1. Verifique se outro esquema de autenticação externa está ativado em seu banco de dados e desative-o.

   Você pode continuar com a configuração CMU-AD no topo do Kerberos para fornecer autenticação CMU-AD Kerberos para usuários do Microsoft Active Directory.

   Consulte Autenticação do Kerberos para CMU com o Microsoft Active Directory para obter mais informações.

2. Faça upload dos arquivos de configuração de CMU, incluindo o arquivo de wallet de banco de dados cwallet.sso e o arquivo de configuração de CMU dsi.ora, para o Armazenamento de Objetos. Essa etapa depende do serviço Object Store que você usa.

   O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

   Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

3. Execute o procedimento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e informe um URI de localização com o argumento params JSON. Coloque os arquivos de configuração cwallet.sso e dsi.ora no local de Armazenamento de Objetos especificado no parâmetro location_uri.

   Por exemplo:

   BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
          type     => 'CMU',
          params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                  'credential_name' value 'my_credential_name')
      );
   END;
   /

   A Oracle recomenda que você armazene os arquivos de configuração de CMU em um bucket privado no Armazenamento de Objetos.

   Neste exemplo, namespace-string corresponde ao namespace do armazenamento de objetos do Oracle Cloud Infrastructure e bucketname corresponde ao nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

   O credential_name que você usa nesta etapa são as credenciais para acessar o Armazenamento de Objetos.

   A criação de uma credencial para acessar o Oracle Cloud Infrastructure Object Store não será necessária se você ativar as credenciais do controlador de recursos. Para obter mais informações, consulte Usar o Controlador de Recursos para Acessar Recursos do Oracle Cloud Infrastructure.

   Se location_uri for um URL pré-autenticado ou pré-assinado, não será necessário fornecer um credential_name.

   O procedimento cria um objeto de diretório chamado CMU_WALLET_DIR no seu banco de dados e copia os arquivos de configuração de CMU do local de Armazenamento de Objetos para o objeto de diretório. Esse procedimento também define a propriedade de banco de dados CMU_WALLET com o valor 'CMU_WALLET_DIR' e define o valor de parâmetro LDAP_DIRECTORY_ACCESS com o valor PASSWORD para permitir o acesso da instância do Autonomous Database ao Active Directory.

4. Depois de ativar a autenticação de CMU, remova os arquivos de configuração de CMU incluindo a wallet de banco de dados cwallet.sso e o arquivo de configuração de CMU dsi.ora do Armazenamento de Objetos. Você pode usar métodos locais de Armazenamento de Objetos para remover esses arquivos ou usar DBMS_CLOUD.DELETE_OBJECT para excluir os arquivos do Armazenamento de Objetos.
5. Quando os servidores do Active Directory estiverem em um ponto final privado, execute etapas de configuração adicionais para fornecer acesso ao ponto final privado.
   1. Defina a propriedade de banco de dados ROUTE_OUTBOUND_CONNECTIONS como o valor 'PRIVATE_ENDPOINT'.

      Consulte segurança avançada para conexões de saída com pontos finais privados para obter mais informações.

   2. Valide se o arquivo de configuração CMU-AD dsi.ora inclui nomes de host. Quando ROUTE_OUTBOUND_CONNECTIONS é definido como 'PRIVATE_TARGET', os endereços IP não podem ser especificados em dsi.ora.

1. Ative o Kerberos em sua instância do Autonomous Database usando o servidor Kerberos do Microsoft Active Directory.

   Somente os servidores Kerberos do Microsoft Active Directory são suportados para o Kerberos quando você configura a autenticação do Kerberos com CMU-AD.

   1. Para ativar a autenticação do Kerberos no Autonomous Database, obtenha os arquivos de configuração do Kerberos: krb.conf e o arquivo de tabela de chaves de serviço v5srvtab.

      Para gerar esses arquivos quando você configura a autenticação Kerberos com CMU-AD, é necessário o nome do host do servidor. Você pode obter o valor do host do servidor do atributo PUBLIC_DOMAIN_NAME na coluna CLOUD_IDENTITY de V$PDBS. Esse valor é diferente do FQDN (Nome de Domínio Totalmente Qualificado) de um banco de dados em um ponto final privado.

      Use o seguinte comando para obter o nome de host do servidor:

      SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
          "KSERVICE/KINSTANCE" FROM v$pdbs;

      Você pode usar um comando como o seguinte para gerar o arquivo da tabela de chaves de serviço:

      ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                       -pass ACTIVE_DIRECTORY_PASSWORD 
                       -mapuser DATABASE_SERVER_HOST_NAME 
                       -crypto ALL 
                       -ptype KRB5_NT_PRINCIPAL 
                       -out database.keytab

      Por exemplo:

      ktpass -princ ORACLE/user.example.com@example.com 
                       -pass password -mapuser dbexamplekrb 
                       -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

      Para obter mais informações sobre esses arquivos e as etapas necessárias para obtê-los, consulte Configurando a Autenticação do Kerberos.

   2. Copie os arquivos de configuração do Kerberos krb.conf e v5srvtab para um bucket no Armazenamento de Objetos.

      Essa etapa difere dependendo do serviço Object Store que você usa.

      Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

   3. Execute DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION para ativar a autenticação externa do Kerberos.

      Por exemplo:

      BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type     => 'KERBEROS',
             params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                     'credential_name' value 'my_credential_name')
         );
      END;
      /

      Observação
      
      A Oracle recomenda que você armazene os arquivos de configuração do Kerberos em um bucket privado no Armazenamento de Objetos.

      Neste exemplo, namespace-string corresponde ao namespace do armazenamento de objetos do Oracle Cloud Infrastructure e bucketname corresponde ao nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

      As credential_name que você usa nesta etapa são as credenciais do Armazenamento de Objetos.

      Consulte Ativar Autenticação do Kerberos no Autonomous Database para obter mais informações.

   4. Confirme se o Kerberos está configurado e ativado.

      SELECT property_value FROM database_properties 
            WHERE property_name='KERBEROS_DIRECTORY';

2. Ative e configure o recurso CMU-AD no Autonomous Database.
   1. Faça upload dos arquivos de configuração de CMU, incluindo o arquivo de wallet de banco de dados cwallet.sso e o arquivo de configuração de CMU dsi.ora, para o Armazenamento de Objetos.

      Você faz upload do cwallet.sso para que a configuração CMU-AD tenha as credenciais da instância do Autonomous Database para estabelecer conexão com a conta de serviço do Active Directory.

      O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

      Essa etapa difere dependendo do serviço Object Store que você usa.

      Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

   2. Execute o procedimento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e informe um URI de localização com o argumento params JSON. Coloque os arquivos de configuração cwallet.sso e dsi.ora no local de Armazenamento de Objetos especificado no parâmetro location_uri.

      Por exemplo:

      BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type     => 'CMU',
             params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                     'credential_name' value 'my_credential_name')
         );
      END;
      /

      A Oracle recomenda que você armazene os arquivos de configuração de CMU em um bucket privado no Armazenamento de Objetos.

      Neste exemplo, namespace-string corresponde ao namespace do armazenamento de objetos do Oracle Cloud Infrastructure e bucketname corresponde ao nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

      O credential_name que você usa nesta etapa são as credenciais para acessar o Armazenamento de Objetos.

      A criação de uma credencial para acessar o Oracle Cloud Infrastructure Object Store não será necessária se você ativar as credenciais do controlador de recursos. Para obter mais informações, consulte Usar o Controlador de Recursos para Acessar Recursos do Oracle Cloud Infrastructure.

      Se location_uri for um URL pré-autenticado ou pré-assinado, não será necessário fornecer um credential_name.

      Consulte Pré-requisitos para Configurar o CMU com o Microsoft Active Directory no Autonomous Database para obter mais informações.

   3. Confirme se o CMU-AD está configurado e ativado.

      SELECT property_value FROM database_properties
            WHERE property_name='CMU_WALLET';

3. Após concluir as etapas 1 e 2, verifique se a configuração da autenticação do Kerberos com CMU-AD foi concluída.
   1. Faça log-in na instância do Autonomous Database como um usuário do Active Directory para que as informações SYS_CONTEXT sejam preenchidas em USERENV.
   2. Consulte o SYS_CONTEXT USERENV.

      SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
      
      SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')                                 
      --------------------------------------------------------------------------------
      KERBEROS_GLOBAL

   Quando você tiver a autenticação do Kerberos configurada e ativada sem CMU-AD, essa consulta retornará: KERBEROS. Consulte Configurar a Autenticação do Kerberos com o Autonomous Database para obter mais informações.

   Quando você tem a autenticação CMU-AD configurada sem o Kerberos, esta consulta retorna: PASSWORD_GLOBAL. Consulte Pré-requisitos para Configurar o CMU com o Microsoft Active Directory no Autonomous Database para obter mais informações.

Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE ou ALTER ROLE (e inclua a cláusula IDENTIFIED GLOBALLY AS).

1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE ROLE e ALTER ROLE necessários para essas etapas).
2. Defina a autorização do banco de dados para atribuições do Autonomous Database com a instrução CREATE ROLE ou ALTER ROLE. Inclua a cláusula IDENTIFIED GLOBALLY AS e especifique o DN de um grupo do Active Directory.

   Use a seguinte sintaxe para mapear um grupo de usuários de diretório para uma atribuição global de banco de dados:

   CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

   Por exemplo:

   CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
        'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

   Neste exemplo, todos os membros do widget_sales_group são autorizados com a atribuição de banco de dados widget_sales_role quando fazem log-in no banco de dados.

3. Use instruções GRANT para conceder os privilégios necessários ou outras atribuições à atribuição global.

   Por exemplo:

   GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
   GRANT DWROLE TO WIDGET_SALES_ROLE;

   DWROLE é uma atribuição predefinida que tem privilégios comuns definidos. Consulte Gerenciar Privilégios de Usuário no Autonomous Database - Conectando-se com uma Ferramenta Cliente para obter informações sobre como definir privilégios comuns para usuários do Autonomous Database.

4. Se quiser fazer com que uma atribuição de banco de dados existente seja associada a um grupo do Active Directory, use a instrução ALTER ROLE para alterar a atribuição de banco de dados existente a fim de mapear a atribuição para um grupo do Active Directory.

   Use a sintaxe a seguir para alterar uma atribuição de banco de dados existente a fim de mapeá-la para um grupo do Active Directory:

   ALTER ROLE existing_database_role 
      IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

5. Se quiser criar mapeamentos de atribuição global adicionais para outros grupos do Active Directory, siga estas etapas para cada grupo do Active Directory.

Para adicionar usuários do Active Directory para acessar um banco de dados, mapeie usuários globais do banco de dados para grupos ou usuários do Active Directory com a instrução CREATE USER ou ALTER USER (com a cláusula IDENTIFIED GLOBALLY AS).

1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE USER e ALTER USER necessários para essas etapas).
2. Defina a autorização do banco de dados para usuários do Autonomous Database com as instruções CREATE USER ou ALTER USER e inclua a cláusula IDENTIFIED GLOBALLY AS, especificando o DN de um usuário ou grupo do Active Directory.

   Use a seguinte sintaxe para mapear um usuário de diretório para um usuário global do banco de dados:

   CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

   Use a seguinte sintaxe para mapear um grupo de diretórios para um usuário global do banco de dados:

   CREATE USER global_user IDENTIFIED GLOBALLY AS
       'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

   Por exemplo, para mapear um grupo de diretórios chamado widget_sales_group na unidade organizacional sales do domínio production.example.com para um usuário global de banco de dados compartilhado chamado WIDGET_SALES:

   CREATE USER widget_sales IDENTIFIED GLOBALLY AS
        'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
   

   Isso cria um mapeamento de usuário global compartilhado. O mapeamento, com o usuário global widget_sales, é efetivo para todos os usuários do grupo do Active Directory. Portanto, qualquer pessoa em widget_sales_group pode fazer log-in no banco de dados usando suas credenciais do Active Directory (por meio do mapeamento compartilhado do usuário global widget_sales).

3. Se você quiser que os usuários do Active Directory usem um usuário de banco de dados existente, possuam seu esquema e possuam seus respectivos dados existentes, use ALTER USER para alterar um usuário de banco de dados existente para mapear o usuário para um grupo ou usuário do Active Directory.

   • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um usuário do Active Directory:

     ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

   • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um grupo do Active Directory:

     ALTER USER existing_database_user 
          IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

4. Se quiser criar mapeamentos de usuários globais adicionais para outros grupos ou usuários do Active Directory, siga estas etapas para cada grupo ou usuário do Active Directory.

Depois que o usuário ADMIN conclui as etapas de configuração de CMU com o Active Directory e cria atribuições globais e usuários globais, os usuários fazem log-in no banco de dados usando seu nome de usuário e senha do Active Directory.

1. Para fazer log-in no banco de dados usando um nome de usuário e uma senha do Active Directory, estabeleça conexão da seguinte forma:

   CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

   Por exemplo:

   CONNECT "production\pfitch"/password@adbname_medium;

   Você precisa incluir aspas duplas quando o domínio do Active Directory for incluído junto com o nome de usuário, como neste exemplo: "production\pfitch".

   Neste exemplo, o nome de usuário do Active Directory é pfitch no domínio production. O usuário do Active Directory é membro do grupo widget_sales_group identificado por seu DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Quando os usuários fazem log-in no banco de dados usando seu nome de usuário e senha do Active Directory, você pode verificar e auditar a atividade do usuário.

CONNECT "production\pfitch"/password@exampleadb_medium;

SHOW USER;

USER is "WIDGET_SALES"

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Para remover usuários e atribuições do Active Directory de Autonomous Databases, use comandos de banco de dados padrão. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.

1. Faça log-in no banco de dados configurado para usar o Active Directory como um usuário que recebeu o privilégio de sistema DROP USER ou DROP ROLE.
2. Elimine os usuários globais ou as atribuições globais que foram mapeados para grupos ou usuários do Active Directory com a instrução DROP USER ou DROP ROLE.
   Para obter mais informações, consulte Remover Usuários no Autonomous Database.

Descreve as etapas para remover a configuração de CMU do seu Autonomous Database (e desativar o acesso LDAP do seu Autonomous Database ao Active Directory).

1. Conecte-se ao Autonomous Database como usuário ADMIN.
2. Use o DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desativar a autenticação de CMU.
   Observação
   
   Para executar esse procedimento, você deve fazer log-in como usuário ADMIN ou ter o privilégio EXECUTE em DBMS_CLOUD_ADMIN.

   Por exemplo:

   BEGIN   
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
   END;
   /

   Isso desativa a autenticação de CMU na sua instância do Autonomous Database.