=====Oracle User Proxy Connection verwenden=====

** ab Oracle 9i R2g **

Die Idee hinter dem Proxy Connect ist die Anmeldung an einem Schema mit den Credentials eines anderen DB Users,
z.b. soll ein persönlicher User sich an dem Schema eines technischen Users anmelden.

D.h. der persönliche User, z.B. ein Datenbank Entwickler, benötigt nicht das Passwort des technischen Schemas um mit diesem Schema zu arbeiten.


Für eine erfolgreiche Anmeldung darf keiner der User gelocked sein. Das Passwort des technischen Users kann aber abgelaufen sein.


{{ :dba:oracle_proxy_user_concept_locked_user_behavior_png.png?600 | Oracle Proxy User account status matrix}}


**ab Oracle 12c **

Proxy only connect! Auf das Schema kann nur noch über Proxy zugegriffen werden!
===1. User anlegen und Grant connect through auf diesen User erlauben===
<code sql>

#create minimal user
create user gpi identifed BY gpi;
grant create session to gpi;


#alter the target user that GPI can connect as HR
alter user HR GRANT CONNECT THROUGH gpi;

#oder alternativ mit einer zugewiesenen Rolle

alter user HR GRANT CONNECT THROUGH gpi WITH ROLES hr_user_role;

</code>


===2. An der DB Anmelden mit===

<code sql>

sqlplus gpi[HR]@local_db


# mit dem Password von GPI anmelden:


SQL>select user from dual;
USER
-----
HR

</code>


==== Überwachen mit:====


===DB Views===
  * DBA_PROXIES - Informationen zu allen Proxy Benutzern
  * USER_PROXIES - Informationen zu den Schemas, für die der angemeldete User als Proxy verwenden kann
  * PROXY_USERS - Wer kann mit welchen Proxy Usern arbeiten
    * https://docs.oracle.com/database/122/REFRN/USER_PROXIES.htm#REFRN26171


Wer darf sich an diesem Schema anmelden:

<code sql>

select 	proxy
	, client
	, authentication
	, authorization_constraint
	, role
	, proxy_authority
 from dba_proxies
where client like upper('&&SCHEMA_NAME.')	
order by 1
/

</code>

Dieser User darf sich an welches Schema anmelden:

<code sql>

select 	proxy
	, client
	, authentication
	, authorization_constraint
	, role
	, proxy_authority
 from dba_proxies
where proxy like upper('&&USER_NAME.')	
order by 1
/
</code>

=== Angemeldeten User in der DB prüfen===


==In einer User Session==

Leider wird der angemeldete Proxy User tatsächlich zum Schema Owner, in den traditionellen View taucht der Name des Proxy Users dann nicht mehr auf.

Eine Möglichkeit ist aber die Abfrage der Umgebung der SQL Session mit:
<code sql>
SELECT SYS_CONTEXT ('USERENV', 'CURRENT_USER')           CURRENT_USER
     , SYS_CONTEXT ('USERENV', 'CURRENT_USERID')         CURRENT_USERID
     , SYS_CONTEXT ('USERENV', 'PROXY_USER')             PROXY_USER
     , SYS_CONTEXT ('USERENV', 'PROXY_USERID')           PROXY_USERID
     , SYS_CONTEXT ('USERENV', 'AUTHENTICATED_IDENTITY') AUTH_IDENT
FROM DUAL
/
</code>

siehe [[http://docs.oracle.com/cd/B19306_01/server.102/b14200/functions165.htm| SYS_CONTEXT ]]


Diese Information ließe sich dann wieder verwenden um zum Beispiel eine Spalte wie LAST_UPDATE_USER in der Tabelle mit dem Wert des aktuellen Proxy Users zufüllen.

== Auditing==

Im Auditing wird die Spalte PROXY_SESSIONID mit der Session ID des Proxy Users gefüllt, auch in der Spalte COMMENT_TEXT kann über das Schlüsselwort "PROXY" erkannt werden ob hier eine Proxy Connect vorgelegen hat.

<code sql>

select a.username connecting_user ,
       a.action_name,
       a.timestamp, 
       a.comment_text, 
       b.username proxy_username, 
       b.action_name proxy_action_name, 
       b.comment_text proxy_comment_text
 from dba_audit_trail a inner join dba_audit_trail b on (a.proxy_sessionid=b.sessionid)
order by a.timestamp
/

</code>


=== Selects über Proxy auditieren===

Auditing Proxy Activities:

<code>
...
Actions taken by proxy connections can be audited with standard database auditing commands such as the following:

AUDIT SELECT TABLE ON customers BY midtier ON BEHALF OF karen;

AUDIT SELECT TABLE ON customers by acct_mgr ON BEHALF OF all;

In either of these cases, the proxy information is included in the audit trail views.
...
</code>

aus der Doku.

demnächst mehr
=== Sicherheitsrisiko===

Bei einem Test mit der Oracle XE (11.2.0.2) ist mir aufgefallen, das ein User mit abgelaufenen Passwort sich als Proxy Connect trotzdem anmelden kann.

Unter 12c (12.1.0.2) konnte das Verhalten aber nicht nachvollzogen werden, das scheint inzwischen gefixt zu sein.



==== Quellen ====

Stichwort "Lightweight user sessions":

  * http://docs.oracle.com/cd/B10501_01/appdev.920/a96590/adgsec03.htm
  * http://docs.oracle.com/cd/B28359_01/network.111/b28531/app_context.htm#DBSEG011