Usar o Microsoft Active Directory com o Autonomous Database
Esta configuração permite que os usuários de Active Directory acessem o Autonomous Database usando suas credenciais de Active Directory, incluindo senhas e Kerberos.
- Pré-requisitos para Configurar o CMU com Microsoft Active Directory no Autonomous Database
Você pode configurar o Autonomous Database para autenticar e autorizar usuários doMicrosoft Active Directory. - Configurar o recurso CMU com o Microsoft Active Directory no Autonomous Database
Você pode configurar o Autonomous Database para autenticar e autorizar usuários do Microsoft Active Directory. - Autenticação do Kerberos para CMU com Microsoft Active Directory
Você pode configurar o Autonomous Database para usar a autenticação do Kerberos para CMU com usuários do Microsoft Active Directory. Essa configuração permite que os usuários do CMU Active Directory (CMU-AD) acessem uma instância do Autonomous Database usando credenciais do Kerberos. - Adicionar Atribuições do Microsoft Active Directory ao Autonomous Database
Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruçõesCREATE ROLE
ouALTER ROLE
(e inclua a cláusulaIDENTIFIED GLOBALLY AS
). - Adicionar Usuários Microsoft Active Directory no Autonomous Database
Para adicionar usuários Active Directory para acessar um banco de dados, mapeie usuários globais de banco de dados para grupos ou usuários Active Directory com instruçõesCREATE USER
ouALTER USER
(com uma cláusulaIDENTIFIED GLOBALLY AS
). - Restrições de Ferramentas com o Active Directory no Autonomous Database
- Conectar-se ao Autonomous Database com as Credenciais de Usuário do Active Directory
Depois que o usuário ADMIN concluir as etapas da configuração do CMU Active Directory e criar atribuições globais e usuários global, os usuários farão login no banco de dados usando o nome de usuário e a senha doActive Directory. - Verificar Informações de Conexão do Usuário do Active Directory com o Serviço Autonomous Database
Quando os usuários se conectam ao banco de dados usando o nome de usuário e a senha do Serviço Active Directory, você pode verificar e auditar as atividades do usuário. - Remover Usuários e Atribuições do Active Directory no Autonomous Database
Para remover usuários e atribuições do Active Directory de Autonomous Databases, use comandos padrão do banco de dados. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado. - Desativar o Acesso ao Active Directory no Autonomous Database
Descreve as etapas para remover a configuração de CMU do seu Autonomous Database (e desativar o acesso LDAP do seu Autonomous Database para o Active Directory).
Tópico principal: Gerenciar Usuários
Pré-requisitos para Configurar a CMU com Microsoft Active Directory no Autonomous Database
Dependendo de onde residem os servidores do Active Directory, há duas opções para configurar o Autonomous Database com CMU (Usuários Gerenciados Centralmente) com o Microsoft Active Directory:
-
Servidores AD (Active Directory) acessíveis publicamente: os servidores do Active Directory podem ser acessados pelo Autonomous Database por meio da internet pública.
-
Os servidores do AD (Active Directory) residem em um ponto final privado: os servidores do Active Directory residem em um ponto final privado e não podem ser acessados pelo Autonomous Database por meio da internet pública. Para esse caso, uma etapa de configuração extra é necessária, conforme mostrado na última etapa em Configurar CMU com o Microsoft Active Directory no Autonomous Database, na qual você define a propriedade do banco de dados
ROUTE_OUTBOUND_CONNECTIONS
.
Consulte Usar o ID do Microsoft Entra com o Autonomous Database para obter informações sobre como usar o Azure Active Directory com o Autonomous Database. A opção de CMU suporta servidores Microsoft Active Directory, mas não suporta o serviço Azure Active Directory.
A integração do Autonomous Database com Usuários Gerenciados Centralmente (CMU, Centrally Managed Users) fornece integração com o Microsoft Active Directory. O recurso CMU com o Active Directory funciona mapeando usuários globais do banco de dados Oracle e atribuições globais para usuários e grupos do Microsoft Active Directory.
Estes são pré-requisitos obrigatórios para configurar a conexão do Autonomous Database com o Active Directory:
-
Você deve ter o Microsoft Active Directory instalado e configurado. Consulte AD DS Getting Started para obter mais informações.
-
Você deve criar um usuário do diretório de serviço Oracle no Active Directory. Consulte Conexão com o Microsoft Active Directory para obter informações sobre a conta de usuário do diretório de serviço Oracle.
-
Um administrador de sistema do Active Directory deve ter instalado o filtro de senhas Oracle nos servidores do Active Directory e configurado grupos do Active Directory com usuários do Active Directory para atender aos seus requisitos.
Observação
Isso não será necessário se você estiver usando a autenticação do Kerberos para o CMU Active Directory. Consulte Autenticação do Kerberos para CMU com o Microsoft Active Directory para obter mais informações.Se você usar a autenticação por senha com o CMU Active Directory para o Autonomous Database, deverá usar o utilitário incluído
opwdintg.exe
para instalar o filtro de senha do Oracle no Active Directory, estender o esquema e criar três novos gruposORA_VFR
para três tipos da geração de verificadores de senha. Consulte Conexão com o Microsoft Active Directory para obter informações sobre a instalação do filtro de senhas Oracle. -
Você precisa da wallet do banco de dados de configuração de CMU,
cwallet.sso
e do arquivo de configuração de CMUdsi.ora
para configurar o recurso CMU para o seu Autonomous Database:-
Se você tiver configurado o recurso CMU para um banco de dados on-premises, poderá obter esses arquivos de configuração no servidor de banco de dados on-premises.
-
Se você não tiver configurado a CMU para um banco de Dados local, será necessário criar esses arquivos. Em seguida, você faz upload dos arquivos de configuração para a nuvem para configurar o CMU na sua instância do Autonomous Database. Você pode validar a wallet e o arquivo
dsi.ora
configurando o recurso CMU para um banco de dados on-premises e verificando se um usuário do Active Directory pode fazer logon com sucesso no banco de dados on-premises com esses arquivos de configuração.
Para obter detalhes sobre o arquivo da wallet do recurso CMU, consulte Criar a Wallet para uma Conexão Segura e Verificar a Wallet da Oracle.
Para obter detalhes sobre o arquivo
dsi.ora
para o recurso CMU, consulte Criando o Arquivo dsi.ora.Para obter detalhes sobre como configurar o Active Directory para o recurso CMU e solucionar problemas de CMU para bancos de dados on-premises, consulte How To Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1).
-
-
A porta 636 dos servidores do Active Directory deve estar aberta ao Autonomous Database no Oracle Cloud Infrastructure. Isso permite que o Autonomous Database acesse os servidores do Active Directory.
-
Quando os servidores do Active Directory estão em um ponto final público:
-
Os servidores do Active Directory devem estar acessíveis pelo Autonomous Database por meio da internet pública.
-
Você também pode estender o seu Active Directory on-premises para o Oracle Cloud Infrastructure onde pode configurar Controladores de Domínio Somente para Leitura (RODCs) para o Active Directory on-premises. Isso permite que você use os RODCs no Oracle Cloud Infrastructure para autenticar e autorizar usuários do Active Directory on-premises para acesso a Autonomous Databases.
Consulte Estender a integração do Active Directory na Nuvem Híbrida para obter mais informações.
-
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Configurar o recurso CMU com o Microsoft Active Directory no Autonomous Database
Para configurar o Autonomous Database para CMU a fim de estabelecer conexão com o Active Directory:
Ao executar as etapas de configuração, conecte-se ao banco de dados como o usuário ADMIN.
Observação para o CMU com Active Directory no Autonomous Database:
-
Somente a autenticação "password" ou Kerberos é suportada para CMU com o Autonomous Database. Quando você está usando autenticação de CMU com o Autonomous Database, outros métodos de autenticação de CMU, como Azure AD, OCI IAM e PKI, não são suportados.
Consulte Desativar Acesso ao Active Directory no Autonomous Database para ver instruções sobre como desativar o acesso do Autonomous Database ao Active Directory.
Consulte ENABLE_EXTERNAL_AUTHENTICATION Procedure para obter informações sobre DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
.
Consulte Configurando Usuários Gerenciados Centralmente com o Microsoft Active Directory para obter mais informações sobre como configurar CMU com o Microsoft Active Directory.
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Autenticação do Kerberos para CMU com o Microsoft Active Directory
O Kerberos pode ser configurado com ou sem CMU-AD. Apenas configurar o Kerberos requer que você crie e mantenha um usuário de banco de dados para cada usuário do Kerberos. A configuração do Kerberos com CMU permite que você mapeie um grupo de usuários do Active Directory de usuários do Kerberos para um único usuário do banco de dados, esquema compartilhado, para que o acesso ao banco de dados possa ser controlado pela associação do grupo do Active Directory. Consulte Configurar Autenticação do Kerberos com o Autonomous Database para obter detalhes sobre como configurar o Kerberos sem CMU-AD.
Ao implementar a autenticação do Kerberos e o CMU-AD para autorização, a Oracle recomenda implementar a autenticação do Kerberos primeiro e adicionar a autorização de CMU-AD.
Observações sobre o uso da autenticação Kerberos com CMU-AD:
-
Não é necessário adicionar o filtro de senha ao usar a autenticação do Kerberos com CMU-AD. Consulte Pré-requisitos para Configurar a CMU com Microsoft Active Directory no Autonomous Database para obter mais informações.
-
A adição ou remoção de usuários do Active Directory é suportada da mesma maneira que com o CMU com o Active Directory quando você está usando a autenticação de senha. Consulte Adicionar Usuários de Microsoft Active Directory no Autonomous Database para obter mais informações.
-
As restrições existentes sobre autenticação nas Ferramentas Integradas do Autonomous Database com CMU com senha do Active Directory também se aplicam ao CMU com autenticação Active Directory com autenticação Kerberos. Consulte Restrições de Ferramenta com oActive Directory no Autonomous Database para obter mais informações.
-
Use
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
para desativar o CMU-AD com autenticação Kerberos. Consulte DISABLE_EXTERNAL_AUTHENTICATION Procedures para obter mais informações. -
Quando os servidores CMU-AD estão em um ponto final privado, para usar o CMU-AD com autenticação Kerberos, o nome do host do servidor usado para gerar a guia chave deve ser definido como o valor do atributo
PUBLIC_DOMAIN_NAME
na colunaCLOUD_IDENTITY
deV$PDBS
. Esse valor é diferente do FQDN de um banco de dados de ponto final privado.
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Adicionar Atribuições do Microsoft Active Directory ao Autonomous Database
Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE
ou ALTER ROLE
(e inclua a cláusula IDENTIFIED GLOBALLY AS
).
Para adicionar atribuições globais para grupos do Active Directory no Autonomous Database:
Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Adicionar Usuários do Microsoft Active Directory no Autonomous Database
Para adicionar usuários Active Directory para acessar um banco de dados, mapeie usuários globais de banco de dados para grupos ou usuários Active Directory com instruções CREATE USER
ou ALTER USER
(com uma cláusula IDENTIFIED GLOBALLY AS
).
A integração do Autonomous Database com o Active Directory funciona mapeando usuários e grupos do Microsoft Active Directory diretamente para usuários globais e atribuições globais do banco de dados Oracle.
Para adicionar usuários globais para grupos ou usuários do Active Directory no Autonomous Database:
Para obter mais informações sobre como configurar atribuições com o Microsoft Active Directory, consulte Configuring Authorization for Centrally Managed Users no Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Restrições de Ferramentas com o Active Directory no Autonomous Database
Observações para usar ferramentas do Autonomous Database com o Active Directory:
- O Oracle APEX não oferece suporte a usuários do Active Directory com o Autonomous Database. Consulte Criar Espaços de Trabalho do Oracle APEX no Autonomous Database para obter informações sobre como usar usuários regulares de banco de dados com o Autonomous Database.
-
O Database Actions não oferece suporte a usuários do Active Directory com o Autonomous Database. Consulte Fornecer Acesso a Ações do Banco de Dados a Usuários do Banco de Dados para informações sobre como usar usuários regulares de banco de dados no Autonomous Database.
-
Os Notebooks do Oracle Machine Learning não oferece suporte a usuários do Active Directory com o Autonomous Database. Consulte Adicionar Conta de Usuário de Banco de Dados Existente a Componentes do Serviço Oracle Machine Learning para informações sobre o uso de usuários regulares de banco de dados com o serviço Autonomous Database.
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Estabelecer Conexão com o Autonomous Database com Credenciais do Usuário do Active Directory
Após o usuário ADMIN concluir as etapas da configuração do CMU Active Directory e criar as atribuições globais e os usuários mundiais, os usuários se conectam ao banco de dados usando o nome de usuário e a senha do seu Active Directory.
Não faça log-in usando um nome de Usuário Global. Os nomes de Usuário Global não têm uma senha, e a conexão com um nome de Usuário Global não será bem-sucedida. Você deve ter um mapeamento de usuário global no seu Autonomous Database para fazer log-in no banco de dados. Você não pode fazer log-in no banco de dados apenas com mapeamentos de atribuição global.
Após configurar o CMU com Active Directory no Autonomous Database e configurar o Active Directory, com atribuições globais e usuários globais, você poderá estabelecer conexão com o seu banco de dados usando qualquer um dos métodos descritos em Conectar-se ao Autonomous Database. Ao estabelecer conexão, se você quiser usar um usuário do Active Directory, use as credenciais de usuário do Active Directory. Por exemplo, forneça um nome de usuário neste formato, "AD_DOMAIN\AD_USERNAME" (aspas duplas devem ser incluídas) e use AD_USER_PASSWORD para a senha.
Se sua instância do Autonomous Database estiver no Modo Restrito, esse modo só permitirá que os usuários com o privilégio RESTRICTED SESSION
estabeleçam conexão com o banco de dados. O usuário ADMIN tem esse privilégio. Você pode usar o modo de acesso restrito para executar tarefas administrativas como indexação, carregamentos de dados ou outras atividades planejadas. Consulte Alterar o Modo de Operação Autonomous Database para Somente Leitura/Gravação ou Restrito para obter mais informações.
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Verificar Informações de Conexão do Usuário do Active Directory com o Autonomous Database
Quando usuários se conectam ao banco de dados usando o nome de usuário e a senha Active Directory, você pode verificar e auditar as atividades do usuário.
Por exemplo, quando o usuário pfitch
faz log-in:
CONNECT "production\pfitch"/password@exampleadb_medium;
O usuário de log-on do usuário do Active Directory (samAccountName) é pfitch
e widget_sales_group
é um nome para o Grupo do Active Directory, e widget_sales
é o usuário global do banco de dados.
Depois que pfitch
fizer log-in no banco de dados, o comando SHOW USER
mostrará o nome de usuário global:
SHOW USER;
USER is "WIDGET_SALES"
O seguinte comando mostra o DN (Nome Exclusivo) do usuário do Active Directory:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Por exemplo, você pode verificar essa identidade corporativa do usuário gerenciado centralmente:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
O seguinte comando mostra "AD_DOMAIN\AD_USERNAME
":
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Por exemplo, a identidade de usuário autenticada do Active Directory é capturada e auditada quando o usuário faz logon no banco de dados:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Consulte Verifying the Centrally Managed User Logon Information no Oracle Database 19c Security Guide ou o Oracle Database 23ai Security Guide para obter mais informações.
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Remover Usuários e Atribuições do Active Directory no Autonomous Database
Para remover usuários e atribuições do Active Directory de Autonomous Databases, use comandos de banco de dados padrão. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.
Para remover usuários ou atribuições do Autonomous Database:
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database
Desativar o Acesso ao Active Directory no Autonomous Database
Descreve as etapas para remover a configuração do CMU do seu Autonomous Database (e desativar o acesso LDAP do seu Autonomous Database para o Active Directory).
Depois que você configurar sua instância do Autonomous Database para acessar o CMU Active Directory, poderá desativar o acesso da seguinte forma:
Consulte DISABLE_EXTERNAL_AUTHENTICATION Procedures para obter mais informações.
Tópico principal: Usar o Microsoft Active Directory com o Autonomous Database