Publié le: Oct 1, 2019

Amazon RDS for Oracle prend désormais en charge l’authentification externe des utilisateurs de bases de données avec Kerberos et Microsoft Active Directory

Kerberos est un protocole d’authentification réseau développé par le Massachusetts Institute of Technology (MIT). Il utilise les tickets et la cryptographie clé symétrique pour vous éviter d’acheminer vos mots de passe via le réseau. Intégré dans Microsoft Active Directory, Kerberos est conçu pour authentifier les utilisateurs de ressources réseau, par exemple les bases de données Oracle.

La prise en charge d’Amazon RDS for Oracle pour Kerberos et Microsoft Active Directory procure les avantages d’une authentification unique et centralisée des utilisateurs d’Oracle Database. Regrouper l’ensemble de vos informations d’identification utilisateur dans un même Active Directory vous offre un gain de temps et d’efforts, car cela centralise leur stockage et leur gestion pour plusieurs instances de bases de données.

Avec cette fonction, vous pouvez permettre à vos utilisateurs de bases de données de s’authentifier sur Amazon RDS for Oracle en utilisant leurs informations d’identification stockées dans AWS Directory Service pour Microsoft Active Directory ou celles stockées dans votre Microsoft Active Directory sur site, avec la relation d’approbation de la forêt établie entre votre Active Directory sur site et l’Active Directory géré par AWS. Vous pouvez utiliser le même Active Directory pour plusieurs VPC au sein de la même région AWS. Vous pouvez également associer les instances Amazon RDS for Oracle aux domaines Active Directory partagés appartenant à différents comptes.

L’authentification Kerberos avec Amazon RDS for Oracle peut être utilisée sans frais supplémentaires et sans licence. Cette fonction est prise en charge par les versons 11.2.0.4, 12.1.0.2, 12.2.0.1 et 18c d’Enterprise Edition, et 12.1.0.2, 12.2.0.1 et 18c de Standard Edition 2.

Pour utiliser la méthode d’authentification Kerberos avec votre instance de base de données Amazon RDS for Oracle, veuillez vous inscrire sur AWS Directory Service pour Microsoft Active Directory (Enterprise Edition). Vous pouvez activer l’authentification Kerberos lors de la création d’une nouvelle instance de base de données dans AWS Management Console. Pour ce faire, sélectionnez un enregistrement Active Directory dans la rubrique Advanced Settings (Réglages avancés) de l’assistant Create DB Instance (Créer une instance de base de données) dans la console Amazon RDS. Si l’enregistrement Active Directory n’existe pas encore, vous devez créer un nouvel enregistrement de répertoire en cliquant sur le lien Create a New Directory (Créer un nouveau répertoire). Vous pouvez modifier une instance de base de données existante pour utiliser la méthode d’authentification Kerberos via des options similaires dans la section d’authentification Kerberos de l’assistant Modify DB Instance (Modifier une instance de base de données). 

Pour utiliser votre Microsoft Active Directory sur site existant, suivez les étapes ci-dessus pour d’abord configurer un Active Directory géré par AWS. Configurez ensuite une relation d’approbation de forêt entre votre répertoire sur site et l’Active Directory géré par AWS en suivant ces étapes. 

Amazon RDS for Oracle facilite la configuration, l'exploitation et la mise à l'échelle des déploiements Oracle Database dans le cloud. Pour en savoir plus sur l’authentification Kerberos avec Amazon RDS for Oracle, y compris les informations relatives à la disponibilité régionale, veuillez consulter la documentation.