使用 Autonomous Database 的身分識別和存取管理 (IAM) 認證

您可以將 Autonomous Database 設定為使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 認證和授權,讓 IAM 使用者能夠使用 IAM 證明資料存取 Autonomous Database

附註:

Autonomous DatabaseOracle Cloud Infrastructure (OCI) IAM 的整合在識別網域的商業租用戶以及不包含識別網域的舊版 Oracle Cloud Infrastructure IAM 中受到支援。Oracle Cloud Infrastructure IAM 導入識別網域,其中包含 2021 年 11 月 8 日之後建立的新 OCI 租用戶。Autonomous Database 支援預設和非預設識別網域中的使用者和群組。

關於使用 Autonomous Database 進行身分識別與存取管理 (IAM) 認證

Oracle Cloud Infrastructure IAM 與 Autonomous Database 的整合支援資料庫密碼驗證和權杖型驗證。如需有關在 Autonomous Database 上使用 IAM 使用者架構的完整詳細資訊,請參閱為 Oracle Autonomous Databases 認證和授權 IAM 使用者

IAM 資料庫密碼認證

附註:

任何支援的 12c 和更新版本的資料庫用戶端都可用於 Autonomous Database 的 IAM 資料庫密碼存取。

Oracle Cloud Infrastructure IAM 資料庫密碼可讓 IAM 使用者以通常使用使用者名稱和密碼登入的 Oracle Database 使用者身分,登入Autonomous Database 執行處理。使用者輸入其 IAM 使用者名稱和 IAM 資料庫密碼。IAM 資料庫密碼與 Oracle Cloud Infrastructure 主控台密碼不同。使用具有密碼驗證器的 IAM 使用者,您可以使用任何支援的資料庫從屬端登入 Autonomous Database

身分識別與存取管理 (IAM) SSO 權杖型驗證

資料庫從屬端有幾種方式可以取得 IAM 資料庫記號:

  • 從屬端應用程式或工具可以向使用者向 IAM 要求資料庫記號,而且可以透過從屬端 API 傳送資料庫記號。使用 API 傳送記號會覆寫資料庫從屬端中的其他設定值。下列從屬端支援此類型的 IAM 資料庫記號使用:

    • 所有平台的 JDBC 精簡型
    • Linux 上的 Oracle Instant Client OCI-C
    • Oracle Data Provider for .NET (ODP.NET) 核心

  • 如果應用程式或工具不支援透過從屬端 API 要求 IAM 資料庫權杖,IAM 使用者可以先使用 Oracle Cloud Infrastructure 命令行介面 (CLI) 擷取 IAM 資料庫權杖並將其儲存在檔案位置。例如,若要使用此連線方法使用 SQL*Plus 和其他應用程式和工具,您必須先使用 Oracle Cloud Infrastructure (OCI) 命令行介面 (CLI) 取得資料庫記號。如果為 IAM 資料庫記號設定資料庫從屬端,當使用者以斜線登入表單登入時,資料庫驅動程式會使用儲存於預設或指定檔案位置的 IAM 資料庫記號。

  • 從屬端應用程式或工具可以使用 Oracle Cloud Infrastructure IAM 執行處理主體或資源主體取得 IAM 資料庫權杖,並使用 IAM 資料庫權杖將自己認證至 Autonomous Database 執行處理。

  • IAM 使用者和 OCI 應用程式可以使用多種方法向 IAM 要求資料庫權杖,包括使用 API 金鑰。如需範例,請參閱設定使用 IAM 權杖的 SQL*Plus 從屬端連線。請參閱關於認證及授權 Oracle Autonomous Database 的 IAM 使用者,瞭解其他方法的描述,例如在 OCI Cloud Shell 內使用委派記號。

如果使用者輸入使用者名稱 / 密碼進行登入,則不論從屬端的資料庫記號設定為何,資料庫驅動程式都會使用密碼驗證程式方法來存取資料庫。

Autonomous Database 上身分識別與存取管理 (IAM) 認證的先決條件

Autonomous Database 上使用身分識別與存取管理 (IAM) 認證之前,您必須確保下列事項:

使用網路服務將服務閘道、路由規則及傳出安全規則新增至您 Autonomous Database 資源所在的 VCN (虛擬雲端網路) 和子網路。

  1. 在您的 Autonomous Database 資源所在的 VCN (虛擬雲端網路) 中建立服務閘道,請依照 Oracle Cloud Infrastructure 文件中的工作 1:建立服務閘道指示進行。
  2. 建立服務閘道之後,請對 Autonomous Database 資源所在的每個子網路 (VCN 中) 新增路由規則和傳出安全規則,讓這些資源能夠使用閘道使用身分識別與存取管理 (IAM) 認證:
    1. 移至子網路的子網路詳細資訊頁面。
    2. 子網路資訊頁籤中,按一下子網路的路由表名稱,以顯示其路由表詳細資訊頁面。
    3. 在現有路由規則的表格中,檢查是否已有具有下列特性的規則:
      • 目的地:Oracle Services Network 中的所有 IAD 服務
      • 目標類型: 服務閘道
      • 目標:剛在 VCN 中建立之服務閘道的名稱

      如果沒有這類規則,請按一下新增路由規則,然後新增具有這些特性的路由規則。

    4. 返回子網路的子網路詳細資訊頁面。
    5. 在子網路的安全清單表格中,按一下子網路安全清單的名稱,以顯示其安全清單詳細資訊頁面。
    6. 在側邊功能表的資源下,按一下傳出規則
    7. 在現有傳出規則的表格中,檢查是否已有具有下列特性的規則:
      • 無狀態:
      • 目的地:Oracle Services Network 中的所有 IAD 服務
      • IP 協定:TCP
      • 來源連接埠範圍:全部
      • 目的地連接埠範圍: 443
    8. 如果該規則不存在,請按一下新增輸出規則,然後新增具有這些特性的輸出規則。

您環境中的 HTTP 代理主機設定值必須允許資料庫存取雲端服務提供者。

這些設定值是由機組管理員在建立 Exadata Cloud@Customer 基礎架構時定義的,如使用主控台在 Cloud@Customer 上佈建 Exadata 資料庫服務中所述。

附註:

必須等到 Exadata 基礎架構為需要啟用狀態後,才能編輯網路組態 (包括 HTTP 代理主機)。啟用之後,您就無法編輯這些設定值。

在 My Oracle Support 中設定已啟動設定之 Exadata 基礎架構的 HTTP 代理主機時,必須要有服務要求 (SR)。請參閱 在 My Oracle Support 中建立服務要求瞭解詳細資訊。

變更 Autonomous Database 上的外部身分識別提供者

描述將外部身分識別提供者從 (IAM) 認證變更為其他外部認證提供者的步驟,反之亦然。

依預設,已為新佈建的 Autonomous Database 和自治式容器資料庫啟用 Oracle Cloud Infrastructure (IAM) 使用者認證和授權。您可以為 Autonomous Database 啟用其他外部驗證配置,例如具有 Active Directory (CMU-AD)、Azure AD 和 Kerberos 的集中管理使用者。不過,在任何指定時間只能啟用一個外部認證配置。

若要讓資料庫使用者能夠使用其他外部認證配置連線至 Autonomous Database
  1. 使用 DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION 程序停用 IAM 整合:
    舉例而言:
    BEGIN    
  DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
    如需其他資訊,請參閱 DISABLE_EXTERNAL_AUTHENTICATION 程序
  2. 請依照下列頁面所述的步驟,設定您選擇的其他外部認證配置:
  3. 使用 Oracle Cloud Infrastructure (IAM) 認證和授權,重新啟用 IAM 使用者連線至 Autonomous Database
    以 ADMIN 使用者的身分,使用下方顯示的參數執行 DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION 程序:
    BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type => 'OCI_IAM'
    force => TRUE
    );
END;
/

    上述範例會停用目前已啟用並啟用 Oracle Cloud Infrastructure (IAM) 認證與授權的任何外部認證提供者。

    在本範例中:
    • force 設為 TRUE,可停用目前啟用的外部認證。
    • type 設為 'OCI_IAM',即可啟用並使用 Oracle Cloud Infrastructure (IAM) 認證與授權。

    附註:

    force 參數預設為 FALSE。啟用另一個外部驗證方法且 forceFALSE 時,DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION 會報告下列錯誤:ORA-20004: Another external authentication is already enabled.

    請參閱 ENABLE_EXTERNAL_AUTHENTICATION Procedure 以取得進一步的參照。

  4. 驗證 IDENTITY_PROVIDER_TYPE 系統參數的值,如下所示:
    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type';
NAME                   VALUE   
---------------------- ------- 
identity_provider_type OCI_IAM

建立 IAM 使用者的身分識別與存取管理 (IAM) 群組與原則

描述撰寫 IAM 群組原則敘述句的步驟,以啟用 IAM 使用者對 Oracle Cloud Infrastructure 資源 (特別是 Autonomous Database 執行處理) 的存取。

原則是一組敘述句,指定誰可以存取特定資源以及存取方式。您可以授予整個租用戶、區間中的資料庫或個別資料庫的存取權。也就是說,您可以撰寫原則敘述句,讓特定群組針對特定區間內的特定資源類型存取特定類型。

附註:

必須定義原則,才能使用 IAM 權杖存取 Autonomous Database 。使用 IAM 資料庫密碼存取 Autonomous Database 時,不需要原則。

若要讓 Autonomous Database 允許 IAM 使用者使用 IAM 權杖連線至資料庫:

  1. 建立群組並將使用者新增至群組,以執行 Oracle Cloud Infrastructure Identity and Access Management 先決條件。

    例如,建立群組 sales_dbusers

    如需詳細資訊,請參閱管理群組

  2. 撰寫原則敘述句以啟用 Oracle Cloud Infrastructure 資源的存取。
    1. Oracle Cloud Infrastructure 主控台中,按一下識別與安全
    2. 在「識別與安全」下,按一下「原則」。
    3. 若要寫入原則,請按一下建立原則
    4. 在「建立原則 (Create Policy)」頁面上,輸入「名稱 (Name)」與「描述 (Description)」。
    5. 在「建立原則」頁面上,選取顯示手動編輯器
    6. 使用原則產生器來建立原則。

      例如,建立允許 IAM 群組 DBUsers 中使用者存取其租用戶中任何 Autonomous Database 的原則: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      例如,建立一個原則,限制 DBUsers 群組的成員只能存取 testing_compartment 區間中的 Autonomous Database
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      例如,建立限制群組對區間中單一資料庫存取的原則:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment where target.database.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc'

      如需有關存取資料庫之 IAM 原則的詳細資訊,請參閱 Database Security Guide 中的 Creating an IAM Policy to Authorize Users Authenticating with Tokens

    7. 按一下建立

      請參閱管理原則,瞭解原則的詳細資訊。

建立在 Autonomous Database 上與 IAM 使用者搭配使用的原則注意事項:

  • 原則可以允許 IAM 使用者存取整個租用戶、區間中的 Autonomous Database 執行處理,或限制對單一 Autonomous Database 執行處理的存取。

  • 您可以使用執行處理主體或資源主體擷取資料庫記號,從您的應用程式建立連線至 Autonomous Database 執行處理。如果您使用的是執行處理主體或資源主體,則必須對應動態群組。因此,您不能只對應執行處理和資源主體;您只能透過共用對應將它們對應,並將執行處理或資源執行處理放在 IAM 動態群組中。

    您可以在建立以存取 Oracle Cloud Infrastructure 的原則中建立動態群組並參照動態群組。請參閱計畫存取控制和建立支援資源管理動態群組瞭解詳細資訊。

Autonomous Database 上新增 IAM 使用者

若要新增 IAM 使用者以允許存取 Autonomous Database ,請將資料庫全域使用者對應至 IAM 群組,或使用 CREATE USERALTER USER 敘述句 (使用 IDENTIFIED GLOBALLY AS 子句) 的使用者。

將 IAM 全域使用者 (綱要) 對應至 IAM 使用者 (獨佔對應) 或 IAM 群組 (共用綱要對應),即可使用 Autonomous Database 執行處理的 IAM 使用者授權。

若要授權 Autonomous Database 實例上的 IAM 使用者:

  1. ADMIN 使用者身分登入已啟用使用 IAM 的資料庫 ( ADMIN 使用者具備這些步驟所需的必要 CREATE USERALTER USER 系統權限)。
  2. Autonomous Database 使用者 (綱要) 與 CREATE USERALTER USER 敘述句之間建立對應,並包含 IDENTIFIED GLOBALLY AS 子句 (指定 IAM 群組名稱)。

    使用下列語法將全域使用者對應至 IAM 群組:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_NAME';

    例如,若要將名稱為 db_sales_group 的 IAM 群組對應至名稱為 sales_group 的共用資料庫全域使用者: 

    CREATE USER sales_group IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=db_sales_group';

    這會建立共用的全域使用者對應。全域使用者 sales_group 的對應對 IAM 群組中的所有使用者有效。因此,db_sales_group 中的任何人都可以使用其 IAM 證明資料登入資料庫 (透過 sales_group 全域使用者的共用對應)。

    下列範例顯示如何針對非預設網域完成此作業:

    CREATE USER shared_sales_schema IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=sales_domain/db_sales_group';
  3. 若要為其他 IAM 群組或使用者建立其他全域使用者對應,請針對每個 IAM 群組或使用者執行這些步驟。

附註:

即使已啟用 Autonomous Database 進行 IAM 認證,但非 IDENTIFIED GLOBALLY 的資料庫使用者仍可繼續登入。

將本機 IAM 使用者單獨對應至 Oracle Database Global User

  1. ADMIN 使用者身分登入已啟用使用 IAM 的資料庫 ( ADMIN 使用者具備這些步驟所需的 CREATE USERALTER USER 系統權限)。

  2. Autonomous Database 使用者 (綱要) 與 CREATE USERALTER USER 敘述句之間建立對應,並包含 IDENTIFIED GLOBALLY AS 子句 (指定 IAM 本機 IAM 使用者名稱)。

    例如,若要建立一個名為 peter_fitch 的新資料庫全域使用者,並將此使用者對應至名為 peterfitch 的現有本機 IAM 使用者: 

    CREATE USER peter_fitch IDENTIFIED GLOBALLY AS 'IAM_PRINCIPAL_NAME=peterfitch'

    下列範例顯示如何透過指定非預設網域 sales_domain 來建立使用者: 

    CREATE USER peter_fitch2 IDENTIFIED GLOBALLY AS
'IAM_PRINCIPAL_NAME=sales_domain/peterfitch';

Autonomous Database 上新增 IAM 角色

視情況建立全域角色,以在多個 IAM 使用者對應至相同的共用全域使用者時,提供額外的資料庫角色和權限給 IAM 使用者。

Autonomous Database 上使用專用 IAM 對應至使用者 (綱要) 或共用使用者對應時,可以選擇是否使用全域角色。例如,可以將所有權限和角色授予共用綱要,而將對應至共用綱要的所有 IAM 使用者,都會被授予指派給共用綱要的權限和角色。

您可以使用全域角色來選擇性區分使用相同共用綱要的使用者。例如,一組使用者可以擁有相同的共用綱要,而共用綱要可以擁有 CREATE SESSION 權限。接著,全域角色可用來提供差異化的權限和角色,這些權限和角色會指派給所有使用相同共用綱要的不同使用者群組。

透過將 Autonomous Database 全球角色對應至 IAM 群組,將 Autonomous Database 中的其他角色授予 IAM 使用者即可運作。

若要將 Autonomous Database 全域角色對應至 IAM 群組,請執行下列動作:

  1. ADMIN 使用者身分登入已啟用使用 IAM 的資料庫 ( ADMIN 使用者具備這些步驟所需的必要 CREATE USERALTER USER 系統權限)。
  2. 使用 CREATE ROLEALTER ROLE 敘述句設定 Autonomous Database 角色的資料庫授權,並包含 IDENTIFIED GLOBALLY AS 子句 (指定 IAM 群組名稱)。

    請使用下列語法將全域角色對應至 IAM 群組:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS
    'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';

    例如,若要將名稱為 ExporterGroup 的 IAM 群組對應至名稱為 export_role 的共用資料庫全域角色: 

    CREATE ROLE export_role IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=ExporterGroup';

    下列範例顯示如何透過指定非預設網域 sales_domain 來建立角色: 

    CREATE ROLE export_role IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=sales_domain/ExporterGroup';

    sales_domain 網域中 ExporterGroup 的所有成員在登入資料庫時,都會以資料庫全域角色 export_role 授權。

  3. 使用 GRANT 敘述句,將必要的權限或其他角色授與全域角色。
    GRANT CREATE SESSION TO export_role;
GRANT DWROLE TO export_role;
  4. 如果您想讓現有的資料庫角色與某個 IAM 群組建立關聯,請使用 ALTER ROLE 敘述句來更改現有的資料庫角色,將角色對應至某個 IAM 群組。請使用下列語法更改現有的資料庫角色,將它對應至 IAM 群組:
    ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_Group_Name';

若要新增其他 IAM 群組的其他全域角色對應,請針對每個 IAM 群組執行以下步驟。

建立 IAM 使用者的 IAM 資料庫密碼

若要新增 IAM 使用者並允許 IAM 使用者透過提供使用者名稱和密碼登入 Autonomous Database ,您必須建立 IAM 資料庫密碼。

請參閱使用 IAM 資料庫密碼瞭解詳細資訊。

使用身分識別與存取管理 (IAM) 認證連線至 Autonomous Database

資料庫 ADMIN 使用者將全域使用者和全域角色對應至 IAM 使用者和 IAM 群組之後,使用者可使用其 Oracle Cloud Infrastructure IAM 證明資料登入 Autonomous Database 執行處理,或透過 Oracle Cloud Infrastructure IAM 資料庫權杖存取資料庫。

您仍然可以使用本機資料庫帳戶使用者名稱和密碼 (非全域資料庫使用者帳戶) 登入 Autonomous Database

您可以使用資料庫從屬端以 Oracle Cloud Infrastructure IAM 使用者身分存取 Autonomous Database 執行處理。若要使用具有 Oracle Cloud Infrastructure IAM 使用者名稱和密碼證明資料的從屬端,以及密碼驗證程式,資料庫從屬端必須為 12c 或更新版本。

或者,您可以使用 Oracle Cloud Infrastructure IAM 資料庫權杖,以支援的從屬端存取 Autonomous Database 執行處理:

附註:

如果您的 Autonomous Database 執行處理處於「限制模式」,則只有具備 RESTRICTED SESSION 權限 (例如 ADMIN) 的使用者可以連線到資料庫。

關於使用 IAM 連線至 Autonomous Database on Dedicated Exadata Infrastructure 執行處理

IAM 使用者可以使用 IAM 資料庫密碼驗證程式或 IAM 權杖,連線至 Autonomous Database on Dedicated Exadata Infrastructure 執行處理。

使用 IAM 資料庫密碼驗證器與 Oracle Database 密碼驗證程序類似。不過,驗證程式不會儲存於 Autonomous Database on Dedicated Exadata Infrastructure 中的密碼驗證程式 (密碼加密雜湊),而是儲存為 Oracle Cloud Infrastructure (OCI) IAM 使用者設定檔的一部分。

第二個連線方法 (資料庫使用 IAM 權杖) 更為現代化。使用權杖型存取更適合雲端資源 (例如 Autonomous Database on Dedicated Exadata Infrastructure)。權杖是以 IAM 端點可強制執行的強度為基礎。這可以是多因素的認證,比只使用密碼更強。使用記號的另一個優點是,密碼驗證程式 (視為機密) 永遠不會儲存或可供記憶體使用。

使用 IAM 資料庫密碼驗證程式的從屬端連線

設定 IAM 使用者所需的授權之後,此使用者就可以使用現有的從屬端應用程式 (例如 SQL*Plus 或 SQLcl) 登入,而不需要設定其他組態。

IAM 使用者會使用任何目前支援的資料庫從屬端輸入 IAM 使用者名稱和 IAM 資料庫密碼 (而不是 Oracle Cloud Infrastructure (OCI) 主控台密碼)。唯一的限制條件是資料庫從屬端版本是 Oracle Database 12.1.0.2 或更新版本,可以使用 Oracle Database 12c 密碼。資料庫從屬端必須能夠使用 12C 密碼驗證程式。IAM 不支援使用 11G 驗證程式加密。IAM 使用者不需要設定特殊的從屬端或工具,即可連線至 Autonomous Database on Dedicated Exadata Infrastructure 執行處理。

使用記號的從屬端連線

對於 Autonomous Database on Dedicated Exadata Infrastructure 的 IAM 權杖存取,用戶端應用程式或工具會向 IAM 使用者要求資料庫權杖。

從屬端應用程式會透過資料庫從屬端 API 將資料庫記號直接傳送給資料庫從屬端。

如果尚未將應用程式或工具更新為要求 IAM 權杖,則 IAM 使用者可以使用 Oracle Cloud Infrastructure (OCI) 命令行介面 (CLI) 來要求和儲存資料庫權杖。您可以使用下列證明資料要求資料庫存取記號 (db-token):

  • 安全權杖 (使用 IAM 認證)、委派權杖 (在 OCI Cloud Shell 中) 和 API-keys (代表 IAM 使用者啟用認證的證明資料)
  • 執行處理主要項目記號,可讓執行處理成為授權動作者 (或主要項目) 在認證後對服務資源執行動作
  • 資源主體權杖,這是可讓應用程式向其他 Oracle Cloud Infrastructure 服務認證的證明資料

當 IAM 使用者以斜線 / 登入並設定 OCI_IAM 參數 (sqlnet.oratnsnames.ora 或連線字串的一部分) 登入從屬端時,資料庫從屬端會從檔案擷取資料庫記號。如果 IAM 使用者送出使用者名稱和密碼,連線將會使用針對使用 IAM 資料庫密碼驗證程式的從屬端連線所描述的 IAM 資料庫驗證程式存取。本指南中的指示顯示如何使用 OCI CLI 作為資料庫權杖的協助程式。如果應用程式或工具已更新為與 IAM 搭配使用,請遵循應用程式或工具的指示。部分常見使用案例包括:SQL*Plus 內部部署、SQLcl 內部部署、Cloud Shell 中的 SQL*Plus 或使用 SEP 公事包的應用程式。

下列主題說明如何:

  • 設定從屬端連線,讓 SQL*Plus 使用 IAM 資料庫密碼。

  • 設定使用 IAM 權杖之 SQL*Plus 的從屬端連線。

  • 使用執行處理主體透過 Oracle Cloud Infrastructure IAM 資料庫權杖存取資料庫。

設定使用 IAM 資料庫密碼之 SQL*Plus 的從屬端連線

您可以將 SQL*Plus 設定為使用 IAM 資料庫密碼。

  • 以 IAM 使用者的身分,使用下列語法登入 Autonomous Database 實例:
    CONNECT user_name@db_connect_string
Enter password: password

    在此規格中,user_name 是 IAM 使用者名稱。合併的 domain_name/user_name 限制為 128 個位元組。

    下列範例顯示 IAM 使用者 peter_fitch 如何登入 Autonomous Database 例項。 

    sqlplus /nolog
connect peter_fitch@db_connect_string
Enter password: password

    部分特殊字元需要雙引號括住 user_namepassword。舉例而言: 

    "peter_fitch@example.com"@db_connect_string

"IAM database password"

設定使用 IAM 記號之 SQL*Plus 的從屬端連線

您可以設定使用 IAM 記號之 SQL*Plus 的從屬端連線。

  1. 確定您有 IAM 使用者帳戶。
  2. 請洽詢 IAM 管理員和 Oracle Database 管理員,確定您具有原則,可供您存取區間或租用戶中的資料庫,並且已對應至資料庫中的全域綱要。
  3. 如果您的應用程式或工具不支援直接 IAM 整合,請下載、安裝並設定 OCI CLI。(請參閱 OCI 命令行介面快速啟動。)在 OCI CLI 組態設定 API 金鑰並選取預設值。
    1. 設定 IAM 使用者的 API 金鑰存取。
    2. 擷取 db-token。例如:
      • 使用 Oracle Cloud Infrastructure (OCI) 命令行介面擷取具有 API-keydb-token
        oci iam db-token get
      • 正在擷取具有安全性 (或階段作業) 權杖的 db-token
        oci iam db-token get --auth security_token

        如果安全權杖已過期,就會顯示一個視窗,讓使用者可以再次登入 OCI。這會產生使用者的安全性權杖。OCI CLI 將使用此重新整理的權杖來取得 db-token

      • 使用委派記號擷取 db-token:當您登入 Cloud Shell 時,委派記號會自動產生並置於 /etc 目錄中。若要取得此權杖,請在 Cloud Shell 中執行下列命令:
        oci iam db-token get
      • 使用 OCI 命令行介面擷取執行處理權杖:
        oci iam db-token get --auth instance_principal
    3. 您也可以將資料庫從屬端設定為使用 IAM 使用者名稱和 IAM 資料庫密碼擷取資料庫記號。
    如需詳細資訊,請參閱必要的金鑰和 OCID
  4. 請確定您使用的是 Oracle Database 從屬端版本 19c 和 21c 的最新版本更新。
    此組態僅適用於 Oracle Database 從屬端版本 19c 或 21c。
  5. 依照現有的處理作業從 Autonomous Database 下載公事包,然後依照設定公事包以搭配 SQL*Plus 使用的指示進行。
    1. sqlnet.ora 中尋找 SSL_SERVER_DN_MATCH=ON,以確認是否啟用 DN 比對。
    2. TOKEN_AUTH=OCI_TOKEN 新增至 sqlnet.ora 檔案,設定讓資料庫從屬端使用 IAM 記號。因為您將使用資料庫記號檔案的預設位置,所以不需要包含記號位置。
    tnsnames.ora 連線字串中的 TOKEN_AUTHTOKEN_LOCATION 值優先於該連線的 sqlnet.ora 設定值。例如,針對連線字串,假設記號位於預設位置 (Linux 的 ~/.oci/db-token):
    (description= 
  (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)
  (host=example.us-phoenix-1.oraclecloud.com))
  (connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
  (security=(ssl_server_cert_dn="CN=example.uscom-east-1.oraclecloud.com, 
     OU=Oracle BMCS US, O=Example Corporation, 
     L=Redwood City, ST=California, C=US")
  (TOKEN_AUTH=OCI_TOKEN)))
使用 TOKEN_AUTH 參數更新連線字串之後,IAM 使用者可以執行下列命令來啟動 SQL*Plus,以登入 Autonomous Database 執行處理。您可以包括連線描述區本身,或使用 tnsnames.ora 檔案中的描述區名稱。
connect /@exampledb_high

或:

connect /@(description= 
  (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)
  (host=example.us-phoenix-1.oraclecloud.com))
  (connect_data=(service_name=aaabbbccc_exampledb_high.example.oraclecloud.com))
  (security=(ssl_server_cert_dn="CN=example.uscom-east-1.oraclecloud.com, 
     OU=Oracle BMCS US, O=Example Corporation, 
     L=Redwood City, ST=California, C=US")
  (TOKEN_AUTH=OCI_TOKEN)))

資料庫從屬端已經設定為取得 db-token,因為已經透過 sqlnet.ora 檔案或連線字串設定 TOKEN_AUTH。資料庫從屬端會取得 db-token 並使用私密金鑰簽署,然後將權杖傳送給 Autonomous Database 。如果指定了 IAM 使用者名稱和 IAM 資料庫密碼,而非斜線 /,則資料庫從屬端將使用密碼連線,而不是使用 db-token

使用執行處理主體存取具有識別與存取管理 (IAM) 認證的 Autonomous Database

ADMIN 使用者在 Autonomous Database 上啟用 Oracle Cloud Infrastructure IAM 之後,應用程式就可以使用執行處理主體透過 Oracle Cloud Infrastructure IAM 資料庫權杖存取資料庫。

如需詳細資訊,請參閱使用執行處理主體存取 Oracle Cloud Infrastructure API

設定 Proxy 認證

代理主機認證可讓 IAM 使用者代理主機至資料庫綱要,以進行應用程式維護等作業。

代理主機認證通常用來認證真實使用者,然後授權他們使用具有綱要權限和角色的資料庫綱要來管理應用程式。共用應用程式綱要密碼之類的替代方法被視為不安全,因此無法稽核哪些實際使用者執行動作。

使用案例可以位於指定 IAM 使用者 (身為應用程式資料庫管理員) 可以使用其證明資料認證,然後代理給資料庫綱要使用者 (例如 hrapp) 的環境中。此認證可讓 IAM 管理員使用 hrapp 權限和角色作為使用者 hrapp,以執行應用程式維護,但仍使用他們的 IAM 證明資料進行認證。應用程式資料庫管理員可以登入資料庫,然後代理應用程式綱要來管理此綱要。

您可以設定密碼認證和記號認證方法的代理主機認證。

設定 IAM 使用者的代理主機認證

若要設定 IAM 使用者的代理主機認證,IAM 使用者必須已經對應至全域綱要 (獨佔或共用對應)。IAM 使用者要代理主機的個別資料庫綱要也必須可供使用。

在您確定具有此類型的使用者之後,請更改資料庫使用者,讓 IAM 使用者代理主機。

  1. 以具備 ALTER USER 系統權限的使用者身分登入 Autonomous Database 執行處理。

  2. 無法在命令中參照將 IAM 使用者代理給本機資料庫使用者 account.An IAM 使用者的授權,因此必須在資料庫全域使用者之間建立代理主機 (對應至 IAM 使用者) 和目標資料庫 user.In 下列範例:hrapp 是要代理的資料庫綱要,而 peterfitch_schema 是專門對應至使用者 peterfitch 的資料庫全域使用者。
    ALTER USER hrapp GRANT CONNECT THROUGH peterfitch_schema;

在此階段,IAM 使用者可以使用代理主機登入資料庫執行處理。舉例而言:

使用密碼驗證程式連線:
CONNECT peterfitch[hrapp]@connect_string
Enter password: password
使用權杖連線:
CONNECT [hrapp]/@connect_string

驗證 IAM 使用者代理主機認證

您可以驗證密碼和記號認證方法的 IAM 使用者代理主機組態。

  1. 以具備 CREATE USERALTER USER 系統權限的使用者身分登入 Autonomous Database 執行處理。

  2. 請以 IAM 使用者身分連線,然後執行 SHOW USERSELECT SYS_CONTEXT 命令。例如,假設您要檢查 IAM 使用者 peterfitch 在代理主機至資料庫使用者 hrapp 時的代理主機認證。您需要使用此處顯示的不同類型認證方法連線至資料庫,但是您執行之命令的輸出將會與所有類型的命令相同。
    • 用於密碼認證: 
      CONNECT peterfitch[hrapp]/password\!@connect_string
SHOW USER;
--The output should be USER is "HRAPP"
SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
--The output should be "PASSWORD_GLOBAL"
SELECT SYS_CONTEXT('USERENV','PROXY_USER') FROM DUAL;
--The output should be "PETERFITCH_SCHEMA"
SELECT SYS_CONTEXT('USERENV','CURRENT_USER') FROM DUAL;
--The output should be "HRAPP"
    • 對於記號認證: 
      CONNECT [hrapp]/@connect_string
SHOW USER;
--The output should be USER is "HRAPP "
SELECT SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD') FROM DUAL;
--The output should be "TOKEN_GLOBAL"
SELECT SYS_CONTEXT('USERENV','PROXY_USER') FROM DUAL;
--The output should be "PETERFITCH_SCHEMA"
SELECT SYS_CONTEXT('USERENV','CURRENT_USER') FROM DUAL;
--The output should be "HRAPP"

使用資料庫連結搭配 IAM 認證的使用者

您可以使用資料庫連結,以 Oracle Cloud Infrastructure IAM 使用者身分從一個 Autonomous Database 執行處理連線至另一個執行處理。

您可以使用連線的使用者或固定使用者資料庫連結,以 Oracle Cloud Infrastructure IAM 使用者身分連線至 Autonomous Database

附註:

目前的使用者資料庫連結不支援以 Oracle Cloud Infrastructure IAM 使用者身分連線至 Autonomous Database

  • 連線的使用者資料庫連結:對於連線的使用者資料庫連結,IAM 使用者必須同時對應至資料庫連結所連線之來源和目標資料庫中的綱要。您可以使用資料庫密碼驗證程式或 IAM 資料庫記號,使用連線的使用者資料庫連結。

  • 固定使用者資料庫連結:您可以使用資料庫使用者或 IAM 使用者建立固定使用者資料庫連結。使用 IAM 使用者作為固定使用者資料庫連結時,IAM 使用者必須在目標資料庫中具有綱要對應。資料庫連結的 IAM 使用者只能設定密碼驗證程式。

Autonomous Database 上停用身分識別與存取管理 (IAM) 認證

描述停用 Autonomous Database 之 IAM 外部認證使用者存取的步驟。

您可以使用 ALTER SYSTEM 命令在 Autonomous Database 執行處理上停用 IAM 使用者存取,如下所示:
ALTER SYSTEM RESET IDENTITY_PROVIDER_TYPE SCOPE=BOTH;

如果您也想要更新對 IAM 的存取,亦即自治式容器資料庫或 Autonomous Database ,您可能需要移除或修改 IAM 群組,以及設定來允許從這些資源存取 IAM 的原則。

搭配身分識別與存取管理 (IAM) 認證使用 Autonomous Database 工具的備註

提供使用 Autonomous Database 工具並啟用 IAM 認證的備註。