在專用 Exadata 基礎架構上使用自治式 AI 資料庫管理使用者設定檔

您可以在自治式 AI 資料庫中建立及更改使用者設定檔。建立或更改設定檔之後，您可以使用 CREATE USER 或 ALTER USER 指定設定檔子句。您也可以使用「Oracle Data Pump 匯入」，從另一個環境匯入現有的使用者設定檔。

注意： 自治式 AI 資料庫對設定檔子句有限制。請參閱使用 SQL 命令的限制，瞭解 CREATE PROFILE 和 ALTER PROFILE 限制的相關資訊。

若要新增、修改或移除設定檔中的密碼參數 (包括 DEFAULT 設定檔)，您必須具有 ALTER PROFILE 系統權限。

1. 若要新增或更改設定檔，ADMIN 使用者可執行 CREATE PROFILE 或 ALTER PROFILE。舉例而言：

    CREATE PROFILE new_profile
      LIMIT PASSWORD_REUSE_MAX 10
      PASSWORD_LOCK_TIME 5;
   

   如果您不是 ADMIN 使用者，則必須具備 CREATE PROFILE 權限才能執行 CREATE PROFILE。如果您執行 ALTER PROFILE，則必須具有 ALTER PROFILE 權限。

2. 使用新的或更動的設定檔來搭配 CREATE USER 或 ALTER USER 指令。舉例而言：

    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
    GRANT CREATE SESSION TO new_user;
   

這會使用設定檔 new_profile 和連線權限來建立 new_user。new_user 現在可以連線至資料庫並執行查詢。若要將其他權限授與使用者，請參閱管理資料庫使用者權限。

請參閱 Oracle Database 19c SQL Language Reference 中的 CREATE PROFILE 或 Oracle Database 26ai SQL Language Reference ，瞭解有關使用 CREATE PROFILE 的資訊。

您可以使用 Oracle Data Pump 匯入 (impdp)，匯入在其他環境中建立的現有設定檔。匯入 Autonomous AI Database 後，會保留與資料庫使用者關聯的所有現有設定檔。當從 Oracle Data Pump 匯入建立的新建立使用者，第一次嘗試登入時，登入的處理方式如下：

• 密碼複雜性限制與 Autonomous AI Database 上任何使用者的限制相同。

• 如果使用者的密碼違反密碼複雜性需求，帳戶就會過期，且寬限期為 30 天。在此情況下，使用者必須在寬限期結束之前變更其密碼。

備註：無法修改設定檔為 ORA_PROTECTED_PROFILE 之使用者的設定檔指派。

建立或更改設定檔時，您可以指定密碼驗證功能 (PVF) 來管理密碼複雜性。如需詳細資訊，請參閱 Autonomous AI Database 上的「管理密碼複雜性」。

管理自治式 AI 資料庫的密碼複雜性

您可以建立密碼驗證功能 (PVF)，並將 PVF 與設定檔建立關聯，以管理使用者密碼的複雜性。

注意：

使用者指定 PVF 的密碼長度下限為 8 個字元，且至少必須包含一個大寫字母、一個小寫字母以及一個數字字元。DEFAULT 設定檔的密碼長度下限為 12 個字元 (DEFAULT 設定檔使用 CLOUD_VERIFY_FUNCTION PVF)。密碼不得包含使用者名稱。

Oracle 建議使用的密碼長度下限為 12 個字元。如果您定義設定檔的 PVF，並將密碼長度下限設為少於 12 個字元，則 Oracle Database Security Assessment Tool (DBSAT) 和 Qualys 等工具會將此報告為資料庫安全風險。

例如，若要為設定檔指定 PVF，請使用以下指令：

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

如果設定檔是由 ADMIN 使用者以外的任何使用者建立或更改，則您必須授予 PVF 的 EXECUTE 權限。如果您建立 PVF 且密碼檢查失敗，資料庫會報告 ORA-28219 錯誤。

您可以從下列其中一項指定 Oracle 提供的 PVF：

• CLOUD_VERIFY_FUNCTION (這是自治式 AI 資料庫的預設密碼驗證功能)：

  此功能會在使用者建立或修改密碼時檢查下列需求：

  • 密碼的長度必須介於 12 到 30 個字元之間且至少必須包含一個大寫字母、一個小寫字母及一個數字字元。

  • 密碼不得包含使用者名稱。

  • 密碼不得為相同使用者名稱所使用之最後四個密碼的其中一個。

  • 密碼不得包含雙引號 (」) 字元。

  • 密碼不得與 24 小時以前設定的密碼相同。

• ORA12C_STIG_VERIFY_FUNCTION

  此功能會在使用者建立或修改密碼時檢查下列需求：

  • 密碼必須至少有 15 個字元。

  • 密碼至少要有 1 個小寫字元和至少 1 個大寫字元。

  • 密碼至少要有 1 個數字。

  • 密碼至少要有 1 個特殊字元。

  • 密碼與前一個密碼至少有 8 個字元不同。

  如需更多資訊，請參閱 Oracle Database 19c Security Guide 中的 ora12c_stig_verify_function Password Requirements 或 Oracle Database 26ai Security Guide 。

請注意下列您建立並指派給設定檔的密碼驗證函數 (PVF) 限制：

• 如果您指定使用者設定檔，密碼長度下限取決於您定義相關 PVF 的方式，如下所示：

  • 如果已定義 PVF，則強制的密碼長度下限為 8 個字元，至少包含一個大寫字母、一個小寫字母及一個數字字元。密碼不得包含使用者名稱。

  • 如果 PVF 定義為 NULL，則強制的密碼長度下限為 8 個字元，至少包含一個大寫字母、一個小寫字母及一個數字字元。密碼不得包含使用者名稱。

  • 如果設定檔未定義 PVF，則會指派 DEFAULT 設定檔的 PVF (CLOUD_VERIFY_FUNCTION)，且強制的密碼長度下限為 12 個字元。

• 如果您指定的密碼驗證函數 (PVF) 比預設 CLOUD_VERIFY_FUNCTION 更嚴格，則會使用新的驗證函數。

• 您建立的 PVF 必須建立為 DEFINER RIGHTS PL/SQL 函數。如果提供 INVOKER 權限 PVF 作為 CREATE 或 ALTER PROFILE 的輸入，則會發出 ORA-28220 錯誤。

• 您必須在 ADMIN 使用者綱要中建立您所建立的任何 PVF。如果提供非 ADMIN 使用者擁有的 PVF 作為 CREATE 或 ALTER PROFILE 的輸入，則會發出 ORA-28220 錯誤。

• 非 ADMIN 使用者無法更改或刪除 PVF。也就是說，任何具有 CREATE 或 DROP ANY PROCEDURE 權限的使用者都不能更改或刪除 PVF。

• 如果刪除與設定檔相關聯的 PVF，則在其設定檔中使用 PVF 之使用者的任何嘗試變更密碼都會發出錯誤 ORA-7443。使用者仍可在刪除與其設定檔相關聯的 PVF 時登入。不過，如果使用者的密碼已過期且已刪除 PVF，則使用者無法登入。

  若要從 ORA-7443 錯誤復原，ADMIN 使用者必須重新建立刪除的 PVF 並將其指派給設定檔，或將現有的 PVF 指派給設定檔。這可讓使用者變更其密碼和登入。

• 為 PVF 安全性稽核 CREATE ANY PROCEDURE 系統權限與 DROP ANY PROCEDURE 系統權限。請參閱 Oracle Database 19c SQL Language Reference 或 Oracle Database 26ai SQL Language Reference 中 Listings of System and Object Privileges 中的 PROCEDURES 清單，瞭解詳細資訊。

請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Managing the Complexity of Passwords ，瞭解詳細資訊。

應用程式的漸進式資料庫密碼變換

應用程式可以變更其資料庫密碼，無須管理員排定停機時間。

若要達成此目的，您可以將 PASSWORD_ROLLOVER_TIME 密碼設定檔參數具有非零限制的設定檔與應用程式綱要建立關聯。這允許更改應用程式使用者的資料庫密碼，同時允許舊密碼在 PASSWORD_ROLLOVER_TIME 限制所指定的時間內維持有效。在輪換期間，應用程式執行處理可以使用舊密碼或新密碼來連線資料庫伺服器。累計時間到期時，只允許新密碼。

請參閱管理應用程式的漸進式資料庫密碼變換以瞭解詳細資訊。

相關內容

管理專用 Exadata 基礎架構上的自治式 AI 資料庫使用者