Usar o Microsoft Active Directory com o Autonomous AI Database na Infraestrutura Dedicada do Exadata
Você pode configurar oAutonomous AI Database na Infraestrutura Dedicada do Exadata para autenticar e autorizar usuários doMicrosoft Active Directory. Esta configuração permite que usuários de Active Directory acessem um Autonomous AI Database usando suas credenciais de Active Directory.
Observação:
Consulte Usar o Azure Active Directory (Azure AD) com o Autonomous AI Database para obter informações sobre como usar o Azure Active Directory com o Autonomous AI Database. A opção de CMU suporta servidores Microsoft Active Directory, mas não suporta o serviço Azure Active Directory.A integração do Autonomous AI Database com os Usuários Gerenciados Centralmente (CMU) fornece integração ao Microsoft Active Directory. O recurso CMU com o Active Directory funciona mapeando usuários globais do banco de dados Oracle e atribuições globais para usuários e grupos do Microsoft Active Directory.
Pré-requisitos para Configurar o CMU com o Microsoft Active Directory no Autonomous AI Database
Estes são os pré-requisitos necessários para configurar a conexão do Autonomous AI Database com o Active Directory:
-
Você deve ter o Microsoft Active Directory instalado e configurado. Consulte AD DS Getting Started para obter mais informações.
-
Você deve criar um usuário do diretório de serviço Oracle no Active Directory. Consulte Etapa 1: Criar uma Conta de Usuário do Oracle Service Directory no Microsoft Active Directory e Conceder Permissões no Guia de Segurança do Oracle Database 19c ou no Guia de Segurança do Oracle Database 26ai para obter informações sobre a conta de usuário do diretório de serviço Oracle.
-
Um administrador de sistema do Active Directory deve ter instalado o filtro de senhas Oracle nos servidores do Active Directory e configurado grupos do Active Directory com usuários do Active Directory para atender aos seus requisitos.
Apenas a autenticação por senha é suportada com o CMU do Autonomous AI Database, portanto, você deve usar o utilitário incluído,
opwdintg.exe
, para instalar o filtro de senha da Oracle no Active Directory, estender o esquema e criar três novos gruposORA_VFR
para três tipos de geração de verificador de senha. Consulte Etapa 2: Para Autenticação por Senha, Instale o Filtro de Senha e Estenda o Esquema do Microsoft Active Directory no Guia de Segurança do Oracle Database 19c ou no Guia de Segurança do Oracle Database 26ai para obter informações sobre como instalar o filtro de senha da Oracle. -
Os servidores Active Directory devem estar acessíveis pelo Autonomous AI Database por meio da internet pública e a porta 636 dos servidores Active Directory deve estar aberta ao Autonomous AI Database no Oracle Cloud Infrastructure, para que o Autonomous AI Database possa ter acesso LDAP seguro por meio de TLS/SSL aos servidores Active Directory por meio da internet.
Você também pode estender o seu Active Directory on-premises para o Oracle Cloud Infrastructure, onde pode configurar Controladores de Domínio Somente para Leitura (RODCs) para o Active Directory on-premises. Em seguida, você pode usar esses RODCs no Oracle Cloud Infrastructure para autenticar e autorizar os usuários locais do Active Directory a acessar os Autonomous AI Databases.
Consulte Estender a integração do Active Directory na Nuvem Híbrida para obter mais informações.
-
Você precisa da wallet do banco de dados de configuração CMU, do arquivo
cwallet.sso
e do arquivodsi.ora
de configuração do CMU para configurar o CMU para o seu Autonomous AI Database:-
Se você tiver configurado o recurso CMU para um banco de dados on-premises, poderá obter esses arquivos de configuração no servidor de banco de dados on-premises.
-
Se você não tiver configurado a CMU para um banco de Dados local, será necessário criar esses arquivos. Em seguida, você faz upload dos arquivos de configuração para a nuvem para configurar o CMU na sua instância do Autonomous AI Database. Você pode validar a wallet e o arquivo
dsi.ora
configurando o recurso CMU para um banco de dados on-premises e verificando se um usuário do Active Directory pode fazer logon com sucesso no banco de dados on-premises com esses arquivos de configuração. Em seguida, você faz upload desses arquivos de configuração para a nuvem para configurar o CMU do seu Autonomous AI Database.
Para obter detalhes sobre o arquivo de wallet para CMU, consulte:- Etapa 6: Criar a Wallet para uma Conexão Segura no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide
- Etapa 8: Verifique o Oracle Wallet no Guia de Segurança do Oracle Database 19c e no Guia de Segurança do Oracle Database 26ai.
Para obter detalhes sobre o arquivo
dsi.ora
para CMU, consulte Creating the dsi.ora File no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.Para obter detalhes sobre como configurar o Active Directory para o recurso CMU e solucionar problemas de CMU para bancos de dados on-premises, consulte How To Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1).
-
Configurar a CMU com Microsoft Active Directory no Autonomous AI Database
Para configurar o serviço Autonomous AI Database para CMU a fim de estabelecer conexão com servidores Active Directory:
Observação:
Consulte Desativar Acesso ao Active Directory no Autonomous AI Database para ver instruções sobre como desativar o acesso do Autonomous AI Database ao Active Directory.Para obter mais informações, consulte Configuring Centrally Managed Users with Microsoft Active Directory no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide.
Configurar o recurso CMU com o Microsoft Active Directory no Exadata Cloud@Customer
APLICA-SE A: Somente Exadata Cloud@Customer
Para configurar o Autonomous AI Database no Exadata Cloud@Customer para que o recurso CMU estabeleça conexão com os servidores do Active Directory, sem usar o serviço Oracle Object Store:
Agora você configurou o CMU-AD para usar autenticação externa via Microsoft Active Directory com seu Autonomous AI Database no Exadata Cloud@Customer.
Adicionar Atribuições de Microsoft Active Directory no Banco de Dados do Autonomous AI
Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE
ou ALTER ROLE
(e inclua a cláusula IDENTIFIED GLOBALLY AS
).
Para adicionar atribuições globais para grupos Active Directory no Banco de Dados Autônomo AI:
Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.
Adicionar Usuários de Microsoft Active Directory em Banco de Dados Autônomo de IA
Para adicionar usuários Active Directory para acessar um Autonomous AI Database, mapeie usuários globais de banco de dados para grupos ou usuários Active Directory com instruções CREATE USER
ou ALTER USER
(com uma cláusula IDENTIFIED GLOBALLY AS
).
A integração do Autonomous AI Database ao Active Directory trabalha mapeando usuários e grupos doMicrosoft Active Directory diretamente para usuários e atribuições globais de banco de dados Oracle.
Para adicionar usuários globais para grupos do Active Directory ou usuários no Banco de Dados Autônomo AI:
Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.
Conectar-se ao Autonomous AI Database com Credenciais de Usuário do Active Directory
Após o usuário ADMIN concluir as etapas da configuração do CMU Active Directory e criar as atribuições globais e os usuários global, os usuários se conectam ao Autonomous AI Database usando o nome de usuário e a senha do seu Active Directory.
Observação:
Não faça log-in usando um nome Global de Usuário. Os nomes de Usuário Global não têm uma senha, e a conexão com um nome de Usuário Global não será bem-sucedida. Você deve ter um mapeamento global do usuário no seu Autonomous AI Database para efetuar login no banco de dados. Você não pode fazer log-in no banco de dados apenas com mapeamentos de atribuição global.Depois de configurar o CMU com o Active Directory no Autonomous AI Database e configurar a autorização do Active Directory, com atribuições globais e usuários globais, você pode se conectar ao seu Autonomous AI Database usando qualquer um dos métodos de conexão descritos em Sobre a Conexão com um Autonomous AI Database Dedicado. Ao estabelecer conexão, se você quiser usar um usuário do Active Directory, use as credenciais de usuário do Active Directory. Por exemplo, forneça um nome de usuário neste formulário, "AD_DOMAIN\AD_USERNAME" (aspas duplas devem ser incluídas) e use o AD_USER_PASSWORD para a senha.
Verificar Informações de Conexão do Usuário do Active Directory com o Serviço Autonomous AI Database
Quando usuários se conectam ao Autonomous AI Database usando o nome de usuário e a senha do seu Active Directory, você pode verificar e auditar as atividades do usuário.
Por exemplo, quando o usuário pfitch
faz log-in:
CONNECT "production\pfitch"/password@exampleadb_medium;
O usuário de log-on do usuário do Active Directory (samAccountName) é pfitch
e widget_sales_group
é um nome para o Grupo do Active Directory, e widget_sales
é um usuário global do Autonomous AI Database.
Depois que pfitch
fizer log-in no banco de dados, o comando SHOW USER
mostrará o nome de usuário global:
SHOW USER;
USER is "WIDGET_SALES"
O seguinte comando mostra o DN (Nome Exclusivo) do usuário do Active Directory:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Por exemplo, você pode verificar essa identidade corporativa do usuário gerenciado centralmente:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
O seguinte comando mostra "AD_DOMAIN\AD_USERNAME
":
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Por exemplo, a identidade de usuário autenticada do Active Directory é capturada e auditada quando o usuário faz logon no banco de dados:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Consulte Verifying the Centrally Managed User Logon Information no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide para obter mais informações.
Remover Usuários e Atribuições de Active Directory no Autonomous AI Database
Para remover usuários e atribuições do Active Directory dos Autonomous AI Databases, use comandos de banco de dados padrão. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.
Para remover usuários ou atribuições do Autonomous AI Database:
Desativar o Acesso ao Active Directory no Autonomous AI Database
Descreve as etapas para remover a configuração da CMU do seu Autonomous AI Database (e desativar o acesso ao LDAP do seu Autonomous AI Database para o Active Directory).
Depois que você configurar sua instância do Autonomous AI Database para acessar o Active Directory de CMU, poderá desativar o acesso da seguinte forma:
Consulte Procedimento DISABLE_EXTERNAL_AUTHENTICATION para obter mais informações.
Limitações com o Microsoft Active Directory no Autonomous AI Database
As seguintes limitações se aplicam ao CMU com Active Directory no Autonomous AI Database:
-
Somente "autenticação de palavra-passe" e o Kerberos são suportados para CMU com o serviço Autonomous AI Database. Quando você está usando autenticação de CMU com o Autonomous AI Database, outros métodos de autenticação, como Azure AD, OCI IAM e PKI, não são suportados.
-
Não há suporte para o Oracle Application Express e o Database Actions em usuários de Active Directory com o serviço Autonomous AI Database.