Usar o Microsoft Active Directory com o Autonomous AI Database na Infraestrutura Dedicada do Exadata

Você pode configurar oAutonomous AI Database na Infraestrutura Dedicada do Exadata para autenticar e autorizar usuários doMicrosoft Active Directory. Esta configuração permite que usuários de Active Directory acessem um Autonomous AI Database usando suas credenciais de Active Directory.

Observação:

Consulte Usar o Azure Active Directory (Azure AD) com o Autonomous AI Database para obter informações sobre como usar o Azure Active Directory com o Autonomous AI Database. A opção de CMU suporta servidores Microsoft Active Directory, mas não suporta o serviço Azure Active Directory.

A integração do Autonomous AI Database com os Usuários Gerenciados Centralmente (CMU) fornece integração ao Microsoft Active Directory. O recurso CMU com o Active Directory funciona mapeando usuários globais do banco de dados Oracle e atribuições globais para usuários e grupos do Microsoft Active Directory.

Pré-requisitos para Configurar o CMU com o Microsoft Active Directory no Autonomous AI Database

Estes são os pré-requisitos necessários para configurar a conexão do Autonomous AI Database com o Active Directory:

  • Você deve ter o Microsoft Active Directory instalado e configurado. Consulte AD DS Getting Started para obter mais informações.

  • Você deve criar um usuário do diretório de serviço Oracle no Active Directory. Consulte Etapa 1: Criar uma Conta de Usuário do Oracle Service Directory no Microsoft Active Directory e Conceder Permissões no Guia de Segurança do Oracle Database 19c ou no Guia de Segurança do Oracle Database 26ai para obter informações sobre a conta de usuário do diretório de serviço Oracle.

  • Um administrador de sistema do Active Directory deve ter instalado o filtro de senhas Oracle nos servidores do Active Directory e configurado grupos do Active Directory com usuários do Active Directory para atender aos seus requisitos.

    Apenas a autenticação por senha é suportada com o CMU do Autonomous AI Database, portanto, você deve usar o utilitário incluído, opwdintg.exe, para instalar o filtro de senha da Oracle no Active Directory, estender o esquema e criar três novos grupos ORA_VFR para três tipos de geração de verificador de senha. Consulte Etapa 2: Para Autenticação por Senha, Instale o Filtro de Senha e Estenda o Esquema do Microsoft Active Directory no Guia de Segurança do Oracle Database 19c ou no Guia de Segurança do Oracle Database 26ai para obter informações sobre como instalar o filtro de senha da Oracle.

  • Os servidores Active Directory devem estar acessíveis pelo Autonomous AI Database por meio da internet pública e a porta 636 dos servidores Active Directory deve estar aberta ao Autonomous AI Database no Oracle Cloud Infrastructure, para que o Autonomous AI Database possa ter acesso LDAP seguro por meio de TLS/SSL aos servidores Active Directory por meio da internet.

    Você também pode estender o seu Active Directory on-premises para o Oracle Cloud Infrastructure, onde pode configurar Controladores de Domínio Somente para Leitura (RODCs) para o Active Directory on-premises. Em seguida, você pode usar esses RODCs no Oracle Cloud Infrastructure para autenticar e autorizar os usuários locais do Active Directory a acessar os Autonomous AI Databases.

    Consulte Estender a integração do Active Directory na Nuvem Híbrida para obter mais informações.

  • Você precisa da wallet do banco de dados de configuração CMU, do arquivo cwallet.sso e do arquivo dsi.ora de configuração do CMU para configurar o CMU para o seu Autonomous AI Database:

    • Se você tiver configurado o recurso CMU para um banco de dados on-premises, poderá obter esses arquivos de configuração no servidor de banco de dados on-premises.

    • Se você não tiver configurado a CMU para um banco de Dados local, será necessário criar esses arquivos. Em seguida, você faz upload dos arquivos de configuração para a nuvem para configurar o CMU na sua instância do Autonomous AI Database. Você pode validar a wallet e o arquivo dsi.ora configurando o recurso CMU para um banco de dados on-premises e verificando se um usuário do Active Directory pode fazer logon com sucesso no banco de dados on-premises com esses arquivos de configuração. Em seguida, você faz upload desses arquivos de configuração para a nuvem para configurar o CMU do seu Autonomous AI Database.

    Para obter detalhes sobre o arquivo de wallet para CMU, consulte:

    Para obter detalhes sobre o arquivo dsi.ora para CMU, consulte Creating the dsi.ora File no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

    Para obter detalhes sobre como configurar o Active Directory para o recurso CMU e solucionar problemas de CMU para bancos de dados on-premises, consulte How To Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1).

Configurar a CMU com Microsoft Active Directory no Autonomous AI Database

Para configurar o serviço Autonomous AI Database para CMU a fim de estabelecer conexão com servidores Active Directory:

  1. Estabeleça conexão com o Autonomous AI Database como o usuário ADMIN.
  2. Verifique se outro esquema de autenticação externa está ativado em seu banco de dados e desative-o.

    Observação:

    Você pode continuar com a configuração CMU-AD no topo do Kerberos para fornecer autenticação CMU-AD Kerberos para usuários do Microsoft Active Directory.
  3. Faça upload dos arquivos de configuração de CMU, incluindo o arquivo de wallet de banco de dados cwallet.sso e o arquivo de configuração de CMU dsi.ora, para o Armazenamento de Objetos. Essa etapa depende do serviço Object Store que você usa.

    O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

    Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

  4. No Autonomous AI Database, crie um novo objeto do diretório ou escolha um objeto do diretório existente. Este é o diretório no qual você armazena a wallet e o arquivo de configuração para estabelecer conexão com o Active Directory:

    Por exemplo:

    CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';

    Use a seguinte instrução SQL para consultar o caminho do diretório do sistema de arquivos do objeto de diretório:

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
       DIRECTORY_NAME='directory_object_name';

    Por exemplo:

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
       DIRECTORY_NAME='CMU_WALLET_DIR';
    
    
    DIRECTORY_PATH
    ----------------------------------------------------------------------------
    /file_system_directory_path_example/cmu_wallet

    Observação:

    O nome do objeto do diretório na consulta deve estar em letras maiúsculas, uma vez que seu formato não foi preservado quando o objeto do diretório foi criado.
    Se quiser preservar maiúsculas e minúsculas para o nome do objeto de diretório, será necessário incluir o nome dele entre aspas duplas. Por exemplo:
    CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
  5. Use DBMS_CLOUD.GET_OBJECT para copiar os arquivos de configuração do recurso CMU, a wallet do banco de dados cwallet.sso e dsi.ora, do seu serviço Object Store para o diretório criado ou escolhido na etapa 4 acima.

    Por exemplo, use DBMS_CLOUD.GET_OBJECT para copiar os arquivos do serviço Object Store para CMU_WALLET_DIR da seguinte forma:

    BEGIN
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
          directory_name => 'CMU_WALLET_DIR');
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
          directory_name => 'CMU_WALLET_DIR');
    END;
    /

    Neste exemplo, namespace-string corresponde ao namespace do armazenamento de objetos do Oracle Cloud Infrastructure e bucketname corresponde ao nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

    Consulte Procedimento GET_OBJECT para obter mais informações.

    Use a instrução SQL a seguir para consultar os arquivos copiados no diretório.

    SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');

    Por exemplo:

    SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');

    Observe que o nome do objeto do diretório nessa consulta deve estar em letras maiúsculas, pois seu formato não foi preservado quando o objeto do diretório foi criado.

  6. Ative o CMU-AD no seu Autonomous AI Database usando o pacote DBMS_CLOUD_ADMIN.

    Observação:

    Substitua os nomes de diretório no exemplo abaixo pelos escolhidos para seu ambiente. Certifique-se de ter feito log-in como usuário ADMIN antes de executar esse comando.
    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      ); 
    END;
    / 
  7. Para manter a segurança, remova os arquivos de configuração de CMU, incluindo a wallet de banco de dados cwallet.sso e o arquivo de configuração de CMU dsi.ora do serviço Object Store. Você pode usar métodos locais de Armazenamento de Objetos para remover esses arquivos ou usar DBMS_CLOUD.DELETE_OBJECT para excluir os arquivos do Armazenamento de Objetos.
    Consulte Procedimento DELETE_OBJECT para obter mais informações sobre DBMS_CLOUD.DELETE_OBJECT.

Observação:

Consulte Desativar Acesso ao Active Directory no Autonomous AI Database para ver instruções sobre como desativar o acesso do Autonomous AI Database ao Active Directory.

Para obter mais informações, consulte Configuring Centrally Managed Users with Microsoft Active Directory no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide.

Configurar o recurso CMU com o Microsoft Active Directory no Exadata Cloud@Customer

APLICA-SE A: Aplicável Somente Exadata Cloud@Customer

Para configurar o Autonomous AI Database no Exadata Cloud@Customer para que o recurso CMU estabeleça conexão com os servidores do Active Directory, sem usar o serviço Oracle Object Store:

  1. Estabeleça conexão com o Autonomous AI Database como o usuário ADMIN.
  2. Verifique se outro esquema de autenticação externa está ativado em seu banco de dados e desative-o usando o comando SQL a seguir.
    BEGIN
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /
  3. O CMMU-AD precisa da wallet de conexão cwallet.sso do Active Directory e dos arquivos dsi.ora em um sistema de arquivos local no seu Cluster de VMs do Autonomous Exadata (AVMC). Você pode conseguir isso hospedando esses arquivos no serviço Oracle Object Store no Oracle Cloud Infrastructure e copiando-os localmente usando o pacote DBMS_CLOUD. Você pode encontrar esse processo com etapas e exemplos detalhados em Configurar CMU com o Microsoft Active Directory no Autonomous AI Database.
  4. Se não for possível hospedar cwallet.sso e dsi.ora no armazenamento em nuvem, você poderá usar um compartilhamento NFS (Network File System) no seu data center para hospedar esses arquivos e, em seguida, movê-los para um diretório de banco de dados no DBFS (Database File System). Para isso, primeiro anexe um compartilhamento NFS disponível localmente ao objeto de diretório do Autonomous AI Database, conforme demonstrado abaixo:
    1. Crie um diretório de Banco de Dados na sua instância do Autonomous AI Database usando o seguinte comando SQL do seu cliente SQL:
      create or replace directory TMPFSSDIR as 'tmpfssdir';
      
    2. Monte seu compartilhamento NFS neste diretório usando o pacote DBMS_CLOUD_ADMIN disponível no Autonomous AI Database.

      Dica:

      Talvez você precise trabalhar com o administrador de rede ou armazenamento para disponibilizar um compartilhamento NFS.
      BEGIN
        DBMS_CLOUD_ADMIN.attach_file_system(
          file_system_name => <some_name_you_assign>,
          file_system_location => <your_nfs_fs_path>,
          directory_name => <tmpfssdir_created_above>,
          description => ‘Any_desc_you_like_to_give’
        );
      END
      Por exemplo:
      BEGIN 
        DBMS_CLOUD_ADMIN.attach_file_system(
          file_system_name => 'AD-FSS',
          file_system_location => acme.com:/nfs/mount1',
          directory_name => 'TMPFSSDIR',
          description => ‘nfs to host AD files’
        );
      END;
  5. Para evitar uma dependência do compartilhamento NFS para que os arquivos cwallet.sso e dsi.ora fiquem disponíveis para o CMU, mova-os para uma pasta do sistema de arquivos local usando um mapeamento de diretório de banco de dados. Como o Autonomous AI Database restringe o acesso ao sistema de arquivos local, crie um procedimento de cópia usando utl_file, conforme demonstrado abaixo:
    1. Crie um diretório de Banco de Dados na sua instância do Autonomous AI Database usando o seguinte comando SQL do seu cliente SQL:
      CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
    2. Verifique o caminho do diretório criado acima usando o seguinte comando SQL:
      SELECT DIRECTORY_PATH 
      FROM DBA_DIRECTORIES 
      WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';

      Observação:

      O nome do objeto do diretório deve estar em letras maiúsculas na consulta, uma vez que seu formato não foi preservado durante a criação do objeto do diretório.
    3. Copie dsi.ora e cwallet.sso do diretório NFS para o diretório Wallet de CMU local usando o utilitário UTL_FILE.
      Por exemplo:
      Crie um procedimento armazenado chamado copyfile, conforme mostrado abaixo:
      CREATE OR REPLACE PROCEDURE copyfile(
        in_loc_dir IN VARCHAR2,
        in_filename IN VARCHAR2,
        out_loc_dir IN VARCHAR2,
        out_filename IN VARCHAR2
      )
      IS
        in_file UTL_FILE.file_type;
        out_file UTL_FILE.file_type;
        buffer_size CONSTANT INTEGER := 32767;
        buffer RAW (32767);
        buffer_length INTEGER; 
      BEGIN
        in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
        out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
        UTL_FILE.get_raw (in_file, buffer, buffer_size);
        buffer_length := UTL_RAW.LENGTH (buffer);
      
        WHILE buffer_length > 0
        LOOP 
          UTL_FILE.put_raw (out_file, buffer, TRUE);
      
          IF buffer_length = buffer_size
            THEN
              UTL_FILE.get_raw (in_file, buffer, buffer_size);
              buffer_length := UTL_RAW.LENGTH (buffer);
            ELSE
              buffer_length := 0;
            END IF;
        END LOOP;
      
        UTL_FILE.fclose (in_file);
        UTL_FILE.fclose (out_file);
      EXCEPTION
        WHEN NO_DATA_FOUND
        THEN
          UTL_FILE.fclose (in_file);
          UTL_FILE.fclose (out_file);
      END;
      / 
      Compile o procedimento armazenado copyfile. Uma vez compilado com sucesso, execute o procedimento copyfile uma vez cada um para copiar dsi.ora e cwallet.sso do diretório NFS para o diretório Wallet de CMU local, conforme demonstrado abaixo:
      EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
      EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
    4. Execute a consulta SQL a seguir para validar se os arquivos foram copiados para o diretório Wallet de CMU local com sucesso.
      SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
  6. Usando o comando a seguir, desanexe o compartilhamento NFS, pois você não precisa dele para CMU-AD depois que os arquivos forem copiados para o diretório local.
    exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
  7. Ative o CMU-AD no seu Autonomous AI Database usando o pacote DBMS_CLOUD_ADMIN.

    Observação:

    Substitua os nomes de diretório no exemplo abaixo pelos escolhidos para seu ambiente. Certifique-se de ter feito log-in como usuário ADMIN antes de executar esse comando.
    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      ); 
    END;
    / 
  8. Valide consultando o valor da propriedade do banco de dados CMU_WALLET, conforme mostrado abaixo.
    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME = 'CMU_WALLET';
    Por Exemplo:
    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME='CMU_WALLET';
    
    PROPERTY_VALUE
    --------------
    CMU_WALLET_DIR

Agora você configurou o CMU-AD para usar autenticação externa via Microsoft Active Directory com seu Autonomous AI Database no Exadata Cloud@Customer.

Adicionar Atribuições de Microsoft Active Directory no Banco de Dados do Autonomous AI

Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE ou ALTER ROLE (e inclua a cláusula IDENTIFIED GLOBALLY AS).

Para adicionar atribuições globais para grupos Active Directory no Banco de Dados Autônomo AI:

  1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE ROLE e ALTER ROLE necessários para essas etapas).
  2. Defina a autorização do banco de Dados para atribuições do serviço Autonomous AI Database com a instrução CREATE ROLE ou ALTER ROLE. Inclua a cláusula IDENTIFIED GLOBALLY AS e especifique o DN de um grupo do Active Directory.

    Use a seguinte sintaxe para mapear um grupo de usuários de diretório para uma atribuição global de banco de dados:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
         'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Por exemplo:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Neste exemplo, todos os membros do widget_sales_group são autorizados com a atribuição de banco de dados widget_sales_role quando fazem log-in no banco de dados.

  3. Use instruções GRANT para conceder os privilégios necessários ou outras atribuições à atribuição global.

    Por exemplo:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
    GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE é uma atribuição predefinida que tem privilégios comuns definidos. Consulte Gerenciar Privilégios de Usuário do Banco de Dados para obter informações sobre como definir privilégios comuns para usuários do Autonomous AI Database.

  4. Se quiser fazer com que uma atribuição de banco de dados existente seja associada a um grupo do Active Directory, use a instrução ALTER ROLE para alterar a atribuição de banco de dados existente a fim de mapear a atribuição para um grupo do Active Directory.

    Use a sintaxe a seguir para alterar uma atribuição de banco de dados existente a fim de mapeá-la para um grupo do Active Directory:

    ALTER ROLE existing_database_role 
       IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Se quiser criar mapeamentos de atribuição global adicionais para outros grupos do Active Directory, siga estas etapas para cada grupo do Active Directory.

Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

Adicionar Usuários de Microsoft Active Directory em Banco de Dados Autônomo de IA

Para adicionar usuários Active Directory para acessar um Autonomous AI Database, mapeie usuários globais de banco de dados para grupos ou usuários Active Directory com instruções CREATE USER ou ALTER USER (com uma cláusula IDENTIFIED GLOBALLY AS).

A integração do Autonomous AI Database ao Active Directory trabalha mapeando usuários e grupos doMicrosoft Active Directory diretamente para usuários e atribuições globais de banco de dados Oracle.

Para adicionar usuários globais para grupos do Active Directory ou usuários no Banco de Dados Autônomo AI:

  1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE USER e ALTER USER necessários para essas etapas).
  2. Defina uma autorização de banco de Dados para usuários do serviço Autonomous AI Database com instruções CREATE USER ou ALTER USER e inclua a cláusula IDENTIFIED GLOBALLY AS, especificando o DN de um usuário ou grupo Active Directory.

    Use a seguinte sintaxe para mapear um usuário de diretório para um usuário global do banco de dados:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Use a seguinte sintaxe para mapear um grupo de diretórios para um usuário global do banco de dados:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Por exemplo, para mapear um grupo de diretórios chamado widget_sales_group na unidade organizacional sales do domínio production.example.com para um usuário global de banco de dados compartilhado chamado WIDGET_SALES:

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
    

    Isso cria um mapeamento de usuário global compartilhado. O mapeamento, com o usuário global widget_sales, é efetivo para todos os usuários do grupo do Active Directory. Portanto, qualquer pessoa em widget_sales_group pode fazer log-in no banco de dados usando suas credenciais do Active Directory (por meio do mapeamento compartilhado do usuário global widget_sales).

  3. Se você quiser que os usuários do Active Directory usem um usuário de banco de dados existente, possuam seu esquema e possuam seus respectivos dados existentes, use ALTER USER para alterar um usuário de banco de dados existente para mapear o usuário para um grupo ou usuário do Active Directory.
    • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um usuário do Active Directory:

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
    • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um grupo do Active Directory:

      ALTER USER existing_database_user 
           IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Se quiser criar mapeamentos de usuários globais adicionais para outros grupos ou usuários do Active Directory, siga estas etapas para cada grupo ou usuário do Active Directory.

Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

Conectar-se ao Autonomous AI Database com Credenciais de Usuário do Active Directory

Após o usuário ADMIN concluir as etapas da configuração do CMU Active Directory e criar as atribuições globais e os usuários global, os usuários se conectam ao Autonomous AI Database usando o nome de usuário e a senha do seu Active Directory.

Observação:

Não faça log-in usando um nome Global de Usuário. Os nomes de Usuário Global não têm uma senha, e a conexão com um nome de Usuário Global não será bem-sucedida. Você deve ter um mapeamento global do usuário no seu Autonomous AI Database para efetuar login no banco de dados. Você não pode fazer log-in no banco de dados apenas com mapeamentos de atribuição global.
  1. Para fazer log-on no Autonomous AI Database usando um nome de usuário e uma senha no Active Directory, conecte-se da seguinte forma:
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Por exemplo:

    CONNECT "production\pfitch"/password@adbname_medium;

    Você precisa incluir aspas duplas quando o domínio do Active Directory for incluído junto com o nome de usuário, como neste exemplo: "production\pfitch".

    Neste exemplo, o nome de usuário do Active Directory é pfitch no domínio production. O usuário do Active Directory é membro do grupo widget_sales_group identificado por seu DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Depois de configurar o CMU com o Active Directory no Autonomous AI Database e configurar a autorização do Active Directory, com atribuições globais e usuários globais, você pode se conectar ao seu Autonomous AI Database usando qualquer um dos métodos de conexão descritos em Sobre a Conexão com um Autonomous AI Database Dedicado. Ao estabelecer conexão, se você quiser usar um usuário do Active Directory, use as credenciais de usuário do Active Directory. Por exemplo, forneça um nome de usuário neste formulário, "AD_DOMAIN\AD_USERNAME" (aspas duplas devem ser incluídas) e use o AD_USER_PASSWORD para a senha.

Verificar Informações de Conexão do Usuário do Active Directory com o Serviço Autonomous AI Database

Quando usuários se conectam ao Autonomous AI Database usando o nome de usuário e a senha do seu Active Directory, você pode verificar e auditar as atividades do usuário.

Por exemplo, quando o usuário pfitch faz log-in:

CONNECT "production\pfitch"/password@exampleadb_medium;

O usuário de log-on do usuário do Active Directory (samAccountName) é pfitch e widget_sales_group é um nome para o Grupo do Active Directory, e widget_sales é um usuário global do Autonomous AI Database.

Depois que pfitch fizer log-in no banco de dados, o comando SHOW USER mostrará o nome de usuário global:

SHOW USER;

USER is "WIDGET_SALES"

O seguinte comando mostra o DN (Nome Exclusivo) do usuário do Active Directory:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Por exemplo, você pode verificar essa identidade corporativa do usuário gerenciado centralmente:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

O seguinte comando mostra "AD_DOMAIN\AD_USERNAME":

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Por exemplo, a identidade de usuário autenticada do Active Directory é capturada e auditada quando o usuário faz logon no banco de dados:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Consulte Verifying the Centrally Managed User Logon Information no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide para obter mais informações.

Remover Usuários e Atribuições de Active Directory no Autonomous AI Database

Para remover usuários e atribuições do Active Directory dos Autonomous AI Databases, use comandos de banco de dados padrão. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.

Para remover usuários ou atribuições do Autonomous AI Database:

  1. Faça log-in no banco de dados configurado para usar o Active Directory como um usuário que recebeu o privilégio de sistema DROP USER ou DROP ROLE.
  2. Elimine os usuários globais ou as atribuições globais que foram mapeados para grupos ou usuários do Active Directory com a instrução DROP USER ou DROP ROLE.
    Consulte Remover Usuários do Banco de Dados para obter mais informações.

Desativar o Acesso ao Active Directory no Autonomous AI Database

Descreve as etapas para remover a configuração da CMU do seu Autonomous AI Database (e desativar o acesso ao LDAP do seu Autonomous AI Database para o Active Directory).

Depois que você configurar sua instância do Autonomous AI Database para acessar o Active Directory de CMU, poderá desativar o acesso da seguinte forma:

  1. Estabeleça conexão com o Autonomous AI Database como o usuário ADMIN.
  2. Use o DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desativar a autenticação de CMU.

    Observação:

    Para executar esse procedimento, você deve fazer log-in como usuário ADMIN ou ter o privilégio EXECUTE em DBMS_CLOUD_ADMIN.

    Por exemplo:

    BEGIN   
       DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /

    Isso desativa a autenticação de CMU na sua instância do Autonomous AI Database.

Consulte Procedimento DISABLE_EXTERNAL_AUTHENTICATION para obter mais informações.

Limitações com o Microsoft Active Directory no Autonomous AI Database

As seguintes limitações se aplicam ao CMU com Active Directory no Autonomous AI Database:

  • Somente "autenticação de palavra-passe" e o Kerberos são suportados para CMU com o serviço Autonomous AI Database. Quando você está usando autenticação de CMU com o Autonomous AI Database, outros métodos de autenticação, como Azure AD, OCI IAM e PKI, não são suportados.

  • Não há suporte para o Oracle Application Express e o Database Actions em usuários de Active Directory com o serviço Autonomous AI Database.