_RAW.LENGTH (buffer);
      
         WHILE buffer_length > 0
         LOOP
           UTL_FILE.put_raw (out_file, buffer, TRUE);
      
           IF buffer_length = buffer_size
             THEN
               UTL_FILE.get_raw (in_file, buffer, buffer_size);
               buffer_length := UTL_RAW.LENGTH (buffer);
             ELSE
               buffer_length := 0;
             END IF;
         END LOOP;
      
         UTL_FILE.fclose (in_file);
         UTL_FILE.fclose (out_file);
       EXCEPTION
         WHEN NO_DATA_FOUND
         THEN
           UTL_FILE.fclose (in_file);
           UTL_FILE.fclose (out_file);
       END;
       /
      

      Compilez la procédure stockée copyfile. Une fois la compilation réussie, exécutez la procédure copyfile une fois par unité pour copier dsi.ora et cwallet.sso du répertoire NFS vers le répertoire de portefeuille CMU local, comme indiqué ci-dessous :

       EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
      

       EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
      

   4. Exécutez la requête SQL suivante pour vérifier si les fichiers ont été copiés dans le répertoire de portefeuille CMU local.

       SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
      

6. A l'aide de la commande suivante, détachez le partage NFS car vous n'en avez pas besoin pour CMU-AD une fois les fichiers copiés dans le répertoire local.

    exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
   

7. Activez CMU-AD dans votre base de données Autonomous AI à l'aide du package DBMS_CLOUD_ADMIN.

   Remarque : remplacez les noms de répertoire de l'exemple ci-dessous par ceux choisis pour votre environnement. Assurez-vous d'être connecté en tant qu'utilisateur ADMIN avant d'exécuter cette commande.

    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      );
    END;
    /
   

8. Validez en interrogeant la valeur de propriété de la propriété de base de données CMU_WALLET comme indiqué ci-dessous.

    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME = 'CMU_WALLET';
   

   Par exemple :

    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME='CMU_WALLET';
   

    PROPERTY_VALUE
   
    --------------
    CMU_WALLET_DIR
   

Vous avez maintenant configuré CMU-AD pour utiliser l'authentification externe via Microsoft Active Directory avec votre base de données Autonomous AI sur Exadata Cloud@Customer.

Ajouter des rôles Microsoft Active Directory sur la base de données Autonomous AI

Pour ajouter des rôles Active Directory, mettez en correspondance les rôles globaux de base de données avec les groupes Active Directory à l'aide d'instructions CREATE ROLE ou ALTER ROLE (et incluez la clause IDENTIFIED GLOBALLY AS).

Afin d'ajouter des rôles globaux pour les groupes Active Directory sur la base de données Autonomous AI, procédez comme suit :

1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données configurée pour utiliser Active Directory (l'utilisateur ADMIN dispose des privilèges système CREATE ROLE et ALTER ROLE dont vous avez besoin pour ces étapes).

2. Définissez l'autorisation de bases de données pour les rôles Autonomous AI Database avec l'instruction CREATE ROLE ou ALTER ROLE. Incluez la clause IDENTIFIED GLOBALLY AS et indiquez le nom distinctif d'un groupe Active Directory.

   Utilisez la syntaxe suivante pour mettre en correspondance un groupe d'utilisateurs d'annuaire avec un rôle global de base de données :

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS
         'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

   Exemple :

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
   

   Dans cet exemple, tous les membres de widget_sales_group disposent des autorisations du rôle de base de données widget_sales_role lorsqu'ils se connectent à la base de données.

3. Utilisez des instructions GRANT pour accorder les privilèges requis ou d'autres rôles au rôle global.

   Exemple :

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
    GRANT DWROLE TO WIDGET_SALES_ROLE;
   

   DWROLE est un rôle prédéfini avec des privilèges communs définis. Pour plus d'informations sur la définition de privilèges communs pour les utilisateurs de base de données Autonomous AI, reportez-vous à Gestion des privilèges utilisateur de base de données.

4. Si vous voulez qu'un rôle de base de données existant soit associé à un groupe Active Directory, utilisez l'instruction ALTER ROLE pour modifier le rôle de base de données existant afin de le mettre en correspondance avec un groupe Active Directory.

   Utilisez la syntaxe suivante pour modifier un rôle de base de données existant afin de le mettre en correspondance avec un groupe Active Directory :

    ALTER ROLE existing_database_role
       IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

5. Si vous voulez créer des correspondances de rôle global supplémentaires pour d'autres groupes Active Directory, suivez ces étapes pour chaque groupe Active Directory.

Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à Configuration de l'autorisation pour les utilisateurs gérés centralement dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 26ai

Ajout d'utilisateurs Microsoft Active Directory sur la base de données Autonomous AI

Pour ajouter des utilisateurs Active Directory afin d'accéder à une base de données Autonomous AI, mettez en correspondance des utilisateurs globaux de base de données avec des groupes Active Directory ou des utilisateurs avec des instructions CREATE USER ou ALTER USER (avec la clause IDENTIFIED GLOBALLY AS).

L'intégration d'Autonomous AI Database à Active Directory fonctionne en mettant en correspondance les utilisateurs et groupes Microsoft Active Directory directement avec les utilisateurs et rôles globaux de base de données Oracle.

Afin d'ajouter des utilisateurs globaux pour les groupes ou utilisateurs Active Directory sur la base de données Autonomous AI, procédez comme suit :

1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données configurée pour utiliser Active Directory (l'utilisateur ADMIN dispose des privilèges système CREATE USER et ALTER USER requis dont vous avez besoin pour ces étapes).

2. Définissez l'autorisation de base de Données pour les utilisateurs Autonomous AI Database avec des instructions CREATE USER ou ALTER USER, et incluez la clause IDENTIFIED GLOBALLY AS, en indiquant le nom distinctif d'un utilisateur ou d'un groupe Active Directory.

   Utilisez la syntaxe suivante pour mettre en correspondance un utilisateur d'annuaire avec un utilisateur global de base de données :

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
   

   Utilisez la syntaxe suivante pour mettre en correspondance un groupe d'annuaire avec un utilisateur global de base de données :

    CREATE USER global_user IDENTIFIED GLOBALLY AS
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
   

   Par exemple, pour mettre en correspondance un groupe d'annuaire nommé widget_sales_group dans l'unité organisationnelle sales du domaine production.example.com avec un utilisateur global de base de données partagé nommé WIDGET_SALES :

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
   

   Vous créez ainsi une correspondance d'utilisateur global partagé. La correspondance, avec l'utilisateur global widget_sales, s'applique à tous les utilisateurs du groupe Active Directory. Ainsi, tout membre de widget_sales_group peut se connecter à la base de données à l'aide de ses informations d'identification Active Directory (via la correspondance partagée de l'utilisateur global widget_sales).

3. Si vous voulez que les utilisateurs Active Directory passent par un utilisateur de base de données existant, et possèdent leur propre schéma et leurs données existantes, indiquez ALTER USER pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un groupe ou utilisateur Active Directory.

   • Utilisez la syntaxe suivante pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un utilisateur Active Directory :

     ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
     

   • Utilisez la syntaxe suivante pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un groupe Active Directory :

     ALTER USER existing_database_user
          IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
     

4. Si vous voulez créer des correspondances d'utilisateur global supplémentaires pour d'autres groupes ou utilisateurs Active Directory, suivez ces étapes pour chaque groupe ou utilisateur Active Directory.

Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à la section Configuring Authorization for Centrally Managed Users du Guide de sécurité Oracle Database 19c ou du Guide de sécurité Oracle Database 26ai.

Connexion à la base de données Autonomous AI avec les informations d'identification d'utilisateur Active Directory

Une fois que l'utilisateur ADMIN a terminé les étapes de configuration CMU Active Directory et créé des rôles globaux et des utilisateurs globaux, les utilisateurs se connectent à la base de données Autonomous AI à l'aide de leur nom utilisateur et de leur mot de passe Active Directory.

Remarque : ne vous connectez pas à l'aide d'un nom utilisateur global. Un nom utilisateur global ne dispose d'aucun mot de passe et entraîne l'échec de la connexion. Vous devez disposer d'une correspondance utilisateur globale dans votre base de données Autonomous AI pour vous connecter à la base de données. Vous ne pouvez pas vous connecter à la base de données avec des correspondances de rôle global uniquement.

Pour vous connecter à la base de données Autonomous AI à l'aide d'un nom utilisateur et d'un mot de passe Active Directory, connectez-vous comme suit :

CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

Exemple :

CONNECT "production\pfitch"/password@adbname_medium;

Vous devez indiquer des guillemets lorsque le domaine Active Directory est inclus avec le nom utilisateur, comme ici : "production\pfitch".

Dans cet exemple, le nom utilisateur Active Directory est pfitch dans le domaine production. L'utilisateur Active Directory est membre du groupe widget_sales_group identifié par son nom distinctif 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Après avoir configuré la CMU avec Active Directory sur la base de données Autonomous AI et configuré l'autorisation Active Directory, avec des rôles globaux et des utilisateurs globaux, vous pouvez vous connecter à votre base de données Autonomous AI à l'aide de l'une des méthodes de connexion décrites dans A propos de la connexion à une base de données Autonomous AI dédiée. Lorsque vous vous connectez, si vous voulez employer un utilisateur Active Directory, indiquez les informations d'identification de l'utilisateur Active Directory. Par exemple, indiquez le nom utilisateur au format "AD_DOMAIN\AD_USERNAME" (les guillemets doivent être inclus) et utilisez votre nom de passe AD_USER_PASSWORD.

Vérification de l'information de connexion d'utilisateur Active Directory avec Autonomous AI Database

Lorsque les utilisateurs se connectent à la base de données Autonomous AI à l'aide de leur nom utilisateur et mot de passe Active Directory, vous pouvez vérifier et auditer l'activité de l'utilisateur.

Par exemple, lorsque l'utilisateur pfitch se connecte :

CONNECT "production\pfitch"/password@exampleadb_medium;

Le nom utilisateur de connexion de l'utilisateur Active Directory (samAccountName) est pfitch et widget_sales_group est le nom du groupe Active Directory et widget_sales est l'utilisateur global de la base de données Autonomous AI.

Une fois que pfitch se connecte à la base de données, la commande SHOW USER affiche le nom utilisateur global :

SHOW USER;

USER is "WIDGET_SALES"

La commande suivante affiche le nom distinctif de l'utilisateur Active Directory :

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Par exemple, vous pouvez vérifier l'identité d'entreprise de cet utilisateur géré centralement :

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

La commande suivante affiche "AD_DOMAIN\AD_USERNAME" :

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Par exemple, l'identité de l'utilisateur authentifié par Active Directory est capturée et auditée lorsque l'utilisateur se connecte à la base de données :

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Pour plus d'informations, reportez-vous à la section Verifying the Centrally Managed User Logon Information dans Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

Suppression de rôles et d'utilisateurs Active Directory sur la base de données Autonomous AI

Pour enlever des utilisateurs et des rôles Active Directory des bases de données Autonomous AI, utilisez les commandes de base de données standard. Vous n'enlevez pas les utilisateurs ou groupes Active Directory associés qui ont été mis en correspondance à partir des utilisateurs ou des rôles de base de données supprimés.

Pour enlever les utilisateurs ou les rôles de la base de données Autonomous AI :

1. Connectez-vous à la base de données configurée avec Active Directory en tant qu'utilisateur disposant du privilège système DROP USER ou DROP ROLE.

2. Supprimez les utilisateurs ou rôles globaux mis en correspondance avec des utilisateurs ou des groupes Active Directory à l'aide de l'instruction DROP USER ou DROP ROLE.

   Pour plus d'informations, reportez-vous à Enlever des utilisateurs de base de données.

Désactivation d'accès à Active Directory sur la base de données Autonomous AI

Décrit les étapes de suppression de la configuration CMU de votre base de données Autonomous AI (et de désactivation de l'accès LDAP de votre base de données Autonomous AI vers Active Directory).

Une fois que vous avez configuré votre instance de base de données Autonomous AI pour accéder à CMU Active Directory, vous pouvez désactiver l'accès comme suit :

1. Connectez-vous à la base de données Autonomous AI en tant qu'utilisateur ADMIN.

2. Utilisez DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION pour désactiver l'authentification CMU.

   Remarque : pour exécuter cette procédure, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer du privilège EXECUTE sur DBMS_CLOUD_ADMIN.

   Exemple :

      BEGIN
        DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
      END;
      /
   

   Cela désactive l'authentification CMU sur votre instance de base de données Autonomous AI.

Pour plus d'informations, reportez-vous à Procédure DISABLE_EXTERNAL_AUTHENTICATION.

Limites relatives à Microsoft Active Directory sur Autonomous AI Database

Les limites suivantes s'appliquent à la fonctionnalité Utilisateurs gérés centralément avec Active Directory sur Autonomous AI Database :

• Seule l'authentification par mot de passe et Kerberos est prise en charge pour la CMU avec la base de données Autonomous AI. Lorsque vous utilisez l'authentification CMU avec la base de données Autonomous AI, les autres méthodes d'authentification telles qu'Azure AD, OCI IAM et PKI ne sont pas prises en charge.

• Oracle Application Express et Database Actions ne sont pas pris en charge pour les utilisateurs Active Directory avec Autonomous AI Database.