Per utilizzare il plugin authentication_oci, è necessaria una coppia di chiavi di autenticazione, un file di configurazione e istruzioni dei criteri definite correttamente.

Per utilizzare il plugin authentication_oci, è necessario quanto segue:

• Una delle seguenti credenziali:
  • Una coppia di chiavi API: gli utenti locali o di cui è stato eseguito il provisioning possono utilizzare una coppia di chiavi API pubblico-privato registrata in modo appropriato in IAM e in un'impronta API. È necessaria la coppia di chiavi e l'impronta digitale per ogni singolo utente e membro del gruppo mappato. Vedere Chiavi e OCID obbligatori.
  • Token di sicurezza IAM: gli utenti locali, federati o di cui è stato eseguito il provisioning possono utilizzare un token di sicurezza IAM generato utilizzando l'interfaccia della riga di comando di Oracle Cloud Infrastructure. Vedere Generazione di un token di sicurezza IAM.
• File di configurazione con un'impronta digitale e un valore key_file validi. Per l'autenticazione che utilizza un token di sicurezza IAM, specificare un valore security_token_file valido. Vedere file di configurazione SDK e CLI.
• L'istruzione dei criteri seguente definita in ogni tenancy che si intende connettere:

  Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
    DYNAMIC_GROUP_INSPECT} IN TENANCY

  Questa istruzione criterio deve essere collegata al compartimento radice in modo che copra l'intera tenancy. A tale scopo, è necessario selezionare il compartimento radice quando si aggiunge il criterio e utilizzare il parametro IN TENANCY. Non funziona se viene creato in un sottocompartimento con IN COMPARTMENT <CompartmentName> al posto di IN TENANCY.

  Il criterio precedente non è più valido nella versione 9.4.0 e verrà rimosso in una versione successiva. Per la versione 9.4.0 o successiva, si consiglia di utilizzare il seguente criterio:

  Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
    DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'

  Nota
  
  Se si desidera utilizzare i principal in tenancy diverse, è necessario un criterio Admit nella tenancy di destinazione (in cui vengono definiti utenti e gruppi) e un criterio Endorse nella tenancy in cui viene creata un'istanza della risorsa (sistema DB HeatWave), come descritto di seguito.

  • Definire quanto segue nella tenancy di destinazione contenente gli utenti e i gruppi:

    Define tenancy <resource_tenancy_name> AS <resource_tenancy_OCID>
    Admit any-user of tenancy <resource_tenancy_name> TO {AUTHENTICATION_INSPECT, 
      GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy 
      where request.principal.type = 'mysqldbsystem'

  • Definire quanto segue nella tenancy della risorsa contenente il sistema DB:

    Define tenancy <target_tenancy_name> AS <target_tenancy_OCID>
    Endorse any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
      DYNAMIC_GROUP_INSPECT} in tenancy <target_tenancy_name> 
      where request.principal.type = 'mysqldbsystem'