Gerenciar Perfis de Usuário com o Autonomous AI Database na Infraestrutura Dedicada do Exadata

Você pode criar e alterar perfis de usuário no Autonomous AI Database. Depois de criar ou alterar um perfil, você pode especificar a cláusula do perfil com CREATE USER ou ALTER USER. Você também pode importar perfis de usuário existentes de outro ambiente com a Importação do Oracle Data Pump.

Observação: O Autonomous AI Database tem restrições na cláusula de perfil. Consulte Limitações sobre o Uso de Comandos SQL para obter informações sobre restrições CREATE PROFILE e ALTER PROFILE.

Para adicionar, modificar ou remover um parâmetro de senha em um perfil, incluindo o perfil DEFAULT, você deve ter o privilégio de sistema ALTER PROFILE.

1. Para adicionar ou alterar um perfil, conforme o usuário ADMIN executa CREATE PROFILE ou ALTER PROFILE. Por exemplo:

    CREATE PROFILE new_profile
      LIMIT PASSWORD_REUSE_MAX 10
      PASSWORD_LOCK_TIME 5;
   

   Se você não for o usuário ADMIN, deverá ter o privilégio CREATE PROFILE para executar o CREATE PROFILE. Se você executar ALTER PROFILE, deverá ter o privilégio ALTER PROFILE.

2. Use o perfil novo ou alterado com um comando CREATE USER ou ALTER USER. Por exemplo:

    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
    GRANT CREATE SESSION TO new_user;
   

Isso cria new_user com o perfil new_profile e com privilégios de conexão. O new_user agora pode se conectar ao banco de dados e executar consultas. Para conceder privilégios adicionais a usuários, consulte Gerenciar Privilégios de Usuário do Banco de Dados.

Consulte CREATE PROFILE no Oracle Database 19c SQL Language Reference ou Oracle Database 26ai SQL Language Reference para obter informações sobre como usar CREATE PROFILE.

Você pode importar perfis existentes criados em outros ambientes usando o Oracle Data Pump Import (impdp). Qualquer associação de perfil existente com usuários do banco de dados é preservada após a importação para o Autonomous AI Database. Quando um usuário recém-criado, criado com base em uma importação do Oracle Data Pump, tenta fazer log-in pela primeira vez, o log-in é tratado da seguinte forma:

• As restrições de complexidade de senha são as mesmas de qualquer usuário no Autonomous AI Database.

• Se a senha do usuário violar os requisitos de complexidade da senha, a conta expirará com um período de tolerância de 30 dias. Nesse caso, o usuário deverá alterar a senha antes do término do período de tolerância.

Observação: não é possível modificar as atribuições de perfil para usuários com o perfil ORA_PROTECTED_PROFILE.

Ao criar ou alterar um perfil, você pode especificar uma Função de Verificação de Senha (PVF) para gerenciar a complexidade da senha. Consulte Manage Password Complexity on Autonomous AI Database para obter mais informações.

Gerencie a complexidade de senhas no Autonomous AI Database

Você pode criar uma função de verificação de senha (PVF) e associar o PVF a um perfil para gerenciar a complexidade das senhas do usuário.

Observação:

O tamanho mínimo da senha para um PVF especificado pelo usuário é de 8 caracteres e deve incluir pelo menos uma letra maiúscula, uma letra minúscula e um caractere numérico. O tamanho mínimo da senha para o perfil DEFAULT é de 12 caracteres (o perfil DEFAULT usa o CLOUD_VERIFY_FUNCTION PVF). A senha não pode conter o nome de usuário.

A Oracle recomenda o uso de no mínimo 12 caracteres de senha. Se você definir o PVF de um perfil e definir o tamanho mínimo da senha para menos de 12 caracteres, ferramentas como o Oracle Database Security Assessment Tool (DBSAT) e o Qualys reportarão isso como um risco de segurança do banco de dados.

Por exemplo, para especificar um PVF para um perfil, use o seguinte comando:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Se o perfil for criado ou alterado por qualquer usuário que não seja o usuário ADMIN, você deverá conceder o privilégio EXECUTE no PVF. Se você criar um PVF e a verificação de senha falhar, o banco de dados reportará o erro ORA-28219.

Você pode especificar um PVF fornecido pela Oracle, de um dos seguintes:

• CLOUD_VERIFY_FUNCTION (esta é a função de verificação de senha padrão para o Autonomous AI Database):

  Esta função verifica os seguintes requisitos quando os usuários criam ou modificam senhas:

  • A senha deve ter de 12 a 30 caracteres e deve incluir pelo menos uma letra maiúscula, uma letra minúscula e um caractere numérico.

  • A senha não pode conter o nome de usuário.

  • A senha não pode ser uma das últimas quatro senhas utilizadas para o mesmo nome.

  • A senha não pode conter o caractere de aspas duplas (").

  • A senha não deve ser a mesma que foi definida há menos de 24 horas.

• ORA12C_STIG_VERIFY_FUNCTION

  Esta função verifica os seguintes requisitos quando os usuários criam ou modificam senhas:

  • A senha tem pelo menos 15 caracteres.

  • A senha tem, pelo menos, 1 caractere minúsculo e pelo menos 1 caractere maiúsculo.

  • A senha tem pelo menos 1 dígito.

  • A senha tem pelo menos 1 caractere especial.

  • A senha difere da senha anterior em pelo menos 8 caracteres.

  Consulte ora12c_stig_verify_function Password Requirements no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide para obter mais informações.

Observe as seguintes restrições para uma Função de Verificação de Senha (PVF) que você cria e atribui a um perfil:

• Se você especificar um perfil de usuário, o tamanho mínimo da senha dependerá de como você define o PVF associado, da seguinte forma:

  • Se um PVF for definido, o tamanho mínimo da senha imposto será de 8 caracteres com pelo menos uma letra maiúscula, uma letra minúscula e um caractere numérico. A senha não pode conter o nome de usuário.

  • Se o PVF for definido como NULL, o tamanho mínimo de senha imposto será de 8 caracteres com pelo menos uma letra maiúscula, uma letra minúscula e um caractere numérico. A senha não pode conter o nome de usuário.

  • Se o perfil não tiver um PVF definido, o PVF do perfil DEFAULT (CLOUD_VERIFY_FUNCTION) será atribuído e o tamanho mínimo de senha imposto será de 12 caracteres.

• Se você especificar uma Função de Verificação de Senha (PVF) mais rígida que a CLOUD_VERIFY_FUNCTION padrão, a nova função de verificação será usada.

• Um PVF criado deve ser criado como uma função PL/SQL DEFINER RIGHTS. Se um PVF de direitos INVOKER for fornecido como entrada para CREATE ou ALTER PROFILE, o erro ORA-28220 será gerado.

• Qualquer PVF criado deve ser criado no esquema do usuário ADMIN. Se um PVF de propriedade do usuário não ADMIN for fornecido como entrada para CREATE ou ALTER PROFILE, o erro ORA-28220 será gerado.

• Um PVF não pode ser alterado ou eliminado por um usuário não ADMIN. Ou seja, qualquer usuário com o privilégio CREATE ou DROP ANY PROCEDURE não tem permissão para alterar ou eliminar um PVF.

• Se o PVF associado a um perfil for eliminado, qualquer tentativa de alterar a senha de um usuário que usa o PVF em seu perfil gerará o erro ORA-7443. Os usuários ainda podem fazer login quando o PVF associado ao perfil for eliminado. No entanto, se a senha de um usuário tiver expirado e o PVF for eliminado, o usuário não poderá fazer log-in.

  Para se recuperar do erro ORA-7443, o usuário ADMIN deve recriar o PVF eliminado e atribuí-lo ao perfil ou atribuir um PVF existente ao perfil. Isso permite que um usuário altere sua senha e faça login.

• O privilégio de sistema CREATE ANY PROCEDURE e o privilégio de sistema DROP ANY PROCEDURE são auditados para segurança PVF. Consulte a lista PROCEDURES em Listings of System and Object Privileges no Oracle Database 19c SQL Language Reference ou no Oracle Database 26ai SQL Language Reference para obter mais informações.

Consulte Managing the Complexity of Passwords no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide para obter mais informações.

Prorrogação Gradual da Senha do Banco de Dados para Aplicativos

Um aplicativo pode alterar suas senhas de banco de dados sem que um administrador precise agendar um período de indisponibilidade.

Para fazer isso, você pode associar um perfil com um limite diferente de zero para o parâmetro de perfil de senha PASSWORD_ROLLOVER_TIME, a um esquema de aplicativo. Isso permite que a senha do banco de dados do usuário do aplicativo seja alterada, permitindo que a senha mais antiga permaneça válida pelo tempo especificado pelo limite PASSWORD_ROLLOVER_TIME. Durante o período de reinvestimento, a instância do aplicativo pode usar a senha antiga ou a nova senha para estabelecer conexão com o servidor de banco de dados. Quando o tempo de rolagem expirar, somente a nova senha será permitida.

Consulte Gerenciando Rollover de Senha do Banco de Dados Gradual para Aplicativos para obter mais informações.

Conteúdo Relacionado

Gerenciar Usuários do Autonomous AI Database na Infraestrutura Dedicada do Exadata