在專用的 Exadata 基礎架構上搭配 Autonomous Database 使用 Microsoft Active Directory
您可以設定 Autonomous Database on Dedicated Exadata Infrastructure 以驗證並授權 Microsoft Active Directory 使用者。此組態可讓 Active Directory 使用者使用其 Active Directory 憑證存取 Autonomous Database 。
附註:
請參閱搭配使用 Azure Active Directory (Azure AD) with Autonomous Database ,瞭解搭配 Autonomous Database 使用 Azure Active Directory 的資訊。CMU 選項支援 Microsoft Active Directory 伺服器,但不支援 Azure Active Directory 服務。Autonomous Database 與集中管理使用者 (CMU) 的整合提供了與 Microsoft Active Directory 的整合。CMU 與 Active Directory 的運作方式是將 Oracle 資料庫全域使用者與全域角色對應至 Microsoft Active Directory 使用者與群組。
在 Autonomous Database 上使用 Microsoft Active Directory 設定 CMU 的先決條件
設定從 Autonomous Database 到 Active Directory 的連線所需的先決條件如下:
-
您必須安裝並設定 Microsoft Active Directory。請參閱 AD DS 入門以瞭解詳細資訊。
-
您必須在 Active Directory 中建立 Oracle 服務目錄使用者。如需 Oracle 服務目錄使用者帳戶的相關資訊,請參閱步驟 1:Create an Oracle Service Directory User Account on Microsoft Active Directory and Grant Permissions in Oracle Database 19c Security Guide or Oracle Database 23ai Security Guide 。
-
Active Directory 系統管理員必須已在 Active Directory 伺服器上安裝 Oracle 密碼篩選器,並設定具有 Active Directory 使用者的 Active Directory 群組,以符合您的需求。
Autonomous Database 的 CMU 僅支援密碼驗證,因此您必須使用內含的公用程式
opwdintg.exe
,在 Active Directory 上安裝 Oracle 密碼篩選、擴充綱要,以及建立三種新ORA_VFR
群組以產生三種類型的密碼驗證程式。See Step 2: For Password Authentication, Install the Password Filter and Extend the Microsoft Active Directory Schema in Oracle Database 19c Security Guide or Oracle Database 23ai Security Guide for information on installing the Oracle password filter. -
Active Directory 伺服器必須透過公用網際網路從 Autonomous Database 存取,且 Active Directory 伺服器的連接埠 636 必須開啟至 Oracle Cloud Infrastructure 中的 Autonomous Database ,因此 Autonomous Database 可以透過 TLS/SSL 透過網際網路存取 Active Directory 伺服器。
您也可以將內部部署 Active Directory 延伸至 Oracle Cloud Infrastructure ,您可以在其中設定內部部署 Active Directory 的唯讀網域控制器 (RODC)。然後,您可以使用 Oracle Cloud Infrastructure 中的這些 RODC 來驗證和授權內部部署 Active Directory 使用者存取 Autonomous Database 。
請參閱擴充混合雲中的 Active Directory 整合以瞭解詳細資訊。
-
您需要 CMU 組態資料庫公事包
cwallet.sso
和 CMU 組態檔dsi.ora
,才能為您的 Autonomous Database 設定 CMU:-
如果您已為內部部署資料庫設定 CMU,則可以從內部部署資料庫伺服器取得這些組態檔。
-
如果您尚未為內部部署資料庫設定 CMU,則需要建立這些檔案。然後將組態檔上傳至雲端,以在您的 Autonomous Database 例項上設定 CMU。您可以為內部部署資料庫設定 CMU,並驗證 Active Directory 使用者是否能夠使用這些組態檔成功登入內部部署資料庫,以驗證公事包和
dsi.ora
。然後將這些組態檔上傳至雲端,以便為您的 Autonomous Database 設定 CMU。
如需 CMU 公事包檔案的詳細資訊,請參閱:- 步驟 6:建立安全連線的公事包,請參閱 Oracle Database 19c Security Guide 或 Oracle Database 23ai Security Guide 。
- 步驟 8:驗證 Oracle Wallet ,請參閱 Oracle Database 19c Security Guide 和 Oracle Database 23ai Security Guide 。
如需 CMU 之
dsi.ora
檔案的詳細資訊,請參閱 Oracle Database 19c Security Guide 中的 Creating the dsi.ora File 或 Oracle Database 23ai Security Guide 。如需設定 CMU 的 Active Directory 和內部部署資料庫 CMU 疑難排解的詳細資訊,請參閱 How to Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1) 。
-
在 Autonomous Database 上使用 Microsoft Active Directory 設定 CMU
若要為 CMU 設定 Autonomous Database 以連線至 Active Directory 伺服器,請執行下列動作:
附註:
請參閱停用 Autonomous Database 上的 Active Directory Access ,以取得停用從 Autonomous Database 存取 Active Directory 的指示。如需詳細資訊,請參閱 Oracle Database 19c Security Guide 中的 Configuring Centrally Managed Users with Microsoft Active Directory 或 Oracle Database 19c Security Guide 。
在 Exadata Cloud@Customer 上使用 Microsoft Active Directory 設定 CMU
適用於: 僅限 Exadata Cloud@Customer
若要在 Exadata Cloud@Customer 上設定 Autonomous Database ,讓 CMU 無須使用 Oracle Object Store 服務即可連線至 Active Directory 伺服器:
您現在已將 CMU-AD 設定為透過 Microsoft Active Directory 使用 Exadata Cloud@Customer 上的 Autonomous Database 進行外部驗證。
在 Autonomous Database 上新增 Microsoft Active Directory 角色
若要新增 Active Directory 角色,請使用 CREATE ROLE
或 ALTER ROLE
敘述句將資料庫全域角色對應至 Active Directory 群組 (包括 IDENTIFIED GLOBALLY AS
子句)。
新增 Autonomous Database 上 Active Directory 群組的全域角色:
如需有關使用 Microsoft Active Directory 設定角色的詳細資訊,請參閱 Oracle Database 19c Security Guide 中的 Configuring Authorization for Centrally Managed Users 或 Oracle Database 23ai Security Guide 。
在 Autonomous Database 上新增 Microsoft Active Directory 使用者
若要新增 Active Directory 使用者以存取 Autonomous Database ,請將資料庫全域使用者對應至 Active Directory 群組,或使用 CREATE USER
或 ALTER USER
陳述式 (使用 IDENTIFIED GLOBALLY AS
子句) 的使用者。
Autonomous Database 與 Active Directory 的整合可藉由將 Microsoft Active Directory 使用者和群組直接對應至 Oracle 資料庫全域使用者和全域角色來運作。
若要為 Autonomous Database 上的 Active Directory 群組或使用者新增全域使用者,請執行下列動作:
如需有關使用 Microsoft Active Directory 設定角色的詳細資訊,請參閱 Oracle Database 19c Security Guide 中的 Configuring Authorization for Centrally Managed Users 或 Oracle Database 23ai Security Guide 。
使用 Active Directory 使用者證明資料連線到 Autonomous Database
ADMIN 使用者完成 CMU Active Directory 組態設定步驟並建立全域角色和全域使用者之後,使用者可使用其 Active Directory 使用者名稱和密碼登入 Autonomous Database 。
附註:
請勿使用「全域使用者名稱」登入。「全域使用者名稱」沒有密碼,因此連線「全域使用者名稱」將失敗。您必須在 Autonomous Database 中擁有全域使用者對應,才能登入資料庫。您無法使用全域角色對應登入資料庫。在 Autonomous Database 上使用 Active Directory 設定 CMU 並設定具有全域角色和全域使用者的 Active Directory 授權之後,您可以使用關於連線至專用 Autonomous Database 中所述的任何連線方法來連線到您的 Autonomous Database 。連線時,若要使用 Active Directory 使用者,請使用 Active Directory 使用者憑證。例如,請以此格式提供使用者名稱 "AD_DOMAIN \AD_USERNAME " (必須包含雙引號),然後使用您的 AD_USER_PASSWORD 作為密碼。
使用 Autonomous Database 驗證 Active Directory 使用者連線資訊
當使用者使用 Active Directory 使用者名稱與密碼登入 Autonomous Database 時,您可以驗證並稽核使用者活動。
例如,當使用者 pfitch
登入時:
CONNECT "production\pfitch"/password@exampleadb_medium;
Active Directory 使用者的登入使用者名稱 (samAccountName) 為 pfitch
,而 widget_sales_group
為 Active Directory 群組名稱,widget_sales
為 Autonomous Database 全域使用者。
pfitch
登入資料庫之後,SHOW USER
命令會顯示全域使用者名稱:
SHOW USER;
USER is "WIDGET_SALES"
下列命令顯示 Active Directory 使用者的 DN (辨別名稱):
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
例如,您可以驗證此集中管理使用者的企業識別:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
下列命令顯示 "AD_DOMAIN\AD_USERNAME
":
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
例如,當使用者登入資料庫時,會擷取並稽核 Active Directory 認證的使用者識別:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
如需詳細資訊,請參閱 Oracle Database 19c Security Guide 中的 Verifying the Centrally Managed User Logon Information 或 Oracle Database 23ai Security Guide 。
移除 Autonomous Database 上的 Active Directory 使用者和角色
若要從 Autonomous Database 移除 Active Directory 使用者和角色,請使用標準資料庫指令。這不會移除從刪除的資料庫使用者或角色對應的相關 Active Directory 使用者或群組。
若要從 Autonomous Database 移除使用者或角色:
停用 Autonomous Database 上的 Active Directory 存取
描述從您的 Autonomous Database 移除 CMU 組態 (以及停用從 Autonomous Database 到 Active Directory 的 LDAP 存取) 的步驟。
將 Autonomous Database 例項設定為存取 CMU Active Directory 之後,您可以停用存取,如下所示:
如需詳細資訊,請參閱DISABLE_EXTERNAL_AUTHENTICATION 程序。
Autonomous Database 上 Microsoft Active Directory 的限制
在 Autonomous Database 上使用 Active Directory 的 CMU 有下列限制:
-
CMU 與 Autonomous Database 僅支援「密碼認證」和 Kerberos。使用 CMU 認證搭配 Autonomous Database 時,不支援其他認證方法,例如 Azure AD、OCI IAM 和 PKI。
-
具有 Autonomous Database 的 Active Directory 使用者不支援 Oracle Application Express 和 Database Actions。