Oracle管理角色讲解.pptVIP

管理角色 目标 完成这一课的学习后，您应该能达到下列目标： 创建和修改角色 控制角色的可用性 删除角色 使用预定义角色 显示数据字典中的角色信息 角色 角色的优点 轻松权限管理 动态权限管理 可选择权限可用性 可以通过操作系统授予 创建角色 CREATE ROLE role [NOT IDENTIFIED | IDENTIFIED {BY password | EXTERNALLY | GLOBALLY | USING package}] 创建角色 通过 ADMIN 选项授予的角色： 不验证： 使用口令： 外部验证： 预定义角色 修改角色 分配角色 设置缺省角色 ALTER USER user DEFAULT ROLE {role [,role]... | ALL [EXCEPT role [,role]... ] | NONE} 设置缺省角色 启用和禁用角色 禁用角色以暂时撤消用户拥有的该角色。 启用角色以暂时授予该角色。 SET ROLE 命令可启用和禁用角色。 登录时启用用户的缺省角色。 启用角色可能需要口令。 启用和禁用角色 SET ROLE hr_clerk; 撤消用户角色 删除角色 删除角色： 删除授予所有用户和角色的角色 删除数据库角色 需要 ADMIN OPTION 或 DROP ANY ROLE 权限 使用以下命令删除角色： 角色创建原则 使用口令与缺省角色的原则 获取角色信息 小结 在这一课中，您应该能够掌握： 创建角色 为角色分配权限 为用户或角色分配角色 设置缺省角色 练习 17 概览 此练习涉及以下主题： 列出角色的系统权限 创建、分配和删除角色 创建应用程序角色 什么是角色？ Oracle 通过角色提供简单且可控制的权限管理。角色是授予用户或其它角色的相关权限的指定组，旨在简化数据库中的权限管理。 角色的特点： 可以通过授予和撤消系统权限所用的命令来授予和撤消用户的角色。 可以将角色授予任何用户或角色。但是，不能将角色授予它本身，也不能循环授予。 角色可以由系统权限和对象权限组成。 对于被授予某种角色的每个用户来说，该角色可以启用，也可以禁用。 角色可要求通过口令启用。 在现有的用户名和角色名中，每个角色名必须唯一。 角色不属于任何人，也不存在于任何方案中。 在数据字典中存储了有关角色的说明。 角色的优点 轻松权限管理： 使用角色可以简化权限管理。不是将同一组权限授予多个用户，而是将这些权限授予一个角色，然后将该角色授予每个用户。 动态权限管理： 如果修改了与角色关联的权限，被授予该角色的所有用户都将立即自动获得修改后的权限。 可选择权限可用性： 可启用和禁用角色以暂时打开和关闭权限。还可以通过启用角色验证用户是否已被授予该角色。 可以通过操作系统授予： 可以使用操作系统命令或实用程序向数据库中的用户分配角色。 创建角色 使用 CREATE ROLE 语句可创建角色。必须具有 CREATE ROLE 系统权限才能创建角色。创建类型为 NOT IDENTIFIED、IDENTIFIED EXTERNALLY 或 BY password 的角色时，通过 ADMIN 选项为该角色授权。 使用下列命令创建角色： CREATE ROLE role [NOT IDENTIFIED | IDENTIFIED {BY password | EXTERNALLY | GLOBALLY | USING package}] 其中： role：是角色的名称 NOT IDENTIFIED：表明启用该角色时，不需要进行验证 IDENTIFIED：表明启用该角色时，需要进行验证 BY password：提供用户在启用角色时必须指定的口令 USING package：创建应用程序角色，该角色只能由使用授权的程序包的应用程序启用 EXTERNALLY：表明在启用该角色之前，用户必须由外部服务（例如操作系统或第三方服务）授权 GLOBALLY：表明通过 SET ROLE 语句启用角色之前或登录时，必须由企业目录服务授权用户使用该角色 预定义角色 运行数据库创建脚本时，系统列出的角色是为 Oracle 数据库自动定义的角色。提供 CONNECT、 RESOURCE 和 DBA 角色的目的是为了向后与 Oracle 服务器的早期版本兼容。 提供了 EXP_FULL_DATABASE 和 IMP_FULL_DATABASE 角色以便于使用导入和导出实用程序。 提供 DELETE_CATALOG_ROLE、EXECUTE_CATALOG_ROLE 和 SELECT_CATALOG_ROLE 角色，用于访问数据字典视图和程序包。这些角色可以授予不具有 DBA 角色、但要求访问数据字典中的视图和表的用户。 其