Documentação do Oracle Cloud Infrastructure

Conectar Aplicativos Python com uma Wallet (mTLS)

Você pode conectar aplicativos Python à instância do Autonomous Database com uma wallet.

A conexão de um aplicativo Python com uma wallet (TLS) fornece segurança avançada para autenticação e criptografia, e a segurança é imposta usando as credenciais do cliente ( fornecendo um nome de usuário e uma senha).

O "modo Thin" padrão do driver python-oracledb se conecta diretamente ao Oracle Database. O driver pode, opcionalmente, usar as bibliotecas do Oracle Client, o "modoick", para alguma funcionalidade adicional. As bibliotecas do Oracle Client podem ser do Oracle Instant Client, do Cliente Oracle completo ou de uma instalação do Oracle Database.

Siga estas etapas para conectar seu aplicativo Python a uma instância do Autonomous Database usando uma wallet (mTLS):

  1. Instalar o Python e o Driver python-oracledb
  2. Obter credenciais de segurança (Oracle Wallet) e ativar a conectividade de rede
  3. Execute esta etapa se quiser se conectar apenas no modo Thin: Executar Aplicativo Python com o Modo Thin python-oracledb com uma Wallet (mTLS)
  4. Execute esta etapa se quiser se conectar no modo Thick: Executar Aplicativo Python com o Modo Thick python-oracledb com uma Wallet (mTLS)

Tópicos

Tópico principal: Connect Python Applications to Autonomous Database

Obter credenciais de segurança (Oracle Wallet) e ativar a conectividade de rede

Obtenha credenciais de segurança do cliente para estabelecer conexão com uma instância do Autonomous Database.

  1. Faça download de um arquivo de wallet na instância do Autonomous Database para obter um arquivo zip que contenha as credenciais de segurança do cliente e as definições de configuração de rede necessárias para acessar uma instância do Autonomous Database.

    Obtenha as credenciais de segurança do cliente (arquivo wallet.zip):

    • Usuário ADMIN: Na Console do Oracle Cloud Infrastructure, clique em Conexão do banco de dados. Consulte Download das Credenciais do Cliente (Wallets).

    • Outro usuário (não administrador): Obtenha a Oracle Wallet junto ao administrador da instância do Autonomous Database.

    Observação

    Proteja o arquivo wallet.zip e seu conteúdo para impedir o acesso não autorizado ao banco de dados.
  2. Descompacte o arquivo de credenciais do cliente (wallet.zip).

Executar Aplicativo Python com o Modo Thin python-oracledb com uma Wallet (mTLS)

Por padrão, o python-oracledb usa o modo Thin para estabelecer conexão diretamente com a instância do Autonomous Database.

No modo Thin, são necessários apenas dois arquivos do zip da wallet:

  • tnsnames.ora: Mapeia nomes de serviço de rede usados para strings de conexão de aplicativo para seus serviços de banco de dados.

  • ewallet.pem: Ativa conexões SSL/TLS no modo Thin.

Para estabelecer conexão no modo Thin:

  1. Mova os arquivos tnsnames.ora e ewallet.pem para um local no sistema.

    Por exemplo, no Linux:

    /opt/OracleCloud/MYDB

    Por exemplo, no Windows:

    C:\opt\OracleCloud\MYDB
  2. No seu aplicativo Python, defina os seguintes parâmetros de conexão para conectar-se a uma instância do Autonomous Database:
    • config_dir: Especifica o diretório que contém o arquivo tnsnames.ora.
    • dsn: Use para especificar o alias de rede desejado do arquivo tnsnames.ora.
    • password: Especifica a senha de usuário do banco de dados.
    • user: Especifica o usuário do banco de dados.
    • wallet_location: Especifica o diretório que contém o arquivo PEM (ewallet.pem).
    • wallet_password: Especifica a senha do arquivo PEM (ewallet.pem). Você define essa senha quando faz download do arquivo wallet.zip.

    Por exemplo, no Linux, para conectar-se como usuário ADMIN utilizando oracledb.connect com o nome de serviço de rede db2024_low (o nome do serviço é encontrado em tnsnames.ora): 

    connection=oracledb.connect(
     config_dir="/opt/OracleCloud/MYDB",
     user="admin",
     password=password,
     dsn="db2024_low",
     wallet_location="/opt/OracleCloud/MYDB",
     wallet_password=wallet_pw)

    Por exemplo, no Windows, para conectar-se como usuário ADMIN utilizando oracledb.connect com o nome de serviço de rede db2024_low (o nome do serviço é encontrado em tnsnames.ora): 

    connection=oracledb.connect(
     config_dir=r"C:\opt\OracleCloud\MYDB",
     user="admin",
     password=password,
     dsn="db2024_low",
     wallet_location=r"C:\opt\OracleCloud\MYDB",
     wallet_password=wallet_pw)

    O uso de uma string 'raw' r"..." significa que as barras invertidas são tratadas como separadores de diretório.

    Conforme mostrado nesse exemplo, wallet_location e config_dir são definidos para o mesmo diretório (e o diretório contém os arquivos tnsnames.ora e ewallet.pem). Não é obrigatório especificar o mesmo diretório para esses arquivos.

Se você estiver usando um firewall, poderá fazer túnel de conexões TLS/SSL por meio de um proxy usando HTTPS_PROXY no descritor de conexão ou definindo atributos de conexão. A conexão bem-sucedida depende de configurações de proxy específicas. A Oracle não recomenda o uso de um proxy em um ambiente de produção, em razão do possível impacto no desempenho.

No modo Thin, você pode especificar um proxy adicionando os parâmetros https_proxy e http_proxy_port.

Por exemplo, no Linux:

connection=oracledb.connect(
     config_dir="/opt/OracleCloud/MYDB",
     user="admin",
     password=password,
     dsn="db2024_low",
     wallet_location="/opt/OracleCloud/MYDB",
     wallet_password=wallet_pw,
     https_proxy='myproxy.example.com',
     https_proxy_port=80)

Por exemplo, no Windows:

connection=oracledb.connect(
     config_dir=r"C:\opt\OracleCloud\MYDB",
     user="admin",
     password=password,
     dsn="db2024_low",
     wallet_location=r"C:\opt\OracleCloud\MYDB",
     wallet_password=wallet_pw,
     https_proxy='myproxy.example.com',
     https_proxy_port=80)

Executar Aplicativo Python com o Modo Thick python-oracledb com uma Wallet (mTLS)

Por padrão, o python-oracledb é executado no modo Thin, que se conecta diretamente ao Oracle Database. Recursos adicionais de python-oracledb estão disponíveis quando o driver é executado no modo Thick.
Observação

O modo Thick exige que as bibliotecas do Oracle Client sejam instaladas onde você executa o Python. Você também deve chamar oracledb.init_oracle_client() em seu código Python.

No modo Thick, os três arquivos a seguir do arquivo zip da wallet são obrigatórios:

  • tnsnames.ora: Contém os nomes de serviço de rede usados para strings de conexão de aplicativo e mapeia as strings para os serviços de banco de dados.

  • sqlnet.ora: Especifica a configuração do cliente SQL*Net.

  • cwallet.sso: Contém a wallet de SSO aberta automaticamente.

Para estabelecer conexão no modo Thick:

  1. Coloque os arquivos tnsnames.ora, sqlnet.ora e cwallet.sso no sistema.

    Use uma das duas opções para colocar esses arquivos no sistema:

    • Se você estiver usando o Instant Client, mova os arquivos para uma hierarquia de subdiretórios network/admin no diretório Instant Client. Por exemplo, dependendo da arquitetura ou do sistema cliente e onde você instalou o Instant Client, os arquivos deverão ser colocados em um diretório como: 

      /home/myuser/instantclient_19_21/network/admin

      ou

      /usr/lib/oracle/19.21/client64/lib/network/admin

      Por exemplo, no Linux, se você estiver usando o Oracle Client completo, mova os arquivos para $ORACLE_HOME/network/admin.

    • Se preferir, mova os arquivos para qualquer diretório acessível.

      Por exemplo, no Linux, mova os arquivos para o diretório /opt/OracleCloud/MYDB e edite sqlnet.ora para alterar o diretório de local da wallet para o diretório que contém o arquivo cwallet.sso.

      Por exemplo, no Linux, edite o arquivo sqlnet.ora da seguinte forma: 

      WALLET_LOCATION = (SOURCE = (METHOD=file) (METHOD_DATA = (DIRECTORY="/opt/OracleCloud/MYDB")))
SSL_SERVER_DN_MATCH=yes

      Quando os arquivos de configuração não estão no local padrão, seu aplicativo precisa indicar onde eles estão, com o parâmetro config_dir na chamada oracledb.init_oracle_client() ou definindo a variável de ambiente TNS_ADMIN.

      Observação

      Nenhuma dessas definições é necessária e você não precisará editar sqlnet.ora se colocar todos os arquivos de configuração no diretório network/admin.
  2. No seu aplicativo Python, defina os seguintes parâmetros de inicialização e conexão para conectar-se à instância do Autonomous Database:
    • config_dir: Especifica o diretório de configuração quando você está colocando os arquivos de configuração. Isso só é necessário quando os arquivos de configuração são colocados em um diretório fora do diretório de configuração do cliente instantâneo network/admin.
    • dsn: Especifica o alias de rede desejado do arquivo tnsnames.ora.
    • password: Especifica a senha de usuário do banco de dados.
    • user: Especifica o usuário do banco de dados.

    No primeiro caso de posicionamento dos arquivos de configuração, conecte-se à instância do Autonomous Database usando suas credenciais de banco de dados definindo o parâmetro dsn como alias de rede desejado no arquivo tnsnames.ora.

    Por exemplo, para conectar-se como usuário ADMIN usando oracledb.init_oracle_client e conectar-se com o nome de serviço de rede db2024_low (em que o nome do serviço é encontrado em tnsnames.ora): 

    oracledb.init_oracle_client()
   connection=oracledb.connect(
       user="admin",
       password=password,
       dsn="db2024_low")

    Quando os arquivos de configuração estiverem em um diretório fora do diretório de configuração instantânea do cliente, defina o parâmetro config_dir quando chamar oracledb.init_oracle_client.

    Por exemplo, no Linux, para conectar-se como usuário ADMIN utilizando o nome de serviço de rede db2024_low: 

    oracledb.init_oracle_client(config_dir="/opt/OracleCloud/MYDB")
   connection=oracledb.connect(
      user="admin",
      password=password,
      dsn="db2024_low")

    Por exemplo, no Windows, para conectar-se como usuário ADMIN utilizando o nome de serviço de rede db2024_low: 

    oracledb.init_oracle_client(config_dir=r"C:\opt\OracleCloud\MYDB")
   connection=oracledb.connect(
      user="admin",
      password=password,
      dsn="db2024_low")

    O uso de uma string 'raw' r"..." significa que as barras invertidas são tratadas como separadores de diretório.

Se você estiver usando um firewall, poderá fazer túnel de conexões TLS/SSL por meio de um proxy usando HTTPS_PROXY no descritor de conexão ou definindo atributos de conexão. A conexão bem-sucedida depende de configurações de proxy específicas. A Oracle não recomenda o uso de um proxy em um ambiente de produção, em razão do possível impacto no desempenho.

No modo Thick, é possível especificar um proxy editando o arquivo sqlnet.ora e adicionando uma linha: 

SQLNET.USE_HTTPS_PROXY=on

Além disso, edite tnsnames.ora e adicione um nome de proxy HTTPS_PROXY e uma porta HTTPS_PROXY_PORT à lista de endereços do descritor de conexão de qualquer nome de serviço que você planeja usar.

Por exemplo:

mydb_high=(description=
(address=(https_proxy=myproxy.example.com)
(https_proxy_port=80)
(protocol=tcps)(port=1522)(host=...)

Consulte Ativando o modo Thick python-oracledb para obter informações.