Usar o Microsoft Active Directory com o Autonomous AI Database na Infraestrutura Dedicada do Exadata

Você pode configurar o Autonomous AI Database na Infraestrutura Dedicada do Exadata para autenticar e autorizar usuários de Microsoft Active Directory. Esta configuração permite que utilizadores do Active Directory acedam a um Autonomous AI Database utilizando as suas credenciais doActive Directory.

Observação: Consulte Usar o Azure Active Directory (Azure AD) com o Autonomous AI Database para obter informações sobre como usar o Azure Active Directory com o Autonomous AI Database. A opção de CMU suporta servidores Microsoft Active Directory, mas não suporta o serviço Azure Active Directory.

A integração do Autonomous AI Database com os Usuários Gerenciados Centralmente (CMU) fornece a integração ao Microsoft Active Directory. O recurso CMU com o Active Directory funciona mapeando usuários globais do banco de dados Oracle e atribuições globais para usuários e grupos do Microsoft Active Directory.

Pré-requisitos para Configurar o CMU com o Microsoft Active Directory no Autonomous AI Database

Estes são os pré-requisitos necessários para configurar a conexão do Autonomous AI Database com o Active Directory:

Você deve ter o Microsoft Active Directory instalado e configurado. Consulte AD DS Getting Started para obter mais informações.
Você deve criar um usuário do diretório de serviço Oracle no Active Directory. Consulte Etapa 1: Criar uma Conta de Usuário do Oracle Service Directory no Microsoft Active Directory e Conceder Permissões no Guia de Segurança do Oracle Database 19c ou no Guia de Segurança do Oracle Database 26ai para obter informações sobre a conta de usuário do diretório de serviço Oracle.
Um administrador de sistema do Active Directory deve ter instalado o filtro de senhas Oracle nos servidores do Active Directory e configurado grupos do Active Directory com usuários do Active Directory para atender aos seus requisitos.

Somente autenticação por senha é suportada com CMU para Autonomous AI Database, portanto, você deve usar o utilitário incluído, opwdintg.exe, para instalar o filtro de senha Oracle no Active Directory, estender o esquema e criar três novos grupos ORA_VFR para três tipos de geração de verificadores de senha. Consulte Etapa 2: Para Autenticação por Senha, Instale o Filtro de Senha e Estenda o Esquema do Microsoft Active Directory no Guia de Segurança do Oracle Database 19c ou no Guia de Segurança do Oracle Database 26ai para obter informações sobre como instalar o filtro de senha da Oracle.
Os servidores Active Directory devem estar acessíveis no Autonomous AI Database por meio da internet pública e a porta 636 dos servidores Active Directory deve estar aberta para o Autonomous AI Database no Oracle Cloud Infrastructure, para que o Autonomous AI Database possa ter acesso LDAP protegido por TLS/SSL aos servidores Active Directory por meio da internet.

Você também pode estender o seu Active Directory on-premises para o Oracle Cloud Infrastructure, onde pode configurar Controladores de Domínio Somente para Leitura (RODCs) para o Active Directory on-premises. Em seguida, você pode usar esses RODCs no Oracle Cloud Infrastructure para autenticar e autorizar os usuários do Active Directory on-premises para acesso a Autonomous AI Databases.

Consulte Estender a integração do Active Directory na Nuvem Híbrida para obter mais informações.
Você precisa da wallet do banco de dados de configuração de CMU, do arquivo cwallet.sso e do arquivo dsi.ora de configuração de CMU para configurar o CMU para seu Autonomous AI Database:
- Se você tiver configurado o recurso CMU para um banco de dados on-premises, poderá obter esses arquivos de configuração no servidor de banco de dados on-premises.
- Se você não tiver configurado a CMU para um banco de Dados local, será necessário criar esses arquivos. Em seguida, você faz upload dos arquivos de configuração para a nuvem para configurar a CMU em sua instância do Autonomous AI Database. Você pode validar a wallet e o dsi.ora configurando o CMU para um banco de Dados on-premises e verificando se um usuário do do Active Directory pode fazer log-on com sucesso no banco de Dados on-premise com esses arquivos da configuração. Em seguida, você faz upload desses arquivos de configuração para a nuvem para configurar a CMU do seu Autonomous AI Database.
Para obter detalhes sobre o arquivo de wallet para CMU, consulte:
- Etapa 6: Criar a Wallet para uma Conexão Segura no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide
- Etapa 8: Verifique o Oracle Wallet no Guia de Segurança do Oracle Database 19c e no Guia de Segurança do Oracle Database 26ai.
Para obter detalhes sobre o arquivo dsi.ora para CMU, consulte Creating the dsi.ora File no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide.

Para obter detalhes sobre como configurar o Active Directory para o recurso CMU e solucionar problemas de CMU para bancos de dados on-premises, consulte How To Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1).

Configurar a CMU com Microsoft Active Directory no Autonomous AI Database

Para configurar o Autonomous AI Database para o CMU a fim de estabelecer conexão com servidores Active Directory:

Estabeleça conexão com o Autonomous AI Database como o usuário ADMIN.
Verifique se outro esquema de autenticação externa está ativado no seu banco de dados e desative-o.

Observação: você pode continuar com a configuração CMU-AD no Kerberos para fornecer autenticação CMU-AD Kerberos para usuários do Microsoft Active Directory.
Faça upload dos arquivos de configuração de CMU, incluindo o arquivo da wallet do banco de dados, cwallet.sso e o arquivo de configuração de CMU, dsi.ora para o seu Object Store. Essa etapa depende do serviço Object Store que você usa.

O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.
Em seu Autonomous AI Database, crie um novo objeto do diretório ou escolha um objeto do diretório existente. Este é o diretório no qual você armazena a wallet e o arquivo de configuração para estabelecer conexão com o Active Directory:

Por exemplo:
```
 CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
```
Use a seguinte instrução SQL para consultar o caminho do diretório do sistema de arquivos do objeto de diretório:
```
 SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
    DIRECTORY_NAME='directory_object_name';
```
Por exemplo:
```
 SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE
    DIRECTORY_NAME='CMU_WALLET_DIR';
```
```
 DIRECTORY_PATH

 ----------------------------------------------------------------------------
 /file_system_directory_path_example/cmu_wallet
```
Observação: O nome de objeto de diretório na consulta deve ser maiúsculo, pois sua letra não foi preservada quando o objeto de diretório foi criado.

Se quiser preservar maiúsculas e minúsculas para o nome do objeto de diretório, você precisará incluir seu nome entre aspas duplas. Por exemplo:
```
 CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
```
Use DBMS_CLOUD.GET_OBJECT para copiar os arquivos cwallet.sso e dsi.ora de configuração da CMU, a wallet do banco de dados, do seu Armazenamento de Objetos para o diretório que você criou ou escolheu na etapa 4 acima.

Por exemplo, use DBMS_CLOUD.GET_OBJECT para copiar os arquivos do Serviço Object Store para CMU_WALLET_DIR da seguinte forma:
```
 BEGIN
    DBMS_CLOUD.GET_OBJECT(
       credential_name => 'DEF_CRED_NAME',
       object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
       directory_name => 'CMU_WALLET_DIR');
    DBMS_CLOUD.GET_OBJECT(
       credential_name => 'DEF_CRED_NAME',
       object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
       directory_name => 'CMU_WALLET_DIR');
 END;
 /
```
Neste exemplo, *namespace-string* é o namespace do Oracle Cloud Infrastructure Object Storage e bucketname é o nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

Consulte Procedimento GET_OBJECT para obter mais informações.

Use a instrução SQL a seguir para consultar os arquivos copiados no diretório.
```
 SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');
```
Por exemplo:
```
 SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
```
Observe que o nome do objeto do diretório nessa consulta deve estar em letras maiúsculas, pois seu formato não foi preservado quando o objeto do diretório foi criado.
Ative o CMU-AD no seu Autonomous AI Database usando o pacote DBMS_CLOUD_ADMIN.

Observação: Substitua os nomes de diretório no exemplo abaixo pelos escolhidos para o seu ambiente. Verifique se você está conectado como usuário ADMIN antes de executar este comando.
```
 BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
     type     => 'CMU',
     params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
   );
 END;
 /
```
Para manter segurança, remova os arquivos de configuração CMU, incluindo a wallet do banco de dados cwallet.sso e o arquivo dsi.ora da configuração CMU do Object Store. Você pode usar métodos locais do Object Store para remover esses arquivos ou usar o DBMS_CLOUD.DELETE_OBJECT para excluir os arquivos do Object Store.

Consulte Procedimento DELETE_OBJECT para obter mais informações sobre o DBMS_CLOUD.DELETE_OBJECT.

Observação: Consulte Desativar Acesso ao Active Directory no Autonomous AI Database para ver instruções de como desativar o acesso do Autonomous AI Database ao Active Directory.

Para obter mais informações, consulte Configuring Centrally Managed Users with Microsoft Active Directory no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide.

Configurar o CMU com o Microsoft Active Directory no Exadata Cloud@Customer

APLICA-SE A: Aplicável Exadata Cloud@Customer somente

Para configurar o Autonomous AI Database no Exadata Cloud@Customer para CMU a fim de estabelecer conexão com servidores do Active Directory, sem usar o serviço Oracle Object Store:

Estabeleça conexão com o Autonomous AI Database como o usuário ADMIN.
Verifique se outro esquema de autenticação externa está ativado no seu banco de dados e desative-o usando o comando SQL a seguir.
```
 BEGIN
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
 END;
 /
```
O CMU-AD precisa da wallet de conexão cwallet.sso do Active Directory e dos arquivos dsi.ora em um sistema de arquivos local no seu Cluster de VMs do Autonomous Exadata (AVMC). Você pode conseguir isso hospedando esses arquivos no serviço Oracle Object Store no Oracle Cloud Infrastructure e copiando-os localmente usando o pacote DBMS_CLOUD. Você pode encontrar esse processo com etapas e exemplos detalhados em Configurar CMU com o Microsoft Active Directory no Autonomous AI Database.
Se não for possível hospedar cwallet.sso e dsi.ora no armazenamento em nuvem, você poderá usar um compartilhamento NFS (Network File System) no seu data center para hospedar esses arquivos e, em seguida, movê-los para um diretório de banco de dados no DBFS (Database File System). Para fazer isso, primeiro anexe um compartilhamento NFS disponível localmente ao objeto de diretório do Autonomous AI Database, conforme demonstrado abaixo:
1. Crie um diretório de Banco de Dados na sua instância do Autonomous AI Database usando o seguinte comando SQL do seu cliente SQL:
```
 create or replace directory TMPFSSDIR as 'tmpfssdir';
```
2. Monte seu compartilhamento NFS nesse diretório usando o pacote DBMS_CLOUD_ADMIN disponível no Autonomous AI Database.
  
  Dica: Talvez você precise trabalhar com o administrador de rede ou de armazenamento para disponibilizar um compartilhamento NFS.
```
 BEGIN
   DBMS_CLOUD_ADMIN.attach_file_system(
     file_system_name => <some_name_you_assign>,
     file_system_location => <your_nfs_fs_path>,
     directory_name => <tmpfssdir_created_above>,
     description => 'Any_desc_you_like_to_give'
   );
 END
```
  Por exemplo:
```
 BEGIN
   DBMS_CLOUD_ADMIN.attach_file_system(
     file_system_name => 'AD-FSS',
     file_system_location => acme.com:/nfs/mount1',
     directory_name => 'TMPFSSDIR',
     description => 'nfs to host AD files'
   );
 END;
```

Para evitar uma dependência do compartilhamento NFS para que os arquivos cwallet.sso e dsi.ora estejam disponíveis para CMU, mova-os para uma pasta do sistema de arquivos local usando um mapeamento de diretório de banco de dados. Como o Autonomous AI Database restringe o acesso ao sistema de arquivos local, crie um procedimento de cópia usando utl_file, conforme demonstrado abaixo:

Crie um diretório de Banco de Dados na sua instância do Autonomous AI Database usando o seguinte comando SQL do seu cliente SQL:
```
 CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
```
Verifique o caminho do diretório criado acima usando o seguinte comando SQL:
```
 SELECT DIRECTORY_PATH
 FROM DBA_DIRECTORIES
 WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';
```
Observação: O nome do objeto do diretório deve estar em letras maiúsculas na consulta, pois sua letra não foi preservada durante a criação do objeto do diretório.

Copie dsi.ora e cwallet.sso do diretório NFS para o diretório local da Wallet de CMU usando o utilitário UTL_FILE.

Por exemplo:

Crie um procedimento armazenado chamado copyfile, conforme mostrado abaixo:

 CREATE OR REPLACE PROCEDURE copyfile(
   in_loc_dir IN VARCHAR2,
   in_filename IN VARCHAR2,
   out_loc_dir IN VARCHAR2,
   out_filename IN VARCHAR2
 )
 IS
   in_file UTL_FILE.file_type;
   out_file UTL_FILE.file_type;
   buffer_size CONSTANT INTEGER := 32767;
   buffer RAW (32767);
   buffer_length INTEGER;
 BEGIN
   in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
   out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
   UTL_FILE.get_raw (in_file, buffer, buffer_size);
   buffer_length := UTL_RAW.LENGTH (buffer);

   WHILE buffer_length > 0
   LOOP
     UTL_FILE.put_raw (out_file, buffer, TRUE);

     IF buffer_length = buffer_size
       THEN
         UTL_FILE.get_raw (in_file, buffer, buffer_size);
         buffer_length := UTL_RAW.LENGTH (buffer);
       ELSE
         buffer_length := 0;
       END IF;
   END LOOP;

   UTL_FILE.fclose (in_file);
   UTL_FILE.fclose (out_file);
 EXCEPTION
   WHEN NO_DATA_FOUND
   THEN
     UTL_FILE.fclose (in_file);
     UTL_FILE.fclose (out_file);
 END;
 /

Compile o procedimento armazenado copyfile. Após a compilação bem-sucedida, execute o procedimento copyfile uma vez para copiar dsi.ora e cwallet.sso do diretório NFS para o diretório local da Wallet de CMU, conforme demonstrado abaixo:

 EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');

 EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');

Execute a consulta SQL a seguir para validar se os arquivos foram copiados para o diretório local da Wallet do CMU com sucesso.
```
 SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
```

Usando o comando a seguir, desanexe o compartilhamento NFS, uma vez que não é necessário para CMU-AD após os arquivos serem copiados para o diretório local.
```
 exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
```
Ative o CMU-AD no seu Autonomous AI Database usando o pacote DBMS_CLOUD_ADMIN.

Observação: substitua os nomes de diretório no exemplo abaixo pelos escolhidos para o seu ambiente. Verifique se você está conectado como usuário ADMIN antes de executar este comando.
```
 BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
     type     => 'CMU',
     params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
   );
 END;
 /
```

Valide consultando o valor da propriedade do banco de dados CMU_WALLET conforme mostrado abaixo.

 SELECT PROPERTY_VALUE
 FROM DATABASE_PROPERTIES
 WHERE PROPERTY_NAME = 'CMU_WALLET';

Por Exemplo:

 SELECT PROPERTY_VALUE
 FROM DATABASE_PROPERTIES
 WHERE PROPERTY_NAME='CMU_WALLET';

 PROPERTY_VALUE

 --------------
 CMU_WALLET_DIR

Agora você configurou o CMU-AD para usar autenticação externa via Microsoft Active Directory com seu Autonomous AI Database no Exadata Cloud@Customer.

Adicionar Atribuições de Microsoft Active Directory no Autonomous AI Database

Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE ou ALTER ROLE (e inclua a cláusula IDENTIFIED GLOBALLY AS).

Para adicionar atribuições globais para grupos doActive Directory no Autonomous AI Database:

Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE ROLE e ALTER ROLE necessários para essas etapas).
Defina a autorização do banco de Dados para atribuições do Autonomous AI Database com instrução CREATE ROLE ou ALTER ROLE. Inclua a cláusula IDENTIFIED GLOBALLY AS e especifique o DN de um grupo de Active Directory.

Use a seguinte sintaxe para mapear um grupo de usuários de diretório para uma atribuição global de banco de dados:
```
 CREATE ROLE global_role IDENTIFIED GLOBALLY AS
      'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
Por exemplo:
```
 CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
      'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
```
Neste exemplo, todos os membros do widget_sales_group são autorizados com a atribuição de banco de dados widget_sales_role quando fazem log-in no banco de dados.
Use instruções GRANT para conceder os privilégios necessários ou outras atribuições à atribuição global.

Por exemplo:
```
 GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
 GRANT DWROLE TO WIDGET_SALES_ROLE;
```
DWROLE é uma atribuição predefinida que tem privilégios comuns definidos. Consulte Gerenciar Privilégios de Usuário do Banco de Dados para obter informações sobre como definir privilégios comuns para usuários do Autonomous AI Database.
Se quiser fazer com que uma atribuição de banco de dados existente seja associada a um grupo do Active Directory, use a instrução ALTER ROLE para alterar a atribuição de banco de dados existente a fim de mapear a atribuição para um grupo do Active Directory.

Use a sintaxe a seguir para alterar uma atribuição de banco de dados existente a fim de mapeá-la para um grupo do Active Directory:
```
 ALTER ROLE existing_database_role
    IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
Se quiser criar mapeamentos de atribuição global adicionais para outros grupos do Active Directory, siga estas etapas para cada grupo do Active Directory.

Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide.

Adicionar Usuários de Microsoft Active Directory no Autonomous AI Database

Para adicionar usuários Active Directory para acessar um Autonomous AI Database, mapeie usuários globais de banco de dados para grupos ou usuários Active Directory com instruções CREATE USER ou ALTER USER (com uma cláusula IDENTIFIED GLOBALLY AS).

A integração do Autonomous AI Database ao Active Directory funciona através do mapeamento de usuários e grupos Microsoft Active Directory diretamente para usuários e atribuições globais de banco de dados Oracle.

Para adicionar usuários globais para grupos do Active Directory ou usuários no Autonomous AI Database:

Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE USER e ALTER USER necessários para essas etapas).
Defina uma autorização de banco de dados para usuários do Autonomous AI Database com instruções CREATE USER ou ALTER USER e inclua a cláusula IDENTIFIED GLOBALLY AS, especificando o DN de um usuário ou grupo doActive Directory.

Use a seguinte sintaxe para mapear um usuário de diretório para um usuário global do banco de dados:
```
 CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
```
Use a seguinte sintaxe para mapear um grupo de diretórios para um usuário global do banco de dados:
```
 CREATE USER global_user IDENTIFIED GLOBALLY AS
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
Por exemplo, para mapear um grupo de diretórios chamado widget_sales_group na unidade organizacional sales do domínio production.example.com para um usuário global de banco de dados compartilhado chamado WIDGET_SALES:
```
 CREATE USER widget_sales IDENTIFIED GLOBALLY AS
      'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
```
Isso cria um mapeamento de usuário global compartilhado. O mapeamento, com o usuário global widget_sales, é efetivo para todos os usuários do grupo do Active Directory. Portanto, qualquer pessoa em widget_sales_group pode fazer log-in no banco de dados usando suas credenciais do Active Directory (por meio do mapeamento compartilhado do usuário global widget_sales).
Se você quiser que os usuários do Active Directory usem um usuário de banco de dados existente, possuam seu esquema e possuam seus respectivos dados existentes, use ALTER USER para alterar um usuário de banco de dados existente para mapear o usuário para um grupo ou usuário do Active Directory.
- Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um usuário do Active Directory:
```
ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
```
- Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um grupo do Active Directory:
```
ALTER USER existing_database_user
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
Se quiser criar mapeamentos de usuários globais adicionais para outros grupos ou usuários do Active Directory, siga estas etapas para cada grupo ou usuário do Active Directory.

Conectar-se ao Autonomous AI Database com Credenciais de Usuário do Active Directory

Após o usuário ADMIN concluir as etapas da configuração do CMU Active Directory e criar as atribuições globais e os usuários gerais, os usuários se conectam ao Autonomous AI Database usando o nome de usuário e a senha do seu Active Directory.

Observação: Não faça log-in usando um nome Global de Usuário. Os nomes de Usuário Global não têm uma senha, e a conexão com um nome de Usuário Global não será bem-sucedida. Você deve ter um mapeamento global do usuário no seu Autonomous AI Database para fazer login no banco de dados. Você não pode fazer log-in no banco de dados apenas com mapeamentos de atribuição global.

Para fazer login no Autonomous AI Database usando um nome de usuário e uma senha que utilizam o Active Directory, conecte-se da seguinte forma:

CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

Por exemplo:

CONNECT "production\pfitch"/password@adbname_medium;

Você precisa incluir aspas duplas quando o domínio do Active Directory for incluído junto com o nome de usuário, como neste exemplo: "production\pfitch".

Neste exemplo, o nome de usuário do Active Directory é pfitch no domínio production. O usuário do Active Directory é membro do grupo widget_sales_group identificado por seu DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Depois de configurar o CMU com o Active Directory no Autonomous AI Database e configurar a autorização do Active Directory, com atribuições globais e usuários globais, você poderá estabelecer conexão com o Autonomous AI Database usando qualquer um dos métodos de conexão descritos em Sobre a Conexão com um Autonomous AI Database Dedicado. Ao estabelecer conexão, se você quiser usar um usuário do Active Directory, use as credenciais de usuário do Active Directory. Por exemplo, forneça um nome de usuário neste formulário, "AD_DOMAIN\AD_USERNAME" (aspas duplas devem ser incluídas) e use sua AD_USER_PASSWORD para a senha.

Verificar Informações de Conexão do Usuário do Active Directory com o Autonomous AI Database

Quando usuários se conectam ao Autonomous AI Database usando o nome de usuário e a senha do seu Active Directory, você pode verificar e auditar as atividades do usuário.

Por exemplo, quando o usuário pfitch faz log-in:

CONNECT "production\pfitch"/password@exampleadb_medium;

O usuário de log-on do usuário do Active Directory (samAccountName) é pfitch e widget_sales_group é o nome dos Grupos do Active Directory, e widget_sales é o usuário global do Autonomous AI Database.

Depois que pfitch fizer log-in no banco de dados, o comando SHOW USER mostrará o nome de usuário global:

SHOW USER;

USER is "WIDGET_SALES"

O seguinte comando mostra o DN (Nome Exclusivo) do usuário do Active Directory:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Por exemplo, você pode verificar essa identidade corporativa do usuário gerenciado centralmente:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

O comando a seguir mostra o "AD_DOMAIN\AD_USERNAME":

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Por exemplo, a identidade de usuário autenticada do Active Directory é capturada e auditada quando o usuário faz logon no banco de dados:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Consulte Verifying the Centrally Managed User Logon Information no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide para obter mais informações.

Remover Usuários e Funções do Active Directory no Autonomous AI Database

Para remover usuários do Active Directory e atribuições de Autonomous AI Databases, use comandos padrão do banco de dados. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.

Para remover usuários ou atribuições do Autonomous AI Database:

Faça log-in no banco de dados configurado para usar o Active Directory como um usuário que recebeu o privilégio de sistema DROP USER ou DROP ROLE.
Elimine os usuários globais ou as atribuições globais que foram mapeados para grupos ou usuários do Active Directory com a instrução DROP USER ou DROP ROLE.

Consulte Remover Usuários do Banco de Dados para obter mais informações.

Desativar o Acesso ao Active Directory no Autonomous AI Database

Descreve as etapas para remover a configuração da CMU do seu Autonomous AI Database (e desativar o acesso LDAP do seu Autonomous AI Database para o Active Directory).

Depois que você configurar sua instância do Autonomous AI Database para acessar o CMU Active Directory, poderá desativar o acesso da seguinte forma:

Estabeleça conexão com o Autonomous AI Database como o usuário ADMIN.
Use o DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desativar a autenticação de CMU.

Observação: Para executar este procedimento, você deve estar conectado como usuário ADMIN ou ter o privilégio EXECUTE em DBMS_CLOUD_ADMIN.

Por exemplo:
```
   BEGIN
     DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
   END;
   /
```
Isso desativa a autenticação de CMU na sua instância do Autonomous AI Database.

Consulte Procedimento DISABLE_EXTERNAL_AUTHENTICATION para obter mais informações.

Limitações com o Microsoft Active Directory no Autonomous AI Database

As seguintes limitações se aplicam ao CMU com Active Directory no Autonomous AI Database:

Só há suporte para "autenticação de palavra-passe" e Kerberos para CMU com Autonomous AI Database. Quando você está usando autenticação de CMU com o Autonomous AI Database, outros métodos de autenticação, como Azure AD, OCI IAM e PKI, não são suportados.
Não há suporte para o Oracle Application Express e o Database Actions em usuários de Active Directory com o Autonomous AI Database.