Utilisation de Microsoft Active Directory avec Autonomous Database on Dedicated Exadata Infrastructure
Vous pouvez configurer Autonomous Database on Dedicated Exadata Infrastructure de façon à authentifier et à autoriser les utilisateurs Microsoft Active Directory. Les utilisateurs Active Directory peuvent ainsi accéder à une instance Autonomous Database à l'aide de leurs informations d'identification Active Directory.
Remarques :
Reportez-vous à Utilisation d'Azure Active Directory (Azure AD) avec Autonomous Database pour plus d'informations sur l'utilisation d'Azure Active Directory avec Autonomous Database. L'option CMU prend en charge les serveurs Microsoft Active Directory, mais pas le service Azure Active Directory.L'intégration d'Autonomous Database avec la fonctionnalité Utilisateurs gérés centralement permet l'intégration à Microsoft Active Directory. La fonctionnalité Utilisateurs gérés centralement avec Active Directory fonctionne en mettant en correspondance les utilisateurs et rôles globaux de base de données Oracle avec les utilisateurs et groupes Microsoft Active Directory.
Prérequis pour la configuration de la CMU avec Microsoft Active Directory sur Autonomous Database
Voici les prérequis pour configurer la connexion entre Autonomous Database et Active Directory :
-
Microsoft Active Directory doit être installé et configuré. Pour plus d'informations, reportez-vous à Introduction à AD DS.
-
Vous devez créer un utilisateur d'annuaire de service Oracle dans Active Directory. Reportez-vous à Etape 1 : création d'un compte utilisateur d'annuaire Oracle Service sur Microsoft Active Directory et octroi de droits d'accès dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai pour plus d'informations sur le compte utilisateur d'annuaire de services Oracle.
-
Un administrateur système Active Directory doit avoir installé le filtre de mot de passe Oracle sur les serveurs Active Directory, et configuré des groupes Active Directory avec des utilisateurs Active Directory pour répondre à vos besoins.
Seule l'authentification par mot de passe est prise en charge avec la fonctionnalité Utilisateurs gérés centralement pour Autonomous Database. Vous devez donc passer par l'utilitaire inclus,
opwdintg.exe
, pour installer le filtre de mot de passe Oracle sur Active Directory, étendre le schéma et créer trois groupesORA_VFR
pour trois types de génération de vérificateur de mot de passe. Reportez-vous à Etape 2 : pour l'authentification par mot de passe, installation du filtre de mot de passe et extension du schéma Microsoft Active Directory dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai pour plus d'informations sur l'installation du filtre de mot de passe Oracle. -
Les serveurs Active Directory doivent être accessibles à partir d'Autonomous Database via le réseau Internet public, et le port 636 des serveurs Active Directory doit être ouvert à Autonomous Database dans Oracle Cloud Infrastructure, de sorte qu'Autonomous Database puisse sécuriser l'accès LDAP TLS/SSL aux serveurs Active Directory via Internet.
Vous pouvez également étendre votre annuaire Active Directory sur site à Oracle Cloud Infrastructure, où vous pouvez configurer des contrôleurs de domaine en lecture seule pour l'annuaire Active Directory sur site. Vous pouvez ensuite utiliser ces contrôleurs dans Oracle Cloud Infrastructure pour authentifier les utilisateurs Active Directory sur site et les autoriser à accéder aux bases de données autonomes.
Pour plus d'informations, reportez-vous à Extension de l'intégration Active Directory dans le cloud hybride.
-
Vous avez besoin du portefeuille de base de données de configuration de la fonctionnalité Utilisateurs gérés centralement
cwallet.sso
et du fichier de configuration de la fonctionnalitédsi.ora
afin de configurer cette dernière pour votre base de données autonome:-
Si vous avez configuré la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site, vous pouvez obtenir ces fichiers de configuration à partir du serveur de base de données sur site.
-
Si vous n'avez pas configuré la CMU pour une base de données sur site, vous devez créer ces fichiers. Ensuite, téléchargez les fichiers de configuration vers le cloud pour configurer la fonctionnalité Utilisateurs gérés centralement sur votre instance Autonomous Database. Vous pouvez valider le portefeuille et le fichier
dsi.ora
en configurant la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site et en vérifiant qu'un utilisateur Active Directory peut se connecter à cette base de données avec ces fichiers de configuration. Téléchargez ensuite ces fichiers de configuration vers le cloud afin de configurer la fonctionnalité Utilisateurs gérés centralement pour votre base de données autonome.
Pour plus d'informations sur le fichier de portefeuille de la CMU, reportez-vous aux sections suivantes :- Etape 6 : création du portefeuille pour une connexion sécurisée dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai
- Etape 8 : vérification d'Oracle Wallet dans le Guide de sécurité Oracle Database 19c et le Guide de sécurité Oracle Database 23ai.
Pour plus d'informations sur le fichier
dsi.ora
pour la CMU, reportez-vous à Création du fichier dsi.ora dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.Pour plus d'informations sur la configuration d'Active Directory pour la fonctionnalité Utilisateurs gérés centralement et sur le dépannage de cette dernière pour les bases de données sur site, reportez-vous à Procédure de configuration de la fonctionnalité Utilisateurs gérés centralement pour Database version 18c ou ultérieure (ID de document 2462012.1).
-
Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database
Afin de configurer Autonomous Database pour la fonctionnalité Utilisateurs gérés centralement de sorte que le service se connecte aux serveurs Active Directory, procédez comme suit :
Remarques :
Reportez-vous à Activation de l'accès à Active Directory sur Autonomous Database pour obtenir les instructions de désactivation de l'accès d'Autonomous Database à Active Directory.Pour plus d'informations, reportez-vous à Configuration d'utilisateurs gérés centralement avec Microsoft Active Directory dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 19c
Configuration de la CMU avec Microsoft Active Directory sur Exadata Cloud@Customer
S'APPLIQUE À : Exadata Cloud@Customer uniquement
Afin de configurer Autonomous Database sur Exadata Cloud@Customer pour que la fonctionnalité Utilisateurs gérés centralement se connecte aux serveurs Active Directory, sans utiliser le service de banque d'objets Oracle, procédez comme suit :
Vous avez maintenant configuré CMU-AD pour utiliser l'authentification externe via Microsoft Active Directory avec votre instance Autonomous Database sur Exadata Cloud@Customer.
Ajout de rôles Microsoft Active Directory sur Autonomous Database
Pour ajouter des rôles Active Directory, mettez en correspondance les rôles globaux de base de données avec les groupes Active Directory à l'aide d'instructions CREATE ROLE
ou ALTER ROLE
(et incluez la clause IDENTIFIED GLOBALLY AS
).
Afin d'ajouter des rôles globaux pour les groupes Active Directory sur Autonomous Database, procédez comme suit :
Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à Configuration de l'autorisation pour les utilisateurs gérés centralement dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.
Ajout d'utilisateurs Microsoft Active Directory sur Autonomous Database
Pour ajouter des utilisateurs Active Directory afin qu'ils accèdent à une instance Autonomous Database, mettez en correspondance des utilisateurs globaux de base de données avec des groupes ou utilisateurs Active Directory à l'aide d'instructions CREATE USER
ou ALTER USER
(avec la clause IDENTIFIED GLOBALLY AS
).
L'intégration d'Autonomous Database à Active Directory fonctionne en mettant en correspondance les utilisateurs et groupes Microsoft Active Directory directement avec les utilisateurs et rôles globaux de base de données Oracle.
Afin d'ajouter des utilisateurs globaux pour les groupes ou utilisateurs Active Directory sur Autonomous Database, procédez comme suit :
Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à Configuration de l'autorisation pour les utilisateurs gérés centralement dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.
Connexion à Autonomous Database avec des informations d'identification d'utilisateur Active Directory
Une fois que l'utilisateur ADMIN a terminé les étapes de configuration de la fonctionnalité commune avec Active Directory, et créé des rôles et utilisateurs globaux, les utilisateurs se connectent à Autonomous Database à l'aide de leur nom utilisateur et de leur mot de passe Active Directory.
Remarques :
Ne vous connectez pas à l'aide d'un nom utilisateur global. Un nom utilisateur global ne dispose d'aucun mot de passe et entraîne l'échec de la connexion. Vous devez avoir mis en place une correspondance d'utilisateur global dans votre base de données autonome pour vous connecter à la base de données. Vous ne pouvez pas vous connecter à la base de données avec des correspondances de rôle global uniquement.Après avoir configuré la CMU avec Active Directory sur Autonomous Database et configuré l'autorisation Active Directory, avec les rôles et utilisateurs globaux, vous pouvez vous connecter à votre instance Autonomous Database à l'aide de l'une des méthodes de connexion décrites dans A propos de la connexion à une instance Autonomous Database dédiée. Lorsque vous vous connectez, si vous voulez employer un utilisateur Active Directory, indiquez les informations d'identification de l'utilisateur Active Directory. Par exemple, indiquez le nom utilisateur au format suivant, "AD_DOMAIN\AD_USERNAME" (les guillemets doivent être inclus) et utilisez votre mot de passe AD_USER_PASSWORD.
Vérification des informations de connexion d'utilisateur Active Directory avec Autonomous Database
Lorsque les utilisateurs se connectent à l'instance Autonomous Database à l'aide de leur nom utilisateur et de leur mot de passe Active Directory, vous pouvez vérifier et auditer l'activité utilisateur.
Par exemple, lorsque l'utilisateur pfitch
se connecte :
CONNECT "production\pfitch"/password@exampleadb_medium;
Le nom utilisateur de connexion de l'utilisateur Active Directory (samAccountName) est pfitch
, widget_sales_group
est le nom du groupe Active Directory et widget_sales
est l'utilisateur global Autonomous Database.
Une fois que pfitch
se connecte à la base de données, la commande SHOW USER
affiche le nom utilisateur global :
SHOW USER;
USER is "WIDGET_SALES"
La commande suivante affiche le nom distinctif de l'utilisateur Active Directory :
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Par exemple, vous pouvez vérifier l'identité d'entreprise de cet utilisateur géré centralement :
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
La commande suivante affiche "AD_DOMAIN\AD_USERNAME
" :
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Par exemple, l'identité de l'utilisateur authentifié par Active Directory est capturée et auditée lorsque l'utilisateur se connecte à la base de données :
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Pour plus d'informations, reportez-vous à Vérification des informations de connexion utilisateur gérées de manière centralisée dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.
Suppression d'utilisateurs et de rôles Active Directory sur Autonomous Database
Pour enlever des utilisateurs et des rôles Active Directory des bases de données autonomes, utilisez des commandes de base de données standard. Vous n'enlevez pas les utilisateurs ou groupes Active Directory associés qui ont été mis en correspondance à partir des utilisateurs ou des rôles de base de données supprimés.
Pour enlever des utilisateurs ou des rôles d'Autonomous Database, procédez comme suit :
Désactivation de l'accès à Active Directory sur Autonomous Database
Décrit les étapes permettant d'enlever la configuration de la fonctionnalité Utilisateurs gérés centralement de votre instance Autonomous Database (et de désactiver l'accès LDAP de votre instance Autonomous Database vers Active Directory).
Une fois que vous avez configuré votre instance Autonomous Database de façon à accéder à Utilisateurs gérés centralement avec Active Directory, vous pouvez désactiver l'accès comme suit :
Pour plus d'informations, reportez-vous à Procédure DISABLE_EXTERNAL_AUTHENTICATION.
Limites relatives à Microsoft Active Directory sur Autonomous Database
Les limites suivantes s'appliquent à la fonctionnalité Utilisateurs permanents avec Active Directory sur Autonomous Database :
-
Seules l'authentification par mot de passe et Kerberos sont prises en charge pour la fonctionnalité Utilisateurs gérés centralement avec Autonomous Database. Lorsque vous utilisez l'authentification de la CMU avec Autonomous Database, d'autres méthodes d'authentification telles qu'Azure AD, OCI IAM et PKI ne sont pas prises en charge.
-
Oracle Application Express et Database Actions ne sont pas prises en charge pour les utilisateurs Active Directory avec Autonomous Database.