Activation de l'authentification à plusieurs facteurs pour les utilisateurs locaux dans Oracle Database 23ai à l'aide d'Oracle Mobile Authenticator (OMA)

Introduction

La mise à jour de version de base de données (DBRU) d'Oracle de juillet 2025 introduit une amélioration essentielle de la sécurité : l'authentification à plusieurs facteurs native pour les utilisateurs de base de données sur site et hybrides. Cette nouvelle fonctionnalité, disponible dans Oracle Database 23ai (23.9+) et rétroportée sur 19c (avec la dernière mise à jour de juillet 2025), vous permet de sécuriser les comptes de base de données traditionnels, tels que le compte "SCOTT", avec un deuxième facteur d'authentification directement à partir d'un appareil mobile. Ainsi, il n'est plus nécessaire de recourir à des fournisseurs d'identités externes pour l'authentification à plusieurs facteurs. Ce guide présente les étapes d'implémentation de l'authentification à plusieurs facteurs à l'aide de l'application Oracle Mobile Authenticator (OMA).

Autonomous Database

Pourquoi avons-nous besoin de cela ?

Auparavant, l'implémentation de l'authentification à plusieurs facteurs pour Oracle Database nécessitait une intégration avec des fournisseurs d'identités externes tels qu'Entra ID, OCI Identity and Access Management (IAM) ou RADIUS. Cette approche représentait un défi de taille pour les environnements n'ayant pas accès à ces répertoires compatibles avec l'authentification à plusieurs facteurs, notamment les bases de données autonomes sur site, les déploiements IaaS ou les systèmes Oracle Base Database Service.

Avec la mise à jour de version de base de données de juillet 2025, Oracle active désormais l'authentification à plusieurs facteurs native pour les utilisateurs de base de données locaux dans Oracle Database 19c et 23ai. Cette nouvelle fonctionnalité prend en charge l'authentification push avec Oracle Mobile Authenticator (OMA) ou Cisco Duo, offrant une solution de sécurité robuste et intégrée.

Avantages clés

Sécurité améliorée : offre une protection renforcée contre les attaques par mot de passe et le vol d'informations d'identification.
Expérience utilisateur simplifiée : offre une authentification push pratique, éliminant ainsi la nécessité pour les utilisateurs de saisir manuellement des codes uniques.
Couverture complète : étend la sécurité aux comptes d'administration critiques (SYSDBA, SYSOPER, etc.) au sein de la racine de base de données Conteneur et des bases de données pluggables.
Conformité réglementaire : permet de répondre à des exigences de conformité strictes, telles que PCI DSS et DORA.
Contrôle granulaire : permet l'activation sélective de l'authentification à plusieurs facteurs par utilisateur, en fournissant une stratégie de déploiement flexible.
Intégration transparente : aucune modification ou modification côté client n'est requise.

Public

Ce tutoriel est spécialement conçu pour :

Professionnels IAM (gestion des identités et des accès)
Administrateurs de base de données (DBA)
Analystes et auditeurs de sécurité

Objectif

L'objectif principal de ce tutoriel est de montrer comment activer l'authentification à plusieurs facteurs pour les utilisateurs locaux d'Oracle Database. Bien qu'Oracle prenne en charge l'intégration de l'authentification à plusieurs facteurs avec des fournisseurs externes tels qu'OCI Identity and Access Management ou Cisco Duo, ce guide se concentrera spécifiquement sur le workflow d'authentification push natif à l'aide de l'application Oracle Mobile Authenticator (OMA).

Prérequis

Pour réaliser ce tutoriel, les composants suivants sont requis :

Oracle Database Instance : instance Oracle Database 23ai (plus de 23,9) ou instance Database 19c exécutant la mise à jour de version de base de données (DBRU) de juillet 2025. Ce guide utilise une instance OCI Base Database Service 23ai.
Appareil mobile : smartphone Android ou iOS avec l'application Oracle Mobile Authenticator (OMA) installée.
OCI Email Delivery : OCI Email Delivery est requis pour envoyer des invitations par courriel à l'inscription à l'authentification à plusieurs facteurs. Ce service nécessite :

Un expéditeur approuvé et un domaine vérifié
Accès Internet sortant de l'hôte de base de données aux adresses OCI Email Delivery.
Pour plus de détails, reportez-vous à la documentation sur Email Delivery d'OCI.

Domaine de messagerie:

Expéditeur approuvé:

Tâche 1 : configuration d'OCI Identity and Access Management

Avant d'activer l'authentification à plusieurs facteurs, vous devez configurer une application OAuth dans votre domaine d'identité OCI Identity and Access Management. Cette application est essentielle car le portefeuille d'authentification à plusieurs facteurs de la base de données utilise ses informations d'identification pour valider les jetons d'authentification.

Connectez-vous à la console OCI et accédez à Identité et sécurité, domaines.
Sélectionnez votre domaine actuel et vérifiez ses détails. Notez l'URL du domaine (à l'exclusion du numéro de port).
Enregistrez une application client OAuth dans le domaine d'identité. Il s'agit d'une étape requise pour que la fonctionnalité d'authentification à plusieurs facteurs fonctionne correctement. Cliquez sur Applications intégrées, puis sur Ajouter une application.
Sélectionnez Application confidentielle et cliquez sur Lancer le workflow.
Entrez les détails de l'application requis, tels qu'un nom et une description, puis cliquez sur Soumettre.
Cliquez sur l'application que vous venez de créer pour en afficher les détails.
Accédez à l'onglet Configuration OAuth et cliquez sur Modifier la configuration OAuth.
Dans la section Configuration client, sélectionnez Configurer cette application en tant que client maintenant.** Sous Types d'octroi autorisés, assurez-vous que l'option Informations d'identification client est la seule sélectionnée. Ne cliquez pas encore sur Soumettre.
Faites défiler la page jusqu'à la section Rôles d'application et activez-la.
Cliquez Sur le bouton Ajouter des rôles d'application.
Ajoutez les rôles Administrateur utilisateur, Administration de domaine d'identité et Client d'authentification à plusieurs facteurs, puis cliquez sur le bouton Ajouter.
Vérifiez les rôles d'application, puis cliquez sur Soumettre.
Dans l'onglet OAuth configuration, l'ID client et la clé secrète client sont désormais disponibles.

Copier et stocker en toute sécurité : copiez à la fois l'ID client et la clé secrète client et stockez-les dans un emplacement sécurisé. Pour révéler la clé secrète, utilisez l'option Afficher ou Copier du menu en regard de la valeur.
Activer l'application : dans le menu déroulant Actions, sélectionnez Activer pour activer l'application.

Tâche 2 : configuration du groupe OCI Identity and Access Management pour Email Delivery

Afin d'utiliser OCI Email Delivery pour envoyer des notifications d'authentification à plusieurs facteurs, vous devez d'abord créer un groupe IAM dédié avec les droits d'accès nécessaires.

Connectez-vous à la console OCI et accédez à Identité et sécurité, Domaines. Sélectionnez le domaine d'identité en cours. Cliquez sur l'onglet Gestion des utilisateurs, faites défiler la page jusqu'à Groupes, puis cliquez sur Créer un groupe.
Indiquez le nom du nouveau groupe (par exemple, EmailDeliveryServicesUsers). Ajoutez à ce groupe le(s) utilisateur(s) approprié(s) responsable(s) de la gestion du service de remise de courriels.
Créez une stratégie IAM pour Email Delivery. Pour autoriser le groupe IAM à envoyer des notifications par courriel, vous devez créer une stratégie qui lui accorde les droits d'accès nécessaires. Connectez-vous à la console OCI et accédez à Identité et sécurité, stratégies, puis cliquez sur Créer une stratégie.
Indiquez un nom et une description pour la stratégie (par exemple, MFA_Email_Delivery_Policy). Dans la section Générateur de stratégies, entrez l'instruction de stratégie suivante, puis cliquez sur Créer.

autoriser le groupe 'OracleIdentityCloudService'/'EmailDeliveryServicesUsers' à utiliser email-family dans le compartiment AlexKovuru.
Enfin, vous devez créer les informations d'identification SMTP que la base de données utilisera. Connectez-vous à la console OCI, accédez à Identité et sécurité, à Mon profil et cliquez sur l'onglet Mots de passe enregistrés. Accédez ensuite à Informations d'identification SMTP et cliquez sur Générer des informations d'identification.
Générez les informations d'identification SMTP et veillez à copier immédiatement le nom utilisateur et le mot de passe SMTP.

Important : le mot de passe ne sera affiché qu'une seule fois. Vous devez donc l'enregistrer avant de fermer la fenêtre.
Connectez-vous à la console OCI et accédez à Services de développeur, Intégration d'applications, Email Delivery, Configuration. Recherchez les informations d'envoi SMTP affectées à votre région. Notez les valeurs Adresse publique et Port SMTP.
OCI Email Delivery autorise uniquement l'envoi à partir d'expéditeurs approuvés et de domaines enregistrés (comme indiqué dans le prérequis 3).

Tâche 3 : configurer la base de données pour l'authentification à plusieurs facteurs

Cette tâche configure l'authentification à plusieurs facteurs pour une base de données pluggable Oracle 23ai à l'aide de l'intégration Oracle Mobile Authenticator (OMA) et SMTP.

Connectez-vous à votre base de données pluggable avec les privilèges SYSDBA :
```
 sqlplus "/as sysdba"
```

Configurez la base de données pluggable pour l'authentification à plusieurs facteurs. Vous devrez définir les paramètres suivants. Le paramètre MFA_SENDER_EMAIL_ID doit être défini sur un expéditeur approuvé que vous avez déjà configuré dans OCI Email Delivery.

 ALTER SYSTEM SET MFA_OMA_IAM_DOMAIN_URL ='https://idcs-bc1a4xxxxxxxxxxxxxxxx3744.identity.oraclecloud.com'; (from Task 1- step 2)
 ALTER SYSTEM SET MFA_SMTP_HOST ='smtp.email.us-pxxxxix-1.oci.oraclecloud.com'; (from Task 2- step 7)
 ALTER SYSTEM SET MFA_SMTP_PORT = 5x7; (from Task 2- step 7)
    
 ALTER SYSTEM SET MFA_SENDER_EMAIL_ID ="alx.test@alxreviews.com"; (from Prerequisites - step 3)
        
 ALTER SYSTEM SET MFA_SENDER_EMAIL_DISPLAYNAME = 'DB Admin';

Mettez à jour sqlnet.ora : modifiez le fichier et ajoutez le paramètre suivant :
```
 SQLNET.INBOUND_CONNECT_TIMEOUT=120
```
Configurer Oracle Wallet : Oracle Wallet permet de stocker en toute sécurité les informations d'identification OAuth et SMTP. Vérifier le GUID et la racine de portefeuille de la base de données pluggable
```
 show parameter wallet_root;
 SELECT guid FROM v$containers WHERE name = 'DB23MFAPDB';
```

Créer un répertoire de portefeuille d'authentification à plusieurs facteurs :

 mkdir -p /opt/oracle/dcs/commonstore/wallets/DBS23MFA_k3x_phx/3B36E010Dxxxxxxxxxxxx40A7AC6/mfa
 cd /opt/oracle/dcs/commonstore/wallets/DBS23MFA_k3x_phx/3B36E010Dxxxxxxxxxxxx40A7AC6/mfa

Créer Oracle Wallet

 orapki wallet create -wallet ./ -pwd <user_password> -auto_login -compat_v12

Stockez vos informations d'identification d'authentification à plusieurs facteurs en toute sécurité dans un Oracle Wallet. La base de données s'appuie sur ce portefeuille pour accéder aux informations d'identification du client OAuth et SMTP. Il est important que les noms d'alias de chaque information d'identification correspondent exactement aux valeurs prédéfinies répertoriées ci-dessous.

Alias requis et informations d'identification correspondantes :
- oracle.security.mfa.oma.clientid → ID de client OAuth (de la tâche 1 à l'étape 12)
- oracle.security.mfa.oma.clientsecret → Clé secrète du client OAuth (de la tâche 1 à l'étape 12)
- oracle.security.mfa.smtp.user → Nom utilisateur SMTP généré dans votre profil utilisateur OCI (de la tâche 2 à l'étape 6)
- oracle.security.mfa.smtp.password → Mot de passe SMTP généré pour votre utilisateur (de la tâche 2 à l'étape 6)
Vous pouvez utiliser l'utilitaire orapki pour créer le portefeuille et ajouter ces informations d'identification.
```
 orapki secretstore create_entry -wallet ./ -pwd <user_password> -alias oracle.security.mfa.oma.clientid    -secret a9cdb456cdxxxxxxxxxxxx31c316
    
 orapki secretstore create_entry -wallet ./ -pwd <user_password> -alias oracle.security.mfa.oma.clientsecret -secret idcscs-a263de20-xxxxxxxxxxxx-207f5e56e1ad
    
 orapki secretstore create_entry -wallet ./ -pwd <user_password> -alias oracle.security.mfa.smtp.user        -secret ocid1.user.oc1..aaaa...@ocid1.tenancy.oc1..aaaa....
    
 orapki secretstore create_entry -wallet ./ -pwd <user_password> -alias oracle.security.mfa.smtp.password    -secret '[4lnl0rxxxxxxxxxxxxUgobB'
```
Créer un utilisateur pour lequel l'authentification à plusieurs facteurs est activée : Créez un utilisateur avec l'authentification à plusieurs facteurs :
```
 CREATE USER testmfa IDENTIFIED BY <user_password> 
 AND FACTOR ‘OMA_PUSH’ AS ‘registered_emailid’;
```
Remarque : L'adresse électronique doit être un compte valide où l'application OMA est enregistrée. Sinon, la notification push ne peut pas être transmise.
Accordez les rôles requis :
```
 GRANT CONNECT, RESOURCE TO testmfa;
```
L'utilisateur recevra un e-mail avec des instructions pour compléter son inscription OMA. Ce courriel contiendra un code QR qu'il doit scanner à l'aide de l'application Oracle Mobile Authenticator pour configurer l'authentification à plusieurs facteurs.

Tâche 4 : tester l'authentification à plusieurs facteurs

Connectez-vous en tant que nouvel utilisateur :
```
 sqlplus testmfa/<user_password>
```
Approuvez la demande de connexion dans l'application OMA.

Vérifiez l'utilisateur connecté :

 SHOW USER;
 SELECT * FROM SESSION_ROLES;

Accusés de réception

Auteurs - Alex Kovuru (architecte cloud principal)

Contributeurs - Indiradarshni Balasundaram (Ingénieur cloud senior)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.

Informations relatives au titre et au copyright

Enable MFA for Local Users in Oracle Database 23ai Using Oracle Mobile Authenticator (OMA)

G42852-01

Oracle et/ou ses affiliés.