Utilisation de Microsoft Active Directory avec Autonomous Database on Dedicated Exadata Infrastructure

Vous pouvez configurer Autonomous Database on Dedicated Exadata Infrastructure de façon à authentifier et à autoriser les utilisateurs Microsoft Active Directory. Les utilisateurs Active Directory peuvent ainsi accéder à une instance Autonomous Database à l'aide de leurs informations d'identification Active Directory.

Remarques :

Reportez-vous à Utilisation d'Azure Active Directory (Azure AD) avec Autonomous Database pour plus d'informations sur l'utilisation d'Azure Active Directory avec Autonomous Database. L'option CMU prend en charge les serveurs Microsoft Active Directory, mais pas le service Azure Active Directory.

L'intégration d'Autonomous Database avec la fonctionnalité Utilisateurs gérés centralement permet l'intégration à Microsoft Active Directory. La fonctionnalité Utilisateurs gérés centralement avec Active Directory fonctionne en mettant en correspondance les utilisateurs et rôles globaux de base de données Oracle avec les utilisateurs et groupes Microsoft Active Directory.

Prérequis pour la configuration de la CMU avec Microsoft Active Directory sur Autonomous Database

Voici les prérequis pour configurer la connexion entre Autonomous Database et Active Directory :

  • Microsoft Active Directory doit être installé et configuré. Pour plus d'informations, reportez-vous à Introduction à AD DS.

  • Vous devez créer un utilisateur d'annuaire de service Oracle dans Active Directory. Reportez-vous à Etape 1 : création d'un compte utilisateur d'annuaire Oracle Service sur Microsoft Active Directory et octroi de droits d'accès dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai pour plus d'informations sur le compte utilisateur d'annuaire de services Oracle.

  • Un administrateur système Active Directory doit avoir installé le filtre de mot de passe Oracle sur les serveurs Active Directory, et configuré des groupes Active Directory avec des utilisateurs Active Directory pour répondre à vos besoins.

    Seule l'authentification par mot de passe est prise en charge avec la fonctionnalité Utilisateurs gérés centralement pour Autonomous Database. Vous devez donc passer par l'utilitaire inclus, opwdintg.exe, pour installer le filtre de mot de passe Oracle sur Active Directory, étendre le schéma et créer trois groupes ORA_VFR pour trois types de génération de vérificateur de mot de passe. Reportez-vous à Etape 2 : pour l'authentification par mot de passe, installation du filtre de mot de passe et extension du schéma Microsoft Active Directory dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai pour plus d'informations sur l'installation du filtre de mot de passe Oracle.

  • Les serveurs Active Directory doivent être accessibles à partir d'Autonomous Database via le réseau Internet public, et le port 636 des serveurs Active Directory doit être ouvert à Autonomous Database dans Oracle Cloud Infrastructure, de sorte qu'Autonomous Database puisse sécuriser l'accès LDAP TLS/SSL aux serveurs Active Directory via Internet.

    Vous pouvez également étendre votre annuaire Active Directory sur site à Oracle Cloud Infrastructure, où vous pouvez configurer des contrôleurs de domaine en lecture seule pour l'annuaire Active Directory sur site. Vous pouvez ensuite utiliser ces contrôleurs dans Oracle Cloud Infrastructure pour authentifier les utilisateurs Active Directory sur site et les autoriser à accéder aux bases de données autonomes.

    Pour plus d'informations, reportez-vous à Extension de l'intégration Active Directory dans le cloud hybride.

  • Vous avez besoin du portefeuille de base de données de configuration de la fonctionnalité Utilisateurs gérés centralement cwallet.sso et du fichier de configuration de la fonctionnalité dsi.ora afin de configurer cette dernière pour votre base de données autonome:

    • Si vous avez configuré la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site, vous pouvez obtenir ces fichiers de configuration à partir du serveur de base de données sur site.

    • Si vous n'avez pas configuré la CMU pour une base de données sur site, vous devez créer ces fichiers. Ensuite, téléchargez les fichiers de configuration vers le cloud pour configurer la fonctionnalité Utilisateurs gérés centralement sur votre instance Autonomous Database. Vous pouvez valider le portefeuille et le fichier dsi.ora en configurant la fonctionnalité Utilisateurs gérés centralement pour une base de données sur site et en vérifiant qu'un utilisateur Active Directory peut se connecter à cette base de données avec ces fichiers de configuration. Téléchargez ensuite ces fichiers de configuration vers le cloud afin de configurer la fonctionnalité Utilisateurs gérés centralement pour votre base de données autonome.

    Pour plus d'informations sur le fichier de portefeuille de la CMU, reportez-vous aux sections suivantes :

    Pour plus d'informations sur le fichier dsi.ora pour la CMU, reportez-vous à Création du fichier dsi.ora dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.

    Pour plus d'informations sur la configuration d'Active Directory pour la fonctionnalité Utilisateurs gérés centralement et sur le dépannage de cette dernière pour les bases de données sur site, reportez-vous à Procédure de configuration de la fonctionnalité Utilisateurs gérés centralement pour Database version 18c ou ultérieure (ID de document 2462012.1).

Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database

Afin de configurer Autonomous Database pour la fonctionnalité Utilisateurs gérés centralement de sorte que le service se connecte aux serveurs Active Directory, procédez comme suit :

  1. Connectez-vous à l'instance Autonomous Database en tant qu'utilisateur ADMIN.
  2. Vérifiez si un autre modèle d'authentification externe est activé sur votre base de données et désactivez-le.

    Remarques :

    Vous pouvez poursuivre la configuration CMU-AD en plus de Kerberos pour fournir l'authentification Kerberos CMU-AD aux utilisateurs Microsoft Active Directory.
  3. Téléchargez les fichiers de configuration de la fonctionnalité Utilisateurs gérés centralement, y compris le fichier de portefeuille de base de données (cwallet.sso) et le fichier de configuration de la fonctionnalité (dsi.ora), vers votre banque d'objets. Cette étape dépend de la banque d'objets que vous utilisez.

    Le fichier de configuration dsi.ora contient les informations permettant de trouver les serveurs Active Directory.

    Si vous utilisez la banque d'objets Oracle Cloud Infrastructure, reportez-vous à Stockage de données dans Object Storage pour plus d'informations sur le téléchargement de fichiers.

  4. Sur votre instance Autonomous Database, créez un objet de répertoire ou choisissez un objet de répertoire existant. Il s'agit du répertoire dans lequel vous stockez le portefeuille et le fichier de configuration pour la connexion à Active Directory.

    Exemple :

    CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';

    Utilisez l'instruction SQL suivante pour interroger le chemin de répertoire de système de fichiers de l'objet de répertoire :

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
       DIRECTORY_NAME='directory_object_name';

    Exemple :

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
       DIRECTORY_NAME='CMU_WALLET_DIR';
    
    
    DIRECTORY_PATH
    ----------------------------------------------------------------------------
    /file_system_directory_path_example/cmu_wallet

    Remarques :

    Le nom de l'objet de répertoire dans la requête doit être en majuscules, car sa casse n'a pas été conservée lors de la création de l'objet de répertoire.
    Si vous souhaitez conserver la casse du nom d'objet de répertoire, vous devez inclure son nom entre guillemets doubles. Exemple :
    CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
  5. Utilisez DBMS_CLOUD.GET_OBJECT pour copier les fichiers de configuration de la fonctionnalité Utilisateurs multiples, le portefeuille de base de données cwallet.sso et dsi.ora à partir de votre banque d'objets vers le répertoire que vous avez créé ou choisi à l'étape 4 ci-dessus.

    Par exemple, utilisez DBMS_CLOUD.GET_OBJECT pour copier les fichiers à partir de la banque d'objets vers CMU_WALLET_DIR comme suit :

    BEGIN
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
          directory_name => 'CMU_WALLET_DIR');
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
          directory_name => 'CMU_WALLET_DIR');
    END;
    /

    Dans cet exemple, namespace-string est l'espace de noms de stockage d'objet Oracle Cloud Infrastructure et bucketname est le nom du bucket. Pour plus d'informations, reportez-vous à Présentation des espaces de noms Object Storage.

    Pour plus d'informations, reportez-vous à Procédure GET_OBJECT.

    Utilisez l'instruction SQL suivante pour interroger les fichiers copiés dans le répertoire.

    SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');

    Exemple :

    SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');

    Le nom de l'objet de répertoire dans cette requête doit être en majuscules, car sa casse n'a pas été conservée lors de la création de l'objet de répertoire.

  6. Activez CMU-AD dans votre instance Autonomous Database à l'aide du package DBMS_CLOUD_ADMIN.

    Remarques :

    Remplacez les noms de répertoire de l'exemple ci-dessous par ceux choisis pour votre environnement. Vérifiez que vous êtes connecté en tant qu'utilisateur ADMIN avant d'exécuter cette commande.
    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      ); 
    END;
    / 
  7. Pour assurer la sécurité, enlevez les fichiers de configuration de la fonctionnalité Utilisateurs gérés centralement, y compris le portefeuille de base de données cwallet.sso et le fichier de configuration de la fonctionnalité dsi.ora, de la banque d'objets. Vous pouvez utiliser les méthodes locales de la banque d'objets pour enlever ces fichiers, ou utiliser DBMS_CLOUD.DELETE_OBJECT pour les supprimer de la banque d'objets.
    Pour plus d'informations sur DBMS_CLOUD.DELETE_OBJECT, reportez-vous à Procédure DELETE_OBJECT.

Remarques :

Reportez-vous à Activation de l'accès à Active Directory sur Autonomous Database pour obtenir les instructions de désactivation de l'accès d'Autonomous Database à Active Directory.

Pour plus d'informations, reportez-vous à Configuration d'utilisateurs gérés centralement avec Microsoft Active Directory dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 19c

Configuration de la CMU avec Microsoft Active Directory sur Exadata Cloud@Customer

S'APPLIQUE À : Applicable Exadata Cloud@Customer uniquement

Afin de configurer Autonomous Database sur Exadata Cloud@Customer pour que la fonctionnalité Utilisateurs gérés centralement se connecte aux serveurs Active Directory, sans utiliser le service de banque d'objets Oracle, procédez comme suit :

  1. Connectez-vous à l'instance Autonomous Database en tant qu'utilisateur ADMIN.
  2. Vérifiez si un autre modèle d'authentification externe est activé sur votre base de données et désactivez-le à l'aide de la commande SQL suivante.
    BEGIN
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /
  3. CMU-AD a besoin du portefeuille de connexion Active Directory cwallet.sso et des fichiers dsi.ora sur un système de fichiers local sur le cluster de machines virtuelles Exadata Autonomous. Pour ce faire, vous pouvez héberger ces fichiers dans le service de banque d'objets Oracle sur Oracle Cloud Infrastructure, puis les copier localement à l'aide du package DBMS_CLOUD. Vous trouverez ce processus avec des étapes détaillées et des exemples dans Configuration de la fonctionnalité Utilisateurs gérés centralement avec Microsoft Active Directory sur Autonomous Database.
  4. Si l'hébergement de cwallet.sso et dsi.ora dans le stockage cloud n'est pas possible, vous pouvez utiliser un partage NFS (Network File System) dans votre centre de données pour héberger ces fichiers, puis les déplacer vers un répertoire de base de données sous le système de fichiers de base de données (DBFS). Pour ce faire, vous devez d'abord attacher un partage NFS disponible en local à l'objet de répertoire Autonomous Database, comme indiqué ci-dessous :
    1. Créez un répertoire de base de données dans votre instance Autonomous Database à l'aide de la commande SQL suivante à partir du client SQL :
      create or replace directory TMPFSSDIR as 'tmpfssdir';
      
    2. Montez votre partage NFS dans ce répertoire à l'aide du package DBMS_CLOUD_ADMIN disponible dans Autonomous Database.

      Conseil :

      Vous devrez peut-être travailler avec votre administrateur réseau ou de stockage pour rendre un partage NFS disponible.
      BEGIN
        DBMS_CLOUD_ADMIN.attach_file_system(
          file_system_name => <some_name_you_assign>,
          file_system_location => <your_nfs_fs_path>,
          directory_name => <tmpfssdir_created_above>,
          description => ‘Any_desc_you_like_to_give’
        );
      END
      Exemple :
      BEGIN 
        DBMS_CLOUD_ADMIN.attach_file_system(
          file_system_name => 'AD-FSS',
          file_system_location => acme.com:/nfs/mount1',
          directory_name => 'TMPFSSDIR',
          description => ‘nfs to host AD files’
        );
      END;
  5. Pour éviter une dépendance au partage NFS pour que les fichiers cwallet.sso et dsi.ora soient disponibles pour la CMU, déplacez-les vers un dossier de système de fichiers local à l'aide d'une correspondance de répertoire de base de données. Etant donné qu'Autonomous Database restreint l'accès au système de fichiers local, créez une procédure de copie à l'aide de utl_file, comme indiqué ci-dessous :
    1. Créez un répertoire de base de données dans votre instance Autonomous Database à l'aide de la commande SQL suivante à partir du client SQL :
      CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
    2. Vérifiez le chemin du répertoire créé ci-dessus à l'aide de la commande SQL suivante :
      SELECT DIRECTORY_PATH 
      FROM DBA_DIRECTORIES 
      WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';

      Remarques :

      Le nom de l'objet de répertoire doit être en majuscules dans la requête, car il n'a pas été conservé lors de la création de l'objet de répertoire.
    3. Copiez dsi.ora et cwallet.sso du répertoire NFS vers le répertoire de portefeuille CMU local à l'aide de l'utilitaire UTL_FILE.
      Exemple :
      Créez une procédure stockée nommée copyfile comme indiqué ci-dessous :
      CREATE OR REPLACE PROCEDURE copyfile(
        in_loc_dir IN VARCHAR2,
        in_filename IN VARCHAR2,
        out_loc_dir IN VARCHAR2,
        out_filename IN VARCHAR2
      )
      IS
        in_file UTL_FILE.file_type;
        out_file UTL_FILE.file_type;
        buffer_size CONSTANT INTEGER := 32767;
        buffer RAW (32767);
        buffer_length INTEGER; 
      BEGIN
        in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
        out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
        UTL_FILE.get_raw (in_file, buffer, buffer_size);
        buffer_length := UTL_RAW.LENGTH (buffer);
      
        WHILE buffer_length > 0
        LOOP 
          UTL_FILE.put_raw (out_file, buffer, TRUE);
      
          IF buffer_length = buffer_size
            THEN
              UTL_FILE.get_raw (in_file, buffer, buffer_size);
              buffer_length := UTL_RAW.LENGTH (buffer);
            ELSE
              buffer_length := 0;
            END IF;
        END LOOP;
      
        UTL_FILE.fclose (in_file);
        UTL_FILE.fclose (out_file);
      EXCEPTION
        WHEN NO_DATA_FOUND
        THEN
          UTL_FILE.fclose (in_file);
          UTL_FILE.fclose (out_file);
      END;
      / 
      Compilez la procédure stockée copyfile. Une fois la compilation effectuée, exécutez la procédure copyfile une seule fois pour copier dsi.ora et cwallet.sso du répertoire NFS vers le répertoire de portefeuille CMU local, comme indiqué ci-dessous :
      EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
      EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
    4. Exécutez la requête SQL suivante pour vérifier si les fichiers ont été copiés dans le répertoire de portefeuille CMU local.
      SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
  6. A l'aide de la commande suivante, détachez le partage NFS car vous n'en avez pas besoin pour CMU-AD après la copie des fichiers dans le répertoire local.
    exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
  7. Activez CMU-AD dans votre instance Autonomous Database à l'aide du package DBMS_CLOUD_ADMIN.

    Remarques :

    Remplacez les noms de répertoire de l'exemple ci-dessous par ceux choisis pour votre environnement. Vérifiez que vous êtes connecté en tant qu'utilisateur ADMIN avant d'exécuter cette commande.
    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      ); 
    END;
    / 
  8. Validez en interrogeant la valeur de propriété de la propriété de base de données CMU_WALLET, comme indiqué ci-dessous.
    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME = 'CMU_WALLET';
    Par exemple :
    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME='CMU_WALLET';
    
    PROPERTY_VALUE
    --------------
    CMU_WALLET_DIR

Vous avez maintenant configuré CMU-AD pour utiliser l'authentification externe via Microsoft Active Directory avec votre instance Autonomous Database sur Exadata Cloud@Customer.

Ajout de rôles Microsoft Active Directory sur Autonomous Database

Pour ajouter des rôles Active Directory, mettez en correspondance les rôles globaux de base de données avec les groupes Active Directory à l'aide d'instructions CREATE ROLE ou ALTER ROLE (et incluez la clause IDENTIFIED GLOBALLY AS).

Afin d'ajouter des rôles globaux pour les groupes Active Directory sur Autonomous Database, procédez comme suit :

  1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données configurée pour utiliser Active Directory (l'utilisateur ADMIN dispose des privilèges système CREATE ROLE et ALTER ROLE dont vous avez besoin pour ces étapes).
  2. Définissez l'autorisation de base de données pour les rôles Autonomous Database avec l'instruction CREATE ROLE ou ALTER ROLE. Incluez la clause IDENTIFIED GLOBALLY AS et indiquez le nom distinctif d'un groupe Active Directory.

    Utilisez la syntaxe suivante pour mettre en correspondance un groupe d'utilisateurs d'annuaire avec un rôle global de base de données :

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
         'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Exemple :

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Dans cet exemple, tous les membres de widget_sales_group disposent des autorisations du rôle de base de données widget_sales_role lorsqu'ils se connectent à la base de données.

  3. Utilisez des instructions GRANT pour accorder les privilèges requis ou d'autres rôles au rôle global.

    Exemple :

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
    GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE est un rôle prédéfini avec des privilèges communs définis. Reportez-vous à Gestion des privilèges utilisateur de base de données pour plus d'informations sur la définition de privilèges communs pour les utilisateurs Autonomous Database.

  4. Si vous voulez qu'un rôle de base de données existant soit associé à un groupe Active Directory, utilisez l'instruction ALTER ROLE pour modifier le rôle de base de données existant afin de le mettre en correspondance avec un groupe Active Directory.

    Utilisez la syntaxe suivante pour modifier un rôle de base de données existant afin de le mettre en correspondance avec un groupe Active Directory :

    ALTER ROLE existing_database_role 
       IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Si vous voulez créer des correspondances de rôle global supplémentaires pour d'autres groupes Active Directory, suivez ces étapes pour chaque groupe Active Directory.

Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à Configuration de l'autorisation pour les utilisateurs gérés centralement dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.

Ajout d'utilisateurs Microsoft Active Directory sur Autonomous Database

Pour ajouter des utilisateurs Active Directory afin qu'ils accèdent à une instance Autonomous Database, mettez en correspondance des utilisateurs globaux de base de données avec des groupes ou utilisateurs Active Directory à l'aide d'instructions CREATE USER ou ALTER USER (avec la clause IDENTIFIED GLOBALLY AS).

L'intégration d'Autonomous Database à Active Directory fonctionne en mettant en correspondance les utilisateurs et groupes Microsoft Active Directory directement avec les utilisateurs et rôles globaux de base de données Oracle.

Afin d'ajouter des utilisateurs globaux pour les groupes ou utilisateurs Active Directory sur Autonomous Database, procédez comme suit :

  1. Connectez-vous en tant qu'utilisateur ADMIN à la base de données configurée pour utiliser Active Directory (l'utilisateur ADMIN dispose des privilèges système CREATE USER et ALTER USER requis dont vous avez besoin pour ces étapes).
  2. Définissez l'autorisation de base de données pour les utilisateurs Autonomous Database avec des instructions CREATE USER ou ALTER USER, et incluez la clause IDENTIFIED GLOBALLY AS, en indiquant le nom distinctif d'un utilisateur ou d'un groupe Active Directory.

    Utilisez la syntaxe suivante pour mettre en correspondance un utilisateur d'annuaire avec un utilisateur global de base de données :

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Utilisez la syntaxe suivante pour mettre en correspondance un groupe d'annuaire avec un utilisateur global de base de données :

    CREATE USER global_user IDENTIFIED GLOBALLY AS
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Par exemple, pour mettre en correspondance un groupe d'annuaire nommé widget_sales_group dans l'unité organisationnelle sales du domaine production.example.com avec un utilisateur global de base de données partagé nommé WIDGET_SALES :

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
    

    Vous créez ainsi une correspondance d'utilisateur global partagé. La correspondance, avec l'utilisateur global widget_sales, s'applique à tous les utilisateurs du groupe Active Directory. Ainsi, tout membre de widget_sales_group peut se connecter à la base de données à l'aide de ses informations d'identification Active Directory (via la correspondance partagée de l'utilisateur global widget_sales).

  3. Si vous voulez que les utilisateurs Active Directory passent par un utilisateur de base de données existant, et possèdent leur propre schéma et leurs données existantes, indiquez ALTER USER pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un groupe ou utilisateur Active Directory.
    • Utilisez la syntaxe suivante pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un utilisateur Active Directory :

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
    • Utilisez la syntaxe suivante pour modifier un utilisateur de base de données existant afin de le mettre en correspondance avec un groupe Active Directory :

      ALTER USER existing_database_user 
           IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Si vous voulez créer des correspondances d'utilisateur global supplémentaires pour d'autres groupes ou utilisateurs Active Directory, suivez ces étapes pour chaque groupe ou utilisateur Active Directory.

Pour plus d'informations sur la configuration des rôles avec Microsoft Active Directory, reportez-vous à Configuration de l'autorisation pour les utilisateurs gérés centralement dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.

Connexion à Autonomous Database avec des informations d'identification d'utilisateur Active Directory

Une fois que l'utilisateur ADMIN a terminé les étapes de configuration de la fonctionnalité commune avec Active Directory, et créé des rôles et utilisateurs globaux, les utilisateurs se connectent à Autonomous Database à l'aide de leur nom utilisateur et de leur mot de passe Active Directory.

Remarques :

Ne vous connectez pas à l'aide d'un nom utilisateur global. Un nom utilisateur global ne dispose d'aucun mot de passe et entraîne l'échec de la connexion. Vous devez avoir mis en place une correspondance d'utilisateur global dans votre base de données autonome pour vous connecter à la base de données. Vous ne pouvez pas vous connecter à la base de données avec des correspondances de rôle global uniquement.
  1. Pour vous connecter à l'instance Autonomous Database à l'aide d'un nom utilisateur et d'un mot de passe Active Directory, procédez comme suit :
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Exemple :

    CONNECT "production\pfitch"/password@adbname_medium;

    Vous devez indiquer des guillemets lorsque le domaine Active Directory est inclus avec le nom utilisateur, comme ici : "production\pfitch".

    Dans cet exemple, le nom utilisateur Active Directory est pfitch dans le domaine production. L'utilisateur Active Directory est membre du groupe widget_sales_group identifié par son nom distinctif 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Après avoir configuré la CMU avec Active Directory sur Autonomous Database et configuré l'autorisation Active Directory, avec les rôles et utilisateurs globaux, vous pouvez vous connecter à votre instance Autonomous Database à l'aide de l'une des méthodes de connexion décrites dans A propos de la connexion à une instance Autonomous Database dédiée. Lorsque vous vous connectez, si vous voulez employer un utilisateur Active Directory, indiquez les informations d'identification de l'utilisateur Active Directory. Par exemple, indiquez le nom utilisateur au format suivant, "AD_DOMAIN\AD_USERNAME" (les guillemets doivent être inclus) et utilisez votre mot de passe AD_USER_PASSWORD.

Vérification des informations de connexion d'utilisateur Active Directory avec Autonomous Database

Lorsque les utilisateurs se connectent à l'instance Autonomous Database à l'aide de leur nom utilisateur et de leur mot de passe Active Directory, vous pouvez vérifier et auditer l'activité utilisateur.

Par exemple, lorsque l'utilisateur pfitch se connecte :

CONNECT "production\pfitch"/password@exampleadb_medium;

Le nom utilisateur de connexion de l'utilisateur Active Directory (samAccountName) est pfitch, widget_sales_group est le nom du groupe Active Directory et widget_sales est l'utilisateur global Autonomous Database.

Une fois que pfitch se connecte à la base de données, la commande SHOW USER affiche le nom utilisateur global :

SHOW USER;

USER is "WIDGET_SALES"

La commande suivante affiche le nom distinctif de l'utilisateur Active Directory :

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Par exemple, vous pouvez vérifier l'identité d'entreprise de cet utilisateur géré centralement :

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

La commande suivante affiche "AD_DOMAIN\AD_USERNAME" :

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Par exemple, l'identité de l'utilisateur authentifié par Active Directory est capturée et auditée lorsque l'utilisateur se connecte à la base de données :

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Pour plus d'informations, reportez-vous à Vérification des informations de connexion utilisateur gérées de manière centralisée dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 23ai.

Suppression d'utilisateurs et de rôles Active Directory sur Autonomous Database

Pour enlever des utilisateurs et des rôles Active Directory des bases de données autonomes, utilisez des commandes de base de données standard. Vous n'enlevez pas les utilisateurs ou groupes Active Directory associés qui ont été mis en correspondance à partir des utilisateurs ou des rôles de base de données supprimés.

Pour enlever des utilisateurs ou des rôles d'Autonomous Database, procédez comme suit :

  1. Connectez-vous à la base de données configurée avec Active Directory en tant qu'utilisateur disposant du privilège système DROP USER ou DROP ROLE.
  2. Supprimez les utilisateurs ou rôles globaux mis en correspondance avec des utilisateurs ou des groupes Active Directory à l'aide de l'instruction DROP USER ou DROP ROLE.
    Pour plus d'informations, reportez-vous à Suppression d'utilisateurs de base de données.

Désactivation de l'accès à Active Directory sur Autonomous Database

Décrit les étapes permettant d'enlever la configuration de la fonctionnalité Utilisateurs gérés centralement de votre instance Autonomous Database (et de désactiver l'accès LDAP de votre instance Autonomous Database vers Active Directory).

Une fois que vous avez configuré votre instance Autonomous Database de façon à accéder à Utilisateurs gérés centralement avec Active Directory, vous pouvez désactiver l'accès comme suit :

  1. Connectez-vous à l'instance Autonomous Database en tant qu'utilisateur ADMIN.
  2. Utilisez DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION afin de désactiver l'authentification de la CMU.

    Remarques :

    Pour exécuter cette procédure, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer du privilège EXECUTE sur DBMS_CLOUD_ADMIN.

    Exemple :

    BEGIN   
       DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /

    Cette commande désactive l'authentification pour la fonctionnalité Utilisateurs gérés centralement sur l'instance Autonomous Database.

Pour plus d'informations, reportez-vous à Procédure DISABLE_EXTERNAL_AUTHENTICATION.

Limites relatives à Microsoft Active Directory sur Autonomous Database

Les limites suivantes s'appliquent à la fonctionnalité Utilisateurs permanents avec Active Directory sur Autonomous Database :

  • Seules l'authentification par mot de passe et Kerberos sont prises en charge pour la fonctionnalité Utilisateurs gérés centralement avec Autonomous Database. Lorsque vous utilisez l'authentification de la CMU avec Autonomous Database, d'autres méthodes d'authentification telles qu'Azure AD, OCI IAM et PKI ne sont pas prises en charge.

  • Oracle Application Express et Database Actions ne sont pas prises en charge pour les utilisateurs Active Directory avec Autonomous Database.