將 Microsoft Active Directory 與專用 Exadata 基礎架構上的自治式 AI 資料庫搭配使用
您可以將 Autonomous AI Database on Dedicated Exadata Infrastructure 設定為認證並授權 Microsoft Active Directory 使用者。此組態可讓 Active Directory 使用者使用其 Active Directory 證明資料來存取 Autonomous AI Database 。
附註:
請參閱將 Azure Active Directory (Azure AD) 與 Autonomous AI Database 搭配使用,瞭解有關將 Azure Active Directory 與 Autonomous AI Database 搭配使用的資訊。CMU 選項支援 Microsoft Active Directory 伺服器,但不支援 Azure Active Directory 服務。Autonomous AI Database 與集中管理使用者 (CMU) 的整合提供與 Microsoft Active Directory 的整合。CMU 與 Active Directory 的運作方式是將 Oracle 資料庫全域使用者和全域角色對應至 Microsoft Active Directory 使用者和群組。
在 Autonomous AI Database 上使用 Microsoft Active Directory 設定 CMU 的先決條件
設定從 Autonomous AI Database 到 Active Directory 連線的必要先決條件如下:
-
您必須安裝並設定 Microsoft Active Directory。請參閱 AD DS 入門以瞭解詳細資訊。
-
您必須在 Active Directory 中建立 Oracle 服務目錄使用者。請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Step 1:Create an Oracle Service Directory User Account on Microsoft Active Directory and Grant Permissions ,瞭解 Oracle 服務目錄使用者帳戶的資訊。
-
Active Directory 系統管理員必須已在 Active Directory 伺服器上安裝 Oracle 密碼篩選器,並設定具有 Active Directory 使用者的 Active Directory 群組,以符合您的需求。
Autonomous AI Database 的 CMU 僅支援密碼驗證,因此您必須使用內含的公用程式
opwdintg.exe
,在 Active Directory 上安裝 Oracle 密碼篩選、擴充結構,以及為三種類型的密碼驗證程式產生建立三種新的ORA_VFR
群組。請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Step 2:For Password Authentication,Install the Password Filter and Extend the Microsoft Active Directory Schema ,瞭解有關安裝 Oracle 密碼篩選的資訊。 -
Active Directory 伺服器必須可透過公用網際網路從 Autonomous AI Database 存取,而 Active Directory 伺服器的連接埠 636 必須開啟至 Oracle Cloud Infrastructure 中的 Autonomous AI Database ,如此 Autonomous AI Database 才能透過網際網路透過 TLS/SSL 對 Active Directory 伺服器進行安全的 LDAP 存取。
您也可以將內部部署 Active Directory 延伸至 Oracle Cloud Infrastructure ,在此您可以為內部部署 Active Directory 設定唯讀網域控制器 (RODC)。接著,您可以使用 Oracle Cloud Infrastructure 中的這些 RODC 來驗證和授權內部部署 Active Directory 使用者存取 Autonomous AI Database 。
請參閱擴充混合雲中的 Active Directory 整合以瞭解詳細資訊。
-
您需要 CMU 組態資料庫公事包
cwallet.sso
和 CMU 組態檔dsi.ora
,才能為您的 Autonomous AI Database 設定 CMU:-
如果您已為內部部署資料庫設定 CMU,則可以從內部部署資料庫伺服器取得這些組態檔。
-
如果您尚未設定內部部署資料庫的 CMU,則需要建立這些檔案。接著,將組態檔上傳至雲端,以在 Autonomous AI Database 執行處理上設定 CMU。您可以透過設定內部部署資料庫的 CMU 來驗證公事包和
dsi.ora
,並確認 Active Directory 使用者可以使用這些組態檔成功登入內部部署資料庫。然後將這些組態檔上傳至雲端,以便為您的 Autonomous AI Database 設定 CMU。
如需 CMU 公事包檔案的詳細資訊,請參閱:- 步驟 6:在 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中建立安全連線的公事包
- 步驟 8:驗證 Oracle Database 19c 安全指南和 Oracle Database 26ai 安全指南中的 Oracle Wallet 。
如需有關 CMU 之
dsi.ora
檔案的詳細資訊,請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Creating the dsi.ora File 。如需設定 CMU 的 Active Directory 和內部部署資料庫 CMU 疑難排解的詳細資訊,請參閱 How to Configure Centrally Managed Users for Database Release 18c or Later Releases (Doc ID 2462012.1) 。
-
在 Autonomous AI Database 上使用 Microsoft Active Directory 設定 CMU
若要為 CMU 設定 Autonomous AI Database 以連線至 Active Directory 伺服器,請執行下列動作:
附註:
請參閱停用 Autonomous AI Database 上的 Active Directory 存取,以取得停用從 Autonomous AI Database 存取 Active Directory 的指示。如需詳細資訊,請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Configuring Centrally Managed Users with Microsoft Active Directory 。
在 Exadata Cloud@Customer 上使用 Microsoft Active Directory 設定 CMU
適用於: 僅限 Exadata Cloud@Customer
若要在 Exadata Cloud@Customer 上設定 Autonomous AI Database ,讓 CMU 在不使用 Oracle Object Store 服務的情況下連線至 Active Directory 伺服器,請執行下列動作:
您現在已將 CMU-AD 設定為透過 Microsoft Active Directory 與 Exadata Cloud@Customer 上的 Autonomous AI Database 使用外部驗證。
在 Autonomous AI Database 上新增 Microsoft Active Directory 角色
若要新增 Active Directory 角色,請使用 CREATE ROLE
或 ALTER ROLE
敘述句將資料庫全域角色對應至 Active Directory 群組 (包括 IDENTIFIED GLOBALLY AS
子句)。
若要在 Autonomous AI Database 上新增 Active Directory 群組的全域角色,請執行下列動作:
如需使用 Microsoft Active Directory 設定角色的詳細資訊,請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Configuring Authorization for Centrally Managed Users 。
在 Autonomous AI Database 上新增 Microsoft Active Directory 使用者
若要新增 Active Directory 使用者以存取自治式 AI 資料庫,請將資料庫全域使用者對應至 Active Directory 群組,或使用 CREATE USER
或 ALTER USER
陳述式 (使用 IDENTIFIED GLOBALLY AS
子句) 的使用者。
Autonomous AI Database 與 Active Directory 的整合可藉由將 Microsoft Active Directory 使用者和群組直接對應至 Oracle 資料庫全域使用者和全域角色來運作。
若要在 Autonomous AI Database 上新增 Active Directory 群組或使用者的全域使用者,請執行下列動作:
如需使用 Microsoft Active Directory 設定角色的詳細資訊,請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Configuring Authorization for Centrally Managed Users 。
使用 Active Directory 使用者認證連線至 Autonomous AI Database
在 ADMIN 使用者完成 CMU Active Directory 組態設定步驟並建立全域角色和全域使用者之後,使用者可以使用其 Active Directory 使用者名稱和密碼登入 Autonomous AI Database 。
附註:
請勿使用「全域使用者名稱」登入。全域使用者名稱沒有密碼,且使用全域使用者名稱連線失敗。您必須在 Autonomous AI Database 中有全域使用者對應,才能登入資料庫。您無法只使用全域角色對應登入資料庫。在 Autonomous AI Database 上使用 Active Directory 設定 CMU 並使用全域角色和全域使用者設定 Active Directory 授權之後,您可以使用關於連線至專用 Autonomous AI Database 中所述的任何連線方法連線至您的 Autonomous AI Database 。連線時,如果您想要使用 Active Directory 使用者,請使用 Active Directory 使用者認證。例如,以此格式提供使用者名稱 "AD_DOMAIN \AD_USERNAME " (必須包含雙引號),然後使用您的 AD_USER_PASSWORD 作為密碼。
使用 Autonomous AI Database 驗證 Active Directory 使用者連線資訊
當使用者使用 Active Directory 使用者名稱和密碼登入 Autonomous AI Database 時,您可以驗證和稽核使用者活動。
例如,當使用者 pfitch
登入時:
CONNECT "production\pfitch"/password@exampleadb_medium;
Active Directory 使用者的登入使用者名稱 (samAccountName) 為 pfitch
,widget_sales_group
為 Active Directory 群組名稱,而 widget_sales
為 Autonomous AI Database 全域使用者。
pfitch
登入資料庫之後,SHOW USER
命令會顯示全域使用者名稱:
SHOW USER;
USER is "WIDGET_SALES"
下列命令顯示 Active Directory 使用者的 DN (辨別名稱):
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
例如,您可以驗證此集中管理使用者的企業識別:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
下列命令顯示 "AD_DOMAIN\AD_USERNAME
":
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
例如,當使用者登入資料庫時,會擷取並稽核 Active Directory 認證的使用者識別:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Verifying the Centrally Managed User Logon Information ,瞭解詳細資訊。
移除 Autonomous AI Database 上的 Active Directory 使用者和角色
若要移除 Autonomous AI Database 中的 Active Directory 使用者和角色,請使用標準資料庫命令。這不會移除從刪除的資料庫使用者或角色對應的相關 Active Directory 使用者或群組。
若要從 Autonomous AI Database 中移除使用者或角色,請執行下列動作:
在 Autonomous AI Database 上停用 Active Directory 存取
說明從 Autonomous AI Database 移除 CMU 組態的步驟 (以及停用從 Autonomous AI Database 到 Active Directory 的 LDAP 存取)。
將 Autonomous AI Database 實例設定為存取 CMU Active Directory 之後,您可以停用存取權,如下所示:
如需詳細資訊,請參閱DISABLE_EXTERNAL_AUTHENTICATION 程序。
Autonomous AI Database 上的 Microsoft Active Directory 限制
下列限制適用於 Autonomous AI Database 上使用 Active Directory 的 CMU:
-
Autonomous AI Database 的 CMU 僅支援「密碼驗證」和 Kerberos。在搭配 Autonomous AI Database 使用 CMU 驗證時,不支援其他驗證方法,例如 Azure AD、OCI IAM 和 PKI。
-
具備 Autonomous AI Database 的 Active Directory 使用者不支援 Oracle Application Express 和 Database Actions。