在专用 Exadata 基础结构上将 Microsoft Active Directory 与自治 AI 数据库结合使用

在 Autonomous AI Database 上使用 Microsoft Active Directory 配置 CMU 的先决条件

以下是配置从 Autonomous AI Database 到 Active Directory 的连接所需的先决条件：

您必须已安装并配置 Microsoft Active Directory。有关详细信息，请参阅 AD DS 入门。
必须在 Active Directory 中创建 Oracle 服务目录用户。有关 Oracle 服务目录用户帐户的信息，请参阅 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Step 1：Create an Oracle Service Directory User Account on Microsoft Active Directory and Grant Permissions 。
Active Directory 系统管理员必须在 Active Directory 服务器上安装 Oracle 密码过滤器，并使用 Active Directory 用户设置 Active Directory 组以满足您的要求。

对于 Autonomous AI Database ，CMU 仅支持密码验证，因此您必须使用包含的实用程序 opwdintg.exe 在 Active Directory 上安装 Oracle 密码过滤器，扩展架构，并创建新的三个 ORA_VFR 组来生成三种类型的密码验证器。有关安装 Oracle 口令过滤器的信息，请参阅 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Step 2：For Password Authentication，Install the Password Filter and Extend the Microsoft Active Directory Schema 。
Active Directory 服务器必须可通过公共互联网从 Autonomous AI Database 访问，并且 Active Directory 服务器的端口 636 必须对 Oracle Cloud Infrastructure 中的 Autonomous AI Database 开放，以便 Autonomous AI Database 可以通过 TLS/SSL 通过 TLS/SSL 保护对 Active Directory 服务器的 LDAP 访问。

您还可以将内部部署 Active Directory 扩展到 Oracle Cloud Infrastructure ，在其中可以为内部部署 Active Directory 设置只读域控制器 (RODC)。然后，您可以在 Oracle Cloud Infrastructure 中使用这些 RODC 来验证和授权内部部署 Active Directory 用户访问 Autonomous AI Database 。

有关详细信息，请参阅在混合云中扩展 Active Directory 集成。
您需要 CMU 配置数据库 wallet、cwallet.sso 和 CMU 配置文件 dsi.ora 来为 Autonomous AI Database 配置 CMU：
- 如果已为内部部署数据库配置 CMU，则可以从内部部署数据库服务器获取这些配置文件。
- 如果您尚未为内部部署数据库配置 CMU，则需要创建这些文件。然后，将配置文件上载到云，以在 Autonomous AI Database 实例上配置 CMU。通过为内部部署数据库配置 CMU 并验证 Active Directory 用户是否可以使用这些配置文件成功登录到内部部署数据库，可以验证 wallet 和 dsi.ora。然后将这些配置文件上载到云，以便为您的 Autonomous AI Database 配置 CMU。
有关 CMU 的 wallet 文件的详细信息，请参阅：
- Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Step 6：Create the Wallet for a Secure Connection
- Oracle Database 19c Security Guide 和 Oracle Database 26ai Security Guide 中的 Step 8：Verify the Oracle Wallet 。
有关 CMU 的 dsi.ora 文件的详细信息，请参阅 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Creating the dsi.ora File 。

有关为 CMU 配置 Active Directory 以及为内部部署数据库排除 CMU 故障的详细信息，请参见 How To Configure Centrally Managed Users For Database Release 18c or Later Releases (Doc ID 2462012.1) 。

在 Autonomous AI Database 上使用 Microsoft Active Directory 配置 CMU

要为 CMU 配置 Autonomous AI Database 以连接到 Active Directory 服务器，请执行以下操作：

以 ADMIN 用户身份连接到 Autonomous AI Database 。
验证数据库上是否启用了其他外部验证方案，然后将其禁用。

注意：
您可以继续在 Kerberos 上进行 CMU-AD 配置，以便为 Microsoft Active Directory 用户提供 CMU-AD Kerberos 验证。
将 CMU 配置文件（包括数据库 wallet 文件 cwallet.sso 和 CMU 配置文件 dsi.ora）上载到对象存储。此步骤取决于您使用的对象存储。

dsi.ora 配置文件包含查找 Active Directory 服务器的信息。

如果您使用的是 Oracle Cloud Infrastructure 对象存储，请参阅将数据放置到对象存储中以了解有关上载文件的详细信息。
在自治 AI 数据库上，创建新目录对象或选择现有目录对象。这是用于存储 wallet 和用于连接到 Active Directory 的配置文件的目录：
例如：
```
CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
```
使用以下 SQL 语句查询目录对象的文件系统目录路径：
```
SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
   DIRECTORY_NAME='directory_object_name';
```
例如：
```
SELECT DIRECTORY_PATH FROM DBA_DIRECTORIES WHERE 
   DIRECTORY_NAME='CMU_WALLET_DIR';


DIRECTORY_PATH
----------------------------------------------------------------------------
/file_system_directory_path_example/cmu_wallet
```
注意：
查询中的目录对象名称必须大写，因为在创建目录对象时未保留其大小写。
如果要为目录对象名称保留大小写，则需要将其名称包含在双引号中。例如：
```
CREATE OR REPLACE DIRECTORY "CMU_wallet_dir" AS 'cmu_wallet';
```
使用 DBMS_CLOUD.GET_OBJECT 将 CMU 配置文件、数据库 wallet cwallet.sso 和 dsi.ora 从对象存储复制到您在上面的步骤 4 中创建或选择的目录。
例如，使用 DBMS_CLOUD.GET_OBJECT 将文件从对象存储复制到 CMU_WALLET_DIR，如下所示：
```
BEGIN
   DBMS_CLOUD.GET_OBJECT(
      credential_name => 'DEF_CRED_NAME',
      object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
      directory_name => 'CMU_WALLET_DIR');
   DBMS_CLOUD.GET_OBJECT(
      credential_name => 'DEF_CRED_NAME',
      object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/dsi.ora',
      directory_name => 'CMU_WALLET_DIR');
END;
/
```
在此示例中，namespace-string 是 Oracle Cloud Infrastructure 对象存储名称空间，bucketname 是存储桶名称。有关更多信息，请参见 Understanding Object Storage Namespaces 。
有关更多信息，请参见GET_OBJECT Procedure 。
使用以下 SQL 语句查询复制到目录的文件。
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('directory_object_name');
```
例如：
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
```
请注意，此查询中的目录对象名称必须大写，因为在创建目录对象时未保留其大小写。
使用 DBMS_CLOUD_ADMIN 程序包在 Autonomous AI Database 中启用 CMU-AD。
注意：
将以下示例中的目录名称替换为为您的环境选择的目录名称。在运行此命令之前，请确保您已以 ADMIN 用户身份登录。
```
BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     => 'CMU',
    params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
  ); 
END;
/ 
```
要维护安全性，请从对象存储中删除 CMU 配置文件，包括数据库 wallet cwallet.sso 和 CMU 配置文件 dsi.ora。可以使用本地对象存储方法删除这些文件，也可以使用 DBMS_CLOUD.DELETE_OBJECT 从对象存储中删除这些文件。
有关 DBMS_CLOUD.DELETE_OBJECT 的更多信息，请参见DELETE_OBJECT Procedure 。

注意：

有关禁用从 Autonomous AI Database 到 Active Directory 的访问的说明，请参见 Disable Active Directory Access on Autonomous AI Database。

有关详细信息，请参阅 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Configuring Centrally Managed Users with Microsoft Active Directory 。

在 Exadata Cloud@Customer 上使用 Microsoft Active Directory 配置 CMU

适用于：仅适用于 Exadata Cloud@Customer

要为 CMU 配置 Exadata Cloud@Customer 上的 Autonomous AI Database 以连接到 Active Directory 服务器，而不使用 Oracle 对象存储服务：

以 ADMIN 用户身份连接到 Autonomous AI Database 。
验证数据库上是否启用了其他外部验证方案，并使用以下 SQL 命令将其禁用。
```
BEGIN
  DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
```
CMU-AD 需要您的 Active Directory 连接 wallet cwallet.sso 和自治 Exadata VM 集群 (AVMC) 上本地文件系统上的 dsi.ora 文件。您可以通过在 Oracle Cloud Infrastructure 上的 Oracle 对象存储服务中托管这些文件，然后使用 DBMS_CLOUD 程序包在本地复制这些文件来实现此目的。您可以在 Configure CMU with Microsoft Active Directory on Autonomous AI Database 中找到此过程以及详细的步骤和示例。
如果无法在云存储中托管 cwallet.sso 和 dsi.ora，则可以使用数据中心中的网络文件系统 (Network File System，NFS) 共享来托管这些文件，然后将其移至数据库文件系统 (Database File System，DBFS) 下的数据库目录。为此，必须首先将本地可用的 NFS 共享资源附加到 Autonomous AI Database 目录对象，如下所示：
1. 使用 SQL 客户机中的以下 SQL 命令在 Autonomous AI Database 实例中创建数据库目录：
```
create or replace directory TMPFSSDIR as 'tmpfssdir';
```
2. 使用 Autonomous AI Database 中提供的 DBMS_CLOUD_ADMIN 软件包将 NFS 共享挂载到此目录。
  
  提示：
  您可能需要与网络或存储管理员合作，以使 NFS 共享可用。
```
BEGIN
  DBMS_CLOUD_ADMIN.attach_file_system(
    file_system_name => <some_name_you_assign>,
    file_system_location => <your_nfs_fs_path>,
    directory_name => <tmpfssdir_created_above>,
    description => ‘Any_desc_you_like_to_give’
  );
END
```
  例如：
```
BEGIN 
  DBMS_CLOUD_ADMIN.attach_file_system(
    file_system_name => 'AD-FSS',
    file_system_location => acme.com:/nfs/mount1',
    directory_name => 'TMPFSSDIR',
    description => ‘nfs to host AD files’
  );
END;
```

为了避免对 CMU 可使用的 cwallet.sso 和 dsi.ora 文件的 NFS 共享依赖，请使用数据库目录映射将其移至本地文件系统文件夹。由于 Autonomous AI Database 限制对本地文件系统的访问，因此请使用 utl_file 创建复制过程，如下所示：

使用 SQL 客户机中的以下 SQL 命令在 Autonomous AI Database 实例中创建数据库目录：
```
CREATE OR REPLACE DIRECTORY cmu_wallet_dir AS 'cmu_wallet';
```
使用以下 SQL 命令检查上述已创建目录的目录路径：
```
SELECT DIRECTORY_PATH 
FROM DBA_DIRECTORIES 
WHERE DIRECTORY_NAME ='CMU_WALLET_DIR';
```
注意：
目录对象名称在查询中必须大写，因为在创建目录对象时未保留其大小写。

使用 UTL_FILE 实用程序将 dsi.ora 和 cwallet.sso 从 NFS 目录复制到本地 CMU Wallet 目录。

例如：

按如下所示创建名为 copyfile 的存储过程：

CREATE OR REPLACE PROCEDURE copyfile(
  in_loc_dir IN VARCHAR2,
  in_filename IN VARCHAR2,
  out_loc_dir IN VARCHAR2,
  out_filename IN VARCHAR2
)
IS
  in_file UTL_FILE.file_type;
  out_file UTL_FILE.file_type;
  buffer_size CONSTANT INTEGER := 32767;
  buffer RAW (32767);
  buffer_length INTEGER; 
BEGIN
  in_file := UTL_FILE.fopen (in_loc_dir, in_filename, 'rb', buffer_size);
  out_file := UTL_FILE.fopen (out_loc_dir, out_filename, 'wb', buffer_size);
  UTL_FILE.get_raw (in_file, buffer, buffer_size);
  buffer_length := UTL_RAW.LENGTH (buffer);

  WHILE buffer_length > 0
  LOOP 
    UTL_FILE.put_raw (out_file, buffer, TRUE);

    IF buffer_length = buffer_size
      THEN
        UTL_FILE.get_raw (in_file, buffer, buffer_size);
        buffer_length := UTL_RAW.LENGTH (buffer);
      ELSE
        buffer_length := 0;
      END IF;
  END LOOP;

  UTL_FILE.fclose (in_file);
  UTL_FILE.fclose (out_file);
EXCEPTION
  WHEN NO_DATA_FOUND
  THEN
    UTL_FILE.fclose (in_file);
    UTL_FILE.fclose (out_file);
END;
/

编译 copyfile 存储过程。成功编译后，请分别运行 copyfile 过程，将 dsi.ora 和 cwallet.sso 从 NFS 目录复制到本地 CMU Wallet 目录，如下所示：

EXEC copyfile('TMPFSSDIR','dsi.ora','CMU_WALLET_DIR','dsi.ora');

EXEC copyfile('TMPFSSDIR','cwallet.sso','CMU_WALLET_DIR','cwallet.sso');

运行以下 SQL 查询以验证文件是否已成功复制到本地 CMU Wallet 目录。
```
SELECT * FROM DBMS_CLOUD.LIST_FILES('CMU_WALLET_DIR');
```

使用以下命令分离 NFS 共享，因为在将文件复制到本地目录后，您不需要将它用于 CMU-AD。
```
exec DBMS_CLOUD_ADMIN.detach_file_system(file_system_name => <FILE_SYSTEM_NAME>);
```
使用 DBMS_CLOUD_ADMIN 程序包在 Autonomous AI Database 中启用 CMU-AD。
注意：
将以下示例中的目录名称替换为为您的环境选择的目录名称。在运行此命令之前，请确保您已以 ADMIN 用户身份登录。
```
BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     => 'CMU',
    params   => JSON_OBJECT('directory_name' value 'CMU_WALLET_DIR')
  ); 
END;
/ 
```

通过查询数据库属性 CMU_WALLET 的属性值进行验证，如下所示。

SELECT PROPERTY_VALUE
FROM DATABASE_PROPERTIES
WHERE PROPERTY_NAME = 'CMU_WALLET';

例如：

SELECT PROPERTY_VALUE
FROM DATABASE_PROPERTIES
WHERE PROPERTY_NAME='CMU_WALLET';

PROPERTY_VALUE
--------------
CMU_WALLET_DIR

您现在已将 CMU-AD 配置为通过 Microsoft Active Directory 将外部验证与 Exadata Cloud@Customer 上的 Autonomous AI Database 结合使用。

在 Autonomous AI Database 上添加 Microsoft Active Directory 角色

要添加 Active Directory 角色，请使用 CREATE ROLE 或 ALTER ROLE 语句将数据库全局角色映射到 Active Directory 组（并包括 IDENTIFIED GLOBALLY AS 子句）。

要在 Autonomous AI Database 上为 Active Directory 组添加全局角色：

以 ADMIN 用户身份登录配置为使用 Active Directory 的数据库（ ADMIN 用户具有这些步骤所需的 CREATE ROLE 和 ALTER ROLE 系统权限）。
使用 CREATE ROLE 或 ALTER ROLE 语句为 Autonomous AI Database 角色设置数据库授权。包括 IDENTIFIED GLOBALLY AS 子句并指定 Active Directory 组的 DN。
使用以下语法将目录用户组映射到数据库全局角色：
```
CREATE ROLE global_role IDENTIFIED GLOBALLY AS 
     'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
例如：
```
CREATE ROLE widget_sales_role IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
```
在此示例中，当 widget_sales_group 的所有成员登录到数据库时，都将获得数据库角色 widget_sales_role 的授权。
使用 GRANT 语句向全局角色授予所需的权限或其他角色。
例如：
```
GRANT CREATE SESSION TO WIDGET_SALES_ROLE;
GRANT DWROLE TO WIDGET_SALES_ROLE;
```
DWROLE 是定义了公用权限的预定义角色。有关为 Autonomous AI Database 用户设置公用权限的信息，请参阅管理数据库用户权限。
如果要使现有数据库角色与 Active Directory 组关联，请使用 ALTER ROLE 语句更改现有数据库角色，以将该角色映射到 Active Directory 组。
使用以下语法更改现有数据库角色以将其映射到 Active Directory 组：
```
ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
如果要为其他 Active Directory 组创建其他全局角色映射，请为每个 Active Directory 组执行以下步骤。

有关使用 Microsoft Active Directory 配置角色的更多信息，请参阅 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Configuring Authorization for Centrally Managed Users 。

在 Autonomous AI Database 上添加 Microsoft Active Directory 用户

要添加 Active Directory 用户以访问 Autonomous AI Database ，请使用 CREATE USER 或 ALTER USER 语句（带有 IDENTIFIED GLOBALLY AS 子句）将数据库全局用户映射到 Active Directory 组或用户。

通过将 Microsoft Active Directory 用户和组直接映射到 Oracle 数据库全局用户和全局角色，可将 Autonomous AI Database 与 Active Directory 集成。

要在 Autonomous AI Database 上为 Active Directory 组或用户添加全局用户，请执行以下操作：

以 ADMIN 用户身份登录配置为使用 Active Directory 的数据库（ ADMIN 用户具有这些步骤所需的 CREATE USER 和 ALTER USER 系统权限）。
通过 CREATE USER 或 ALTER USER 语句为 Autonomous AI Database 用户设置数据库授权，并包括 IDENTIFIED GLOBALLY AS 子句，以指定 Active Directory 用户或组的 DN。
使用以下语法将目录用户映射到数据库全局用户：
```
CREATE USER global_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
```
使用以下语法将目录组映射到数据库全局用户：
```
CREATE USER global_user IDENTIFIED GLOBALLY AS
    'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
例如，要将 production.example.com 域的 sales 组织单元中名为 widget_sales_group 的目录组映射到名为 WIDGET_SALES 的共享数据库全局用户：
```
CREATE USER widget_sales IDENTIFIED GLOBALLY AS
     'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com';
```
这将创建共享全局用户映射。映射（全局用户为 widget_sales）对 Active Directory 组中的所有用户都有效。因此，widget_sales_group 中的任何人都可以使用其 Active Directory 凭证（通过 widget_sales 全局用户的共享映射）登录到数据库。
如果希望 Active Directory 用户使用现有数据库用户、拥有其方案并拥有其现有数据，则使用 ALTER USER 更改现有数据库用户以将用户映射到 Active Directory 组或用户。
- 使用以下语法更改现有数据库用户以将其映射到 Active Directory 用户：
```
ALTER USER existing_database_user IDENTIFIED GLOBALLY AS 'DN_of_an_AD_USER';
```
- 使用以下语法更改现有数据库用户以将其映射到 Active Directory 组：
```
ALTER USER existing_database_user 
     IDENTIFIED GLOBALLY AS 'DN_of_an_AD_GROUP_of_WHICH_the_AD_USER_IS_a_MEMBER';
```
如果要为其他 Active Directory 组或用户创建其他全局用户映射，请为每个 Active Directory 组或用户执行以下步骤。

有关使用 Microsoft Active Directory 配置角色的更多信息，请参阅 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Configuring Authorization for Centrally Managed Users 。

使用 Active Directory 用户身份证明连接到 Autonomous AI Database

在 ADMIN 用户完成 CMU Active Directory 配置步骤并创建全局角色和全局用户之后，用户使用其 Active Directory 用户名和密码登录到 Autonomous AI Database 。

注意：

请勿使用全局用户名登录。全局用户名没有口令，与全局用户名连接将不成功。要登录到数据库，您的 Autonomous AI Database 中必须有一个全局用户映射。您无法仅使用全局角色映射登录到数据库。

要使用 Active Directory 用户名和密码登录到 Autonomous AI Database ，请按以下方式进行连接：
```
CONNECT "AD_DOMAIN\AD_USERNAME"/AD_USER_PASSWORD@TNS_ALIAS_OF_THE_AUTONOMOUS_DATABASE;
```
例如：
```
CONNECT "production\pfitch"/password@adbname_medium;
```
当 Active Directory 域随用户名一起包含时，您需要包括双引号，如下例所示："production\pfitch"。

在此示例中，Active Directory 用户名为域 production 中的 pfitch。Active Directory 用户是由其 DN 'CN=widget_sales_group,OU=sales,DC=production,DC=example,DC=com' 标识的 widget_sales_group 组的成员。

After configuring CMU with Active Directory on Autonomous AI Database and setting up Active Directory authorization, with global roles and global users, you can connect to your Autonomous AI Database using any of the connection methods described in About Connecting to a Dedicated Autonomous AI Database .连接时，如果要使用 Active Directory 用户，则使用 Active Directory 用户凭证。例如，以这种形式提供用户名 "AD_DOMAIN \AD_USERNAME "（必须包括双引号），并将 AD_USER_PASSWORD 用于口令。

使用 Autonomous AI Database 验证 Active Directory 用户连接信息

当用户使用其 Active Directory 用户名和密码登录到 Autonomous AI Database 时，您可以验证和审计用户活动。

例如，当用户 pfitch 登录时：

CONNECT "production\pfitch"/password@exampleadb_medium;

Active Directory 用户的登录用户名 (samAccountName) 为 pfitch，widget_sales_group 为 Active Directory 组名称，widget_sales 为 Autonomous AI Database 全局用户。

pfitch 登录到数据库后，命令 SHOW USER 显示全局用户名：

SHOW USER;

USER is "WIDGET_SALES"

以下命令显示 Active Directory 用户的 DN（标识名）：

SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

例如，您可以验证此集中管理用户的企业身份：

SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com

以下命令显示 "AD_DOMAIN\AD_USERNAME"：

SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

例如，当用户登录到数据库时，将捕获并审计 Active Directory 验证的用户身份：

SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch

有关详细信息，请参阅 Oracle Database 19c Security Guide 中的 Verifying the Centrally Managed User Logon Information 或 Oracle Database 26ai Security Guide 。

删除 Autonomous AI Database 上的 Active Directory 用户和角色

要从 Autonomous AI Database 中删除 Active Directory 用户和角色，请使用标准数据库命令。这不会删除从已删除的数据库用户或角色映射的相关 Active Directory 用户或组。

要从 Autonomous AI Database 中删除用户或角色：

以被授予 DROP USER 或 DROP ROLE 系统权限的用户身份登录到配置为使用 Active Directory 的数据库。
删除映射到 Active Directory 组或具有 DROP USER 或 DROP ROLE 语句的用户的全局用户或全局角色。
有关更多信息，请参见 Remove Database Users 。

在 Autonomous AI Database 上禁用 Active Directory 访问

介绍从 Autonomous AI Database 中删除 CMU 配置的步骤（以及禁用从 Autonomous AI Database 到 Active Directory 的 LDAP 访问）。

将 Autonomous AI Database 实例配置为访问 CMU Active Directory 之后，可以按如下方式禁用访问权限：

以 ADMIN 用户身份连接到 Autonomous AI Database 。
使用 DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION 禁用 CMU 验证。

注意：
要运行此过程，您必须以 ADMIN 用户身份登录，或者对 DBMS_CLOUD_ADMIN 具有 EXECUTE 特权。
例如：
```
BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
```
这将在您的 Autonomous AI Database 实例上禁用 CMU 验证。

有关更多信息，请参见DISABLE_EXTERNAL_AUTHENTICATION Procedure 。

Microsoft Active Directory 在 Autonomous AI Database 上的限制

以下限制适用于 Autonomous AI Database 上带有 Active Directory 的 CMU：

具有 Autonomous AI Database 的 CMU 仅支持 "password authentication" 和 Kerberos。将 CMU 验证用于 Autonomous AI Database 时，不支持其他验证方法，例如 Azure AD、OCI IAM 和 PKI。
具有 Autonomous AI Database 的 Active Directory 用户不支持 Oracle Application Express 和 Database Actions。