Documentazione dell'infrastruttura Oracle Cloud

Crea e gestisci gli utenti su Autonomous AI Database

Esistono diverse opzioni per creare utenti su Autonomous AI Database. È possibile utilizzare la scheda Utenti database di Oracle Database Actions o utilizzare strumenti lato client che si connettono al database per creare utenti del database.

Argomento padre: Gestisci utenti

Crea utenti in Autonomous AI Database con Database Actions

Puoi creare rapidamente utenti di Autonomous AI Database con Database Actions.

In primo luogo, accedere a Database Actions come utente ADMIN. Per ulteriori informazioni, vedere Accedere alle azioni del database come ADMIN.

  1. Fare clic sull'icona in alto a sinistra icona di navigazioneaccanto a Oracle Database Actions.

    Viene visualizzato il menu Azioni database, tra cui Sviluppo, Data Studio, Amministrazione, Download, Monitoraggio e Servizi correlati.

  2. In Amministrazione fare clic su Utenti database.
  3. Nella pagina Utenti database, nell'area Tutti gli utenti fare clic su + Crea utente.
  4. Per creare un nuovo utente, immettere un nome utente, una password e immettere di nuovo la password per confermarla. Selezionare inoltre le opzioni che si desidera abilitare per l'utente: Grafico, OML o Accesso Web.
  5. Impostare un valore per Quota sulla tablespace DATA per l'utente.
  6. Se si desidera concedere ruoli per il nuovo utente, fare clic sulla scheda Ruoli concessi e selezionare i ruoli per l'utente. Ad esempio, selezionare DWROLE e CONNECT.
  7. Fare clic su Crea utente.

    Database Actions mostra il messaggio di conferma Creato dall'utente.

Per ulteriori informazioni sulla concessione di ruoli e l'aggiunta o l'aggiornamento dei privilegi per un utente, vedere Gestisci ruoli e privilegi utente in Autonomous AI Database.

Per informazioni dettagliate sugli utenti del database di Database Actions, vedere Pagina Utenti database.

Se si fornisce Web Access per il nuovo utente, è necessario inviare un URL al nuovo utente. Per ulteriori informazioni, vedere Fornire l'accesso di Database Actions agli utenti del database.

L'amministratore deve fornire il wallet delle credenziali al nuovo utente per l'accesso lato client. Per ulteriori informazioni sulle credenziali di accesso lato client, vedere Connettersi ad Autonomous AI Database.

Nota

Autonomous AI Database richiede password complesse; la password specificata deve soddisfare le regole di complessità delle password predefinite. Per ulteriori informazioni, vedere Informazioni sulle password degli utenti in Autonomous AI Database.

Per informazioni sulla creazione di aree di lavoro APEX, vedere Creare aree di lavoro Oracle APEX in Autonomous AI Database.

Vedere Crea e aggiorna account utente per i componenti di Oracle Machine Learning su Autonomous AI Database per aggiungere account utente per Oracle Machine Learning Notebooks.

Creare utenti su Autonomous AI Database - Connessione a uno strumento client

È possibile creare utenti collegandosi al database come utente ADMIN utilizzando qualsiasi strumento client SQL.

Ad esempio, connettiti utilizzando Oracle SQL Developer (vedere Connetti ad Autonomous AI Database).

  1. Connettersi come utente ADMIN.
  2. Eseguire le istruzioni SQL riportate di seguito.
    CREATE USER new_user IDENTIFIED BY password;
GRANT CREATE SESSION TO new_user;
    Nota

    IDENTIFIED con la clausola EXTERNALLY non è supportato con Autonomous AI Database.

    Inoltre, IDENTIFIED con la clausola BY VALUES non è consentito.

In questo modo viene creato new_user con privilegi di connessione. Questo utente ora può connettersi al database ed eseguire query. Per concedere privilegi aggiuntivi agli utenti, vedere Gestisci ruoli utente e privilegi su Autonomous AI Database.

L'amministratore deve fornire il wallet delle credenziali all'utente new_user. Per ulteriori informazioni sulle credenziali client, vedere Connettersi ad Autonomous AI Database.

Nota

Autonomous AI Database richiede password complesse; la password specificata deve soddisfare le regole di complessità delle password predefinite. Per ulteriori informazioni, vedere Informazioni sulle password degli utenti in Autonomous AI Database.

Per aggiungere utenti per Database Actions, vedere Fornire Database Actions Access agli utenti del database.

Per informazioni sulla creazione di aree di lavoro APEX, vedere Creare aree di lavoro Oracle APEX in Autonomous AI Database.

Vedere Crea e aggiorna account utente per i componenti di Oracle Machine Learning su Autonomous AI Database per aggiungere account utente per i componenti di Oracle Machine Learning.

Argomento padre: Creare e gestire gli utenti su Autonomous AI Database

Crea utenti con autenticazione password basata su segreto

È possibile memorizzare le password utente in modo sicuro in un vault esterno e farvi riferimento dal database, invece di gestire le password direttamente nel database.

Quando un utente esegue l'autenticazione con credenziali basate su segreti, il database recupera la password dal vault durante il login, genera verificatori di autenticazione e completa il processo di autenticazione. La password utente non viene mai memorizzata nel database.

L'autenticazione utente basata su segreti consente di:
  • Memorizzare le password utente del database in modo sicuro nei servizi vault esterni
  • Supporta rotazione password
  • Mantieni la sicurezza delle password
    • Evitare di memorizzare le password utente del database come testo normale negli script dell'applicazione
  • Abilita le distribuzioni di database multi-cloud con la gestione sicura delle credenziali

Autonomous AI Database supporta i provider vault seguenti per le credenziali segrete del vault:

  • Oracle Cloud Infrastructure Vault
  • Vault di chiavi Azure
  • AWS Secrets Manager
  • GCP Secret Manager

Puoi creare utenti del database su Autonomous AI Database che eseguono l'autenticazione utilizzando una password memorizzata in modo sicuro in un segreto nel vault cloud supportato.

La sezione seguente descrive il provisioning di un segreto vault, la definizione di una credenziale e la creazione di un utente di database che estrae i dettagli di autenticazione in modo sicuro dal vault:

Prerequisiti:

  • Prima di creare utenti con credenziali segrete del vault, è necessario creare un segreto nel vault contenente la password desiderata in base ai provider di vault selezionati. Prendere nota dell'identificativo del segreto e dei dettagli relativi all'ubicazione, ad esempio l'area, il nome del vault o l'ID progetto, in base al provider selezionato.

  • È inoltre necessario assicurarsi di configurare l'autorizzazione lato cloud necessaria in modo che Autonomous AI Database possa leggere il segreto. Ad esempio, se si sceglie il vault OCI, è necessario che Autonomous AI Database sia autorizzato a leggere il segreto utilizzando un gruppo dinamico e un criterio IAM che concede l'accesso AI bundle segreti nel compartimento che contiene il segreto.

    Vedere Usa credenziali segrete vault per i dettagli sulla creazione di un segreto nei provider vault supportati insieme alle autorizzazioni necessarie in base al provider vault selezionato.

Nota

Autonomous AI Database richiede password complesse; la password specificata deve soddisfare le regole di complessità delle password predefinite. Per ulteriori informazioni, vedere Informazioni sulle password degli utenti in Autonomous AI Database.
  1. Creare la credenziale segreta del vault:
    Dopo aver creato il segreto, creare un oggetto credenziale segreto vault che memorizzi i metadati necessari per accedere al segreto:
    BEGIN
DBMS_CLOUD.CREATE_CREDENTIAL(
credential_name => 'vault_credential_name',
params => JSON_OBJECT(
'username' VALUE 'database_username',
'secret_id' VALUE 'vault_secret_identifier',
'region' VALUE 'vault_region'
)
);
END;
/
    • credential_name: specifica il nome assegnato all'oggetto credenziale all'interno del database. Parametro a cui si fa riferimento durante la creazione dell'utente.
    • username: specifica il nome utente del database associato alla password memorizzata nel segreto esterno.
    • secret_id: specifica l'identificativo univoco del segreto nel vault esterno. Per Oracle Cloud Infrastructure Vault, si tratta del segreto del vault OCID. Questo valore del parametro varia in base a provider di vault diversi.
    • region: specifica il database che contiene il segreto del vault.

    A seconda del provider del vault, potrebbe essere necessario fornire campi specifici del provider equivalenti, ad esempio region, azure_vault_name o gcp_project_id. Per ulteriori dettagli, vedere Usa credenziali segrete vault.

  2. Creare l'utente del database:
    Dopo aver creato la credenziale segreta del vault, creare l'utente del database e fare riferimento alla credenziale:
    CREATE USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."vault_credential_name";
GRANT CREATE SESSION TO database_username;
    • database_username: specifica il nome del nuovo utente del database creato.
    • IDENTIFIED BY CREDENTIAL: specifica che l'utente eseguirà l'autenticazione utilizzando l'autenticazione basata su segreti, estraendo la password dal vault invece di memorizzarla localmente.
    • credential_schema: specifica lo Schema proprietario dell'oggetto credenziale.
    • vault_credential_name: specifica il nome della credenziale che punta al segreto del vault creato nella procedura DBMS_CLOUD.CREATE_CREDENTIAL precedente.

    Dopo aver creato l'utente, Autonomous AI Database utilizza il segreto vault di riferimento durante l'autenticazione in modo che l'utente acceda con la password memorizzata nel Secret Manager esterno.

Quando si crea un utente con autenticazione basata su segreto, le seguenti colonne del dizionario dati di DBA_USERS e del dizionario USER_USERS visualizzano le informazioni sulle credenziali associate:
  • LOGON_CREDENTIAL_OWNER: schema proprietario dell'oggetto credenziale
  • LOGON_CREDENTIAL_NAME - Nome dell'oggetto credenziale del vault

    Le colonne del dizionario dati fanno riferimento alle colonne delle viste del dizionario dati incorporate che descrivono tabelle, colonne, vincoli e altri oggetti.

Aggiorna utenti in Autonomous AI Database - Connessione a uno strumento client

È possibile creare utenti collegandosi al database come utente ADMIN utilizzando qualsiasi strumento client SQL.

Ad esempio, connettiti utilizzando Oracle SQL Developer (vedere Connetti ad Autonomous AI Database).

  1. Connettersi come utente ADMIN.
  2. Eseguire l'istruzione SQL seguente:
    ALTER USER username IDENTIFIED BY new_password;
    Nota

    Autonomous AI Database richiede password complesse; la password specificata deve soddisfare le regole di complessità delle password predefinite. Per ulteriori informazioni, vedere Informazioni sulle password degli utenti in Autonomous AI Database.

In questo modo, la password di username viene aggiornata a new_password.

Argomento padre: Creare e gestire gli utenti su Autonomous AI Database

Aggiorna password utente con autenticazione password basata su segreto

In questa sezione viene descritto come aggiornare la password di un utente esistente facendo riferimento a una credenziale segreta del vault.

È possibile configurare un utente per l'autenticazione utilizzando una password memorizzata in modo sicuro in un vault esterno invece di essere definita direttamente nel database. Si tratta di un'autenticazione basata su segreti. Quando si utilizza questa opzione, il database recupera la password dal vault in runtime tramite un oggetto credenziale, invece di memorizzare o esporre la password nelle istruzioni o nei metadati SQL.

L'utilizzo dell'autenticazione basata su segreti migliora la sicurezza eliminando le password in testo semplice dalle operazioni del database, riducendo il rischio di esposizione accidentale in script, log o audit trail. Inoltre, semplifica la rotazione delle password e la gestione centralizzata delle credenziali, poiché gli aggiornamenti possono essere gestiti nel vault senza richiedere modifiche alle definizioni degli utenti del database.

L'istruzione ALTER USER consente di aggiornare un utente esistente per utilizzare una credenziale basata su vault senza eliminare e ricreare l'account. In questo modo vengono conservati i privilegi e i ruoli esistenti.

Ad esempio, connettiti utilizzando Oracle SQL Developer (vedere Connetti ad Autonomous AI Database).
  1. Connettersi come utente ADMIN.
  2. È necessario assicurarsi che la credenziale segreta del vault venga creata e configurata in Autonomous AI Database. Per ulteriori informazioni, vedere Usa credenziali segrete vault.
    Eseguire l'istruzione SQL seguente per aggiornare un utente in modo che utilizzi una credenziale del vault:
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."credential_name";
    • database_username: specifica l'utente del database esistente di cui si desidera aggiornare la password.
    • IDENTIFIED BY CREDENTIAL: specifica l'autenticazione basata su segreto, estraendo la password dal vault invece di memorizzarla localmente.
    • credential_schema: specifica lo schema contenente l'oggetto credenziale.
    • credential_name: specifica il nome della credenziale specifica che punta al segreto del vault.
    Nota

    Autonomous AI Database richiede password complesse; la password specificata deve soddisfare le regole di complessità delle password predefinite. Per ulteriori informazioni, vedere Informazioni sulle password degli utenti in Autonomous AI Database.
    Quando si crea un utente con autenticazione basata su segreto, le seguenti colonne del dizionario dati delle viste dizionario DBA_USERS e USER_USERS visualizzano le informazioni sulle credenziali associate:
    • LOGON_CREDENTIAL_OWNER: schema proprietario dell'oggetto credenziale
    • LOGON_CREDENTIAL_NAME - Nome dell'oggetto credenziale del vault

      Le colonne del dizionario dati fanno riferimento alle colonne delle viste del dizionario dati incorporate che descrivono tabelle, colonne, vincoli e altri oggetti. Per ulteriori informazioni, vedere Dizionario dati.

Rotazione password

È possibile ruotare la password in due metodi che utilizzano l'autenticazione basata su segreti:
  1. Creare una nuova versione del segreto nello stesso segreto: è possibile creare più versioni dello stesso segreto nel vault. Quando si ruota il segreto creando una nuova versione ed eseguendo l'istruzione seguente, per autenticare l'utente verrà utilizzata l'ultima versione del segreto. Se il rollover della password globale è configurato, la password precedente rimarrà valida per l'ora specificata dal limite PASSWORD_ROLLOVER_TIME.
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."vault_credential_name";
  2. Crea un nuovo segreto:

    È possibile creare un nuovo segreto vault e un nuovo oggetto credenziale per la nuova password.

    Se il rollover della password globale è configurato, la password precedente rimarrà valida per l'ora specificata dal limite PASSWORD_ROLLOVER_TIME. Per ulteriori dettagli, vedere Rollover della password del database primario per le applicazioni.

    Per ruotare la password utente, eseguire l'istruzione seguente che utilizza il nuovo oggetto credenziale che punta al nuovo segreto:
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."new_vault_credential_name";
Nota

La rotazione o la creazione di una nuova versione di un segreto nel vault non ruota automaticamente la password utente del database. È necessario seguire uno degli approcci descritti in precedenza per ruotare la password utente del database.

È possibile creare o modificare un utente con credenziali basate su segreto se si dispone del privilegio EXECUTE nell'oggetto credenziale del vault.

Nota

Se non si dispone del privilegio richiesto, l'istruzione CREATE USER o ALTER USER non riesce.

Eseguire l'istruzione SQL seguente per concedere il privilegio EXECUTE:
GRANT EXECUTE ON vault_credential_name TO user_or_role;

L'istruzione precedente concede all'utente o al ruolo specificato l'autorizzazione per utilizzare un oggetto credenziale del vault denominato vault_credential_name.

Sblocca account utente in Autonomous AI Database

Se un account utente è bloccato, in quanto utente ADMIN è possibile sbloccare l'account.

Per sbloccare un account, connettersi al database come utente ADMIN ed eseguire il comando seguente: 

ALTER USER username IDENTIFIED BY password ACCOUNT UNLOCK;

Per informazioni sul comando ALTER USER, vedere SQL Language Reference.

Informazioni sulle password utente in Autonomous AI Database

Autonomous AI Database richiede password complesse; la password specificata per un utente deve soddisfare le regole minime di complessità delle password predefinite.

Autonomous AI Database imposta gli standard minimi per le password e il profilo predefinito imposta i parametri per limitare il numero di tentativi di login non riusciti.

  • La password deve essere composta da 12 e 30 caratteri e deve includere almeno una lettera maiuscola, una lettera minuscola e un carattere numerico.

    Si noti che il limite di password viene visualizzato come 60 caratteri in alcuni popup di descrizione comandi della Guida. Limitare le password a un massimo di 30 caratteri.

  • La password non può contenere nomeutente.

  • La password non può essere una delle ultime quattro password usate per lo stesso nomeutente.

  • La parola d'ordine non può contenere virgolette doppie (") o virgolette singole (').

  • La password non deve essere uguale a quella impostata meno di 24 ore fa.

Per modificare le regole di complessità delle password e i valori dei parametri delle password, è possibile modificare il profilo predefinito o creare un nuovo profilo e assegnarlo agli utenti. Per ulteriori informazioni, vedere Gestisci profili utente con Autonomous AI Database.

Di seguito sono riportati i valori predefiniti dei parametri della password del profilo di Autonomous AI Database.

Parametro password Descrizione Value
FAILED_LOGIN_ATTEMPTS

Il numero massimo di volte in cui un utente può provare a eseguire il login e non riuscire prima di bloccare l'account. Questo limite si applica agli account utente normali del database.

10
PASSWORD_GRACE_TIME

Numero di giorni dopo l'inizio del periodo di tolleranza durante i quali viene emessa un'avvertenza ed è consentito il login.

 30
PASSWORD_LIFE_TIME

Numero di giorni in cui la stessa password può essere utilizzata per l'autenticazione.

 360
PASSWORD_LOCK_TIME

Determina Per quanti giorni un account verrà bloccato dopo il numero specifico di tentativi consecutivi non riusciti a login.

 1
PASSWORD_REUSE_MAX

Determina Il numero richiesto di modifiche alla password prima che si possa riutilizzare quella corrente.

 4
PASSWORD_REUSE_TIME

Il numero di giorni prima dei quali non è possibile riutilizzare una password.

 1

Per informazioni sull'uso di CREATE USER o ALTER USER con una clausola di profilo, vedere Gestisci profili utente con Autonomous AI Database.

Per informazioni sul comando ALTER USER, vedere SQL Language Reference.

Gestire l'account amministratore in Autonomous AI Database

L'utente amministratore di Autonomous AI Database è ADMIN e questo account amministratore dispone di diversi privilegi di sistema concessi per poter gestire gli utenti e altre aree del database.

È possibile modificare la password dell'utente amministratore (ADMIN) e, se bloccato, sbloccare l'account utente amministratore in Autonomous AI Database. Quando si utilizzano le API per creare un Autonomous AI Database o per reimpostare la password ADMIN, è possibile facoltativamente utilizzare un segreto di Oracle Cloud Infrastructure Vault per memorizzare la password.

Per ulteriori informazioni, vedere CreateAutonomousDatabase.

Per ulteriori informazioni sull'utente ADMIN, vedere Ruoli e privilegi utente ADMIN.

Argomento padre: Creare e gestire gli utenti su Autonomous AI Database

Impostare la password ADMIN in Autonomous AI Database

Attenersi alla procedura per impostare la password ADMIN.

Dalla console di Oracle Cloud Infrastructure, modificare la password per l'utente ADMIN effettuando le operazioni riportate di seguito.

  1. Nell'elenco a discesa Ulteriori azioni della pagina Dettagli selezionare Password amministratore.
  2. Nel pannello Password amministratore immettere la nuova password e confermare.
  3. Fare clic su Modifica.
Nota

È inoltre possibile utilizzare Database Actions per modificare la password per l'utente ADMIN. Per ulteriori informazioni, vedere Gestione degli utenti e dei ruoli utente in Autonomous AI Database - Connessione a Database Actions.

La password per l'account amministratore predefinito, ADMIN, ha le stesse regole di complessità delle password menzionate nella sezione Informazioni sulle password utente in Autonomous AI Database.

Sblocca l'account ADMIN in Autonomous AI Database

Mostra i passi per sbloccare l'account utente ADMIN.

Eseguire i passi dei prerequisiti riportati di seguito, se necessario.

  • Apri la console di Oracle Cloud Infrastructure facendo clic su icona di navigazione accanto a Cloud.

  • Nel menu di navigazione a sinistra di Oracle Cloud Infrastructure fai clic su Oracle Database, quindi fai clic su Autonomous AI Database.

  • Nella pagina Database AI autonomi selezionare un Autonomous AI Database dai collegamenti nella colonna Nome visualizzato.

Per sbloccare l'account ADMIN, attenersi alla procedura riportata di seguito aggiornando la password ADMIN.

  1. Nell'elenco a discesa Ulteriori azioni della pagina Dettagli selezionare Password amministratore.
  2. Nella casella Password amministratore immettere la nuova password e confermare.
  3. Fare clic su Modifica.

Questa operazione sblocca l'account ADMIN se è stato bloccato.

La password per l'account amministratore predefinito, ADMIN, ha le stesse regole di complessità delle password menzionate nella sezione Informazioni sulle password utente in Autonomous AI Database.

Usa segreto di Oracle Cloud Infrastructure Vault per la password ADMIN

Quando si crea o si duplica un'istanza di Autonomous AI Database o quando si reimposta la password ADMIN, è possibile utilizzare un segreto vault di Oracle Cloud Infrastructure per specificare la password ADMIN.

Autonomous AI Database ti consente di utilizzare le API per fornire un segreto vault protetto come password ADMIN, con accesso sicuro al segreto vault concesso tramite i criteri IAM di Oracle Cloud Infrastructure.

Nota

L'uso di un segreto vault Oracle Cloud Infrastructure per la password ADMIN è supportato solo con le API.

I segreti di Oracle Cloud Infrastructure Vault sono credenziali che utilizzi con i servizi Oracle Cloud Infrastructure. La memorizzazione dei segreti in un vault fornisce una maggiore sicurezza di quanto si possa ottenere memorizzandoli altrove, ad esempio nel codice o nei file di configurazione. Chiamando le API del database, è possibile utilizzare i segreti del servizio Vault per impostare la password ADMIN. L'opzione della password segreta del vault è disponibile quando si crea o si duplica un'istanza di Autonomous AI Database o quando si imposta o si reimposta la password di ADMIN.

Puoi creare segreti utilizzando la console, l'interfaccia CLI o l'API di Oracle Cloud Infrastructure.

Note per l'utilizzo di un segreto vault per l'impostazione o la reimpostazione della password ADMIN:

  • Affinché Autonomous AI Database raggiunga il segreto in un vault, devono essere applicate le condizioni seguenti:

    • Il segreto deve essere in stato current o previous.

    • Se si specifica una versione del segreto nella chiamata API, viene utilizzata la versione del segreto specificata. Se non si specifica una versione del segreto, la chiamata utilizza la versione più recente del segreto.

    • È necessario disporre del criterio del gruppo di utenti appropriato che consenta all'utente READ di accedere al segreto specifico in un determinato compartimento. Ad esempio: 

      Allow userGroup1 to read secret-bundles in compartment training

  • La password memorizzata nel segreto deve essere conforme AI requisiti della password di Autonomous AI Database.

Per ulteriori informazioni, vedere gli argomenti riportati di seguito.