Usar o Microsoft Active Directory com o Autonomous Database

Você pode configurar o Autonomous Database para autenticar e autorizar usuários do Microsoft Active Directory.

Esta configuração permite que os usuários de Active Directory acessem o Autonomous Database usando suas credenciais de Active Directory, incluindo senhas e Kerberos.

Pré-requisitos para Configurar a CMU com Microsoft Active Directory no Autonomous Database

Você pode configurar o Autonomous Database para autenticar e autorizar usuários do Microsoft Active Directory.

Dependendo de onde residem os servidores do Active Directory, há duas opções para configurar o Autonomous Database com CMU (Usuários Gerenciados Centralmente) com o Microsoft Active Directory:

  • Servidores AD (Active Directory) acessíveis publicamente: os servidores do Active Directory podem ser acessados pelo Autonomous Database por meio da internet pública.

  • Os servidores do AD (Active Directory) residem em um ponto final privado: os servidores do Active Directory residem em um ponto final privado e não podem ser acessados pelo Autonomous Database por meio da internet pública. Para esse caso, uma etapa de configuração extra é necessária, conforme mostrado na última etapa em Configurar CMU com o Microsoft Active Directory no Autonomous Database, na qual você define a propriedade do banco de dados ROUTE_OUTBOUND_CONNECTIONS.

Observação

Consulte Usar o ID do Microsoft Entra com o Autonomous Database para obter informações sobre como usar o Azure Active Directory com o Autonomous Database. A opção de CMU suporta servidores Microsoft Active Directory, mas não suporta o serviço Azure Active Directory.

A integração do Autonomous Database com Usuários Gerenciados Centralmente (CMU, Centrally Managed Users) fornece integração com o Microsoft Active Directory. O recurso CMU com o Active Directory funciona mapeando usuários globais do banco de dados Oracle e atribuições globais para usuários e grupos do Microsoft Active Directory.

Estes são pré-requisitos obrigatórios para configurar a conexão do Autonomous Database com o Active Directory:

  • Você deve ter o Microsoft Active Directory instalado e configurado. Consulte AD DS Getting Started para obter mais informações.

  • Você deve criar um usuário do diretório de serviço Oracle no Active Directory. Consulte Conexão com o Microsoft Active Directory para obter informações sobre a conta de usuário do diretório de serviço Oracle.

  • Um administrador de sistema do Active Directory deve ter instalado o filtro de senhas Oracle nos servidores do Active Directory e configurado grupos do Active Directory com usuários do Active Directory para atender aos seus requisitos.

    Observação

    Isso não será necessário se você estiver usando a autenticação do Kerberos para o CMU Active Directory. Consulte Autenticação do Kerberos para CMU com o Microsoft Active Directory para obter mais informações.

    Se você usar a autenticação por senha com o CMU Active Directory para o Autonomous Database, deverá usar o utilitário incluído opwdintg.exe para instalar o filtro de senha do Oracle no Active Directory, estender o esquema e criar três novos grupos ORA_VFR para três tipos da geração de verificadores de senha. Consulte Conexão com o Microsoft Active Directory para obter informações sobre a instalação do filtro de senhas Oracle.

  • Você precisa da wallet do banco de dados de configuração de CMU, cwallet.sso e do arquivo de configuração de CMU dsi.ora para configurar o recurso CMU para o seu Autonomous Database:

    • Se você tiver configurado o recurso CMU para um banco de dados on-premises, poderá obter esses arquivos de configuração no servidor de banco de dados on-premises.

    • Se você não tiver configurado a CMU para um banco de Dados local, será necessário criar esses arquivos. Em seguida, você faz upload dos arquivos de configuração para a nuvem para configurar o CMU na sua instância do Autonomous Database. Você pode validar a wallet e o arquivo dsi.ora configurando o recurso CMU para um banco de dados on-premises e verificando se um usuário do Active Directory pode fazer logon com sucesso no banco de dados on-premises com esses arquivos de configuração.

    Para obter detalhes sobre o arquivo da wallet do recurso CMU, consulte Criar a Wallet para uma Conexão Segura e Verificar a Wallet da Oracle.

    Para obter detalhes sobre o arquivo dsi.ora para o recurso CMU, consulte Criando o Arquivo dsi.ora.

    Para obter detalhes sobre como configurar o Active Directory para o recurso CMU e solucionar problemas de CMU para bancos de dados on-premises, consulte How To Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1).

  • A porta 636 dos servidores do Active Directory deve estar aberta ao Autonomous Database no Oracle Cloud Infrastructure. Isso permite que o Autonomous Database acesse os servidores do Active Directory.

  • Quando os servidores do Active Directory estão em um ponto final público:

    • Os servidores do Active Directory devem estar acessíveis pelo Autonomous Database por meio da internet pública.

    • Você também pode estender o seu Active Directory on-premises para o Oracle Cloud Infrastructure onde pode configurar Controladores de Domínio Somente para Leitura (RODCs) para o Active Directory on-premises. Isso permite que você use os RODCs no Oracle Cloud Infrastructure para autenticar e autorizar usuários do Active Directory on-premises para acesso a Autonomous Databases.

      Consulte Estender a integração do Active Directory na Nuvem Híbrida para obter mais informações.

Configurar o recurso CMU com o Microsoft Active Directory no Autonomous Database

Você pode configurar o Autonomous Database para autenticar e autorizar usuários do Microsoft Active Directory.

Para configurar o Autonomous Database para CMU a fim de estabelecer conexão com o Active Directory:

Observação

Ao executar as etapas de configuração, conecte-se ao banco de dados como o usuário ADMIN.
  1. Verifique se outro esquema de autenticação externa está ativado no seu banco de dados e desative-o.

    Você pode continuar com a configuração CMU-AD no Kerberos para fornecer autenticação CMU-AD Kerberos para usuários do Microsoft Active Directory.

    Consulte Autenticação do Kerberos para CMU com o Microsoft Active Directory para obter mais informações.

  2. Faça upload dos arquivos de configuração do CMU, incluindo o arquivo da wallet do banco de dados, cwallet.sso e o arquivo de configuração do CMU, dsi.ora para o seu Object Store. Essa etapa depende do serviço Object Store que você usa.

    O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

    Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

  3. Execute o procedimento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e informe um URI de local com o argumento JSON params. Você deve colocar os arquivos de configuração cwallet.sso e dsi.ora no local do Object Storage especificado no parâmetro location_uri.

    Por exemplo:

    BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
           type     => 'CMU',
           params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                   'credential_name' value 'my_credential_name')
       );
    END;
    /

    A Oracle recomenda que você armazene os arquivos de configuração de CMU em um bucket privado no seu Object Store.

    Neste exemplo, namespace-string é o namespace do Oracle Cloud Infrastructure Object Storage e bucketname é o nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

    O credential_name usado nesta etapa são as credenciais para acessar o Object Store.

    Não será necessário criar uma credencial para acessar o Oracle Cloud Infrastructure Object Store se você ativar as credenciais do controlador de recursos. Consulte Usar o Controlador de Recursos para Acessar Recursos da Oracle Cloud Infrastructure para obter mais informações.

    Se o location_uri for um URL pré-autenticado ou um URL pré-assinado, não será necessário fornecer um credential_name.

    O procedimento cria um objeto de diretório chamado CMU_WALLET_DIR no seu banco de dados e copia os arquivos de configuração CMU do local do Armazenamento de Objetos para o objeto de diretório. Este procedimento também define a propriedade de banco de dados CMU_WALLET como o valor 'CMU_WALLET_DIR' e define o valor do parâmetro LDAP_DIRECTORY_ACCESS como o valor PASSWORD para permitir o acesso da instância do Autonomous Database ao Active Directory.

  4. Depois de ativar a autenticação do CMU, remova os arquivos de configuração do CMU, incluindo a wallet do banco de dados cwallet.sso e o arquivo de configuração do CMU dsi.ora do Object Store. Você pode usar métodos locais de Armazenamento de Objetos para remover esses arquivos ou usar DBMS_CLOUD.DELETE_OBJECT para excluir os arquivos do Armazenamento de Objetos.
  5. Quando os servidores do Active Directory estiverem em um ponto final privado, execute etapas adicionais de configuração para fornecer acesso ao ponto final privado.
    1. Defina a propriedade do banco de dados ROUTE_OUTBOUND_CONNECTIONS como o valor 'PRIVATE_ENDPOINT'.
    2. Valide se o arquivo de configuração CMU-AD dsi.ora inclui nomes de host. Quando ROUTE_OUTBOUND_CONNECTIONS é definido como 'PRIVATE_TARGET', os endereços IP não podem ser especificados em dsi.ora.

Observação para o CMU com Active Directory no Autonomous Database:

  • Somente a autenticação "password" ou Kerberos é suportada para CMU com o Autonomous Database. Quando você está usando autenticação de CMU com o Autonomous Database, outros métodos de autenticação de CMU, como Azure AD, OCI IAM e PKI, não são suportados.

Consulte Desativar Acesso ao Active Directory no Autonomous Database para ver instruções sobre como desativar o acesso do Autonomous Database ao Active Directory.

Consulte ENABLE_EXTERNAL_AUTHENTICATION Procedure para obter informações sobre DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION.

Consulte Configurando Usuários Gerenciados Centralmente com o Microsoft Active Directory para obter mais informações sobre como configurar CMU com o Microsoft Active Directory.

Autenticação do Kerberos para CMU com o Microsoft Active Directory

Você pode configurar o Autonomous Database para usar a autenticação do Kerberos para o CMU com usuários do Microsoft Active Directory. Essa configuração permite que os usuários do CMU Active Directory (CMU-AD) acessem uma instância do Autonomous Database usando credenciais do Kerberos.

O Kerberos pode ser configurado com ou sem CMU-AD. Apenas configurar o Kerberos requer que você crie e mantenha um usuário de banco de dados para cada usuário do Kerberos. A configuração do Kerberos com CMU permite que você mapeie um grupo de usuários do Active Directory de usuários do Kerberos para um único usuário do banco de dados, esquema compartilhado, para que o acesso ao banco de dados possa ser controlado pela associação do grupo do Active Directory. Consulte Configurar Autenticação do Kerberos com o Autonomous Database para obter detalhes sobre como configurar o Kerberos sem CMU-AD.

Observação

Ao implementar a autenticação do Kerberos e o CMU-AD para autorização, a Oracle recomenda implementar a autenticação do Kerberos primeiro e adicionar a autorização de CMU-AD.
  1. Ative o Kerberos na sua instância do Autonomous Database usando o servidor Kerberos do Microsoft Active Directory.

    Somente os servidores Kerberos do Microsoft Active Directory têm suporte para Kerberos quando você configura a autenticação Kerberos com CMU-AD.

    1. Para ativar a autenticação Kerberos para o seu Autonomous Database, você deve obter os arquivos de configuração Kerberos: krb.conf e o arquivo de tabela de chaves do serviço v5srvtab.

      Para gerar esses arquivos ao configurar a autenticação do Kerberos com CMU-AD, você precisa do nome do host do servidor. Você pode obter o valor do host do servidor no atributo PUBLIC_DOMAIN_NAME na coluna CLOUD_IDENTITY de V$PDBS. Esse valor é diferente do FQDN (Nome de Domínio Totalmente Qualificado) de um banco de dados em um ponto final privado.

      Use o seguinte comando para obter o nome de host do servidor:

      SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
          "KSERVICE/KINSTANCE" FROM v$pdbs;

      Você pode usar um comando como o seguinte para gerar o arquivo de tabela de chave de serviço:

      ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                       -pass ACTIVE_DIRECTORY_PASSWORD 
                       -mapuser DATABASE_SERVER_HOST_NAME 
                       -crypto ALL 
                       -ptype KRB5_NT_PRINCIPAL 
                       -out database.keytab

      Por exemplo:

      ktpass -princ ORACLE/user.example.com@example.com 
                       -pass password -mapuser dbexamplekrb 
                       -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

      Para mais informações sobre esses arquivos e etapas necessárias para obtê-los, consulte Configurando Autenticação Kerberos.

    2. Copie os arquivos de configuração Kerberos krb.conf e v5srvtab para um bucket no seu Object Store.

      Essa etapa difere dependendo do Armazenamento de Objetos que você usa.

      Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

    3. Execute DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION para ativar a autenticação externa do Kerberos.

      Por exemplo:

      BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type     => 'KERBEROS',
             params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                     'credential_name' value 'my_credential_name')
         );
      END;
      /
      Observação

      A Oracle recomenda que você armazene os arquivos de configuração do Kerberos em um bucket privado no seu Object Store.

      Neste exemplo, namespace-string é o namespace do Oracle Cloud Infrastructure Object Storage e bucketname é o nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

      O credential_name usado nesta etapa são as credenciais do Object Store.

      Consulte Ativar Autenticação do Kerberos no Autonomous Database para obter mais informações.

    4. Confirme se o Kerberos está configurado e ativado.
      SELECT property_value FROM database_properties 
            WHERE property_name='KERBEROS_DIRECTORY';
  2. Ativar e configurar o CMU-AD no Autonomous Database.
    1. Faça upload dos arquivos de configuração do CMU, incluindo o arquivo da wallet do banco de dados, cwallet.sso e o arquivo de configuração do CMU, dsi.ora para o seu Object Store.

      Faça upload do cwallet.sso para que a configuração de CMU-AD tenha as credenciais da instância do Autonomous Database para estabelecer conexão com a conta de serviço do Active Directory.

      O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

      Essa etapa difere dependendo do Armazenamento de Objetos que você usa.

      Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

    2. Execute o procedimento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e informe um URI de local com o argumento JSON params. Você deve colocar os arquivos de configuração cwallet.sso e dsi.ora no local do Object Storage especificado no parâmetro location_uri.

      Por exemplo:

      BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type     => 'CMU',
             params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                     'credential_name' value 'my_credential_name')
         );
      END;
      /

      A Oracle recomenda que você armazene os arquivos de configuração de CMU em um bucket privado no seu Object Store.

      Neste exemplo, namespace-string é o namespace do Oracle Cloud Infrastructure Object Storage e bucketname é o nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

      O credential_name usado nesta etapa são as credenciais para acessar o Object Store.

      Não será necessário criar uma credencial para acessar o Oracle Cloud Infrastructure Object Store se você ativar as credenciais do controlador de recursos. Consulte Usar o Controlador de Recursos para Acessar Recursos da Oracle Cloud Infrastructure para obter mais informações.

      Se o location_uri for um URL pré-autenticado ou um URL pré-assinado, não será necessário fornecer um credential_name.

      Consulte Pré-requisitos para Configurar a CMU com Microsoft Active Directory no Autonomous Database para obter mais informações.

    3. Confirme se o CMU-AD está configurado e ativado.
      SELECT property_value FROM database_properties
            WHERE property_name='CMU_WALLET';
  3. Após concluir as Etapas 1 e 2, verifique se a configuração da autenticação do Kerberos com CMU-AD foi concluída.
    1. Faça log-in na instância do Autonomous Database como usuário do Active Directory para que as informações do SYS_CONTEXT sejam preenchidas no seu USERENV.
    2. Consulte o SYS_CONTEXT USERENV.
      SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
      
      SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')                                 
      --------------------------------------------------------------------------------
      KERBEROS_GLOBAL

    Quando você tem a autenticação do Kerberos configurada e ativada sem CMU-AD, essa consulta retorna: KERBEROS. Consulte Configurar Autenticação do Kerberos com o Autonomous Database para obter mais informações.

    Quando você tem a autenticação CMU-AD configurada sem o Kerberos, essa consulta retorna: PASSWORD_GLOBAL. Consulte Pré-requisitos para Configurar a CMU com Microsoft Active Directory no Autonomous Database para obter mais informações.

Observações sobre o uso da autenticação Kerberos com CMU-AD:

  • Não é necessário adicionar o filtro de senha ao usar a autenticação do Kerberos com CMU-AD. Consulte Pré-requisitos para Configurar a CMU com Microsoft Active Directory no Autonomous Database para obter mais informações.

  • A adição ou remoção de usuários do Active Directory é suportada da mesma maneira que com o CMU com o Active Directory quando você está usando a autenticação de senha. Consulte Adicionar Usuários de Microsoft Active Directory no Autonomous Database para obter mais informações.

  • As restrições existentes sobre autenticação nas Ferramentas Integradas do Autonomous Database com CMU com senha do Active Directory também se aplicam ao CMU com autenticação Active Directory com autenticação Kerberos. Consulte Restrições de Ferramenta com oActive Directory no Autonomous Database para obter mais informações.

  • Use DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desativar o CMU-AD com autenticação Kerberos. Consulte DISABLE_EXTERNAL_AUTHENTICATION Procedures para obter mais informações.

  • Quando os servidores CMU-AD estão em um ponto final privado, para usar o CMU-AD com autenticação Kerberos, o nome do host do servidor usado para gerar a guia chave deve ser definido como o valor do atributo PUBLIC_DOMAIN_NAME na coluna CLOUD_IDENTITY de V$PDBS. Esse valor é diferente do FQDN de um banco de dados de ponto final privado.

Adicionar Atribuições do Microsoft Active Directory ao Autonomous Database

Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE ou ALTER ROLE (e inclua a cláusula IDENTIFIED GLOBALLY AS).

Para adicionar atribuições globais para grupos do Active Directory no Autonomous Database:

  1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE ROLE e ALTER ROLE necessários para essas etapas).
  2. Defina a autorização do banco de dados para atribuições do Autonomous Database com a instrução CREATE ROLE ou ALTER ROLE. Inclua a cláusula IDENTIFIED GLOBALLY AS e especifique o DN de um grupo de Active Directory.

    Use a seguinte sintaxe para mapear um grupo de usuários de diretório para uma atribuição global de banco de dados:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
         'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Por exemplo:

    CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

    Neste exemplo, todos os membros do widget_sales_group são autorizados com a atribuição de banco de dados widget_sales_role quando fazem log-in no banco de dados.

  3. Use instruções GRANT para conceder os privilégios necessários ou outras atribuições à atribuição global.

    Por exemplo:

    GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
    GRANT DWROLE TO WIDGET_SALES_ROLE;

    DWROLE é uma atribuição predefinida que tem privilégios comuns definidos. Consulte Gerenciar Privilégios de Usuário no Autonomous Database - Estabelecendo Conexão com uma Ferramenta Cliente para obter informações sobre como definir privilégios comuns para usuários do Autonomous Database.

  4. Se quiser fazer com que uma atribuição de banco de dados existente seja associada a um grupo do Active Directory, use a instrução ALTER ROLE para alterar a atribuição de banco de dados existente a fim de mapear a atribuição para um grupo do Active Directory.

    Use a sintaxe a seguir para alterar uma atribuição de banco de dados existente a fim de mapeá-la para um grupo do Active Directory:

    ALTER ROLE existing_database_role 
       IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  5. Se quiser criar mapeamentos de atribuição global adicionais para outros grupos do Active Directory, siga estas etapas para cada grupo do Active Directory.

Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.

Adicionar Usuários do Microsoft Active Directory no Autonomous Database

Para adicionar usuários Active Directory para acessar um banco de dados, mapeie usuários globais de banco de dados para grupos ou usuários Active Directory com instruções CREATE USER ou ALTER USER (com uma cláusula IDENTIFIED GLOBALLY AS).

A integração do Autonomous Database com o Active Directory funciona mapeando usuários e grupos do Microsoft Active Directory diretamente para usuários globais e atribuições globais do banco de dados Oracle.

Para adicionar usuários globais para grupos ou usuários do Active Directory no Autonomous Database:

  1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE USER e ALTER USER necessários para essas etapas).
  2. Defina a autorização do banco de dados para usuários do Autonomous Database com as instruções CREATE USER ou ALTER USER e inclua a cláusula IDENTIFIED GLOBALLY AS, especificando o DN de um usuário ou grupo do Active Directory.

    Use a seguinte sintaxe para mapear um usuário de diretório para um usuário global do banco de dados:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

    Use a seguinte sintaxe para mapear um grupo de diretórios para um usuário global do banco de dados:

    CREATE USER global_user IDENTIFIED GLOBALLY AS
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

    Por exemplo, para mapear um grupo de diretórios chamado widget_sales_group na unidade organizacional sales do domínio production.example.com para um usuário global de banco de dados compartilhado chamado WIDGET_SALES:

    CREATE USER widget_sales IDENTIFIED GLOBALLY AS
         'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
    

    Isso cria um mapeamento de usuário global compartilhado. O mapeamento, com o usuário global widget_sales, é efetivo para todos os usuários do grupo do Active Directory. Portanto, qualquer pessoa em widget_sales_group pode fazer log-in no banco de dados usando suas credenciais do Active Directory (por meio do mapeamento compartilhado do usuário global widget_sales).

  3. Se você quiser que os usuários do Active Directory usem um usuário de banco de dados existente, possuam seu esquema e possuam seus respectivos dados existentes, use ALTER USER para alterar um usuário de banco de dados existente para mapear o usuário para um grupo ou usuário do Active Directory.
    • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um usuário do Active Directory:

      ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
    • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um grupo do Active Directory:

      ALTER USER existing_database_user 
           IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
  4. Se quiser criar mapeamentos de usuários globais adicionais para outros grupos ou usuários do Active Directory, siga estas etapas para cada grupo ou usuário do Active Directory.

Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.

Restrições de Ferramentas com o Active Directory no Autonomous Database

Observações para usar ferramentas do Autonomous Database com o Active Directory:

Estabelecer Conexão com o Autonomous Database com Credenciais do Usuário do Active Directory

Após o usuário ADMIN concluir as etapas da configuração do CMU Active Directory e criar as atribuições globais e os usuários mundiais, os usuários se conectam ao banco de dados usando o nome de usuário e a senha do seu Active Directory.

Observação

Não faça log-in usando um nome de Usuário Global. Os nomes de Usuário Global não têm uma senha, e a conexão com um nome de Usuário Global não será bem-sucedida. Você deve ter um mapeamento de usuário global no seu Autonomous Database para fazer log-in no banco de dados. Você não pode fazer log-in no banco de dados apenas com mapeamentos de atribuição global.
  1. Para fazer log-on no banco de dados usando um nome de usuário e uma senha no Active Directory, conecte-se da seguinte forma:
    CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

    Por exemplo:

    CONNECT "production\pfitch"/password@adbname_medium;

    Você precisa incluir aspas duplas quando o domínio do Active Directory for incluído junto com o nome de usuário, como neste exemplo: "production\pfitch".

    Neste exemplo, o nome de usuário do Active Directory é pfitch no domínio production. O usuário do Active Directory é membro do grupo widget_sales_group identificado por seu DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Após configurar o CMU com Active Directory no Autonomous Database e configurar o Active Directory, com atribuições globais e usuários globais, você poderá estabelecer conexão com o seu banco de dados usando qualquer um dos métodos descritos em Conectar-se ao Autonomous Database. Ao estabelecer conexão, se você quiser usar um usuário do Active Directory, use as credenciais de usuário do Active Directory. Por exemplo, forneça um nome de usuário neste formato, "AD_DOMAIN\AD_USERNAME" (aspas duplas devem ser incluídas) e use AD_USER_PASSWORD para a senha.

Se sua instância do Autonomous Database estiver no Modo Restrito, esse modo só permitirá que os usuários com o privilégio RESTRICTED SESSION estabeleçam conexão com o banco de dados. O usuário ADMIN tem esse privilégio. Você pode usar o modo de acesso restrito para executar tarefas administrativas como indexação, carregamentos de dados ou outras atividades planejadas. Consulte Alterar o Modo de Operação Autonomous Database para Somente Leitura/Gravação ou Restrito para obter mais informações.

Verificar Informações de Conexão do Usuário do Active Directory com o Autonomous Database

Quando usuários se conectam ao banco de dados usando o nome de usuário e a senha Active Directory, você pode verificar e auditar as atividades do usuário.

Por exemplo, quando o usuário pfitch faz log-in:

CONNECT "production\pfitch"/password@exampleadb_medium;

O usuário de log-on do usuário do Active Directory (samAccountName) é pfitch e widget_sales_group é um nome para o Grupo do Active Directory, e widget_sales é o usuário global do banco de dados.

Depois que pfitch fizer log-in no banco de dados, o comando SHOW USER mostrará o nome de usuário global:

SHOW USER;

USER is "WIDGET_SALES"

O seguinte comando mostra o DN (Nome Exclusivo) do usuário do Active Directory:

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

Por exemplo, você pode verificar essa identidade corporativa do usuário gerenciado centralmente:

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

O seguinte comando mostra "AD_DOMAIN\AD_USERNAME":

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

Por exemplo, a identidade de usuário autenticada do Active Directory é capturada e auditada quando o usuário faz logon no banco de dados:

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Consulte Verifying the Centrally Managed User Logon Information no Oracle Database 19c Security Guide ou o Oracle Database 23ai Security Guide para obter mais informações.

Remover Usuários e Atribuições do Active Directory no Autonomous Database

Para remover usuários e atribuições do Active Directory de Autonomous Databases, use comandos de banco de dados padrão. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.

Para remover usuários ou atribuições do Autonomous Database:

  1. Faça log-in no banco de dados configurado para usar o Active Directory como um usuário que recebeu o privilégio de sistema DROP USER ou DROP ROLE.
  2. Elimine os usuários globais ou as atribuições globais que foram mapeados para grupos ou usuários do Active Directory com a instrução DROP USER ou DROP ROLE.
    Consulte Remover Usuários no Autonomous Database para obter mais informações.

Desativar o Acesso ao Active Directory no Autonomous Database

Descreve as etapas para remover a configuração do CMU do seu Autonomous Database (e desativar o acesso LDAP do seu Autonomous Database para o Active Directory).

Depois que você configurar sua instância do Autonomous Database para acessar o CMU Active Directory, poderá desativar o acesso da seguinte forma:

  1. Estabeleça conexão com o Autonomous Database como o usuário ADMIN.
  2. Use o DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desativar a autenticação de CMU.
    Observação

    Para executar esse procedimento, você deve estar conectado como usuário ADMIN ou ter o privilégio EXECUTE em DBMS_CLOUD_ADMIN.

    Por exemplo:

    BEGIN   
       DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
    END;
    /

    Isso desativa a autenticação de CMU na sua instância do Autonomous Database.

Consulte DISABLE_EXTERNAL_AUTHENTICATION Procedures para obter mais informações.