Gerenciar Perfis de Usuário com o Autonomous Database on Dedicated Exadata Infrastructure
Você pode criar e alterar perfis de usuários no Autonomous Database. Depois de criar ou alterar um perfil, você pode especificar a cláusula de perfil com CREATE USER
ou ALTER USER
. Você também pode importar perfis de usuário existentes de outro ambiente com o Oracle Data Pump Import.
Observação:
O Autonomous Database tem restrições na cláusula de perfil. Consulte Limitações sobre o Uso de Comandos SQL para obter informações sobre as restrições CREATE PROFILE
e ALTER PROFILE
.
Para adicionar, modificar ou remover um parâmetro de senha em um perfil, incluindo o perfil DEFAULT
, você deve ter o privilégio de sistema ALTER PROFILE
.
Isso cria new_user
com o perfil new_profile
e com privilégios de conexão. O new_user
agora pode se conectar ao banco de dados e executar consultas. Para conceder privilégios adicionais a usuários, consulte Gerenciar Privilégios de Usuário do Banco de Dados.
Consulte CREATE PROFILE em Oracle Database 19c SQL Language Reference ou Oracle Database 23ai SQL Language Reference para obter informações sobre o uso de CREATE PROFILE
.
Você pode importar perfis existentes criados em outros ambientes usando o Oracle Data Pump Import (impdp
). Qualquer associação de perfil existente com usuários de banco de dados é preservada após a importação para o Autonomous Database. Quando um usuário recém-criado, criado com base em uma importação do Oracle Data Pump, tenta efetuar log-in pela primeira vez, o log-in é tratado da seguinte forma:
- As restrições de complexidade de senhas são as mesmas para qualquer usuário do Autonomous Database.
-
Se a senha do usuário violar os requisitos de complexidade da senha, a conta expirará com um período de tolerância de 30 dias. Nesse caso, o usuário deverá alterar sua senha antes do término do período de tolerância.
Observação:
As designações de perfil para usuários com o perfilORA_PROTECTED_PROFILE
não podem ser modificadas.
Ao criar ou alterar um perfil, você pode especificar uma Função de Verificação de Senha (PVF) para gerenciar a complexidade da senha. Consulte Gerenciar Complexidade de Senha no Autonomous Database para obter mais informações.
Tópicos Relacionados
Gerenciar Complexidade de Senha no Autonomous Database
Você pode criar uma Função de Verificação de Senha (PVF) e associá-la a um perfil para gerenciar a complexidade das senhas do usuário.
Observação:
O tamanho mínimo da senha para um PVF especificado pelo usuário é de 8 caracteres e deve incluir pelo menos uma letra maiúscula, uma minúscula e um numérico. O tamanho mínimo da senha para o perfil DEFAULT é de 12 caracteres (o perfil DEFAULT usa a função PVFCLOUD_VERIFY_FUNCTION
). A senha não pode conter o nome de usuário.
A Oracle recomenda o uso de uma senha com no mínimo 12 caracteres. Se você definir o PVF de um perfil e o tamanho mínimo da senha para menos de 12 caracteres, ferramentas como Oracle Database Security Assessment Tool (DBSAT) e Qualys reportarão isso como risco de segurança do banco de dados.
Por exemplo, para especificar uma função PVF para um perfil, use o seguinte comando:
CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF
Se o perfil for criado ou alterado por qualquer usuário que não seja o usuário ADMIN, conceda o privilégio EXECUTE
na função PVF. Se você criar uma função PVF e a verificação de senha falhar, o banco de dados reportará o erro ORA-28219
.
Você pode especificar uma função PVF fornecida pela Oracle, com uma das seguintes opções:
CLOUD_VERIFY_FUNCTION
(esta é a função de verificação de senha padrão para o Autonomous Database):Essa função verifica os seguintes requisitos quando os usuários criam ou modificam senhas:
-
A senha deve ter de 12 a 30 caracteres e deve incluir pelo menos uma letra maiúscula, uma letra minúscula e um caractere numérico.
-
A senha não pode conter o nome de usuário.
-
A senha não pode ser usada para o mesmo nome de usuário.
-
A senha não pode conter o caractere de aspas duplas (").
-
A senha não deve ser a mesma que foi definida há menos de 24 horas.
-
ORA12C_STIG_VERIFY_FUNCTION
Essa função verifica os seguintes requisitos quando os usuários criam ou modificam senhas:
-
A senha tem pelo menos 15 caracteres.
-
A senha tem pelo menos 1 caractere minúsculo e 1 maiúsculo.
-
A senha tem pelo menos 1 dígito.
-
A senha tem pelo menos 1 caractere especial.
-
A senha é diferente da senha anterior em pelo menos 8 caracteres.
Consulte ora12c_stig_verify_function Password Requirements no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide para obter mais informações.
-
Observe as seguintes restrições para uma Função de Verificação de Senha (PVF) que você cria e designa a um perfil:
-
Se você especificar um perfil de usuário, o tamanho mínimo da senha dependerá de como você define a função PVF associada, da seguinte forma:
-
Se um PVF for definido, o tamanho mínimo de senha imposto será de 8 caracteres, com pelo menos uma letra maiúscula, uma minúscula e um numérico. A senha não pode conter o nome de usuário.
-
Se o PVF for definido como
NULL
, o tamanho mínimo de senha imposto será de 8 caracteres, com pelo menos uma letra maiúscula, uma minúscula e um numérico. A senha não pode conter o nome de usuário. -
Se o perfil não tiver uma PVF definida, a do perfil DEFAULT (
CLOUD_VERIFY_FUNCTION
) será designada e o tamanho mínimo imposto da senha será de 12 caracteres.
-
- Se você especificar uma Função de Verificação de Senha (PVF) mais rigorosa que o padrão
CLOUD_VERIFY_FUNCTION
, a nova função de verificação será usada. -
Uma função PVF que você cria deve ser criada como função PL/SQL
DEFINER RIGHTS
. Se uma função PVF de direitosINVOKER
for informada como entrada paraCREATE
ouALTER
PROFILE
, o erroORA-28220
será gerado. -
Qualquer PVF que você criar deverá ser criada no esquema do usuário ADMIN. Se uma função PVF não pertencente ao usuário ADMIN for informada como entrada para
CREATE
ouALTER
PROFILE
, o erroORA-28220
será gerado. -
Uma função PVF não pode ser alterada nem eliminada por um usuário não ADMIN. Ou seja, qualquer usuário com o privilégio
CREATE
ouDROP
ANY PROCEDURE
não pode alterar nem eliminar uma função PVF. -
Se a função PVF associada a um perfil for eliminada, qualquer tentativa de alterar a senha de um usuário que usa PVF em seu perfil vai gerar o erro
ORA-7443
. Os usuários ainda podem fazer log-in quando a função PVF associada aos perfis deles é eliminada. No entanto, se a senha de um usuário expirar e a função PVF for eliminada, o usuário não poderá fazer log-in.Para recuperar do erro
ORA-7443
, o usuário ADMIN deve criar novamente a função PVF eliminada e designá-la ao perfil ou designar uma PVF existente ao perfil. Isso permite que um usuário altere a senha e o log-in. -
Os privilégios de sistema
CREATE ANY PROCEDURE
eDROP ANY PROCEDURE
são auditados para segurança PVF. Consulte a listaPROCEDURES
em Listings of System and Object Privileges em Oracle Database 19c SQL Language Reference ou Oracle Database 23ai SQL Language Reference para obter mais informações.
Consulte Managing the Complexity of Passwords no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide para obter mais informações.
Renovação Gradual de Senha do Banco de Dados para Aplicativos
Um aplicativo pode alterar suas senhas de banco de dados sem que um administrador precise programar um período de indisponibilidade.
Para fazer isso, você pode associar um perfil, que tenha um limite diferente de zero para o parâmetro de perfil de senha PASSWORD_ROLLOVER_TIME
, a um esquema de aplicativo. Isso permite que a senha do banco de dados do usuário do aplicativo seja alterada, permitindo que a senha mais antiga permaneça válida pelo tempo especificado pelo limite PASSWORD_ROLLOVER_TIME
. Durante o período de renovação, a instância do aplicativo pode usar a senha antiga ou a nova senha para estabelecer conexão com o servidor de banco de dados. Quando o tempo de renovação expirar, somente a nova senha será permitida.
Consulte Gerenciando a Renovação Gradual de Senha do Banco de Dados para Aplicativos para obter mais informações.