Utilisation de Microsoft Active Directory avec Autonomous AI Database sur une infrastructure Exadata dédiée

Vous pouvez configurer Autonomous AI Database sur une infrastructure Exadata dédiée de façon à authentifier et autoriser les utilisateurs Microsoft Active Directory. Cette configuration permet aux utilisateurs Active Directory d'accéder à une base de données Autonomous AI à l'aide de leurs informations d'identification d'Active Directory.

Remarques :

Pour plus d'informations sur l'utilisation d'Azure Active Directory avec Autonomous AI Database, reportez-vous à Utilisation d'Azure Active Directory (Azure AD) avec Autonomous AI Database. L'option CMU prend en charge le serveur Microsoft Active Directory, mais pas le service Azure Active Directory.

L'intégration d'Autonomous AI Database avec la fonction Utilisateurs gérés centralément permet l'intégration à Microsoft Active Directory. La fonctionnalité Utilisateurs gérés centralement avec Active Directory fonctionne en mettant en correspondance les utilisateurs et rôles globaux de base de données Oracle avec les utilisateurs et groupes Microsoft Active Directory.

Prérequis pour la configuration de la CMU avec Microsoft Active Directory sur Autonomous AI Database

Les prérequis suivants sont requis pour configurer la connexion entre Autonomous AI Database et Active Directory :

  • Microsoft Active Directory doit être installé et configuré. Pour plus d'informations, reportez-vous à Introduction à AD DS.

  • Vous devez créer un utilisateur d'annuaire de service Oracle dans Active Directory. Reportez-vous à Etape 1 : création d'un compte utilisateur d'annuaire Oracle Service sur Microsoft Active Directory et octroi de droits d'accès dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 26ai pour plus d'informations sur le compte utilisateur d'annuaire de services Oracle.

  • Un administrateur système Active Directory doit avoir installé le filtre de mot de passe Oracle sur les serveurs Active Directory, et configuré des groupes Active Directory avec des utilisateurs Active Directory pour répondre à vos besoins.

    SEULE L'authentification par mot de passe est prise en charge avec la fonctionnalité Utilisateurs gérés centralément pour Autonomous AI Database. Vous devez donc utiliser l'utilitaire inclus, opwdintg.exe, pour installer le filtre de mot de passe Oracle sur Active Directory, étendre le schéma et créer trois groupes ORA_VFR pour trois types de génération de vérificateur de mot de passe. Pour plus d'informations sur l'installation du filtre de mot de passe Oracle, reportez-vous à la section Step 2 : For Password Authentication, Install the Password Filter and Extend the Microsoft Active Directory Schema in Oracle Database 19c Security Guide or Oracle Database 26ai Security Guide.

  • Les serveurs Active Directory doivent être accessibles à partir d'Autonomous AI Database via le réseau Internet public, et le port 636 des serveurs Active Directory doit être ouvert à Autonomous AI Database dans Oracle Cloud Infrastructure, de sorte qu'Autonomous AI Database puisse sécuriser l'accès LDAP TLS/SSL aux serveurs Active Directory via Internet.

    Vous pouvez également étendre votre annuaire Active Directory sur site à Oracle Cloud Infrastructure, où vous pouvez configurer des contrôleurs de domaine en lecture seule pour l'annuaire Active Directory sur site. Vous pouvez ensuite utiliser ces RODC dans Oracle Cloud Infrastructure pour authentifier et autoriser les utilisateurs Active Directory sur site à accéder aux base de données IA autonomes.

    Pour plus d'informations, reportez-vous à Extension de l'intégration Active Directory dans le cloud hybride.

  • Vous avez besoin du portefeuille de base de données de configuration de la CMU, cwallet.sso et du fichier de configuration de la CMU dsi.ora pour configurer la CMU pour votre base de données Autonomous AI :

    • Si vous avez configuré la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site, vous pouvez obtenir ces fichiers de configuration à partir du serveur de base de données sur site.

    • Si vous n'avez pas configuré la fonctionnalité CMU pour une base de données on-premise, vous devez créer ces fichiers. Vous téléchargez ensuite les fichiers de configuration vers le cloud pour configurer la CMU sur votre instance Autonomous AI Database. Vous pouvez valider le portefeuille et le fichier dsi.ora en configurant la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site et en vérifiant qu'un utilisateur Active Directory peut se connecter à cette base de données avec ces fichiers de configuration. Vous téléchargez ensuite ces fichiers de configuration vers le cloud afin de configurer la CMU pour votre base de données AI autonome.

    Pour plus d'informations sur le fichier de portefeuille de la CMU, reportez-vous aux sections suivantes :

    Pour plus d'informations sur le fichier dsi.ora pour CMU, reportez-vous à la section Creating the dsi.ora File dans Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

    Pour plus d'informations sur la configuration d'Active Directory pour la fonctionnalité Utilisateurs gérés centralement et sur le dépannage de cette dernière pour les bases de données sur site, reportez-vous à Procédure de configuration de la fonctionnalité Utilisateurs gérés centralement pour Database version 18c ou ultérieure (ID de document 2462012.1).

Configuration de la fonctionnalité CMU avec Microsoft Active Directory sur Autonomous AI Database

Pour configurer Autonomous AI Database pour la CMU afin qu'il se connecte aux serveurs Active Directory :

  1. Connectez-vous à la base de données Autonomous AI en tant qu'utilisateur ADMIN.
  2. Vérifiez si un autre modèle d'authentification externe est activé sur votre base de données et désactivez-le.

    Remarques :

    Vous pouvez poursuivre la configuration CMU-AD en plus de Kerberos pour fournir l'authentification Kerberos CMU-AD aux utilisateurs Microsoft Active Directory.
  3. Téléchargez les fichiers de configuration de la fonctionnalité Utilisateurs gérés centralement, y compris le fichier de portefeuille de base de données (cwallet.sso) et le fichier de configuration de la fonctionnalité (dsi.ora), vers votre banque d'objets. Cette étape dépend de la banque d'objets que vous utilisez.

    Le fichier de configuration dsi.ora contient les informations permettant de trouver les serveurs Active Directory.

    Si vous utilisez la banque d'objets Oracle Cloud Infrastructure, reportez-vous à Stockage de données dans Object Storage pour plus d'informations sur le téléchargement de fichiers.

  4. Sur votre base de données Autonomous AI, créez un objet de répertoire ou choisissez un objet de répertoire existant. Il s'agit du répertoire dans lequel vous stockez le portefeuille et le fichier de configuration pour la connexion à Active Directory.

    Exemple :

    CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';

    Utilisez l'instruction SQL suivante pour interroger le chemin de répertoire de système de fichiers de l'objet de répertoire :

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
   DIRECTORY_NAME='directory_object_name';

    Exemple :

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
   DIRECTORY_NAME='CMU_WALLET_DIR';


DIRECTORY_PATH
----------------------------------------------------------------------------
/file_system_directory_path_example/cmu_wallet

    Remarques :

    Le nom de l'objet de répertoire dans la requête doit être en majuscules, car sa casse n'a pas été conservée lors de la création de l'objet de répertoire.
    Si vous souhaitez conserver la casse du nom d'objet de répertoire, vous devez inclure son nom entre guillemets doubles. Exemple :
    CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
  5. Utilisez DBMS_CLOUD.GET_OBJECT pour copier les fichiers de configuration de la fonctionnalité Utilisateurs multiples, le portefeuille de base de données cwallet.sso et dsi.ora à partir de votre banque d'objets vers le répertoire que vous avez créé ou choisi à l'étape 4 ci-dessus.

    Par exemple, utilisez DBMS_CLOUD.GET_OBJECT pour copier les fichiers à partir de la banque d'objets vers CMU_WALLET_DIR comme suit : 

    BEGIN
   DBMS_CLOUD.GET_OBJECT(
      credential_name => 'DEF_CRED_NAME',
      object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
      directory_name => 'CMU_WALLET_DIR');
   DBMS_CLOUD.GET_OBJECT(
      credential_name => 'DEF_CRED_NAME',
      object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
      directory_name => 'CMU_WALLET_DIR');
END;
/

    Dans cet exemple, namespace-string est l'espace de noms de stockage d'objet Oracle Cloud Infrastructure et bucketname est le nom du bucket. Pour plus d'informations, reportez-vous à Présentation des espaces de noms Object Storage.

    Pour plus d'informations, reportez-vous à Procédure GET_OBJECT.

    Utilisez l'instruction SQL suivante pour interroger les fichiers copiés dans le répertoire.

    SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');

    Exemple :

    SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');

    Le nom de l'objet de répertoire dans cette requête doit être en majuscules, car sa casse n'a pas été conservée lors de la création de l'objet de répertoire.

  6. Activez CMU-AD dans votre base de données AI autonome à l'aide du package DBMS_CLOUD_ADMIN.

    Remarques :

    Remplacez les noms de répertoire de l'exemple ci-dessous par ceux choisis pour votre environnement. Vérifiez que vous êtes connecté en tant qu'utilisateur ADMIN avant d'exécuter cette commande. 
    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     => 'CMU',
    params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
  ); 
END;
/
  7. Pour assurer la sécurité, enlevez les fichiers de configuration de la fonctionnalité Utilisateurs gérés centralement, y compris le portefeuille de base de données cwallet.sso et le fichier de configuration de la fonctionnalité dsi.ora, de la banque d'objets. Vous pouvez utiliser les méthodes locales de la banque d'objets pour enlever ces fichiers, ou utiliser DBMS_CLOUD.DELETE_OBJECT pour les supprimer de la banque d'objets.
    Pour plus d'informations sur DBMS_CLOUD.DELETE_OBJECT, reportez-vous à Procédure DELETE_OBJECT.

Remarques :

See Disable Active Directory Access on Autonomous AI Database for instructions to disable the access from Autonomous AI Database to Active Directory.

Pour plus d'informations, reportez-vous à Configuration des utilisateurs gérés de manière centralisée avec Microsoft Active Directory dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 26ai.

Configuration de la CMU avec Microsoft Active Directory sur Exadata Cloud@Customer

S'APPLIQUE À : Applicable Exadata Cloud@Customer uniquement

Afin de configurer Autonomous AI Database sur Exadata Cloud@Customer pour que la CMU se connecte aux serveurs Active Directory, sans utiliser le service de banque d'objets Oracle, procédez comme suit :

  1. Connectez-vous à la base de données Autonomous AI en tant qu'utilisateur ADMIN.
  2. Vérifiez si un autre modèle d'authentification externe est activé sur votre base de données et désactivez-le à l'aide de la commande SQL suivante.
    BEGIN
  DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
  3. CMU-AD a besoin de votre portefeuille de connexion Active Directory cwallet.sso et des fichiers dsi.ora sur un système de fichiers local sur votre cluster de machines virtuelles Exadata Autonomous (AVMC). Pour ce faire, vous pouvez héberger ces fichiers dans le service de banque d'objets Oracle sur Oracle Cloud Infrastructure, puis les copier localement à l'aide du package DBMS_CLOUD. Vous trouverez ce processus avec des étapes détaillées et des exemples dans Configuration de la CMU avec Microsoft Active Directory sur une base de données Autonomous AI.
  4. Si l'hébergement de cwallet.sso et dsi.ora dans le stockage cloud n'est pas possible, vous pouvez utiliser un partage NFS (Network File System) dans votre centre de données pour héberger ces fichiers, puis les déplacer vers un répertoire de base de données sous le système de fichiers de base de données. Pour ce faire, vous devez d'abord attacher un partage NFS disponible localement à l'objet de répertoire Autonomous AI Database comme illustré ci-dessous :
    1. Créez un répertoire de base de données dans votre instance Autonomous AI Database à l'aide de la commande SQL suivante à partir de votre client SQL :
      create or replace directory TMPFSSDIR as 'tmpfssdir';
    2. Montez votre partage NFS dans ce répertoire à l'aide du package DBMS_CLOUD_ADMIN disponible dans Autonomous AI Database.

      Conseil :

      Vous devrez peut-être travailler avec votre administrateur réseau ou de stockage pour rendre un partage NFS disponible. 
      BEGIN
  DBMS_CLOUD_ADMIN.attach_file_system(
    file_system_name => <some_name_you_assign>,
    file_system_location => <your_nfs_fs_path>,
    directory_name => <tmpfssdir_created_above>,
    description => ‘Any_desc_you_like_to_give’
  );
END
      Exemple :
      BEGIN 
  DBMS_CLOUD_ADMIN.attach_file_system(
    file_system_name => 'AD-FSS',
    file_system_location => acme.com:/nfs/mount1',
    directory_name => 'TMPFSSDIR',
    description => ‘nfs to host AD files’
  );
END;
  5. Pour éviter une dépendance au partage NFS pour que les fichiers cwallet.sso et dsi.ora soient disponibles pour la CMU, déplacez-les vers un dossier de système de fichiers local à l'aide d'un mappage de répertoire de base de données. Comme Autonomous AI Database restreint l'accès au système de fichiers local, créez une procédure de copie à l'aide de utl_file comme illustré ci-dessous :
    1. Créez un répertoire de base de données dans votre instance Autonomous AI Database à l'aide de la commande SQL suivante à partir de votre client SQL :
      CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
    2. Vérifiez le chemin du répertoire créé ci-dessus à l'aide de la commande SQL suivante :
      SELECT DIRECTORY_PATH 
FROM DBA_DIRECTORIES 
WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';

      Remarques :

      Le nom de l'objet de répertoire doit être en majuscules dans la requête, car il n'a pas été conservé lors de la création de l'objet de répertoire.
    3. Copiez dsi.ora et cwallet.sso du répertoire NFS vers le répertoire de portefeuille CMU local à l'aide de l'utilitaire UTL_FILE.
      Exemple :
      Créez une procédure stockée nommée copyfile comme indiqué ci-dessous :
      CREATE OR REPLACE PROCEDURE copyfile(
  in_loc_dir IN VARCHAR2,
  in_filename IN VARCHAR2,
  out_loc_dir IN VARCHAR2,
  out_filename IN VARCHAR2
)
IS
  in_file UTL_FILE.file_type;
  out_file UTL_FILE.file_type;
  buffer_size CONSTANT INTEGER := 32767;
  buffer RAW (32767);
  buffer_length INTEGER; 
BEGIN
  in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
  out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
  UTL_FILE.get_raw (in_file, buffer, buffer_size);
  buffer_length := UTL_RAW.LENGTH (buffer);

  WHILE buffer_length > 0
  LOOP 
    UTL_FILE.put_raw (out_file, buffer, TRUE);

    IF buffer_length = buffer_size
      THEN
        UTL_FILE.get_raw (in_file, buffer, buffer_size);
        buffer_length := UTL_RAW.LENGTH (buffer);
      ELSE
        buffer_length := 0;
      END IF;
  END LOOP;

  UTL_FILE.fclose (in_file);
  UTL_FILE.fclose (out_file);
EXCEPTION
  WHEN NO_DATA_FOUND
  THEN
    UTL_FILE.fclose (in_file);
    UTL_FILE.fclose (out_file);
END;
/
      Compilez la procédure stockée copyfile. Une fois la compilation effectuée, exécutez la procédure copyfile une seule fois pour copier dsi.ora et cwallet.sso du répertoire NFS vers le répertoire de portefeuille CMU local, comme indiqué ci-dessous :
      EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
      EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
    4. Exécutez la requête SQL suivante pour vérifier si les fichiers ont été copiés dans le répertoire de portefeuille CMU local.
      SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
  6. A l'aide de la commande suivante, détachez le partage NFS car vous n'en avez pas besoin pour CMU-AD après la copie des fichiers dans le répertoire local.
    exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
  7. Activez CMU-AD dans votre base de données AI autonome à l'aide du package DBMS_CLOUD_ADMIN.

    Remarques :

    Remplacez les noms de répertoire de l'exemple ci-dessous par ceux choisis pour votre environnement. Vérifiez que vous êtes connecté en tant qu'utilisateur ADMIN avant d'exécuter cette commande. 
    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     => 'CMU',
    params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
  ); 
END;
/
  8. Validez en interrogeant la valeur de propriété de la propriété de base de données CMU_WALLET, comme indiqué ci-dessous.
    SELECT PROPERTY_VALUE
FROM DATABASE_PROPERTIES
WHERE PROPERTY_NAME = 'CMU_WALLET';
    Par exemple :
    SELECT PROPERTY_VALUE
FROM DATABASE_PROPERTIES
WHERE PROPERTY_NAME='CMU_WALLET';

PROPERTY_VALUE
--------------
CMU_WALLET_DIR

Vous avez maintenant configuré CMU-AD pour utiliser l'authentification externe via Microsoft Active Directory avec votre base de données AI autonome sur Exadata Cloud@Customer.

ajout de rôles Microsoft Active Directory sur Autonomous AI Database ;

Pour ajouter des rôles Active Directory, mettez en correspondance les rôles globaux de base de données avec les groupes Active Directory à l'aide d'instructions CREATE ROLE ou ALTER ROLE (et incluez la clause IDENTIFIED GLOBALLY AS).

Afin d'ajouter des rôles globaux pour les groupes Active Directory sur Autonomous AI Database, procédez comme suit :

  1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données configurée pour utiliser Active Directory (l'utilisateur ADMIN dispose des privilèges système CREATE ROLE et ALTER ROLE dont vous avez besoin pour ces étapes).
  2. Définissez l'autorisation de base de données pour les rôles Base de données Autonomous AI avec l'instruction CREATE ROLE ou ALTER ROLE. Incluez la clause IDENTIFIED GLOBALLY AS et indiquez le nom distinctif d'un groupe Active Directory.

    Utilisez la syntaxe suivante pour mettre en correspondance un groupe d'utilisateurs d'annuaire avec un rôle global de base de données :

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Exemple :

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Dans cet exemple, tous les membres de widget_sales_group disposent des autorisations du rôle de base de données widget_sales_role lorsqu'ils se connectent à la base de données.

  3. Utilisez des instructions GRANT pour accorder les privilèges requis ou d'autres rôles au rôle global.

    Exemple :

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE est un rôle prédéfini avec des privilèges communs définis. Pour plus d'informations sur la définition de privilèges communs pour les utilisateurs de Autonomous AI Database, reportez-vous à Gestion des privilèges utilisateur de base de données.

  4. Si vous voulez qu'un rôle de base de données existant soit associé à un groupe Active Directory, utilisez l'instruction ALTER ROLE pour modifier le rôle de base de données existant afin de le mettre en correspondance avec un groupe Active Directory.

    Utilisez la syntaxe suivante pour modifier un rôle de base de données existant afin de le mettre en correspondance avec un groupe Active Directory :

    ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Si vous voulez créer des correspondances de rôle global supplémentaires pour d'autres groupes Active Directory, suivez ces étapes pour chaque groupe Active Directory.

Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à la section Configuring Authorization for Centrally Managed Users du Guide de sécurité Oracle Database 19c ou du Guide de sécurité Oracle Database 26ai.

Ajout d'utilisateurs Microsoft Active Directory sur Autonomous AI Database

Pour ajouter des utilisateurs Active Directory afin d'accéder à une base de données Autonomous AI, mettez en correspondance des utilisateurs globaux de base de données avec des groupes Active Directory ou des utilisateurs avec des instructions CREATE USER ou ALTER USER (avec la clause IDENTIFIED GLOBALLY AS).

L'intégration d'Autonomous AI Database à Active Directory fonctionne en mettant en correspondance les utilisateurs et groupes Microsoft Active Directory directement avec les utilisateurs et rôles globaux de base de données Oracle.

Afin d'ajouter des utilisateurs globaux pour les groupes ou utilisateurs Active Directory sur Autonomous AI Database, procédez comme suit :

  1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données configurée pour utiliser Active Directory (l'utilisateur ADMIN dispose des privilèges système CREATE USER et ALTER USER requis dont vous avez besoin pour ces étapes).
  2. Définissez l'autorisation de base de Données pour les utilisateurs Autonomous AI Database avec des instructions CREATE USER ou ALTER USER, et incluez la clause IDENTIFIED GLOBALLY AS, en indiquant le nom distinctif d'un utilisateur ou d'un groupe Active Directory.

    Utilisez la syntaxe suivante pour mettre en correspondance un utilisateur d'annuaire avec un utilisateur global de base de données :

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Utilisez la syntaxe suivante pour mettre en correspondance un groupe d'annuaire avec un utilisateur global de base de données :

    CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Par exemple, pour mettre en correspondance un groupe d'annuaire nommé widget_sales_group dans l'unité organisationnelle sales du domaine production.example.com avec un utilisateur global de base de données partagé nommé WIDGET_SALES : 

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Vous créez ainsi une correspondance d'utilisateur global partagé. La correspondance, avec l'utilisateur global widget_sales, s'applique à tous les utilisateurs du groupe Active Directory. Ainsi, tout membre de widget_sales_group peut se connecter à la base de données à l'aide de ses informations d'identification Active Directory (via la correspondance partagée de l'utilisateur global widget_sales).

  3. Si vous voulez que les utilisateurs Active Directory passent par un utilisateur de base de données existant, et possèdent leur propre schéma et leurs données existantes, indiquez ALTER USER pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un groupe ou utilisateur Active Directory.

    • Utilisez la syntaxe suivante pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un utilisateur Active Directory :

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    • Utilisez la syntaxe suivante pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un groupe Active Directory :

      ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Si vous voulez créer des correspondances d'utilisateur global supplémentaires pour d'autres groupes ou utilisateurs Active Directory, suivez ces étapes pour chaque groupe ou utilisateur Active Directory.

Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à la section Configuring Authorization for Centrally Managed Users du Guide de sécurité Oracle Database 19c ou du Guide de sécurité Oracle Database 26ai.

Connexion à Autonomous AI Database avec des informations d'identité d'utilisateur Active Directory

Une fois que l'utilisateur ADMIN a terminé les étapes de configuration Active Directory de la CMU et créé des rôles globaux et des utilisateurs globaux, les utilisateurs se connectent à Autonomous AI Database à l'aide de leur nom utilisateur et de leur mot de passe Active Directory.

Remarques :

Ne connectez pas à l'aide d'un nom utilisateur global. Un nom utilisateur global ne dispose d'aucun mot de passe et entraîne l'échec de la connexion. Vous devez disposer d'une correspondance utilisateur globale dans votre base de données AI autonome pour vous connecter à la base de données. Vous ne pouvez pas vous connecter à la base de données avec des correspondances de rôle global uniquement.
  1. Pour vous connecter à la base de données Autonomous AI à l'aide d'un nom utilisateur et d'un mot de passe Active Directory, connectez-vous comme suit :
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Exemple :

    CONNECT "production\pfitch"/password@adbname_medium;

    Vous devez indiquer des guillemets lorsque le domaine Active Directory est inclus avec le nom utilisateur, comme ici : "production\pfitch".

    Dans cet exemple, le nom utilisateur Active Directory est pfitch dans le domaine production. L'utilisateur Active Directory est membre du groupe widget_sales_group identifié par son nom distinctif 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Après avoir configuré la CMU avec Active Directory sur Autonomous AI Database et configuré l'autorisation Active Directory, avec des rôles globaux et des utilisateurs globaux, vous pouvez vous connecter à votre base de données AI autonome à l'aide de l'une des méthodes de connexion décrites dans A propos de la connexion à une base de données AI autonome dédiée. Lorsque vous vous connectez, si vous voulez employer un utilisateur Active Directory, indiquez les informations d'identification de l'utilisateur Active Directory. Par exemple, indiquez le nom utilisateur au format "AD_DOMAIN\AD_USERNAME" (les guillemets doivent être inclus) et utilisez votre nom utilisateur AD_USER_PASSWORD pour le mot de passe.

vérification des informations de connexion d'utilisateur Active Directory avec Autonomous AI Database ;

Lorsque les utilisateurs se connectent à la base de données Autonomous AI à l'aide de leur nom utilisateur et de leur mot de passe Active Directory, vous pouvez vérifier et auditer l'activité de l'utilisateur.

Par exemple, lorsque l'utilisateur pfitch se connecte : 

CONNECT "production\pfitch"/password@exampleadb_medium;

Le nom utilisateur de connexion de l'utilisateur Active Directory (samAccountName) est pfitch et widget_sales_group est le nom du groupe Active Directory, et widget_sales est l'utilisateur global Autonomous AI Database.

Une fois que pfitch se connecte à la base de données, la commande SHOW USER affiche le nom utilisateur global : 

SHOW USER;

USER is "WIDGET_SALES"

La commande suivante affiche le nom distinctif de l'utilisateur Active Directory :

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Par exemple, vous pouvez vérifier l'identité d'entreprise de cet utilisateur géré centralement :

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

La commande suivante affiche "AD_DOMAIN\AD_USERNAME" : 

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Par exemple, l'identité de l'utilisateur authentifié par Active Directory est capturée et auditée lorsque l'utilisateur se connecte à la base de données :

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Pour plus d'informations, reportez-vous à la section Verifying the Centrally Managed User Logon Information dans Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

Suppression de rôles et d'utilisateurs Active Directory sur Autonomous AI Database

Pour enlever des utilisateurs et des rôles Active Directory des bases de données Autonomous AI, utilisez des commandes de base de données standard. Vous n'enlevez pas les utilisateurs ou groupes Active Directory associés qui ont été mis en correspondance à partir des utilisateurs ou des rôles de base de données supprimés.

Afin d'enlever des utilisateurs ou des rôles de la base de données Autonomous AI, procédez comme suit :

  1. Connectez-vous à la base de données configurée avec Active Directory en tant qu'utilisateur disposant du privilège système DROP USER ou DROP ROLE.
  2. Supprimez les utilisateurs ou rôles globaux mis en correspondance avec des utilisateurs ou des groupes Active Directory à l'aide de l'instruction DROP USER ou DROP ROLE.
    Pour plus d'informations, reportez-vous à Suppression d'utilisateurs de base de données.

désactivation de l'accès à Active Directory sur Autonomous AI Database ;

Décrit les étapes de suppression de la configuration CMU de votre base de données AI autonome (et de désactivation de l'accès LDAP de votre base de données AI autonome vers Active Directory).

Une fois que vous avez configuré votre instance Autonomous AI Database pour accéder à CMU Active Directory, vous pouvez désactiver l'accès comme suit :

  1. Connectez-vous à la base de données Autonomous AI en tant qu'utilisateur ADMIN.
  2. Utilisez DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION afin de désactiver l'authentification de la CMU.

    Remarques :

    Pour exécuter cette procédure, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer du privilège EXECUTE sur DBMS_CLOUD_ADMIN.

    Exemple :

    BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/

    Cela désactive l'authentification CMU sur votre instance Autonomous AI Database.

Pour plus d'informations, reportez-vous à Procédure DISABLE_EXTERNAL_AUTHENTICATION.

Limites relatives à Microsoft Active Directory sur Autonomous AI Database

Les limites suivantes s'appliquent à la fonctionnalité Utilisateurs gérés centralément avec Active Directory sur Autonomous AI Database :

  • Only "password authentication" and Kerberos is supported for CMU with Autonomous AI Database. Lorsque vous utilisez l'authentification CMU avec Autonomous AI Database, d'autres méthodes d'authentification telles qu'Azure AD, OCI IAM et PKI ne sont pas prises en charge.

  • Oracle Application Express et Database Actions ne sont pas pris en charge pour les utilisateurs Active Directory avec Autonomous AI Database.