Documentazione di Oracle Cloud Infrastructure

Abilita autenticazione ID Microsoft Entra in Autonomous Database

Un amministratore ID Microsoft Entra e un amministratore di Autonomous Database eseguono i passi per configurare l'autenticazione Entra ID su Autonomous Database.

Argomento padre: usare l'ID di Microsoft Entra con Autonomous Database

Abilitazione dei token di accesso per l'ID Microsoft Entra v2

Oracle Database supporta l'integrazione con il token di accesso v1 e v2 Azure AD OAuth2.

Oracle Database supporta il token v2 dell'ID Entra e il token v1 predefinito. Tuttavia, per utilizzare il token v2 dell'ID Entra, è necessario eseguire alcuni passi aggiuntivi per assicurarsi che funzioni con Oracle Database. È possibile utilizzare questo token con applicazioni registrate nel portale di Azure utilizzando l'esperienza delle registrazioni delle applicazioni.
Quando si utilizza il token di accesso v2 OAuth2 di Azure AD, il flusso delle credenziali continua a funzionare come prima senza alcuna modifica. Tuttavia, la richiesta upn: deve essere aggiunta quando si utilizzano i token v2 con il flusso interattivo.
  1. Controllare la versione del token di accesso dell'ID Entra in uso.
  2. Eseguire il login al portale ID Microsoft Entra.
  3. Cercare e selezionare ID aggiunta.
  4. In Gestisci, selezionare Registrazioni applicazioni.
  5. Scegliere l'applicazione per la quale si desidera configurare le richieste di rimborso facoltative in base allo scenario e al risultato desiderato.
  6. In Gestisci, selezionare Configurazione token.
  7. Fare clic su Aggiungi richiesta facoltativa e selezionare upn.
Quando si utilizzano i token v2, la richiesta aud: riflette solo il valore dell'ID APP. Non è necessario impostare il prefisso https:domain sull'URI ID APP quando si utilizzano i token v2. Ciò semplifica la configurazione del database poiché è possibile utilizzare l'URI ID APP predefinito.

Argomenti correlati

Argomento padre: Abilita autenticazione ID Microsoft Entra in Autonomous Database

Controllo della versione del token di accesso all'ID Entra

È possibile controllare la versione del token di accesso Entra ID utilizzato dal sito Web utilizzando il sito Web Token Web JSON.

Per impostazione predefinita, il token di accesso v1 dell'ID Entra, ma il sito potrebbe aver scelto di utilizzare v2. Oracle Database supporta i token v1 e Autonomous Database Serverless supporta anche i token v2. Se si desidera utilizzare i token di accesso v2, è possibile abilitarne l'uso per il database Oracle. Per trovare la versione del token di accesso Entra ID in uso, è possibile verificare con l'amministratore Entra ID o confermare la versione dal sito Web JSON Web Token, come indicato di seguito.
  1. Vai al sito Web dei token Web JSON. 
    https://jwt.io/
  2. Copiare e incollare la stringa di token nel campo Codificato.
  3. Selezionare il campo Decodificato, in cui vengono visualizzate informazioni sulla stringa di token.
    Vicino o in fondo al campo, vedrai un reclamo intitolato ver, che indica una delle seguenti versioni:
    • "ver": "1.0"
    • "ver": "2.0"

Configurazione dell'ID di Microsoft Entra come provider di identità esterno per Autonomous Database

Un amministratore di Autonomous Database può abilitare l'ID Entra come provider di identità esterno in un'istanza di Autonomous Database.

Per abilitare l'ID Entra come provider di identità esterno:

  1. Eseguire il login all'istanza di Autonomous Database come utente che dispone del privilegio EXECUTE nel package PL/SQL DBMS_CLOUD_ADMIN. L'utente ADMIN dispone di questo privilegio.
  2. Eseguire la procedura DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION con i parametri richiesti per l'ID Entra.
    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                            'application_id' VALUE 'application_id',
                            'application_id_uri' VALUE 'application_id_uri'),
      force => TRUE
  );
END;

    In questa procedura i parametri dell'ID Entra sono:

    • type: specifica il provider di autenticazione esterno. Per l'ID Entra, come mostrato, utilizzare 'AZURE_AD'.
    • params: i valori per i parametri ID Entra richiesti sono disponibili nel portale di Azure nel riquadro Panoramica registrazione applicazione per Azure Active Directory. Il file params richiesto per l'ID Entra è:
      • tenant_id: ID tenant dell'account Azure. L'ID tenant specifica la registrazione dell'applicazione Entra ID dell'istanza di Autonomous Database.
      • application_id: ID applicazione Azure creato nell'ID Entra per assegnare ruoli/mapping di schema per l'autenticazione esterna nell'istanza di Autonomous Database.
      • application_id_uri: URI univoco assegnato all'applicazione Azure.

        Si tratta dell'identificativo dell'istanza di Autonomous Database. Il nome deve essere qualificato per il dominio (supporta l'accesso alle risorse tra tenancy).

        La lunghezza massima per questo parametro è di 256 caratteri.

    • force: impostare questo parametro su TRUE se per l'istanza di Autonomous Database è configurato un altro metodo EXTERNAL AUTHENTICATION e si desidera disabilitarlo.

    Ad esempio:

    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
      type   =>'AZURE_AD',
      params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                            'application_id' VALUE '11aa1a11-aaa',
                            'application_id_uri' VALUE 'https://example.com/111aa1aa'),
      force  => TRUE
  );
END;

    Imposta il parametro di sistema IDENTITY_PROVIDER_TYPE.

    Ad esempio, è possibile utilizzare quanto segue per verificare IDENTITY_PROVIDER_TYPE: 

    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
 
NAME                   VALUE   
---------------------- -------- 
identity_provider_type AZURE_AD

    Per ulteriori informazioni, vedere ENABLE_EXTERNAL_AUTHENTICATION Procedura.