Usar o Microsoft Active Directory com o Autonomous Database na Infraestrutura Dedicada do Exadata

Você pode configurar o Autonomous Database on Dedicated Exadata Infrastructure para autenticar e autorizar usuários do Microsoft Active Directory. Essa configuração permite que os usuários do Active Directory acessem um Autonomous Database usando suas credenciais do Active Directory.

Observação:

Consulte Usar o Azure Active Directory (Azure AD) com o Autonomous Database para obter informações sobre o uso do Azure Active Directory com o Autonomous Database. A opção CMU oferece suporte a servidores Microsoft Active Directory, mas não ao serviço Azure Active Directory.

A integração do Autonomous Database com Usuários Gerenciados Centralmente (CMU, Centrally Managed Users) fornece integração com o Microsoft Active Directory. O recurso CMU com o Active Directory funciona mapeando usuários globais do banco de dados Oracle e atribuições globais para usuários e grupos do Microsoft Active Directory.

Pré-requisitos para Configurar o recurso CMU com o Microsoft Active Directory no Autonomous Database

Os seguintes pré-requisitos são necessários para configurar a conexão do Autonomous Database para o Active Directory:

  • Você deve ter o Microsoft Active Directory instalado e configurado. Consulte AD DS Getting Started para obter mais informações.

  • Você deve criar um usuário do diretório de serviço Oracle no Active Directory. Consulte a Etapa 1: Criar uma Conta de Usuário do Oracle Service Directory no Microsoft Active Directory e Conceder Permissões no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide para obter informações sobre a conta de usuário do diretório de serviço Oracle.

  • Um administrador de sistema do Active Directory deve ter instalado o filtro de senhas Oracle nos servidores do Active Directory e configurado grupos do Active Directory com usuários do Active Directory para atender aos seus requisitos.

    Somente a autenticação de senha é suportada com o recurso CMU para o Autonomous Database; portanto, você deve usar o utilitário fornecido, opwdintg.exe, para instalar o filtro de senhas Oracle no Active Directory, estender o esquema e criar três novos grupos ORA_VFR para três tipos de geração do verificador de senha. Consulte a Etapa 2: Para Autenticação de Senha, Instale o Filtro de Senha e Estenda o Esquema do Microsoft Active Directory no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide para obter informações sobre a instalação do filtro de senha Oracle.

  • Os servidores do Active Directory devem estar acessíveis do Autonomous Database por meio da internet pública e a porta 636 dos servidores do Active Directory deve estar aberta para o Autonomous Database no Oracle Cloud Infrastructure, para que o Autonomous Database possa ter acesso LDAP seguro por meio de TLS/SSL aos servidores do Active Directory pela internet.

    Você também pode estender o seu Active Directory on-premises para o Oracle Cloud Infrastructure, onde pode configurar Controladores de Domínio Somente para Leitura (RODCs) para o Active Directory on-premises. Em seguida, você pode usar esses RODCs no Oracle Cloud Infrastructure para autenticar e autorizar os usuários on-premises do Active Directory para acesso aos Autonomous Databases.

    Consulte Estender a integração do Active Directory na Nuvem Híbrida para obter mais informações.

  • Você precisa da wallet do banco de dados de configuração de CMU, cwallet.sso e do arquivo de configuração de CMU dsi.ora para configurar o recurso CMU para o seu Autonomous Database:

    • Se você tiver configurado o recurso CMU para um banco de dados on-premises, poderá obter esses arquivos de configuração no servidor de banco de dados on-premises.

    • Se você não tiver configurado o recurso CMU para um banco de dados on-premises, crie esses arquivos. Em seguida, faça upload dos arquivos de configuração para a nuvem a fim de configurar o recurso CMU em sua instância do Autonomous Database. Você pode validar a wallet e o arquivo dsi.ora configurando o recurso CMU para um banco de dados on-premises e verificando se um usuário do Active Directory pode fazer logon com sucesso no banco de dados on-premises com esses arquivos de configuração. Em seguida, faça upload desses arquivos de configuração para a nuvem a fim de configurar o recurso CMU para seu Autonomous Database.

    Para obter detalhes sobre o arquivo de wallet para CMU, consulte:

    Para obter detalhes sobre o arquivo dsi.ora para CMU, consulte Creating the dsi.ora File no Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.

    Para obter detalhes sobre como configurar o Active Directory para o recurso CMU e solucionar problemas de CMU para bancos de dados on-premises, consulte How To Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1).

Configurar o recurso CMU com o Microsoft Active Directory no Autonomous Database

Para configurar o Autonomous Database para CMU para estabelecer conexão com os servidores Active Directory:

  1. Conecte-se ao Autonomous Database como usuário ADMIN.
  2. Verifique se outro esquema de autenticação externa está ativado em seu banco de dados e desative-o.

    Observação:

    Você pode continuar com a configuração CMU-AD no topo do Kerberos para fornecer autenticação CMU-AD Kerberos para usuários do Microsoft Active Directory.
  3. Faça upload dos arquivos de configuração de CMU, incluindo o arquivo de wallet de banco de dados cwallet.sso e o arquivo de configuração de CMU dsi.ora, para o Armazenamento de Objetos. Essa etapa depende do serviço Object Store que você usa.

    O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

    Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

  4. No seu Autonomous Database, crie um novo objeto de diretório ou escolha um objeto de diretório existente. Este é o diretório no qual você armazena a wallet e o arquivo de configuração para estabelecer conexão com o Active Directory:

    Por exemplo:

    CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';

    Use a seguinte instrução SQL para consultar o caminho do diretório do sistema de arquivos do objeto de diretório:

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
       DIRECTORY_NAME='directory_object_name';

    Por exemplo:

    SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
       DIRECTORY_NAME='CMU_WALLET_DIR';
    
    
    DIRECTORY_PATH
    ----------------------------------------------------------------------------
    /file_system_directory_path_example/cmu_wallet

    Observação:

    O nome do objeto do diretório na consulta deve estar em letras maiúsculas, uma vez que seu formato não foi preservado quando o objeto do diretório foi criado.
    Se quiser preservar maiúsculas e minúsculas para o nome do objeto de diretório, será necessário incluir o nome dele entre aspas duplas. Por exemplo:
    CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
  5. Use DBMS_CLOUD.GET_OBJECT para copiar os arquivos de configuração do recurso CMU, a wallet do banco de dados cwallet.sso e dsi.ora, do seu serviço Object Store para o diretório criado ou escolhido na etapa 4 acima.

    Por exemplo, use DBMS_CLOUD.GET_OBJECT para copiar os arquivos do serviço Object Store para CMU_WALLET_DIR da seguinte forma:

    BEGIN
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
          directory_name => 'CMU_WALLET_DIR');
       DBMS_CLOUD.GET_OBJECT(
          credential_name => 'DEF_CRED_NAME',
          object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
          directory_name => 'CMU_WALLET_DIR');
    END;
    /

    Neste exemplo, namespace-string corresponde ao namespace do armazenamento de objetos do Oracle Cloud Infrastructure e bucketname corresponde ao nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

    Consulte Procedimento GET_OBJECT para obter mais informações.

    Use a instrução SQL a seguir para consultar os arquivos copiados no diretório.

    SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');

    Por exemplo:

    SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');

    Observe que o nome do objeto do diretório nessa consulta deve estar em letras maiúsculas, pois seu formato não foi preservado quando o objeto do diretório foi criado.

  6. Ative o recurso CMU-AD no seu Autonomous Database usando o pacote DBMS_CLOUD_ADMIN.

    Observação:

    Substitua os nomes de diretório no exemplo abaixo pelos escolhidos para seu ambiente. Certifique-se de ter feito log-in como usuário ADMIN antes de executar esse comando.
    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      ); 
    END;
    / 
  7. Para manter a segurança, remova os arquivos de configuração de CMU, incluindo a wallet de banco de dados cwallet.sso e o arquivo de configuração de CMU dsi.ora do serviço Object Store. Você pode usar métodos locais de Armazenamento de Objetos para remover esses arquivos ou usar DBMS_CLOUD.DELETE_OBJECT para excluir os arquivos do Armazenamento de Objetos.
    Consulte Procedimento DELETE_OBJECT para obter mais informações sobre DBMS_CLOUD.DELETE_OBJECT.

Observação:

Consulte Desativar o Acesso ao Active Directory no Autonomous Database para obter instruções sobre como desativar o acesso do Autonomous Database para o Active Directory.

Para obter mais informações, consulte Configuring Centrally Managed Users with Microsoft Active Directory no Oracle Database 19c Security Guide ou Oracle Database 19c Security Guide.

Configurar o recurso CMU com o Microsoft Active Directory no Exadata Cloud@Customer

APLICA-SE A: Aplicável Somente Exadata Cloud@Customer

Para configurar o Autonomous Database no Exadata Cloud@Customer para CMU para estabelecer conexão com servidores do Active Directory, sem usar o serviço Oracle Object Store:

  1. Conecte-se ao Autonomous Database como usuário ADMIN.
  2. Verifique se outro esquema de autenticação externa está ativado em seu banco de dados e desative-o usando o comando SQL a seguir.
    BEGIN
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /
  3. O CMU-AD precisa da wallet de conexão cwallet.sso do Active Directory e dos arquivos dsi.ora em um sistema de arquivos local no Cluster de VMs (AVMC) do Autonomous Exadata. Você pode fazer isso hospedando esses arquivos no serviço Oracle Object Store no Oracle Cloud Infrastructure e copiando-os localmente usando o pacote DBMS_CLOUD. Você pode encontrar esse processo com etapas e exemplos detalhados em Configurar CMU com o Microsoft Active Directory no Autonomous Database.
  4. Se não for possível hospedar cwallet.sso e dsi.ora no armazenamento na nuvem, você poderá usar um compartilhamento NFS (Network File System) no seu data center para hospedar esses arquivos e, em seguida, movê-los para um diretório de banco de dados no DBFS (Database File System). Para fazer isso, primeiro você deve anexar um compartilhamento NFS disponível localmente ao objeto de diretório do Autonomous Database, conforme demonstrado abaixo:
    1. Crie um diretório de Banco de Dados na instância do Autonomous Database usando o seguinte comando SQL do seu cliente SQL:
      create or replace directory TMPFSSDIR as 'tmpfssdir';
      
    2. Monte seu compartilhamento NFS nesse diretório usando o pacote DBMS_CLOUD_ADMIN disponível no Autonomous Database.

      Dica:

      Talvez você precise trabalhar com o administrador de rede ou armazenamento para disponibilizar um compartilhamento NFS.
      BEGIN
        DBMS_CLOUD_ADMIN.attach_file_system(
          file_system_name => <some_name_you_assign>,
          file_system_location => <your_nfs_fs_path>,
          directory_name => <tmpfssdir_created_above>,
          description => ‘Any_desc_you_like_to_give’
        );
      END
      Por exemplo:
      BEGIN 
        DBMS_CLOUD_ADMIN.attach_file_system(
          file_system_name => 'AD-FSS',
          file_system_location => acme.com:/nfs/mount1',
          directory_name => 'TMPFSSDIR',
          description => ‘nfs to host AD files’
        );
      END;
  5. Para evitar uma dependência do compartilhamento NFS para que os arquivos cwallet.sso e dsi.ora fiquem disponíveis para CMU, mova-os para uma pasta do sistema de arquivos local usando um mapeamento de diretório do banco de dados. Como o Autonomous Database restringe o acesso ao sistema de arquivos local, crie um procedimento de cópia usando utl_file, conforme demonstrado abaixo:
    1. Crie um diretório de Banco de Dados na instância do Autonomous Database usando o seguinte comando SQL do seu cliente SQL:
      CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
    2. Verifique o caminho do diretório criado acima usando o seguinte comando SQL:
      SELECT DIRECTORY_PATH 
      FROM DBA_DIRECTORIES 
      WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';

      Observação:

      O nome do objeto do diretório deve estar em letras maiúsculas na consulta, uma vez que seu formato não foi preservado durante a criação do objeto do diretório.
    3. Copie dsi.ora e cwallet.sso do diretório NFS para o diretório Wallet de CMU local usando o utilitário UTL_FILE.
      Por exemplo:
      Crie um procedimento armazenado chamado copyfile, conforme mostrado abaixo:
      CREATE OR REPLACE PROCEDURE copyfile(
        in_loc_dir IN VARCHAR2,
        in_filename IN VARCHAR2,
        out_loc_dir IN VARCHAR2,
        out_filename IN VARCHAR2
      )
      IS
        in_file UTL_FILE.file_type;
        out_file UTL_FILE.file_type;
        buffer_size CONSTANT INTEGER := 32767;
        buffer RAW (32767);
        buffer_length INTEGER; 
      BEGIN
        in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
        out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
        UTL_FILE.get_raw (in_file, buffer, buffer_size);
        buffer_length := UTL_RAW.LENGTH (buffer);
      
        WHILE buffer_length > 0
        LOOP 
          UTL_FILE.put_raw (out_file, buffer, TRUE);
      
          IF buffer_length = buffer_size
            THEN
              UTL_FILE.get_raw (in_file, buffer, buffer_size);
              buffer_length := UTL_RAW.LENGTH (buffer);
            ELSE
              buffer_length := 0;
            END IF;
        END LOOP;
      
        UTL_FILE.fclose (in_file);
        UTL_FILE.fclose (out_file);
      EXCEPTION
        WHEN NO_DATA_FOUND
        THEN
          UTL_FILE.fclose (in_file);
          UTL_FILE.fclose (out_file);
      END;
      / 
      Compile o procedimento armazenado copyfile. Uma vez compilado com sucesso, execute o procedimento copyfile uma vez cada um para copiar dsi.ora e cwallet.sso do diretório NFS para o diretório Wallet de CMU local, conforme demonstrado abaixo:
      EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');
      EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');
    4. Execute a consulta SQL a seguir para validar se os arquivos foram copiados para o diretório Wallet de CMU local com sucesso.
      SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
  6. Usando o comando a seguir, desanexe o compartilhamento NFS, pois você não precisa dele para CMU-AD depois que os arquivos forem copiados para o diretório local.
    exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
  7. Ative o recurso CMU-AD no seu Autonomous Database usando o pacote DBMS_CLOUD_ADMIN.

    Observação:

    Substitua os nomes de diretório no exemplo abaixo pelos escolhidos para seu ambiente. Certifique-se de ter feito log-in como usuário ADMIN antes de executar esse comando.
    BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'CMU',
        params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
      ); 
    END;
    / 
  8. Valide consultando o valor da propriedade do banco de dados CMU_WALLET, conforme mostrado abaixo.
    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME = 'CMU_WALLET';
    Por Exemplo:
    SELECT PROPERTY_VALUE
    FROM DATABASE_PROPERTIES
    WHERE PROPERTY_NAME='CMU_WALLET';
    
    PROPERTY_VALUE
    --------------
    CMU_WALLET_DIR

Agora você configurou o recurso CMU-AD para usar autenticação externa via Microsoft Active Directory com o Autonomous Database no Exadata Cloud@Customer.

Adicionar Atribuições do Microsoft Active Directory no Autonomous Database

Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE ou ALTER ROLE (e inclua a cláusula IDENTIFIED GLOBALLY AS).

Para adicionar atribuições globais para grupos do Active Directory no Autonomous Database:

  1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE ROLE e ALTER ROLE necessários para essas etapas).
  2. Defina a autorização do banco de dados para atribuições do Autonomous Database com a instrução CREATE ROLE ou ALTER ROLE. Inclua a cláusula IDENTIFIED GLOBALLY AS e especifique o DN de um grupo do Active Directory.

    Use a seguinte sintaxe para mapear um grupo de usuários de diretório para uma atribuição global de banco de dados:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
         'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Por exemplo:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Neste exemplo, todos os membros do widget_sales_group são autorizados com a atribuição de banco de dados widget_sales_role quando fazem log-in no banco de dados.

  3. Use instruções GRANT para conceder os privilégios necessários ou outras atribuições à atribuição global.

    Por exemplo:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
    GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE é uma atribuição predefinida que tem privilégios comuns definidos. Consulte Gerenciar Privilégios de Usuário do Banco de Dados para obter informações sobre como definir privilégios comuns para usuários do Autonomous Database.

  4. Se quiser fazer com que uma atribuição de banco de dados existente seja associada a um grupo do Active Directory, use a instrução ALTER ROLE para alterar a atribuição de banco de dados existente a fim de mapear a atribuição para um grupo do Active Directory.

    Use a sintaxe a seguir para alterar uma atribuição de banco de dados existente a fim de mapeá-la para um grupo do Active Directory:

    ALTER ROLE existing_database_role 
       IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Se quiser criar mapeamentos de atribuição global adicionais para outros grupos do Active Directory, siga estas etapas para cada grupo do Active Directory.

Para obter mais informações sobre a configuração de atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide.

Adicionar Usuários do Microsoft Active Directory no Autonomous Database

Para adicionar usuários do Active Directory para acessar um Autonomous Database, mapeie usuários globais do banco de dados para grupos ou usuários do Active Directory com as instruções CREATE USER ou ALTER USER (com a cláusula IDENTIFIED GLOBALLY AS).

A integração do Autonomous Database com o Active Directory funciona mapeando usuários e grupos do Microsoft Active Directory diretamente para usuários globais e atribuições globais do banco de dados Oracle.

Para adicionar usuários globais para grupos ou usuários do Active Directory no Autonomous Database:

  1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE USER e ALTER USER necessários para essas etapas).
  2. Defina a autorização do banco de dados para usuários do Autonomous Database com as instruções CREATE USER ou ALTER USER e inclua a cláusula IDENTIFIED GLOBALLY AS, especificando o DN de um usuário ou grupo do Active Directory.

    Use a seguinte sintaxe para mapear um usuário de diretório para um usuário global do banco de dados:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Use a seguinte sintaxe para mapear um grupo de diretórios para um usuário global do banco de dados:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Por exemplo, para mapear um grupo de diretórios chamado widget_sales_group na unidade organizacional sales do domínio production.example.com para um usuário global de banco de dados compartilhado chamado WIDGET_SALES:

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
    

    Isso cria um mapeamento de usuário global compartilhado. O mapeamento, com o usuário global widget_sales, é efetivo para todos os usuários do grupo do Active Directory. Portanto, qualquer pessoa em widget_sales_group pode fazer log-in no banco de dados usando suas credenciais do Active Directory (por meio do mapeamento compartilhado do usuário global widget_sales).

  3. Se você quiser que os usuários do Active Directory usem um usuário de banco de dados existente, possuam seu esquema e possuam seus respectivos dados existentes, use ALTER USER para alterar um usuário de banco de dados existente para mapear o usuário para um grupo ou usuário do Active Directory.
    • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um usuário do Active Directory:

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
    • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um grupo do Active Directory:

      ALTER USER existing_database_user 
           IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Se quiser criar mapeamentos de usuários globais adicionais para outros grupos ou usuários do Active Directory, siga estas etapas para cada grupo ou usuário do Active Directory.

Para obter mais informações sobre a configuração de atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide.

Estabelecer Conexão com o Autonomous Database com Credenciais do Usuário do Active Directory

Depois que o usuário ADMIN conclui as etapas de configuração de CMU com o Active Directory e cria atribuições globais e usuários globais, os usuários fazem log-in no Autonomous Database usando seu nome de usuário e senha do Active Directory.

Observação:

Não faça log-in usando um nome de Usuário Global. Os nomes de Usuário Global não têm uma senha, e a conexão com um nome de Usuário Global não será bem-sucedida. Você deve ter um mapeamento de usuário global no seu Autonomous Database para fazer log-in no banco de dados. Você não pode fazer log-in no banco de dados apenas com mapeamentos de atribuição global.
  1. Para fazer log-in no Autonomous Database usando o nome de usuário e a senha do Active Directory, estabeleça conexão da seguinte forma:
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Por exemplo:

    CONNECT "production\pfitch"/password@adbname_medium;

    Você precisa incluir aspas duplas quando o domínio do Active Directory for incluído junto com o nome de usuário, como neste exemplo: "production\pfitch".

    Neste exemplo, o nome de usuário do Active Directory é pfitch no domínio production. O usuário do Active Directory é membro do grupo widget_sales_group identificado por seu DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Depois de configurar CMU com o Active Directory no Autonomous Database e configurar a autorização do Active Directory, com atribuições e usuários globais, você pode se conectar ao seu Autonomous Database usando qualquer método de conexão descrito em Sobre a Conexão com um Autonomous Database Dedicado. Ao estabelecer conexão, se você quiser usar um usuário do Active Directory, use as credenciais de usuário do Active Directory. Por exemplo, forneça um nome de usuário neste formato, "AD_DOMAIN\AD_USERNAME" (aspas duplas devem ser incluídas) e use AD_USER_PASSWORD para a senha.

Verificar Informações de Conexão do Usuário do Active Directory com o Autonomous Database

Quando os usuários fazem log-in no Autonomous Database usando seu nome de usuário e senha do Active Directory, você pode verificar e auditar a atividade do usuário.

Por exemplo, quando o usuário pfitch faz log-in:

CONNECT "production\pfitch"/password@exampleadb_medium;

O nome de usuário de log-in do usuário do Active Directory (samAccountName) é pfitch, widget_sales_group é o nome do Grupo do Active Directory e widget_sales é o usuário global do Autonomous Database.

Depois que pfitch fizer log-in no banco de dados, o comando SHOW USER mostrará o nome de usuário global:

SHOW USER;

USER is "WIDGET_SALES"

O seguinte comando mostra o DN (Nome Exclusivo) do usuário do Active Directory:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Por exemplo, você pode verificar essa identidade corporativa do usuário gerenciado centralmente:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

O seguinte comando mostra "AD_DOMAIN\AD_USERNAME":

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Por exemplo, a identidade de usuário autenticada do Active Directory é capturada e auditada quando o usuário faz logon no banco de dados:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Consulte Verifying the Centrally Managed User Logon Information no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide para obter mais informações.

Remover Usuários e Atribuições do Active Directory no Autonomous Database

Para remover usuários e atribuições do Active Directory de Autonomous Databases, use comandos de banco de dados padrão. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.

Para remover usuários ou atribuições do Autonomous Database:

  1. Faça log-in no banco de dados configurado para usar o Active Directory como um usuário que recebeu o privilégio de sistema DROP USER ou DROP ROLE.
  2. Elimine os usuários globais ou as atribuições globais que foram mapeados para grupos ou usuários do Active Directory com a instrução DROP USER ou DROP ROLE.
    Consulte Remover Usuários do Banco de Dados para obter mais informações.

Desativar o Acesso ao Active Directory no Autonomous Database

Descreve as etapas para remover a configuração de CMU do Autonomous Database (e desativar o acesso LDAP do Autonomous Database ao Active Directory).

Após a configuração da instância do Autonomous Database para acessar o Active Directory de CMU, você poderá desativar o acesso da seguinte forma:

  1. Conecte-se ao Autonomous Database como usuário ADMIN.
  2. Use o DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desativar a autenticação de CMU.

    Observação:

    Para executar esse procedimento, você deve fazer log-in como usuário ADMIN ou ter o privilégio EXECUTE em DBMS_CLOUD_ADMIN.

    Por exemplo:

    BEGIN   
       DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /

    Isso desativa a autenticação de CMU na sua instância do Autonomous Database.

Consulte Procedimento DISABLE_EXTERNAL_AUTHENTICATION para obter mais informações.

Limitações com o Microsoft Active Directory no Autonomous Database

As seguintes limitações se aplicam ao serviço CMU com o Active Directory no Autonomous Database:

  • Somente a "autenticação de senha" e o Kerberos são compatíveis com o recurso CMU com o Autonomous Database. Quando você está usando a autenticação de CMU com o Autonomous Database, não há suporte para outros métodos de autenticação, como Azure AD, OCI IAM e PKI.

  • O Oracle Application Express e o Database Actions não oferecem suporte a usuários do Active Directory no Autonomous Database.