Documentazione dell'infrastruttura Oracle Cloud

Usa Microsoft Active Directory con Autonomous Database

È possibile configurare Autonomous Database per l'autenticazione e l'autorizzazione degli utenti di Microsoft Active Directory.

Questa configurazione consente agli utenti di Active Directory di accedere ad Autonomous Database utilizzando le proprie credenziali Active Directory, incluse password e Kerberos.

Argomento padre: Gestisci utenti

Prerequisiti per configurare CMU con Microsoft Active Directory su Autonomous Database

È possibile configurare Autonomous Database per l'autenticazione e l'autorizzazione degli utenti di Microsoft Active Directory.

A seconda di dove risiedono i server Active Directory, sono disponibili due opzioni per la configurazione di Autonomous Database con utenti gestiti centralmente (CMU) con Microsoft Active Directory:

  • Server Active Directory (AD) accessibili pubblicamente: i server Active Directory sono accessibili da Autonomous Database tramite la rete Internet pubblica.

  • I server Active Directory (AD) risiedono in un endpoint privato: i server Active Directory risiedono in un endpoint privato e non sono accessibili da Autonomous Database tramite la rete Internet pubblica. In questo caso, è necessario un passo di configurazione aggiuntivo come mostrato nell'ultimo passo in Configura CMU con Microsoft Active Directory in Autonomous Database in cui è stata impostata la proprietà di database ROUTE_OUTBOUND_CONNECTIONS.

Nota

Per informazioni sull'uso di Azure Active Directory con Autonomous Database, vedere Usa Microsoft Entra ID con Autonomous Database. L'opzione CMU supporta i server Microsoft Active Directory, ma non supporta il servizio Azure Active Directory.

L'integrazione di Autonomous Database con gli utenti gestiti centralmente (CMU) fornisce l'integrazione con Microsoft Active Directory. CMU con Active Directory funziona mappando gli utenti e i ruoli globali del database Oracle agli utenti e ai gruppi di Microsoft Active Directory.

Per configurare la connessione da Autonomous Database ad Active Directory, sono necessari i prerequisiti riportati di seguito.

  • È necessario che Microsoft Active Directory sia installato e configurato. Per ulteriori informazioni, vedere AD DS Getting Started.

  • È necessario creare un utente della directory di servizio Oracle in Active Directory. Per informazioni sull'account utente della directory dei servizi Oracle, vedere Connessione a Microsoft Active Directory.

  • Un amministratore di sistema di Active Directory deve aver installato il filtro delle password di Oracle sui server di Active Directory e aver impostato i gruppi di Active Directory con gli utenti di Active Directory per soddisfare le proprie esigenze.

    Nota

    Questa operazione non è necessaria se si utilizza l'autenticazione Kerberos per Active Directory CMU. Per ulteriori informazioni, vedere Autenticazione Kerberos per CMU con Microsoft Active Directory.

    Se si utilizza l'autenticazione tramite password con CMU Active Directory per Autonomous Database, è necessario utilizzare la utility inclusa opwdintg.exe per installare il filtro delle password Oracle su Active Directory, estendere lo schema e creare tre nuovi gruppi ORA_VFR per tre tipi di generazione del verificatore delle password. Per informazioni sull'installazione del filtro password Oracle, vedere Connessione a Microsoft Active Directory.

  • Per configurare CMU per Autonomous Database, è necessario il wallet del database di configurazione CMU, cwallet.sso e il file di configurazione CMU dsi.ora:

    • Se hai configurato CMU per un database in locale, puoi ottenere questi file di configurazione dal tuo database server in locale.

    • Se non hai configurato CMU per un database in locale, devi creare questi file. Quindi carichi i file di configurazione nel cloud per configurare CMU nell'istanza di Autonomous Database. È possibile convalidare il wallet e dsi.ora configurando CMU per un database in locale e verificando che un utente di Active Directory possa eseguire correttamente il login al database in locale con questi file di configurazione.

    Per i dettagli sul file wallet per CMU, vedere Creare il wallet per una connessione sicura e Verificare Oracle Wallet.

    Per informazioni dettagliate sul file dsi.ora per CMU, vedere Creazione del file dsi.ora.

    Per informazioni dettagliate sulla configurazione di Active Directory per CMU e sulla risoluzione dei problemi CMU per i database in locale, vedere Come configurare gli utenti gestiti centralmente per le release di database 18c o successive (ID documento 2462012.1).

  • La porta 636 dei server Active Directory deve essere aperta ad Autonomous Database in Oracle Cloud Infrastructure. Ciò consente ad Autonomous Database di accedere ai server Active Directory.

  • Quando i server Active Directory si trovano in un endpoint pubblico:

    • I server Active Directory devono essere accessibili da Autonomous Database tramite la rete Internet pubblica.

    • È inoltre possibile estendere Active Directory on premise a Oracle Cloud Infrastructure dove è possibile impostare i controller di dominio di sola lettura (RODC) per Active Directory on premise. Ciò consente di utilizzare i RODC in Oracle Cloud Infrastructure per autenticare e autorizzare gli utenti di Active Directory on-premise per l'accesso agli Autonomous Database.

      Per ulteriori informazioni, vedere Estendi integrazione di Active Directory nel cloud ibrido.

Configurare CMU con Microsoft Active Directory su Autonomous Database

È possibile configurare Autonomous Database per l'autenticazione e l'autorizzazione degli utenti di Microsoft Active Directory.

Per configurare Autonomous Database per CMU per la connessione ad Active Directory, effettuare le operazioni riportate di seguito.

Nota

Quando si eseguono i passi di configurazione, connettersi al database come utente ADMIN.
  1. Verificare se un altro schema di autenticazione esterno è abilitato nel database e disabilitarlo.

    È possibile continuare con la configurazione CMU-AD su Kerberos per fornire l'autenticazione Kerberos CMU-AD per gli utenti di Microsoft Active Directory.

    Per ulteriori informazioni, vedere Autenticazione Kerberos per CMU con Microsoft Active Directory.

  2. Caricare i file di configurazione CMU, inclusi il file wallet del database, cwallet.sso e il file di configurazione CMU, dsi.ora, nell'area di memorizzazione degli oggetti. Questo passo dipende dall'area di memorizzazione degli oggetti utilizzata.

    Il file di configurazione dsi.ora contiene le informazioni per trovare i server Active Directory.

    Se si utilizza l'area di memorizzazione degli oggetti di Oracle Cloud Infrastructure, vedere Inserimento dei dati nello storage degli oggetti per i dettagli sul caricamento dei file.

  3. Eseguire la procedura DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e passare in un URI di posizione con l'argomento JSON params. È necessario posizionare i file di configurazione cwallet.sso e dsi.ora nella posizione di storage degli oggetti specificata nel parametro location_uri.

    Ad esempio:

    BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

    Oracle consiglia di memorizzare i file di configurazione CMU in un bucket privato nell'area di memorizzazione degli oggetti.

    In questo esempio, namespace-string è lo spazio di nomi dello storage degli oggetti Oracle Cloud Infrastructure e bucketname è il nome del bucket. Per ulteriori informazioni, vedere Informazioni sugli spazi di nomi dello storage degli oggetti.

    Il credential_name utilizzato in questo passo è costituito dalle credenziali per accedere all'area di memorizzazione degli oggetti.

    La creazione di una credenziale per accedere all'area di memorizzazione degli oggetti di Oracle Cloud Infrastructure non è necessaria se si abilitano le credenziali del principal risorsa. Per ulteriori informazioni, consulta la sezione Usa principal risorsa per accedere alle risorse di Oracle Cloud Infrastructure.

    Se location_uri è un URL preautenticato o un URL pre-firmato, la fornitura di un credential_name non è obbligatoria.

    La procedura crea un oggetto directory denominato CMU_WALLET_DIR nel database e copia i file di configurazione CMU dalla posizione dell'area di memorizzazione degli oggetti all'oggetto directory. Questa procedura imposta inoltre la proprietà di database CMU_WALLET sul valore 'CMU_WALLET_DIR' e imposta il valore del parametro LDAP_DIRECTORY_ACCESS sul valore PASSWORD per abilitare l'accesso dall'istanza di Autonomous Database ad Active Directory.

  4. Dopo aver abilitato l'autenticazione CMU, rimuovere i file di configurazione CMU, inclusi il wallet del database cwallet.sso e il file di configurazione CMU dsi.ora dall'area di memorizzazione degli oggetti. È possibile utilizzare i metodi dell'area di memorizzazione degli oggetti locale per rimuovere questi file o utilizzare DBMS_CLOUD.DELETE_OBJECT per eliminare i file dall'area di memorizzazione degli oggetti.
  5. Quando i server Active Directory si trovano su un endpoint privato, eseguire ulteriori passi di configurazione per fornire l'accesso all'endpoint privato.
    1. Impostare la proprietà del database ROUTE_OUTBOUND_CONNECTIONS sul valore 'PRIVATE_ENDPOINT'.
    2. Verificare che il file di configurazione CMU-AD dsi.ora includa nomi host. Quando ROUTE_OUTBOUND_CONNECTIONS è impostato su 'PRIVATE_TARGET', gli indirizzi IP non possono essere specificati in dsi.ora.

Nota per CMU con Active Directory in Autonomous Database:

  • Per CMU con Autonomous Database sono supportati solo l'autenticazione tramite "password" o Kerberos. Quando si utilizza l'autenticazione CMU con Autonomous Database, altri metodi di autenticazione CMU come Azure AD, OCI IAM e PKI non sono supportati.

Per istruzioni su come disabilitare l'accesso da Autonomous Database ad Active Directory, vedere Disabilita accesso Active Directory in Autonomous Database.

Per informazioni su DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION, vedere ENABLE_EXTERNAL_AUTHENTICATION Procedure.

Per ulteriori informazioni sulla configurazione di CMU con Microsoft Active Directory, vedere Configurazione di utenti gestiti centralmente con Microsoft Active Directory.

Autenticazione Kerberos per CMU con Microsoft Active Directory

È possibile configurare Autonomous Database in modo che utilizzi l'autenticazione Kerberos per CMU con gli utenti Microsoft Active Directory. Questa configurazione consente agli utenti CMU Active Directory (CMU-AD) di accedere a un'istanza di Autonomous Database utilizzando le credenziali Kerberos.

Kerberos può essere configurato con o senza CMU-AD. La sola configurazione di Kerberos richiede la creazione e la gestione di un utente di database per ogni utente Kerberos. La configurazione di Kerberos con CMU consente di mappare un gruppo di utenti Active Directory di Kerberos a un singolo utente del database, a uno schema condiviso, in modo che l'accesso al database possa essere controllato dall'appartenenza al gruppo Active Directory. Per i dettagli sulla configurazione di Kerberos senza CMU-AD, vedere Configura autenticazione Kerberos con Autonomous Database.

Nota

Quando si implementano sia l'autenticazione Kerberos che l'autenticazione CMU-AD per l'autorizzazione, Oracle consiglia di implementare prima l'autenticazione Kerberos, quindi di aggiungere l'autorizzazione CMU-AD.
  1. Abilitare Kerberos nell'istanza di Autonomous Database utilizzando il server Kerberos di Microsoft Active Directory.

    Solo i server Kerberos di Microsoft Active Directory sono supportati per Kerberos quando si configura l'autenticazione Kerberos con CMU-AD.

    1. Per abilitare l'autenticazione Kerberos per l'istanza di Autonomous Database, è necessario ottenere i file di configurazione Kerberos: krb.conf e il file della tabella delle chiavi di servizio v5srvtab.

      Per generare questi file quando si configura l'autenticazione Kerberos con CMU-AD è necessario il nome host del server. È possibile ottenere il valore dell'host server dall'attributo PUBLIC_DOMAIN_NAME nella colonna CLOUD_IDENTITY di V$PDBS. Questo valore è diverso dal nome dominio completamente qualificato (FQDN) per un database su un endpoint privato.

      Usare il comando seguente per ottenere il nome host del server:

      SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
    "KSERVICE/KINSTANCE" FROM v$pdbs;

      È possibile utilizzare un comando come quello riportato di seguito per generare il file della tabella delle chiavi di servizio.

      ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                 -pass ACTIVE_DIRECTORY_PASSWORD 
                 -mapuser DATABASE_SERVER_HOST_NAME 
                 -crypto ALL 
                 -ptype KRB5_NT_PRINCIPAL 
                 -out database.keytab

      Ad esempio:

      ktpass -princ ORACLE/user.example.com@example.com 
                 -pass password -mapuser dbexamplekrb 
                 -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

      Per ulteriori informazioni su questi file e sulla procedura necessaria per ottenerli, vedere Configurazione dell'autenticazione Kerberos.

    2. Copiare i file di configurazione Kerberos krb.conf e v5srvtab in un bucket nell'area di memorizzazione degli oggetti.

      Questo passo è diverso a seconda dell'area di memorizzazione degli oggetti utilizzata.

      Se si utilizza l'area di memorizzazione degli oggetti di Oracle Cloud Infrastructure, vedere Inserimento dei dati nello storage degli oggetti per i dettagli sul caricamento dei file.

    3. Eseguire DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION per abilitare l'autenticazione esterna Kerberos.

      Ad esempio:

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'KERBEROS',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/
      Nota

      Oracle consiglia di memorizzare i file di configurazione Kerberos in un bucket privato nell'area di memorizzazione degli oggetti.

      In questo esempio, namespace-string è lo spazio di nomi dello storage degli oggetti Oracle Cloud Infrastructure e bucketname è il nome del bucket. Per ulteriori informazioni, vedere Informazioni sugli spazi di nomi dello storage degli oggetti.

      Il valore credential_name utilizzato in questo passo è costituito dalle credenziali per l'area di memorizzazione degli oggetti.

      Per ulteriori informazioni, vedere Abilita autenticazione Kerberos su Autonomous Database.

    4. Verificare che Kerberos sia configurato e abilitato.
      SELECT property_value FROM database_properties 
      WHERE property_name='KERBEROS_DIRECTORY';
  2. Abilita e configura CMU-AD su Autonomous Database.
    1. Caricare i file di configurazione CMU, inclusi il file wallet del database, cwallet.sso e il file di configurazione CMU, dsi.ora, nell'area di memorizzazione degli oggetti.

      Caricare cwallet.sso in modo che la configurazione CMU-AD disponga delle credenziali per l'istanza di Autonomous Database per connettersi all'account del servizio Active Directory.

      Il file di configurazione dsi.ora contiene le informazioni per trovare i server Active Directory.

      Questo passo è diverso a seconda dell'area di memorizzazione degli oggetti utilizzata.

      Se si utilizza l'area di memorizzazione degli oggetti di Oracle Cloud Infrastructure, vedere Inserimento dei dati nello storage degli oggetti per i dettagli sul caricamento dei file.

    2. Eseguire la procedura DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e passare in un URI di posizione con l'argomento JSON params. È necessario posizionare i file di configurazione cwallet.sso e dsi.ora nella posizione di storage degli oggetti specificata nel parametro location_uri.

      Ad esempio:

      BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'CMU',
       params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
   );
END;
/

      Oracle consiglia di memorizzare i file di configurazione CMU in un bucket privato nell'area di memorizzazione degli oggetti.

      In questo esempio, namespace-string è lo spazio di nomi dello storage degli oggetti Oracle Cloud Infrastructure e bucketname è il nome del bucket. Per ulteriori informazioni, vedere Informazioni sugli spazi di nomi dello storage degli oggetti.

      Il credential_name utilizzato in questo passo è costituito dalle credenziali per accedere all'area di memorizzazione degli oggetti.

      La creazione di una credenziale per accedere all'area di memorizzazione degli oggetti di Oracle Cloud Infrastructure non è necessaria se si abilitano le credenziali del principal risorsa. Per ulteriori informazioni, consulta la sezione Usa principal risorsa per accedere alle risorse di Oracle Cloud Infrastructure.

      Se location_uri è un URL preautenticato o un URL pre-firmato, la fornitura di un credential_name non è obbligatoria.

      Per ulteriori informazioni, vedere Prerequisiti per la configurazione di CMU con Microsoft Active Directory su Autonomous Database.

    3. Verificare che CMU-AD sia configurato e abilitato.
      SELECT property_value FROM database_properties
      WHERE property_name='CMU_WALLET';
  3. Dopo aver completato i passi 1 e 2, verificare che la configurazione dell'autenticazione Kerberos con CMU-AD sia completa.
    1. Eseguire il login all'istanza di Autonomous Database come utente di Active Directory in modo che le informazioni SYS_CONTEXT vengano inserite in USERENV.
    2. Eseguire una query su SYS_CONTEXT USERENV.
      SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')                                 
--------------------------------------------------------------------------------
KERBEROS_GLOBAL

    Se l'autenticazione Kerberos è configurata e abilitata senza CMU-AD, questa query restituisce: KERBEROS. Per ulteriori informazioni, vedere Configura autenticazione Kerberos con Autonomous Database.

    Se l'autenticazione CMU-AD è configurata senza Kerberos, questa query restituisce: PASSWORD_GLOBAL. Per ulteriori informazioni, vedere Prerequisiti per la configurazione di CMU con Microsoft Active Directory su Autonomous Database.

Note per l'utilizzo dell'autenticazione Kerberos con CMU-AD:

  • Non è necessario aggiungere il filtro password quando si utilizza l'autenticazione Kerberos con CMU-AD. Per ulteriori informazioni, vedere Prerequisiti per la configurazione di CMU con Microsoft Active Directory su Autonomous Database.

  • L'aggiunta o la rimozione di utenti di Active Directory è supportata allo stesso modo di CMU con Active Directory quando si utilizza l'autenticazione tramite password. Per ulteriori informazioni, vedere Aggiungere utenti Microsoft Active Directory in Autonomous Database.

  • Le restrizioni esistenti relative all'autenticazione con gli strumenti integrati di Autonomous Database con CMU con password Active Directory si applicano anche a CMU con autenticazione Active Directory con autenticazione Kerberos. Per ulteriori informazioni, vedere Tools Restrictions with Active Directory on Autonomous Database.

  • Utilizzare DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION per disabilitare l'autenticazione CMU-AD con Kerberos. Per ulteriori informazioni, vedere DISABLE_EXTERNAL_AUTHENTICATION Procedure.

  • Quando i server CMU-AD si trovano su un endpoint privato, per utilizzare CMU-AD con l'autenticazione Kerberos, il nome host del server utilizzato per generare la scheda chiave deve essere impostato sul valore dell'attributo PUBLIC_DOMAIN_NAME nella colonna CLOUD_IDENTITY di V$PDBS. Questo valore è diverso dal nome FQDN per un database endpoint privato.

Aggiungi ruoli Microsoft Active Directory in Autonomous Database

Per aggiungere ruoli di Active Directory, mappare i ruoli globali del database ai gruppi di Active Directory con le istruzioni CREATE ROLE o ALTER ROLE e includere la clausola IDENTIFIED GLOBALLY AS.

Per aggiungere ruoli globali per i gruppi Active Directory in Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Eseguire il login come utente ADMIN al database configurato per l'utilizzo di Active Directory (l'utente ADMIN dispone dei privilegi di sistema CREATE ROLE e ALTER ROLE necessari per questi passi).
  2. Impostare l'autorizzazione del database per i ruoli di Autonomous Database con l'istruzione CREATE ROLE o ALTER ROLE. Includere la clausola IDENTIFIED GLOBALLY AS e specificare il DN di un gruppo Active Directory.

    Usare la sintassi seguente per mappare un gruppo di utenti di directory a un ruolo globale di database:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Ad esempio:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    In questo esempio tutti i membri di widget_sales_group sono autorizzati con il ruolo di database widget_sales_role quando eseguono il login al database.

  3. Utilizzare le istruzioni GRANT per concedere i privilegi richiesti o altri ruoli al ruolo globale.

    Ad esempio:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE è un ruolo predefinito per il quale sono stati definiti privilegi comuni. Per informazioni sull'impostazione dei privilegi comuni per gli utenti di Autonomous Database, vedere Gestisci privilegi utente su Autonomous Database - Connessione con uno strumento client.

  4. Se si desidera creare un ruolo di database esistente da associare a un gruppo Active Directory, utilizzare l'istruzione ALTER ROLE per modificare il ruolo di database esistente per mappare il ruolo a un gruppo Active Directory.

    Utilizzare la sintassi seguente per modificare un ruolo di database esistente per mapparlo a un gruppo Active Directory:

    ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Se si desidera creare mapping di ruoli globali aggiuntivi per altri gruppi di Active Directory, attenersi alla procedura riportata di seguito per ogni gruppo di Active Directory.

Per ulteriori informazioni sulla configurazione dei ruoli con Microsoft Active Directory, vedere Configuring Authorization for Centrally Managed Users in Oracle Database 19c Security Guide o Oracle Database 23ai Security Guide.

Aggiungere utenti Microsoft Active Directory in Autonomous Database

Per aggiungere utenti di Active Directory per accedere a un database, mappare gli utenti globali del database ai gruppi o agli utenti di Active Directory con istruzioni CREATE USER o ALTER USER (con clausola IDENTIFIED GLOBALLY AS).

L'integrazione di Autonomous Database con Active Directory funziona mappando gli utenti e i gruppi di Microsoft Active Directory direttamente agli utenti globali del database Oracle e ai ruoli globali.

Per aggiungere utenti globali per gruppi o utenti di Active Directory in Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Eseguire il login come utente ADMIN al database configurato per l'utilizzo di Active Directory (l'utente ADMIN dispone dei privilegi di sistema CREATE USER e ALTER USER necessari per questi passi).
  2. Impostare l'autorizzazione del database per gli utenti di Autonomous Database con istruzioni CREATE USER o ALTER USER e includere la clausola IDENTIFIED GLOBALLY AS, specificando il DN di un utente o di un gruppo Active Directory.

    Usare la sintassi seguente per mappare un utente di directory a un utente globale del database:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Usare la sintassi seguente per mappare un gruppo di directory a un utente globale del database:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Ad esempio, per mappare un gruppo di directory denominato widget_sales_group nell'unità organizzativa sales del dominio production.example.com a un utente globale del database condiviso denominato WIDGET_SALES: 

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    In questo modo viene creato un mapping utente globale condiviso. Il mapping, con l'utente globale widget_sales, è valido per tutti gli utenti del gruppo Active Directory. Pertanto, chiunque si trovi in widget_sales_group può eseguire il login al database utilizzando le proprie credenziali Active Directory (attraverso il mapping condiviso dell'utente globale widget_sales).

  3. Se si desidera che gli utenti di Active Directory utilizzino un utente di database esistente, posseggano il proprio schema e posseggano i dati esistenti, utilizzare ALTER USER per modificare un utente di database esistente per mappare l'utente a un gruppo o a un utente di Active Directory.

    • Utilizzare la sintassi seguente per modificare un utente di database esistente per mapparlo a un utente di Active Directory:

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    • Utilizzare la sintassi seguente per modificare un utente di database esistente per mapparlo a un gruppo Active Directory:

      ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Se si desidera creare mapping utente globali aggiuntivi per altri gruppi o utenti di Active Directory, attenersi alla procedura riportata di seguito per ogni gruppo o utente di Active Directory.

Per ulteriori informazioni sulla configurazione dei ruoli con Microsoft Active Directory, vedere Configuring Authorization for Centrally Managed Users in Oracle Database 19c Security Guide o Oracle Database 23ai Security Guide.

Restrizioni agli strumenti con Active Directory su Autonomous Database

Note per l'utilizzo degli strumenti di Autonomous Database con Active Directory:

Connettersi ad Autonomous Database con le credenziali utente di Active Directory

Dopo che l'utente ADMIN ha completato i passi di configurazione di Active Directory CMU e creato ruoli globali e utenti globali, gli utenti eseguono il login al database utilizzando il nome utente e la password di Active Directory.

Nota

Non eseguire il login utilizzando un nome utente globale. I nomi utente globali non dispongono di una password e la connessione con un nome utente globale non avrà esito positivo. Per eseguire il login al database, è necessario disporre di un mapping di utenti globale in Autonomous Database. Impossibile eseguire il login al database con solo mapping di ruoli globali.
  1. Per eseguire il login al database utilizzando un nome utente e una password di Active Directory, connettersi come indicato di seguito.
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Ad esempio:

    CONNECT "production\pfitch"/password@adbname_medium;

    È necessario includere le virgolette doppie quando il dominio di Active Directory è incluso insieme al nome utente, come nell'esempio seguente: "production\pfitch".

    In questo esempio, il nome utente di Active Directory è pfitch nel dominio production. L'utente di Active Directory è un membro del gruppo widget_sales_group identificato dal relativo DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Dopo aver configurato CMU con Active Directory su Autonomous Database e aver impostato l'autorizzazione Active Directory, con ruoli globali e utenti globali, è possibile connettersi al database utilizzando uno qualsiasi dei metodi di connessione descritti in Connetti ad Autonomous Database. Quando ci si connette, se si desidera utilizzare un utente di Active Directory, utilizzare le credenziali utente di Active Directory. Ad esempio, specificare un nome utente nel seguente formato, "AD_DOMAIN\AD_USERNAME" (è necessario includere virgolette doppie) e utilizzare AD_USER_PASSWORD per la password.

Se l'istanza di Autonomous Database è in modalità limitata, questa modalità consente solo agli utenti con il privilegio RESTRICTED SESSION di connettersi al database. L'utente ADMIN dispone di questo privilegio. È possibile utilizzare la modalità di accesso limitato per eseguire attività amministrative quali l'indicizzazione, il caricamento dei dati o altre attività pianificate. Per ulteriori informazioni, vedere Modificare la modalità operativa di Autonomous Database in sola lettura/scrittura o limitata.

Verificare le informazioni di connessione utente di Active Directory con Autonomous Database

Quando gli utenti eseguono il login al database utilizzando il nome utente e la password di Active Directory, è possibile verificare e controllare l'attività dell'utente.

Ad esempio, quando l'utente pfitch esegue il login: 

CONNECT "production\pfitch"/password@exampleadb_medium;

Il log utente di Active Directory sul nome utente (samAccountName) è pfitch e widget_sales_group è il nome del gruppo Active Directory e widget_sales è l'utente globale del database.

Dopo che pfitch esegue il login al database, il comando SHOW USER mostra il nome utente globale: 

SHOW USER;

USER is "WIDGET_SALES"

Il comando seguente mostra il DN (Nome distinto) dell'utente di Active Directory:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Ad esempio, è possibile verificare l'identità aziendale di questo utente gestito centralmente:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

Il comando seguente mostra "AD_DOMAIN\AD_USERNAME": 

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Ad esempio, l'identità utente autenticata di Active Directory viene acquisita e controllata quando l'utente esegue il login al database:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Per ulteriori informazioni, vedere Verifying the Centrally Managed User Logon Information in Oracle Database 19c Security Guide o Oracle Database 23ai Security Guide.

Rimuovi utenti e ruoli di Active Directory in Autonomous Database

Per rimuovere utenti e ruoli di Active Directory dai database autonomi, utilizzare i comandi di database standard. Ciò non rimuove gli utenti o i gruppi di Active Directory correlati mappati dagli utenti o dai ruoli del database eliminati.

Per rimuovere utenti o ruoli da Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Eseguire il login al database configurato per utilizzare Active Directory come utente a cui è stato concesso il privilegio di sistema DROP USER o DROP ROLE.
  2. Eliminare gli utenti globali o i ruoli globali mappati ai gruppi o agli utenti di Active Directory con l'istruzione DROP USER o DROP ROLE.
    Per ulteriori informazioni, vedere Rimuovi utenti in Autonomous Database.

Disabilitare l'accesso ad Active Directory in Autonomous Database

Descrive i passi per rimuovere la configurazione CMU da Autonomous Database e disabilitare l'accesso LDAP da Autonomous Database ad Active Directory.

Dopo aver configurato l'istanza di Autonomous Database per accedere ad Active Directory CMU, è possibile disabilitare l'accesso come indicato di seguito.

  1. Connettersi ad Autonomous Database come utente ADMIN.
  2. Utilizzare DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION per disabilitare l'autenticazione CMU.
    Nota

    Per eseguire questa procedura, è necessario aver eseguito il login come utente ADMIN o disporre del privilegio EXECUTE su DBMS_CLOUD_ADMIN.

    Ad esempio:

    BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/

    In questo modo, l'autenticazione CMU viene disabilitata nell'istanza di Autonomous Database.

Per ulteriori informazioni, vedere DISABLE_EXTERNAL_AUTHENTICATION Procedure.