Usar o Microsoft Active Directory com o Autonomous Database na Infraestrutura Dedicada do Exadata
Você pode configurar o Autonomous Database on Dedicated Exadata Infrastructure para autenticar e autorizar usuários do Microsoft Active Directory. Essa configuração permite que os usuários do Active Directory acessem um Autonomous Database usando suas credenciais do Active Directory.
Observação:
Consulte Usar o Azure Active Directory (Azure AD) com o Autonomous Database para obter informações sobre o uso do Azure Active Directory com o Autonomous Database. A opção CMU oferece suporte a servidores Microsoft Active Directory, mas não ao serviço Azure Active Directory.A integração do Autonomous Database com Usuários Gerenciados Centralmente (CMU, Centrally Managed Users) fornece integração com o Microsoft Active Directory. O recurso CMU com o Active Directory funciona mapeando usuários globais do banco de dados Oracle e atribuições globais para usuários e grupos do Microsoft Active Directory.
Pré-requisitos para Configurar o recurso CMU com o Microsoft Active Directory no Autonomous Database
Os seguintes pré-requisitos são necessários para configurar a conexão do Autonomous Database para o Active Directory:
-
Você deve ter o Microsoft Active Directory instalado e configurado. Consulte AD DS Getting Started para obter mais informações.
-
Você deve criar um usuário do diretório de serviço Oracle no Active Directory. Consulte a Etapa 1: Criar uma Conta de Usuário do Oracle Service Directory no Microsoft Active Directory e Conceder Permissões no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide para obter informações sobre a conta de usuário do diretório de serviço Oracle.
-
Um administrador de sistema do Active Directory deve ter instalado o filtro de senhas Oracle nos servidores do Active Directory e configurado grupos do Active Directory com usuários do Active Directory para atender aos seus requisitos.
Somente a autenticação de senha é suportada com o recurso CMU para o Autonomous Database; portanto, você deve usar o utilitário fornecido,
opwdintg.exe
, para instalar o filtro de senhas Oracle no Active Directory, estender o esquema e criar três novos gruposORA_VFR
para três tipos de geração do verificador de senha. Consulte a Etapa 2: Para Autenticação de Senha, Instale o Filtro de Senha e Estenda o Esquema do Microsoft Active Directory no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide para obter informações sobre a instalação do filtro de senha Oracle. -
Os servidores do Active Directory devem estar acessíveis do Autonomous Database por meio da internet pública e a porta 636 dos servidores do Active Directory deve estar aberta para o Autonomous Database no Oracle Cloud Infrastructure, para que o Autonomous Database possa ter acesso LDAP seguro por meio de TLS/SSL aos servidores do Active Directory pela internet.
Você também pode estender o seu Active Directory on-premises para o Oracle Cloud Infrastructure, onde pode configurar Controladores de Domínio Somente para Leitura (RODCs) para o Active Directory on-premises. Em seguida, você pode usar esses RODCs no Oracle Cloud Infrastructure para autenticar e autorizar os usuários on-premises do Active Directory para acesso aos Autonomous Databases.
Consulte Estender a integração do Active Directory na Nuvem Híbrida para obter mais informações.
-
Você precisa da wallet do banco de dados de configuração de CMU,
cwallet.sso
e do arquivo de configuração de CMUdsi.ora
para configurar o recurso CMU para o seu Autonomous Database:-
Se você tiver configurado o recurso CMU para um banco de dados on-premises, poderá obter esses arquivos de configuração no servidor de banco de dados on-premises.
-
Se você não tiver configurado o recurso CMU para um banco de dados on-premises, crie esses arquivos. Em seguida, faça upload dos arquivos de configuração para a nuvem a fim de configurar o recurso CMU em sua instância do Autonomous Database. Você pode validar a wallet e o arquivo
dsi.ora
configurando o recurso CMU para um banco de dados on-premises e verificando se um usuário do Active Directory pode fazer logon com sucesso no banco de dados on-premises com esses arquivos de configuração. Em seguida, faça upload desses arquivos de configuração para a nuvem a fim de configurar o recurso CMU para seu Autonomous Database.
Para obter detalhes sobre o arquivo de wallet para CMU, consulte:- Etapa 6: Criar a Wallet para uma Conexão Segura no Guia de Segurança do Oracle Database 19c ou Guia de Segurança do Oracle Database 23ai
- Etapa 8: Verifique o Oracle Wallet no Oracle Database 19c Security Guide e no Oracle Database 23ai Security Guide.
Para obter detalhes sobre o arquivo
dsi.ora
para CMU, consulte Creating the dsi.ora File no Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.Para obter detalhes sobre como configurar o Active Directory para o recurso CMU e solucionar problemas de CMU para bancos de dados on-premises, consulte How To Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1).
-
Configurar o recurso CMU com o Microsoft Active Directory no Autonomous Database
Para configurar o Autonomous Database para CMU para estabelecer conexão com os servidores Active Directory:
Observação:
Consulte Desativar o Acesso ao Active Directory no Autonomous Database para obter instruções sobre como desativar o acesso do Autonomous Database para o Active Directory.Para obter mais informações, consulte Configuring Centrally Managed Users with Microsoft Active Directory no Oracle Database 19c Security Guide ou Oracle Database 19c Security Guide.
Configurar o recurso CMU com o Microsoft Active Directory no Exadata Cloud@Customer
APLICA-SE A: Somente Exadata Cloud@Customer
Para configurar o Autonomous Database no Exadata Cloud@Customer para CMU para estabelecer conexão com servidores do Active Directory, sem usar o serviço Oracle Object Store:
Agora você configurou o recurso CMU-AD para usar autenticação externa via Microsoft Active Directory com o Autonomous Database no Exadata Cloud@Customer.
Adicionar Atribuições do Microsoft Active Directory no Autonomous Database
Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE
ou ALTER ROLE
(e inclua a cláusula IDENTIFIED GLOBALLY AS
).
Para adicionar atribuições globais para grupos do Active Directory no Autonomous Database:
Para obter mais informações sobre a configuração de atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide.
Adicionar Usuários do Microsoft Active Directory no Autonomous Database
Para adicionar usuários do Active Directory para acessar um Autonomous Database, mapeie usuários globais do banco de dados para grupos ou usuários do Active Directory com as instruções CREATE USER
ou ALTER USER
(com a cláusula IDENTIFIED GLOBALLY AS
).
A integração do Autonomous Database com o Active Directory funciona mapeando usuários e grupos do Microsoft Active Directory diretamente para usuários globais e atribuições globais do banco de dados Oracle.
Para adicionar usuários globais para grupos ou usuários do Active Directory no Autonomous Database:
Para obter mais informações sobre a configuração de atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide.
Estabelecer Conexão com o Autonomous Database com Credenciais do Usuário do Active Directory
Depois que o usuário ADMIN conclui as etapas de configuração de CMU com o Active Directory e cria atribuições globais e usuários globais, os usuários fazem log-in no Autonomous Database usando seu nome de usuário e senha do Active Directory.
Observação:
Não faça log-in usando um nome de Usuário Global. Os nomes de Usuário Global não têm uma senha, e a conexão com um nome de Usuário Global não será bem-sucedida. Você deve ter um mapeamento de usuário global no seu Autonomous Database para fazer log-in no banco de dados. Você não pode fazer log-in no banco de dados apenas com mapeamentos de atribuição global.Depois de configurar CMU com o Active Directory no Autonomous Database e configurar a autorização do Active Directory, com atribuições e usuários globais, você pode se conectar ao seu Autonomous Database usando qualquer método de conexão descrito em Sobre a Conexão com um Autonomous Database Dedicado. Ao estabelecer conexão, se você quiser usar um usuário do Active Directory, use as credenciais de usuário do Active Directory. Por exemplo, forneça um nome de usuário neste formato, "AD_DOMAIN\AD_USERNAME" (aspas duplas devem ser incluídas) e use AD_USER_PASSWORD para a senha.
Verificar Informações de Conexão do Usuário do Active Directory com o Autonomous Database
Quando os usuários fazem log-in no Autonomous Database usando seu nome de usuário e senha do Active Directory, você pode verificar e auditar a atividade do usuário.
Por exemplo, quando o usuário pfitch
faz log-in:
CONNECT "production\pfitch"/password@exampleadb_medium;
O nome de usuário de log-in do usuário do Active Directory (samAccountName) é pfitch
, widget_sales_group
é o nome do Grupo do Active Directory e widget_sales
é o usuário global do Autonomous Database.
Depois que pfitch
fizer log-in no banco de dados, o comando SHOW USER
mostrará o nome de usuário global:
SHOW USER;
USER is "WIDGET_SALES"
O seguinte comando mostra o DN (Nome Exclusivo) do usuário do Active Directory:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Por exemplo, você pode verificar essa identidade corporativa do usuário gerenciado centralmente:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
O seguinte comando mostra "AD_DOMAIN\AD_USERNAME
":
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Por exemplo, a identidade de usuário autenticada do Active Directory é capturada e auditada quando o usuário faz logon no banco de dados:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Consulte Verifying the Centrally Managed User Logon Information no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide para obter mais informações.
Remover Usuários e Atribuições do Active Directory no Autonomous Database
Para remover usuários e atribuições do Active Directory de Autonomous Databases, use comandos de banco de dados padrão. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.
Para remover usuários ou atribuições do Autonomous Database:
Desativar o Acesso ao Active Directory no Autonomous Database
Descreve as etapas para remover a configuração de CMU do Autonomous Database (e desativar o acesso LDAP do Autonomous Database ao Active Directory).
Após a configuração da instância do Autonomous Database para acessar o Active Directory de CMU, você poderá desativar o acesso da seguinte forma:
Consulte Procedimento DISABLE_EXTERNAL_AUTHENTICATION para obter mais informações.
Limitações com o Microsoft Active Directory no Autonomous Database
As seguintes limitações se aplicam ao serviço CMU com o Active Directory no Autonomous Database:
-
Somente a "autenticação de senha" e o Kerberos são compatíveis com o recurso CMU com o Autonomous Database. Quando você está usando a autenticação de CMU com o Autonomous Database, não há suporte para outros métodos de autenticação, como Azure AD, OCI IAM e PKI.
-
O Oracle Application Express e o Database Actions não oferecem suporte a usuários do Active Directory no Autonomous Database.