Autenticar e Autorizar Usuários do Microsoft Azure Active Directory para Autonomous AI Database

Uma instância dedicada do Oracle Autonomous AI Database no Exadata Infrastructure pode ser configurada para os usuários do AD do Microsoft Azure conectarem-se usando tokens do Azure OAuth2.

Sobre a Integração do Oracle Autonomous AI Database na Infraestrutura Dedicada do Exadata com o Microsoft Azure AD

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure e o Microsoft Azure AD podem ser configurados para permitir que usuários e aplicativos se conectem ao banco de dados usando suas credenciais do Azure AD.

Os usuários e aplicativos do Azure AD podem fazer log-in com credenciais de Sign-on Único (SSO) do Azure AD para acessar o banco de dados. Isso é feito com um token de acesso OAuth2 do Azure AD que o usuário ou o aplicativo solicita primeiro do Azure AD. Esse token de acesso OAuth2 contém as informações de identidade do usuário e acesso ao banco de dados e é enviado ao banco de dados. Consulte o artigo da Microsoft Opções de autenticação sem senha para o Azure Active Directory para obter informações sobre como configurar autenticação multifator e sem senha.

Você pode executar essa integração nos seguintes ambientes do Oracle Database:

• Oracle Database on-premises versão 19.18 e posterior

• Oracle Autonomous AI Database em Infraestrutura Compartilhada do Exadata

• Oracle Autonomous AI Database na Infraestrutura Dedicada do Exadata

• Oracle Base Database Service

• Oracle Exadata Cloud Service (Oracle ExaCS)

As instruções de configuração do Azure AD usam o termo "Oracle Database" para abranger esses ambientes.

Esse tipo de integração permite que o usuário do Azure AD acesse uma instância do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. Os usuários e aplicativos do Azure AD podem fazer log-in com as credenciais de SSO (Sign On Único) do Azure AD para obter um token de acesso OAuth2 do Azure AD para enviar ao banco de dados.

O administrador do Azure AD cria e registra o Oracle Autonomous AI Database on Dedicated Exadata Infrastructure com o Azure AD. No Azure AD, isso é chamado de registro de aplicativo, que é a abreviação de registro de aplicativo. Esta é a informação digital que o Azure AD deve saber sobre o software que está a utilizar o Azure AD. O administrador do Azure AD também cria atribuições de aplicativo (aplicativo) para o registro de aplicativo de banco de dados no Azure AD. As atribuições de aplicativo conectam usuários, grupos e aplicativos do Azure a esquemas e atribuições de banco de dados. O administrador do Azure AD designa usuários, grupos ou aplicativos do Azure AD às atribuições de aplicativo. Essas atribuições de aplicativo são mapeadas para um esquema global de banco de dados ou uma atribuição global ou para um esquema e uma atribuição. Um usuário, grupo ou aplicativo do Azure AD designado a uma atribuição de aplicativo será mapeado para um esquema global de banco de dados, atribuição global ou para um esquema e uma atribuição. Um esquema global Oracle também pode ser mapeado exclusivamente para um usuário do Azure AD. Um usuário convidado do Azure AD (usuário não organizacional) ou um controlador de serviços do Azure AD (aplicativo) só pode ser mapeado para um esquema global de banco de dados por meio de uma atribuição de aplicativo do Azure AD. Uma atribuição global do Oracle só pode ser mapeada de uma atribuição de aplicativo do Azure e não pode ser mapeada de um usuário do Azure.

As ferramentas do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure, incluindo Oracle APEX, Database Actions, Oracle Graph Studio e Oracle Database API for MongoDB, não são compatíveis com o uso de tokens do Azure AD para conexão com o banco de dados.

As ferramentas e os aplicativos que são atualizados para suportar token do Azure AD podem autenticar usuários diretamente com o Azure AD e transmitir o token de acesso ao banco de dados à instância do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. Você pode configurar ferramentas de banco de dados existentes, como o SQL*Plus, para usar um token do Azure AD de um local de arquivo. Nesses casos, os tokens de Azure AD podem ser recuperados usando ferramentas como o Microsoft PowerShell ou a CLI de Azure e colocados em um local de arquivo. Um token de acesso ao banco de dados OAuth2 do Azure AD é emitido com um tempo de expiração. O driver do cliente Oracle Database garantirá que o token esteja em um formato válido e que ele não tenha expirado antes de transmiti-lo ao banco de dados. O token tem como escopo o banco de dados, o que significa que há informações no token sobre o banco de dados em que o token será usado. As atribuições do aplicativo às quais o principal do Azure AD foi designado no registro do aplicativo do Azure AD do banco de dados são incluídas como parte do token do acesso. O local de diretório do token do Azure AD só deve ter permissão suficiente para o usuário gravar o arquivo de token no local e o cliente de banco de dados para recuperar esses arquivos (por exemplo, basta ler e gravar pelo usuário). Como o token permite o acesso ao banco de dados, ele deve ser protegido dentro do sistema de arquivos.

Os usuários do Azure AD podem solicitar um token do Azure AD usando vários métodos para abrir uma janela de log-in do Azure para informar suas credenciais do Azure AD.

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure aceita tokens que representam os seguintes principais do Azure AD:

• Usuário do Azure AD, que é o usuário registrado na tenancy do Azure AD

• Usuário convidado, que é registrado como usuário convidado na tenancy do Azure AD

• Serviço, que é o aplicativo registrado que se conecta ao banco de dados como ele mesmo com o fluxo de credenciais do cliente (caso de uso do pool de conexões)

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure suporta os seguintes fluxos de autenticação do Azure AD:

• Código de autorização, mais comumente usado para usuários humanos (não aplicativos) para autenticação no Azure AD em um ambiente cliente com um browser

• Credenciais do cliente, que são para aplicativos de banco de dados que conectam como eles mesmos (e não o usuário final)

• Em Nome de (OBO), em que um aplicativo solicita um token de acesso em nome de um usuário conectado para envio ao banco de dados

• Credencial de senha do proprietário do recurso (ROPC), que não é recomendada para uso em produção, mas pode ser usada em ambientes de teste nos quais uma autenticação de usuário do navegador pop-up seria difícil de incorporar. O ROPC precisa que o nome de usuário e a credencial de senha do Azure AD façam parte da chamada de solicitação de token.

Arquitetura da Integração do Microsoft Azure AD com um Autonomous AI Database

Os tokens do Microsoft Azure Active Directory seguem o padrão OAuth2 com extensões. O uso de um token do Azure AD para acessar um banco de dados Oracle é semelhante ao uso de tokens do OCI IAM. Consulte Arquitetura da Integração do Microsoft Azure AD com um Oracle Database no Guia de Segurança para obter uma explicação detalhada.

Mapeamento de Usuários do Azure AD para o Autonomous AI Database

Os usuários do Microsoft Azure devem ser mapeados para um esquema do Autonomous AI Database e ter os privilégios necessários (por meio de atribuições) para poderem se autenticar na instância do Autonomous AI Database. Consulte Azure AD Users Mapping to the Oracle Database no Security Guide para obter informações sobre as diferentes maneiras de mapear usuários, grupos e aplicativos no Microsoft Azure.

Casos de Uso para Conexão com um Autonomous AI Database Usando o Azure AD

O Oracle Database suporta três tipos de casos de uso para estabelecer conexão com uma instância do Autonomous AI Database usando o Microsoft Azure Active Directory. Consulte Casos de Uso para Estabelecer Conexão com um Oracle Database Usando o Azure AD para obter mais detalhes.

Processo Geral de Autenticação de Identidades do Microsoft Azure AD com o Oracle Autonomous AI Database em uma Infraestrutura Dedicada do Exadata

O administrador do Oracle Database e o administrador do Microsoft Azure AD desempenham funções para permitir que os usuários do Azure AD se conectem ao banco de dados usando tokens de acesso OAuth2 do Azure AD.

Este é o processo geral:

1. O administrador de Oracle Database garante que o ambiente de Oracle Database atenda aos requisitos de integração do Microsoft Azure AD. Consulte Requisitos do Oracle Database para Integração do Microsoft Azure AD.

2. O administrador do Azure AD cria um registro de aplicativo do Azure AD para o banco de dados e o administrador do Oracle Database permite que o banco de dados use tokens do Azure AD para acesso ao banco de dados.

   Como parte do processo de registro do aplicativo, o administrador do Azure AD cria atribuições de aplicativo do Azure a serem usadas para os mapeamentos entre os usuários, grupos e aplicativos do Azure para os esquemas e atribuições do Oracle Database.

3. O administrador do Oracle Database cria e mapea esquemas globais para um usuário Azure AD (mapeamento exclusivo do esquema) ou para uma atribuição do aplicativo Azure (mapeamento compartilhado do esquema). O usuário ou aplicativo do Azure AD deve ser mapeado para um esquema.

4. Opcionalmente, o administrador do sistema Oracle cria e mapeia atribuições globais do Oracle Database para atribuições de aplicativo do Azure.

5. O usuário Final do Azure AD que deseja estabelecer conexão com a instância do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure registra o aplicativo cliente como um cliente do Azure AD (semelhante à forma como o banco de dados Oracle é registrado).

   O cliente Azure AD terá uma identificação de cliente e um segredo de cliente, a menos que o cliente do aplicativo seja público. Se o cliente do aplicativo for público, somente a identificação do cliente do aplicativo será necessária.

6. O usuário final do Azure AD (que pode ser um administrador de banco de dados) se conecta usando um utilitário como o PowerShell ou a interface de linha de comando do Azure para recuperar o token de acesso ao banco de dados OAuth2 e armazená-lo em um diretório de arquivo local. Um aplicativo também pode solicitar um token de acesso OAuth2 do Azure AD diretamente do Azure AD e transmiti-lo por meio de uma API cliente de banco de dados. Consulte a seguinte documentação do cliente do Oracle Database para obter informações sobre como transmitir tokens OAuth2 do Azure AD:

   • Clientes JDBC-thin: Oracle AI Database JDBC Developer's Guide

   • Oracle Call Interface (OCI): Guia do Oracle Call Interface Developer

   • Oracle Data Provider for .NET (ODP): Guia do Desenvolvedor do Oracle Data Provider for .NET Conectando-se ao Oracle Database

7. Uma vez conectado à instância do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure, o usuário final do Azure AD executa operações de banco de dados conforme necessário.

Ativar Autenticação do Azure AD no Autonomous AI Database

Um administrador do Azure AD e um administrador do Autonomous AI Database executam etapas para configurar a autenticação do Azure AD no Autonomous AI Database.

Pré-requisitos

A integração do Microsoft Azure AD com o Oracle Autonomous AI Database on Dedicated Exadata Infrastructure requer:

1. O Autonomous AI Database a ser versão 19.18 ou superior.

2. Conectividade com o banco de dados na porta TLS 2484. Não há suporte para conexões não TLS.

3. Conectividade de rede de saída ao Azure AD para que o banco de dados possa solicitar a chave pública do Azure AD.

4. O Autonomous AI Database a ser registrado no Azure AD.

5. Para implantações do Exadata Cloud@Customer, as definições do Proxy HTTP em seu ambiente devem permitir que o banco de dados use o Azure AD.

   Essas definições são definidas pelo administrador da frota ao criar a infraestrutura do Exadata Cloud@Customer conforme descrito em Usando a Console para Provisionar o Exadata Database Service on Cloud@Customer.

Observação: A configuração de rede, incluindo o Proxy HTTP, só poderá ser editada até que o Exadata Infrastructure esteja no estado Exige Ativação. Uma vez ativado, você não pode editar essas configurações.

A configuração de um Proxy HTTP para uma Infraestrutura do Exadata já provisionada precisa de uma Solicitação de Serviço (SR) no My Oracle Support. Consulte Criar uma Solicitação de Serviço no My Oracle Support para obter detalhes.

Procedimento

Implemente as tarefas a seguir para configurar sua integração do Autonomous AI Database for Microsoft Azure AD.

1. Registrar a instância do Autonomous AI Database em uma tenancy do serviço Microsoft Azure AD: um usuário com privilégios de administrador do Azure AD usa o Microsoft Azure AD para registrar a instância do Oracle Database com a tenancy do serviço Microsoft Azure AD. Consulte Registrar a Instância do Oracle Autonomous AI Database com uma Tenancy do Microsoft Azure AD no Guia de Segurança.

2. Ativar Tokens de Acesso do Microsoft Azure AD v2: Se sua organização usar o token de acesso do Microsoft Azure AD v2 (em vez de tokens v1), talvez você precise fazer alterações adicionais no Azure AD para oferecer suporte à reivindicação upn: em seu token. Consulte Ativando Tokens de Acesso do Microsoft Azure AD v2 e Verificando a Versão do Token de Acesso do Azure AD no Guia de Segurança.

3. Gerenciar atribuições do aplicativo no Microsoft Azure AD: no Azure AD, você pode criar e gerenciar atribuições do aplicativo que serão designadas a usuários e grupos do Azure AD e também serem mapeadas para esquemas e atribuições globais do Oracle Database, Consulte Gerenciar Atribuições de Aplicativo no Microsoft Azure AD no Guia de Segurança.

4. Configure a conectividade de saída com o Microsoft Azure AD usando um gateway NAT:

   Crie um gateway NAT na VCN (Virtual Cloud Network) em que seus recursos do Autonomous AI Database residem seguindo as instruções em Criar um Gateway NAT na Documentação do Oracle Cloud Infrastructure.

   Após criar o gateway NAT, adicione uma regra da rota e uma regra da segurança da saída a cada sub-rede (na VCN) na qual os recursos do Autonomous AI Database residem para que esses recursos possam usar o gateway para obter a chave pública da sua instância doAzure AD

   1. Vá para a página Detalhes de Sub-rede da sub-rede.

   2. Na guia Informações da Sub-rede, clique no nome da Tabela da Rota da sub-redes para exibir sua página Detalhes da Tabela de Roteamento.

   3. Na tabela de Regras de Rota existentes, verifique se já existe uma regra com as seguintes características:

      • Destino: 0.0.0.0/0

      • Target Type: Gateway NAT

      • Destino: O nome do gateway NAT que você acaba de criar na VCN

      Se essa regra não existir, clique em Adicionar Regras de Roteamento e adicione uma regra de roteamento com essas características.

   4. Retorne à página Detalhes da Subrede da sub-rede.

   5. Na tabela Listas de Segurança da subrede, clique no nome da lista para exibir sua página Detalhes da Lista de Segurança.

   6. No menu lateral, em Recursos, clique em Regras de Saída.

   7. Na tabela de Regras de Saída existentes, verifique se já existe uma regra com as seguintes características:

      • Tipo de Destino:CIDR

      • Destino:0.0.0.0/0

      • Protocolo IP:TCP

      • Faixa de Portas de Origem:443

      • Intervalo de Portas de Destino:Tudo

      Se essa regra não existir, clique em Adicionar Regras de Saída e adicione uma regra de saída com essas características.

5. Testar a Acessibilidade do Ponto Final do Entra ID

   Certifique-se de que sua instância do Oracle Database possa acessar o ponto final do Entra ID seguindo as etapas descritas em Testando a Acessibilidade do Ponto Final do Azure no Guia de Segurança.

   Se o banco de dados não puder se conectar com o ponto final do ID do Microsoft Entra, mesmo depois de definir a política de ACL, verifique os pré-requisitos listados acima para confirmar que você configurou a rede corretamente de acordo com os pré-requisitos. Se o problema persistir, revise sua rede para garantir que a instância do banco de dados possa se conectar ao ponto final do ID do MS Entra.

6. Configure o Azure AD como um provedor de identidades externo para o Autonomous AI Database:

   Por padrão, os Autonomous AI Databases e os Autonomous Container Databases são configurados para conectar usuários com autenticação e autorização do Oracle Cloud Infrastructure (IAM). Um DBA de aplicativo também pode alterar isso para outro esquema de autenticação externo, como Centrally Managed Users with Active Directory (CMU-AD) ou Kerberos. No entanto, um Autonomous AI Database só pode ativar um esquema de autenticação externo por vez.

   Para ativar o Azure AD como um provedor de identidades externo em uma instância do Autonomous AI Database:

   1. Faça log-in na instância do Autonomous AI Database como um usuário que tenha o privilégio EXECUTE no pacote PL/SQL DBMS_CLOUD_ADMIN. O usuário ADMIN tem esse privilégio.

   2. Como só pode haver um esquema de autenticação externa ativado para um Autonomous AI Database a qualquer momento, execute o procedimento DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desativar qualquer esquema de autenticação externa que já esteja ativado para seu banco de dados.

      Para executar o procedimento, você deve estar conectado como usuário ADMIN ou ter o privilégio EXECUTE em DBMS_CLOUD_ADMIN.

       BEGIN
         DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
       END;
       /
      

   3. Execute o procedimento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION com os parâmetros necessários do Azure AD.

       BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type   =>'AZURE_AD',
             params => JSON_OBJECT('tenant_id' VALUE 'tenant_id',
                                   'application_id' VALUE 'application_id',
                                   'application_id_uri' VALUE 'application_id_uri'),
             force => TRUE
         );
       END;
      

      Neste procedimento, os parâmetros do Azure AD são:

      • type: Especifica o provedor de autenticação externo. Para o Azure AD, conforme mostrado, use 'AZURE_AD'.

      • params: Os valores dos parâmetros obrigatórios do Azure AD estão disponíveis no portal do Azure no painel Visão Geral do registro do aplicativo para o Azure Active Directory. Os params necessários para o Azure AD são:

        • tenant_id: ID do Tenant da Conta do Azure. O Id do Tenant especifica o registro do aplicativo Azure AD da instância do Autonomous AI Database.

        • application_id: ID do Aplicativo do Azure criado no Azure AD para designar mapeamentos de atribuições/esquema para autenticação externa na instância do Autonomous AI Database.

        • application_id_uri: URI exclusivo designado ao Aplicativo do Azure.

          Este é o identificador da instância do Autonomous AI Database. O nome deve ser qualificado para o domínio (suporta acesso a recursos entre tenancies).

          O tamanho máximo para este parâmetro é de 256 caracteres.

      • force: Defina esse parâmetro como TRUE se outro método EXTERNAL AUTHENTICATION estiver configurado para a instância do Autonomous AI Database e você quiser desativá-lo.

      Por exemplo:

       BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type   =>'AZURE_AD',
             params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82',
                                   'application_id' VALUE '11aa1a11-aaa',
                                   'application_id_uri' VALUE 'https://example.com/111aa1aa'),
             force  => TRUE
         );
       END;
      

      Isso define o parâmetro do sistema IDENTITY_PROVIDER_TYPE.

      Por exemplo, você pode usar o seguinte para verificar IDENTITY_PROVIDER_TYPE:

       SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
      

       NAME                   VALUE
      
       ---------------------- --------
       identity_provider_type AZURE_AD
      

   Consulte Procedimento ENABLE_EXTERNAL_AUTHENTICATION para obter mais informações.

Mapear Esquemas e Atribuições do Oracle Database

Os usuários do Azure AD serão mapeados para um esquema de banco de dados e, opcionalmente, para uma ou mais atribuições de banco de dados.

Você tem as seguintes opções para mapear esquemas e atribuições de banco de dados Oracle para usuários do Microsoft Azure AD:

• Mapeamento Exclusivo de um Esquema do Oracle Database para um Usuário AD do Microsoft Azure: Consulte Mapeamento Exclusivo de um Esquema Oracle Database para um Usuário AD do Microsoft Azure no Guia de Segurança.

• Mapeie um Esquema Oracle Compartilhado para uma Atribuição de Aplicativo: Consulte Mapeando um Esquema Oracle Compartilhado para uma Atribuição de Aplicativo no Guia de Segurança.

• Mapear uma Atribuição Global do Serviço Oracle Database para uma Atribuição de Aplicativo: Consulte Mapear uma Atribuição Global do Serviço Oracle Database para uma Atribuição de Aplicativo no Guia de Segurança.

Configurar Conexões de Cliente para ADs do Azure

There are numerous ways that you can configure a client to connect with an Oracle Autonomous AI Database on Dedicated Exadata Infrastructure instance using Azure AD tokens.

Escolha o método de conexão do cliente que funcione melhor com seu ambiente. Este guia fornece exemplos de conexão do SQL*Plus com diferentes métodos de obtenção de um token de acesso OAuth2 do Azure AD. Todos os clientes da release 19c do Oracle Database podem aceitar um token que é passado como arquivo. Os drivers JDBC-thin, Instant Client e ODP.net também aceitam o token por meio de uma API cliente de bancos de dados de um aplicativo. Ferramentas do Oracle Database, como SQL*Plus, não podem recuperar os tokens diretamente, portanto, ferramentas como PowerShell ou Azure CLI devem ser usadas para recuperar o token de acesso OAuth2 do Azure AD. Para recuperar um token do Azure AD, o cliente deve ser registrado por meio do processo de registro de aplicativo do Azure AD. O registo do cliente é semelhante ao registo do servidor do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure no Azure AD utilizando o registo de aplicações. O banco de dados e o cliente devem estar registrados no Azure AD.

O banco de dados deve ser registrado, para que o cliente possa obter permissão para obter um token de acesso para o banco de dados. O cliente deve ser registrado para que o Azure AD possa reconhecer que um cliente confiável está solicitando um token de acesso.

Observação: No cliente, você deve definir os parâmetros TOKEN_AUTH e TOKEN_LOCATION no arquivo sqlnet.ora para recuperar o token de acesso ao banco de dados do Azure AD de um local e usá-lo quando o log-in na barra / for usado. Os detalhes exatos são discutidos em Configurar o SQL*Plus para Tokens de Acesso do Azure AD.

Consulte os seguintes artigos do Microsoft Azure para obter mais informações sobre como conectar clientes ao Azure AD:

• Início Rápido: Configurar um aplicativo cliente para acessar uma API Web

• Escolha a ferramenta de linha de comando certa do Azure

• Obtenha tokens do Azure AD usando a Biblioteca de Autenticação da Microsoft

• Instale a CLI do Azure no Linux

Fluxo Operacional para Conexão do Cliente SQL*Plus no PowerShell com o Autonomous AI Database

A conexão entre o usuário do Azure, o Azure AD e a instância do Autonomous AI Database depende da transmissão do token OAuth2 por todos esses componentes.

Consulte [Operational Flow for SQLPlus Client Connection in PowerShell to Oracle Database](/pls/topic/lookup?ctx=en/cloud/paas/autonomous-database/dedicated/adbaa&id=DBSEG-GUID-455CDC87-C5A1-4A58-801A-29D216CB66B5) no *Security Guide para obter um exemplo que mostre o uso do fluxo de ROPC (Credencial de Senha do Proprietário do Recurso) com um cliente público.

Registrando um Cliente no Registro de Aplicativo do Azure AD

Esse tipo de registro é semelhante a registrar o Autonomous AI Database no registro do aplicativo Azure AD. Consulte as seguintes seções para obter mais detalhes:

• Registre o cliente do banco de dados com o Azure como confidencial ou público, dependendo do seu caso: Registro de Cliente Público e Confidencial

• Registrar um Aplicativo Cliente de Banco de Dados com o Azure AD: Registrando um Aplicativo Cliente de Banco de Dados com o Azure AD

Exemplos de recuperação de tokens do OAuth2 do Azure AD

Para exemplos que mostram as diferentes maneiras de recuperar tokens do OAuth2 do Azure AD, consulte Exemplos de Recuperação de Tokens do OAuth2 do Azure AD no Guia de Segurança.

Configurar o SQL*Plus para Tokens do Acesso do Azure AD

Você deve configurar o SQL*Plus para recuperar o token do banco de Dados do Azure AD de um local e usá-lo quando o log-in de barra / for usado. Consulte Configurando o SQL*Plus para Tokens de Acesso do Azure AD no Guia de Segurança para obter instruções detalhadas.

Diagnosticando e Solucionando Problemas de Conexões do ID do Microsoft Entra

Você pode usar arquivos de rastreamento para diagnosticar problemas com conexões do ID do Microsoft Entra. Você também pode corrigir facilmente os erros ORA-12599 e ORA-03114.

• Você pode usar arquivos de rastreamento para diagnosticar e solucionar problemas de integração do Oracle Database com o Microsoft Azure AD. Consulte Trace Files for Troubleshooting Oracle Database Client Connections with Azure AD no Database Security Guide para obter orientação.

• Os erros ORA-12599: TNS: cryptographic checksum mismatch e ORA-03114: not connected to ORACLE indicam que o banco de dados ao qual você está tentando se conectar está protegido pela criptografia de rede nativa.

  Quando os tokens estão sendo usados para acessar um banco de dados Oracle, uma conexão TLS (Transport Layer Security) deve ser estabelecida, e não a criptografia nativa da rede. Para corrigir esses erros, certifique-se de que o TLS esteja configurado corretamente para seu banco de dados. Você deve testar a configuração com um nome de usuário e uma senha do banco de dados local e verificar os seguintes parâmetros SYSCONTEXT USERENV:

  • NETWORK_PROTOCOL

  • TLS_VERSION

• Você pode verificar a versão do token de acesso do Microsoft Azure AD que seu site usa usando o site de Web Tokens JSON. Consulte Checking the Azure AD Access Token Version no Database Security Guide para obter orientação.