Ativar Autenticação de ID do Microsoft Entra no Autonomous AI Database
Um administrador do Microsoft Entra ID e um administrador do Autonomous AI Database executam etapas para configurar a autenticação do Entra ID no Autonomous AI Database.
Registrar a Instância do Oracle AI Database com uma Tenancy de ID do Microsoft Entra
Um usuário com privilégios de administrador do Entra ID usa o Microsoft Entra ID para registrar a instância do Oracle AI Database na tenancy do Microsoft Entra ID.
-
Faça log-in no portal do Azure como administrador que tem privilégios do ID do Microsoft Entra para registrar aplicativos.
-
Na página central de administração do diretório do Azure Active, na barra de navegação esquerda, selecione Azure Active Directory.
-
Na página Registros do MS-App, selecione Registros do aplicativo na barra de navegação esquerda.
-
Selecione Nova inscrição.
A janela Registrar um aplicativo é exibida.
-
Na página Registrar um aplicativo, especifique as seguintes informações sobre o registro de instância no Oracle AI Database:
-
No campo Nome, informe um nome para a conexão da instância do banco de dados Oracle AI Database (por exemplo,
Example Database). -
Em Tipos de conta suportados, selecione o tipo de conta que corresponde ao seu caso de uso.
-
Contas somente neste diretório organizacional (tenant_name somente - Tenant único)
-
Contas em qualquer diretório organizacional (Qualquer diretório Entra ID - Multitenant)
-
Contas em qualquer diretório organizacional (diretório Qualquer ID do Entra - Multitenant) e contas pessoais da Microsoft (por ex., Skype, Xbox)
-
Somente contas pessoais da Microsoft
-
-
-
Ignore as definições do URI de Redirecionamento (Opcional). Não é necessário criar um URI de redirecionamento porque o ID do Entra não precisa de um para o servidor de banco de dados.
-
Clique em Registrar.
Depois que você clicar em Registrar, o Entra ID exibirá o painel Visão Geral do registro do aplicativo, que mostrará o ID do Aplicativo (cliente) em Essentials. Esse valor é um identificador exclusivo para o aplicativo na plataforma de identidade da Microsoft. Observe que o termo Aplicativo se refere à instância do Oracle AI Database.
-
Registre um escopo para o registro do aplicativo de banco de dados.
Um escopo é uma permissão para acessar o banco de dados. Cada banco de dados precisará de um escopo para que os clientes possam estabelecer uma confiança com o banco de dados solicitando permissão para usar o escopo do banco de dados. Isso permite que o cliente do banco de dados obtenha tokens de acesso para o banco de dados.
-
Na barra de navegação esquerda, selecione Expor uma API.
-
Em Definir o URI do ID do Aplicativo, no campo URI do ID do Aplicativo, informe o URI do ID do aplicativo para a conexão de banco de dados usando o seguinte formato e clique em Salvar:
your_tenancy_url/application_(client)_idNesta especificação:
-
your_tenancy_urldeve incluirhttpscomo prefixo e o nome de domínio totalmente qualificado da sua tenancy de ID de Entra. -
application_(client)_idé o ID gerado quando você registrou a instância do Oracle AI Database com o ID do Entra. Ele é exibido no painel Visão Geral do registro de aplicativo.
Por exemplo:
https://sales_west.example.com/1aa11111-1a1z-1a11-1a1a-11aa11a1aa1a -
-
Selecione Adicionar um escopo e, em seguida, informe as seguintes configurações:
-
Após a conclusão dessas etapas, você estará pronto para adicionar uma ou mais atribuições de aplicativo do Azure e, em seguida, executar os mapeamentos de esquemas e atribuições da Oracle.
Ativar Tokens de Acesso do ID v2 do Microsoft Entra
O Oracle AI Database suporta integração com o token de acesso v1 e v2 Azure AD OAuth2.
O Oracle AI Database suporta o token Entra ID v2, bem como o token v1 padrão. No entanto, para usar o token Entra ID v2, você deve executar algumas etapas adicionais para garantir que ele funcione com o Oracle AI Database. Você pode usar esse token com aplicativos registrados no portal do Azure usando a experiência de Registros de aplicativos.
Quando você usa o token de acesso OAuth2 do Azure AD v2, o fluxo de credenciais continua a funcionar como antes, sem nenhuma alteração. No entanto, a reivindicação upn: deve ser adicionada quando você usa tokens v2 com o fluxo interativo.
-
Verifique a versão do token de acesso Entra ID que você está usando.
-
Faça login no portal do ID do Microsoft Entra.
-
Pesquise e selecione ID da Entrada.
-
Em Gerenciar, selecione Registros de aplicativos.
-
Escolha o aplicativo para o qual deseja configurar reivindicações opcionais com base no cenário e no resultado desejado.
-
Em Gerenciar, selecione Configuração de token.
-
Clique em Adicionar reivindicação opcional e selecione upn.
Quando você usa tokens v2, a reivindicação aud: só reflete o valor do ID do APP. Não é necessário definir o prefixo https:domain como o URI do ID do APP quando os tokens v2 estão sendo usados. Isso simplifica a configuração do banco de dados porque o URI de ID de APP padrão pode ser usado.
Você pode verificar a versão do token de acesso Entra ID que seu site usa usando o site JSON Web Tokens.
Verificar Versão do Token de Acesso do ID de Entra
Você pode verificar a versão do token de acesso Entra ID que seu site usa usando o site JSON Web Tokens.
Por padrão, o token de acesso Entra ID v1, mas seu site pode ter escolhido usar o v2. O Oracle AI Database também suporta tokens v1 e o Autonomous AI Database Serverless também suporta tokens v2. Se quiser usar os tokens de acesso v2, você poderá ativar o uso deles para o Oracle AI Database. Para encontrar a versão do token de acesso Entra ID que você está usando, você pode verificar com o administrador do Entra ID ou confirmar a versão no site JSON Web Tokens, da seguinte forma.
-
Acesse o site Web Tokens JSON.
https://jwt.io/ -
Copie e cole a string de token no campo Codificado.
-
Marque o campo Decodificado, que exibe informações sobre a string de token.
Perto ou na parte inferior do campo, você verá uma reivindicação intitulada
ver, que indica uma das seguintes versões:-
"ver": "1.0" -
"ver": "2.0"
-
Gerenciar Atribuições de Aplicativo no ID do Microsoft Entra
No ID do Entra, você pode criar e gerenciar atribuições do aplicativo que serão designadas a usuários e grupos de Azure e também serem mapeadas para esquemas e atribuições globais de Oracle AI Database.
Criar uma Atribuição de Aplicativo do ID do Microsoft Entra
Os usuários, grupos e aplicativos do Azure que precisam se conectar ao banco de dados serão designados às atribuições do aplicativo de banco de dados.
Consulte o artigo do Microsoft Azure Criar e atribuir uma função personalizada no Azure Active Directory para obter etapas detalhadas sobre como criar uma atribuição de aplicativo. As etapas a seguir descrevem como criar a função do aplicativo para uso com um Oracle AI Database.
-
Faça log-in no ID do Entra como um administrador que tem privilégios para criar atribuições de aplicativo.
-
Acesse o registro de aplicativo do Oracle AI Database que você criou.
-
Use o filtro Diretório + assinatura para localizar o tenant de ID de Entra que contém o registro do aplicativo Oracle AI Database
-
Selecione Azure Active Directory.
-
Em Gerenciar, selecione Registros de aplicativo e selecione a instância do Oracle AI Database que você registrou anteriormente.
-
-
Em Gerenciar, selecione Atribuições de aplicativos.
-
Na página de atribuições de Aplicativo, selecione Criar atribuição de app.
-
Na página Criar atribuição de aplicativo, digite as seguintes informações:
-
O nome para exibição é o nome exibido da função (por exemplo,
HR App Schema). Você pode incluir espaços nesse nome. -
Valor é o nome real da atribuição (por exemplo,
HR_APP). Certifique-se de que essa definição corresponda exatamente à string que é referenciada no mapeamento do banco de dados para um esquema ou atribuição. Não inclua espaços nesse nome. -
Descrição fornece uma descrição da finalidade dessa atribuição.
-
Deseja ativar esta atribuição do aplicativo? permite ativar a atribuição.
-
-
Clique em Aplicar.
A atribuição de aplicativo aparece no painel Atribuições de aplicativo.
Designar Usuários e Grupos à Atribuição de Aplicativo do ID do Microsoft Entra
Antes que os usuários de Microsoft Azure possam ter acesso ao Oracle AI Database, eles devem primeiro ser atribuídos às atribuições do aplicativo que serão mapeadas para usuários ou atribuições do esquema Oracle AI Database.
Consulte o artigo do Microsoft Azure Adicionar funções de aplicativo a seu aplicativo e recebê-las no token para obter etapas detalhadas sobre como designar usuários e grupos a uma atribuição de aplicativo. As etapas seguintes explicam como fazer isso para um Oracle AI Database.
-
Faça log-in no Entra ID como administrador que tem privilégios para designar usuários do Azure e grupos de Entra ID a atribuições de aplicativo.
-
Em aplicativos empresariais, localize o nome do registro do aplicativo Oracle AI Database que você criou. Isso é criado automaticamente quando você cria um registro de aplicativo.
-
Use o filtro Diretório + assinatura para localizar o locatário do Azure Active Directory que contém a conexão do Oracle.
-
Selecione Azure Active Directory.
-
Em Gerenciar, selecione Aplicativos corporativos e, em seguida, selecione o nome de registro do aplicativo Oracle AI Database que você registrou anteriormente.
-
-
Em Conceitos Básicos, selecione Atribuir usuários e grupos.
-
Selecione Adicionar usuário/grupo.
-
Na janela Adicionar designação, selecione Usuários e grupos para exibir uma lista de usuários e grupos da segurança.
-
Nessa lista, selecione os usuários e grupos que você deseja atribuir à atribuição do aplicativo e clique em Selecionar.
-
Na janela Adicionar designação, selecione Selecionar uma atribuição para exibir uma lista das atribuições do aplicativo que você criou.
-
Selecione a atribuição do aplicativo e depois Selecionar.
-
Clique em Designar.
Atribuir um Aplicativo a uma Atribuição de Aplicativo
Um aplicativo que deve se conectar ao banco de dados usando o fluxo de credenciais do cliente deve ser designado a uma atribuição de aplicativo.
-
Faça log-in no Entra ID como administrador que tem privilégios para designar usuários do Azure e grupos de Entra ID a atribuições de aplicativo.
-
Acesse o registro do aplicativo.
-
Em Gerenciar, selecione Permissões da API.
-
Na área de permissões Configuradas, selecione + Adicionar uma permissão.
-
No painel de permissão Solicitação de API, selecione a guia Minhas APIs.
-
Selecione o aplicativo do Oracle AI Database que você deseja conceder permissão para este aplicativo acessar. Em seguida, selecione a opção Permissões de aplicativo.
-
Selecione as atribuições do aplicativo de banco de Dados a serem atribuídas ao aplicativo e, em seguida, clique na caixa Adicionar Permissão na parte inferior da tela para atribuir as atribuições do aplicativo e fechá-la. Certifique-se de que as atribuições de aplicativo que você acabou de designar apareçam em Permissões configuradas.
-
Selecione Conceder consentimento de administrador para tenancy para conceder consentimento aos usuários da tenancy e, em seguida, selecione Sim na Caixa de Diálogo de Confirmação.
Consulte também: Configurar o workflow de consentimento do administrador
Configurar o ID do Microsoft Entra como um Provedor de Identidades Externo para o Autonomous AI Database
Um administrador do Autonomous AI Database pode ativar o Entra ID como um provedor de identidades externo em uma instância do Autonomous AI Database.
Para ativar o ID do Entra como um provedor de identidades externo:
-
Faça log-in na instância do Autonomous AI Database como um usuário que tenha o privilégio
EXECUTEno pacote PL/SQLDBMS_CLOUD_ADMIN. O usuárioADMINtem esse privilégio. -
Execute o procedimento
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONcom os parâmetros obrigatórios do ID do Entra.BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type =>'AZURE_AD', params => JSON_OBJECT('tenant_id' VALUE 'tenant_id', 'application_id' VALUE 'application_id', 'application_id_uri' VALUE 'application_id_uri'), force => TRUE ); END;Neste procedimento, os parâmetros Entra ID são:
-
type: Especifica o provedor de autenticação externo. Para Entra ID, conforme mostrado, use'AZURE_AD'. -
params: Os valores dos parâmetros obrigatórios do Entra ID estão disponíveis no portal do Azure no painel Visão Geral do registro do aplicativo para o Azure Active Directory. Osparamsnecessários para Entra ID são:-
tenant_id: ID do Tenant da Conta do Azure. O ID do Tenant especifica o registro do aplicativo Entra ID da instância do Autonomous AI Database. -
application_id: ID do Aplicativo do Azure criado no Entra ID para designar mapeamentos de atribuições/esquema para autenticação externa na instância do Autonomous AI Database. -
application_id_uri: URI exclusivo designado ao Aplicativo do Azure.Este é o identificador da instância do Autonomous AI Database. O nome deve ser qualificado para o domínio (suporta acesso a recursos entre tenancies).
O tamanho máximo para este parâmetro é de 256 caracteres.
-
-
force: Defina esse parâmetro comoTRUEse outro métodoEXTERNAL AUTHENTICATIONestiver configurado para a instância do Autonomous AI Database e você quiser desativá-lo.
Por exemplo:
BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type =>'AZURE_AD', params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82', 'application_id' VALUE '11aa1a11-aaa', 'application_id_uri' VALUE 'https://example.com/111aa1aa'), force => TRUE ); END;Isso define o parâmetro do sistema
IDENTITY_PROVIDER_TYPE.Por exemplo, você pode usar o seguinte para verificar
IDENTITY_PROVIDER_TYPE:SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type'; NAME VALUE ---------------------- -------- identity_provider_type AZURE_ADConsulte Procedimento ENABLE_EXTERNAL_AUTHENTICATION para obter mais informações.
-