Use o Microsoft Active Directory com o Autonomous AI Database

1. Verifique se outro esquema de autenticação externa está ativado no seu banco de dados e desative-o.

   Você pode continuar com a configuração CMU-AD no Kerberos para fornecer autenticação CMU-AD Kerberos para usuários do Microsoft Active Directory.

   Consulte Autenticação do Kerberos para CMU com o Microsoft Active Directory para obter mais informações.

2. Faça upload dos arquivos de configuração do CMU, incluindo o arquivo da wallet do banco de dados, cwallet.sso e o arquivo de configuração do CMU, dsi.ora para o seu Object Store. Essa etapa depende do serviço Object Store que você usa.

   O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

   Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

3. Execute o procedimento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e informe um URI de local com o argumento JSON params. Você deve colocar os arquivos de configuração cwallet.sso e dsi.ora no local do Object Storage especificado no parâmetro location_uri.

   Por exemplo:

   BEGIN
      DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
          type     => 'CMU',
          params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                  'credential_name' value 'my_credential_name')
      );
   END;
   /

   A Oracle recomenda que você armazene os arquivos de configuração de CMU em um bucket privado no seu Object Store.

   Neste exemplo, namespace-string é o namespace do Oracle Cloud Infrastructure Object Storage e bucketname é o nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

   O credential_name usado nesta etapa são as credenciais para acessar o Object Store.

   Não será necessário criar uma credencial para acessar o Oracle Cloud Infrastructure Object Store se você ativar as credenciais do controlador de recursos. Consulte Usar o Controlador de Recursos para Acessar Recursos da Oracle Cloud Infrastructure para obter mais informações.

   Se o location_uri for um URL pré-autenticado ou um URL pré-assinado, não será necessário fornecer um credential_name.

   O procedimento cria um objeto de diretório chamado CMU_WALLET_DIR no seu banco de dados e copia os arquivos de configuração CMU do local do Armazenamento de Objetos para o objeto de diretório. Este procedimento também define a propriedade de banco de dados CMU_WALLET como o valor 'CMU_WALLET_DIR' e define o valor do parâmetro LDAP_DIRECTORY_ACCESS como o valor PASSWORD para permitir o acesso da instância do Autonomous AI Database ao Active Directory.

4. Depois de ativar a autenticação do CMU, remova os arquivos de configuração do CMU, incluindo a wallet do banco de dados cwallet.sso e o arquivo de configuração do CMU dsi.ora do Object Store. Você pode usar métodos locais de Armazenamento de Objetos para remover esses arquivos ou usar DBMS_CLOUD.DELETE_OBJECT para excluir os arquivos do Armazenamento de Objetos.
5. Quando os servidores do Active Directory estiverem em um ponto final privado, execute etapas adicionais de configuração para fornecer acesso ao ponto final privado.
   1. Defina a propriedade do banco de dados ROUTE_OUTBOUND_CONNECTIONS como o valor 'PRIVATE_ENDPOINT'.

      Consulte Segurança Aprimorada para Conexões de Saída com Pontos Finais Privados para obter mais informações.

   2. Valide se o arquivo de configuração CMU-AD dsi.ora inclui nomes de host. Quando ROUTE_OUTBOUND_CONNECTIONS é definido como 'PRIVATE_TARGET', os endereços IP não podem ser especificados em dsi.ora.

1. Ative o Kerberos na sua instância do Autonomous AI Database usando o servidor Kerberos do Microsoft Active Directory.

   Somente os servidores Kerberos do Microsoft Active Directory têm suporte para Kerberos quando você configura a autenticação Kerberos com CMU-AD.

   1. Para ativar a autenticação Kerberos para o Autonomous AI Database, obtenha os arquivos de configuração Kerberos: krb.conf e o arquivo de tabela de chaves do serviço v5srvtab.

      Para gerar esses arquivos ao configurar a autenticação do Kerberos com CMU-AD, você precisa do nome do host do servidor. Você pode obter o valor do host do servidor no atributo PUBLIC_DOMAIN_NAME na coluna CLOUD_IDENTITY de V$PDBS. Esse valor é diferente do FQDN (Nome de Domínio Totalmente Qualificado) de um banco de dados em um ponto final privado.

      Use o seguinte comando para obter o nome de host do servidor:

      SELECT guid ||'/'|| json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME')
          "KSERVICE/KINSTANCE" FROM v$pdbs;

      Você pode usar um comando como o seguinte para gerar o arquivo de tabela de chave de serviço:

      ktpass -princ ORACLE/DATABASE_SERVER_HOST_NAME.DATABASE_SERVER_HOST_DOMAIN@ACTIVE_DIRECTORY_DEFAULT_DOMAIN
                       -pass ACTIVE_DIRECTORY_PASSWORD 
                       -mapuser DATABASE_SERVER_HOST_NAME 
                       -crypto ALL 
                       -ptype KRB5_NT_PRINCIPAL 
                       -out database.keytab

      Por exemplo:

      ktpass -princ ORACLE/user.example.com@example.com 
                       -pass password -mapuser dbexamplekrb 
                       -crypto ALL -ptype KRB5_NT_PRINCIPAL -out database.keytab

      Para mais informações sobre esses arquivos e etapas necessárias para obtê-los, consulte Configurando Autenticação Kerberos.

   2. Copie os arquivos de configuração Kerberos krb.conf e v5srvtab para um bucket no seu Object Store.

      Essa etapa difere dependendo do Armazenamento de Objetos que você usa.

      Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

   3. Execute DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION para ativar a autenticação externa do Kerberos.

      Por exemplo:

      BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type     => 'KERBEROS',
             params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                     'credential_name' value 'my_credential_name')
         );
      END;
      /

      Observação
      
      A Oracle recomenda que você armazene os arquivos de configuração do Kerberos em um bucket privado no seu Object Store.

      Neste exemplo, namespace-string é o namespace do Oracle Cloud Infrastructure Object Storage e bucketname é o nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

      O credential_name usado nesta etapa são as credenciais do Object Store.

      Consulte Ativar Autenticação do Kerberos no Autonomous AI Database para obter mais informações.

   4. Confirme se o Kerberos está configurado e ativado.

      SELECT property_value FROM database_properties 
            WHERE property_name='KERBEROS_DIRECTORY';

2. Ative e configure o CMU-AD no Autonomous AI Database.
   1. Faça upload dos arquivos de configuração do CMU, incluindo o arquivo da wallet do banco de dados, cwallet.sso e o arquivo de configuração do CMU, dsi.ora para o seu Object Store.

      Faça upload do cwallet.sso para que a configuração de CMU-AD tenha as credenciais da instância do Autonomous AI Database para estabelecer conexão com a conta de serviço do Active Directory.

      O arquivo de configuração dsi.ora contém as informações para localizar os servidores do Active Directory.

      Essa etapa difere dependendo do Armazenamento de Objetos que você usa.

      Se você estiver usando o Oracle Cloud Infrastructure Object Store, consulte Colocando Dados no Serviço Object Storage para obter detalhes sobre o upload de arquivos.

   2. Execute o procedimento DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e informe um URI de local com o argumento JSON params. Você deve colocar os arquivos de configuração cwallet.sso e dsi.ora no local do Object Storage especificado no parâmetro location_uri.

      Por exemplo:

      BEGIN
         DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
             type     => 'CMU',
             params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                                     'credential_name' value 'my_credential_name')
         );
      END;
      /

      A Oracle recomenda que você armazene os arquivos de configuração de CMU em um bucket privado no seu Object Store.

      Neste exemplo, namespace-string é o namespace do Oracle Cloud Infrastructure Object Storage e bucketname é o nome do bucket. Consulte Noções Básicas de Namespaces do serviço Object Storage para obter mais informações.

      O credential_name usado nesta etapa são as credenciais para acessar o Object Store.

      Não será necessário criar uma credencial para acessar o Oracle Cloud Infrastructure Object Store se você ativar as credenciais do controlador de recursos. Consulte Usar o Controlador de Recursos para Acessar Recursos da Oracle Cloud Infrastructure para obter mais informações.

      Se o location_uri for um URL pré-autenticado ou um URL pré-assinado, não será necessário fornecer um credential_name.

      Consulte Pré-requisitos para Configurar o CMU com o Microsoft Active Directory no Autonomous AI Database para obter mais informações.

   3. Confirme se o CMU-AD está configurado e ativado.

      SELECT property_value FROM database_properties
            WHERE property_name='CMU_WALLET';

3. Após concluir as Etapas 1 e 2, verifique se a configuração da autenticação do Kerberos com CMU-AD foi concluída.
   1. Faça log-in na instância do Autonomous AI Database como usuário do Active Directory para que as informações do SYS_CONTEXT sejam preenchidas no seu USERENV.
   2. Consulte o SYS_CONTEXT USERENV.

      SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
      
      SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')                                 
      --------------------------------------------------------------------------------
      KERBEROS_GLOBAL

   Quando você tem a autenticação do Kerberos configurada e ativada sem CMU-AD, essa consulta retorna: KERBEROS. Consulte Configurar a Autenticação do Kerberos com o Autonomous AI Database para obter mais informações.

   Quando você tem a autenticação CMU-AD configurada sem o Kerberos, essa consulta retorna: PASSWORD_GLOBAL. Consulte Pré-requisitos para Configurar o CMU com o Microsoft Active Directory no Autonomous AI Database para obter mais informações.

Para adicionar atribuições do Active Directory, mapeie as atribuições globais do banco de dados para grupos do Active Directory com as instruções CREATE ROLE ou ALTER ROLE (e inclua a cláusula IDENTIFIED GLOBALLY AS).

1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE ROLE e ALTER ROLE necessários para essas etapas).
2. Defina a autorização do banco de Dados para atribuições do Autonomous AI Database com instrução CREATE ROLE ou ALTER ROLE. Inclua a cláusula IDENTIFIED GLOBALLY AS e especifique o DN de um grupo de Active Directory.

   Use a seguinte sintaxe para mapear um grupo de usuários de diretório para uma atribuição global de banco de dados:

   CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
        'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

   Por exemplo:

   CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
        'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';

   Neste exemplo, todos os membros do widget_sales_group são autorizados com a atribuição de banco de dados widget_sales_role quando fazem log-in no banco de dados.

3. Use instruções GRANT para conceder os privilégios necessários ou outras atribuições à atribuição global.

   Por exemplo:

   GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
   GRANT DWROLE TO WIDGET_SALES_ROLE;

   DWROLE é uma atribuição predefinida que tem privilégios comuns definidos. Consulte Gerenciar Privilégios do Usuário no Autonomous AI Database - Estabelecendo Conexão com uma Ferramenta Cliente para obter informações sobre como definir privilégios comuns para usuários do Autonomous AI Database.

4. Se quiser fazer com que uma atribuição de banco de dados existente seja associada a um grupo do Active Directory, use a instrução ALTER ROLE para alterar a atribuição de banco de dados existente a fim de mapear a atribuição para um grupo do Active Directory.

   Use a sintaxe a seguir para alterar uma atribuição de banco de dados existente a fim de mapeá-la para um grupo do Active Directory:

   ALTER ROLE existing_database_role 
      IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

5. Se quiser criar mapeamentos de atribuição global adicionais para outros grupos do Active Directory, siga estas etapas para cada grupo do Active Directory.

Para adicionar usuários Active Directory para acessar um banco de dados, mapeie usuários globais de banco de dados para grupos ou usuários Active Directory com instruções CREATE USER ou ALTER USER (com uma cláusula IDENTIFIED GLOBALLY AS).

1. Faça log-in como o usuário ADMIN no banco de dados configurado para usar o Active Directory (o usuário ADMIN tem os privilégios de sistema CREATE USER e ALTER USER necessários para essas etapas).
2. Defina uma autorização de banco de dados para usuários do Autonomous AI Database com instruções CREATE USER ou ALTER USER e inclua a cláusula IDENTIFIED GLOBALLY AS, especificando o DN de um usuário ou grupo doActive Directory.

   Use a seguinte sintaxe para mapear um usuário de diretório para um usuário global do banco de dados:

   CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

   Use a seguinte sintaxe para mapear um grupo de diretórios para um usuário global do banco de dados:

   CREATE USER global_user IDENTIFIED GLOBALLY AS
       'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

   Por exemplo, para mapear um grupo de diretórios chamado widget_sales_group na unidade organizacional sales do domínio production.example.com para um usuário global de banco de dados compartilhado chamado WIDGET_SALES:

   CREATE USER widget_sales IDENTIFIED GLOBALLY AS
        'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
   

   Isso cria um mapeamento de usuário global compartilhado. O mapeamento, com o usuário global widget_sales, é efetivo para todos os usuários do grupo do Active Directory. Portanto, qualquer pessoa em widget_sales_group pode fazer log-in no banco de dados usando suas credenciais do Active Directory (por meio do mapeamento compartilhado do usuário global widget_sales).

3. Se você quiser que os usuários do Active Directory usem um usuário de banco de dados existente, possuam seu esquema e possuam seus respectivos dados existentes, use ALTER USER para alterar um usuário de banco de dados existente para mapear o usuário para um grupo ou usuário do Active Directory.

   • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um usuário do Active Directory:

     ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';

   • Use a sintaxe a seguir para alterar um usuário existente do banco de dados para mapeá-lo para um grupo do Active Directory:

     ALTER USER existing_database_user 
          IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';

4. Se quiser criar mapeamentos de usuários globais adicionais para outros grupos ou usuários do Active Directory, siga estas etapas para cada grupo ou usuário do Active Directory.

Depois que o usuário ADMIN conclui as etapas da configuração do CMU Active Directory e cria atribuições globais e usuários global, os usuários efetuam log-on no banco de dados usando o nome de usuário e a senha do seu Active Directory.

1. Para fazer log-on no banco de dados usando um nome de usuário e uma senha no Active Directory, conecte-se da seguinte forma:

   CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;

   Por exemplo:

   CONNECT "production\pfitch"/password@adbname_medium;

   Você precisa incluir aspas duplas quando o domínio do Active Directory for incluído junto com o nome de usuário, como neste exemplo: "production\pfitch".

   Neste exemplo, o nome de usuário do Active Directory é pfitch no domínio production. O usuário do Active Directory é membro do grupo widget_sales_group identificado por seu DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com'.

Quando usuários se conectam ao banco de dados usando o nome de usuário e a senha do seu Active Directory, você pode verificar e auditar as atividades do usuário.

CONNECT "production\pfitch"/password@exampleadb_medium;

SHOW USER;

USER is "WIDGET_SALES"

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

Para remover usuários do Active Directory e atribuições de Autonomous AI Databases, use comandos padrão do banco de dados. Isso não remove os usuários ou grupos relacionados do Active Directory que foram mapeados dos usuários ou atribuições do banco de dados eliminado.

1. Faça log-in no banco de dados configurado para usar o Active Directory como um usuário que recebeu o privilégio de sistema DROP USER ou DROP ROLE.
2. Elimine os usuários globais ou as atribuições globais que foram mapeados para grupos ou usuários do Active Directory com a instrução DROP USER ou DROP ROLE.
   Consulte Remover Usuários no Autonomous AI Database para obter mais informações.

Descreve as etapas para remover a configuração da CMU do seu Autonomous AI Database (e desativar o acesso LDAP do seu Autonomous AI Database para o Active Directory).

1. Estabeleça conexão com o Autonomous AI Database como o usuário ADMIN.
2. Use o DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION para desativar a autenticação de CMU.
   Observação
   
   Para executar esse procedimento, você deve estar conectado como usuário ADMIN ou ter o privilégio EXECUTE em DBMS_CLOUD_ADMIN.

   Por exemplo:

   BEGIN   
      DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
   END;
   /

   Isso desativa a autenticação de CMU na sua instância do Autonomous AI Database.