# Configuración de autenticación Kerberos para instancias de base de datos de Oracle
Use AWS Directory Service for Microsoft Active Directory, también llamado AWS Managed Microsoft AD, para configurar la autenticación Kerberos para una instancia de base de datos de Oracle. Para configurar la autenticación Kerberos, complete los siguientes pasos:
+ [Paso 1: crear un directorio con AWS Managed Microsoft AD](#oracle-kerberos.setting-up.create-directory)
+ [Paso 2: crear una relación de confianza](#oracle-kerberos.setting-up.create-forest-trust)
+ [Paso 3: Configure los permisos de IAM para Amazon RDS](#oracle-kerberos.setting-up.CreateIAMRole)
+ [Paso 4: crear y configurar usuarios](#oracle-kerberos.setting-up.create-users)
+ [Paso 5: habilitar el tráfico entre VPC entre el directorio y la instancia de base de datos](#oracle-kerberos.setting-up.vpc-peering)
+ [Paso 6: crear o modificar una instancia de base de datos de Oracle](#oracle-kerberos.setting-up.create-modify)
+ [Paso 7: crear inicios de sesión de Oracle de autenticación Kerberos](#oracle-kerberos.setting-up.create-logins)
+ [Paso 8: configurar un cliente de Oracle](#oracle-kerberos.setting-up.configure-oracle-client)
**nota**
Durante la configuración, RDS crea un usuario de base de datos de Oracle llamado {{managed\_service\_user}}@{{example.com}} con el privilegio `CREATE SESSION`, donde {{example.com}} es el nombre de dominio. Este usuario corresponde al usuario que crea Directory Service dentro de Active Directory administrado. Periódicamente, RDS utiliza las credenciales proporcionadas por Directory Service para iniciar sesión en la base de datos de Oracle. Después, RDS destruye inmediatamente la caché de tickets.
## Paso 1: crear un directorio con AWS Managed Microsoft AD
Directory Service crea un directorio de Active Directory completamente administrado en la nube de AWS. Cuando crea un directorio de AWS Managed Microsoft AD, Directory Service crea dos controladores de dominio y servidores del sistema de nombres de dominio (DNS) en su nombre. Los servidores de directorios se crean en diferentes subredes de una VPC. Esta redundancia ayuda a garantizar que su directorio permanezca accesible incluso si ocurre un error.
Cuando crea un directorio de AWS Managed Microsoft AD, Directory Service realiza en su nombre las siguientes tareas:
+ Configurar un Active Directory dentro de la VPC.
+ Crea una cuenta de administrador para el directorio con el nombre de usuario Admin y la contraseña especificada. Esta cuenta le permite administrar el directorio.
**nota**
Asegúrese de guardar esta contraseña. Directory Service no la almacena. Es posible restablecerla, pero no recuperarla.
+ Crea un grupo de seguridad para los controladores del directorio.
Al lanzar AWS Managed Microsoft AD, AWS crea una unidad organizativa (OU) que contiene todos los objetos del directorio. Esta unidad organizativa tiene el nombre de NetBIOS que escribió al crear el directorio y se encuentra en la raíz del dominio. La raíz del dominio es propiedad de , que también se encarga de su administració AWS.
La cuenta de administrador que se creó con el directorio AWS Managed Microsoft AD dispone de permisos para realizar las actividades administrativas más habituales para la unidad organizativa:
+ Crear, actualizar o eliminar usuarios
+ Añadir recursos a su dominio, como servidores de archivos o de impresión y, a continuación, asignar permisos para esos recursos a usuarios dentro de la unidad organizativa
+ Crear unidades organizativas y contenedores adicionales
+ Delegar autoridad
+ Restaurar objetos eliminados de la papelera de reciclaje de Active Directory
+ Ejecutar módulos de AD y DNS de Windows PowerShell en el servicio web de Active Directory
La cuenta de administrador también tiene derechos para realizar las siguientes actividades en todo el dominio:
+ Administrar configuraciones DNS (agregar, quitar o actualizar registros, zonas y programas de envío).
+ Ver logs de eventos DNS
+ Ver logs de eventos de seguridad
Para crear el directorio, use la API Consola de administración de AWS, AWS CLI o Directory Service. Asegúrese de abrir los puertos de salida relevantes en el grupo de seguridad del directorio para que el directorio pueda comunicarse con la instancia de base de datos de Oracle.
**Para crear un directorio con AWS Managed Microsoft AD**
1. Inicie sesión en Consola de administración de AWS y abra la consola de Directory Service en [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. En el panel de navegación, elija **Directories (Directorios)** y, a continuación, **Set up Directory (Configurar directorio)**.
1. Elija **AWS Managed Microsoft AD**. AWS Managed Microsoft AD es la única opción que puede usar actualmente con Amazon RDS.
1. Introduzca la información siguiente:
**Nombre de DNS del directorio**
El nombre completo del directorio, como por ejemplo **corp.example.com**.
**Nombre NetBIOS del directorio**
El nombre abreviado del directorio, como **CORP**.
**Descripción del directorio**
(Opcional) Descripción del directorio.
**Contraseña de administrador**
Contraseña del administrador del directorio. El proceso de creación de directorios crea una cuenta de administrador con el nombre de usuario Admin y esta contraseña.
La contraseña del administrador del directorio no puede contener la palabra "admin". La contraseña distingue entre mayúsculas y minúsculas y debe tener un mínimo de 864 caracteres y un máximo de 64. También debe contener al menos un carácter de tres de las siguientes categorías:
+ Letras minúsculas (a–z)
+ Letras mayúsculas (A–Z)
+ Números (0–9)
+ Caracteres no alfanuméricos (\~\!@\#$%^&\*\_-\+=`\|\\(){}[]:;"'<>,.?/)
**Confirm password**
Vuelva a escribir la contraseña de administrador.
1. Elija **Next (Siguiente)**.
1. Escriba la siguiente información en la sección **Networking (Redes)** y luego seleccione **Next (Siguiente)**:
**VPC**
VPC del directorio. Cree la instancia de base de datos de Oracle en esta misma VPC.
**Subredes**
Subredes de los servidores del directorio. Las dos subredes deben estar en diferentes zonas de disponibilidad.
1. Revise la información del directorio y haga los cambios necesarios. Cuando la información sea correcta, seleccione **Create directory (Crear directorio)**.
La creación del directorio tarda varios minutos. Cuando se haya creado correctamente, el valor de **Status (Estado)** cambiará a **Active (Activo)**.
Para consultar información de su directorio, seleccione el nombre del directorio en la descripción de directorios. Tenga en cuenta el valor de **Directory ID (ID de directorio)** porque necesitará este valor cuando cree o modifique su instancia de base de datos de Oracle.
## Paso 2: crear una relación de confianza
Si planea utilizar AWS Managed Microsoft AD únicamente, pase a [Paso 3: Configure los permisos de IAM para Amazon RDS](#oracle-kerberos.setting-up.CreateIAMRole).
Para habilitar la autenticación de Kerberos mediante Active Directory autoadministrado, debe crear una relación de confianza de bosque entre Active Directory autoadministrado y el AWS Managed Microsoft AD creado en el paso anterior. La confianza puede ser unidireccional, donde AWS Managed Microsoft AD confía en Active Directory autoadministrado. La confianza también puede ser bidireccional, donde ambos Active Directories confían entre sí. Para obtener más información acerca de la configuración de relaciones de confianza entre bosques con Directory Service, consulte [Cuándo crear una relación de confianza](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) en la *Guía de administración de Directory Service*.
## Paso 3: Configure los permisos de IAM para Amazon RDS
Para llamar a Directory Service por usted, Amazon RDS requiere un rol de IAM que utilice la política de IAM administrada `AmazonRDSDirectoryServiceAccess`. Este rol permite a Amazon RDS realizar llamadas a Directory Service.
**nota**
Para que el rol permita el acceso, el punto de conexión AWS Security Token Service (AWS STS) debe activarse en la Región de AWS correcta para su Cuenta de AWS. Los puntos de conexión de AWS STS están activos de forma predeterminada en todas las Regiones de AWS y puede usarlos sin ninguna acción posterior. Para obtener más información, consulte [Activación y desactivación de AWS STS en una región de Región de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#sts-regions-activate-deactivate) en la *Guía del usuario de IAM*.
### Creación de un rol de IAM
Cuando se crea una instancia de base de datos con la Consola de administración de AWS y el usuario de la consola tiene el permiso `iam:CreateRole`, la consola crea `rds-directoryservice-kerberos-access-role` automáticamente. De no ser así, debe crear el rol de IAM manualmente. Cuando cree un rol de IAM automáticamente, elija `Directory Service` y asocie la política administrada de AWS `AmazonRDSDirectoryServiceAccess` a este.
A fin de obtener más información acerca de la creación de roles de IAM para un servicio, consulte [Creación de un rol para delegar permisos a un servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *guía del usuario de IAM*.
**nota**
El rol de IAM utilizado para la autenticación de Windows en RDS para Microsoft SQL Server no se puede usar en RDS para Oracle.
### Creación manual de una política de confianza de IAM
Opcionalmente, puede crear políticas de recursos con los permisos requeridos en vez de utilizar la política de IAM administrada `AmazonRDSDirectoryServiceAccess`. Especifique `directoryservice.rds.amazonaws.com` y `rds.amazonaws.com` como entidades principales.
A fin de limitar los permisos que Amazon RDS da a otro servicio para un recurso específico, le recomendamos utilizar las claves de contexto de condición global de [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) en las políticas de recursos. La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo de un recurso de Amazon RDS. Para obtener más información, consulte [Prevención de los problemas del suplente confuso entre servicios](cross-service-confused-deputy-prevention.md).
En el ejemplo siguiente, se muestra cómo se pueden utilizar las claves de contexto de condición global de `aws:SourceArn` y `aws:SourceAccount` en Amazon RDS para evitar el problema del suplente confuso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.amazonaws.com",
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:rds:{{us-east-1}}:{{123456789012}}:{{db:mydbinstance}}"
},
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
]
}
```
------
En el caso de las regiones que se suscriban voluntariamente, también debe incluir una entidad principal de servicio para esa región en forma de `directoryservice.rds.{{region_name}}.amazonaws.com`. Por ejemplo, en la región de África (Ciudad del Cabo), utilice la siguiente política de confianza:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.amazonaws.com",
"directoryservice.rds.af-south-1.amazonaws.com",
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:rds:{{af-south-1}}:{{123456789012}}:{{db:mydbinstance}}"
},
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
]
}
```
------
El rol debe también tener la siguiente política de IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Paso 4: crear y configurar usuarios
Puede crear usuarios con la herramienta Usuarios y equipos de Active Directory, que es una de las herramientas Servicios de dominio de Active Directory y Active Directory Lightweight Directory Services. En este caso, los *usuarios* son las personas físicas o entidades que tienen acceso al directorio.
Para crear usuarios en un directorio de Directory Service, debe estar conectado a una instancia de Amazon EC2 con Windows que sea miembro del directorio de Directory Service. Al mismo tiempo, debe iniciar sesión como usuario con privilegios para crear usuarios. Para obtener más información sobre la creación de usuarios en su Microsoft Active Directory, consulte [Administrar usuarios y grupos en AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) en la *Guía de administración de Directory Service*.
## Paso 5: habilitar el tráfico entre VPC entre el directorio y la instancia de base de datos
Si tiene previsto ubicar el directorio y la instancia de base de datos en la misma VPC, omita este paso y continúe con [Paso 6: crear o modificar una instancia de base de datos de Oracle](#oracle-kerberos.setting-up.create-modify).
Si planea localizar el directorio y la instancia de base de datos en distintas cuentas de AWS o VPC, configure el tráfico entre VPC mediante interconexión de VPC o [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html). El siguiente procedimiento permite el tráfico entre VPC mediante la interconexión de VPC. Siga las instrucciones de [¿Qué es una interconexión de VPC?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) en la *Guía de interconexión de Amazon Virtual Private Cloud*.
**Para habilitar el tráfico entre VPC mediante la interconexión de VPC**
1. Configure las reglas de enrutamiento de VPC adecuadas para garantizar que el tráfico de red pueda fluir en ambos sentidos.
1. Asegúrese de que el grupo de seguridad de la instancia de base de datos pueda recibir tráfico de entrada del grupo de seguridad del directorio. Para obtener más información, consulte [ Prácticas recomendadas para AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html) en la *Guía de administración de Directory Service*.
1. Asegúrese de que no haya una regla de lista de control de acceso (ACL) a la red para bloquear el tráfico.
Si una cuenta de AWS distinta es la propietaria del directorio, debe compartirlo.
**Para compartir el directorio entre cuentas de AWS**
1. Comience a compartir el directorio con la cuenta de AWS en la que se creará la instancia de base de datos mediante las instrucciones de [Tutorial: Uso compartido del directorio de AWS Managed Microsoft AD para realizar la unión al dominio de EC2 sin problemas](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html) en la *Guía de administración de Directory Service*.
1. Inicie sesión en la consola de Directory Service utilizando la cuenta para la instancia de base de datos y asegúrese de que el dominio tiene el estado `SHARED` antes de continuar.
1. Una vez iniciada sesión en la consola de Directory Service utilizando la cuenta de la instancia de base de datos, anote el valor de **Directory ID (ID de directorio)**. Utilice este identificador de directorio para unir la instancia de base de datos al dominio.
## Paso 6: crear o modificar una instancia de base de datos de Oracle
Cree o modifique una instancia de base de datos de Oracle para usarla con su directorio. Puede utilizar la consola, CLI, o la API de RDS para asociar una instancia de base de datos con un directorio. Puede hacerlo de una de las siguientes formas:
+ Cree una nueva instancia de base de datos de Oracle utilizando la consola, el comando de CLI [ create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) o la operación [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) de la API de RDS.
Para obtener instrucciones, consulte [Creación de una instancia de base de datos de Amazon RDS](USER_CreateDBInstance.md).
+ Modifique una instancia de base de datos de Oracle existente utilizando la consola, el comando de CLI [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) o la operación [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) de la API de RDS.
Para obtener instrucciones, consulte [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md).
+ Restaure una instancia de base de datos de Oracle a partir de una instantánea de base de datos utilizando la consola, el comando de CLI [ restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html) o la operación [ RestoreDBInstanceFromDBSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html) de la API de RDS.
Para obtener instrucciones, consulte [Restauración a una instancia de base de datos](USER_RestoreFromSnapshot.md).
+ Restaure una instancia de base de datos de Oracle a partir de un punto en el tiempo utilizando la consola, el comando de CLI [ restore-db-instance-to-point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) o la operación [ RestoreDBInstanceToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) de la API de RDS.
Para obtener instrucciones, consulte [Restauración de una instancia de base de datos a un momento especificado para Amazon RDS](USER_PIT.md).
La autenticación Kerberos solo es compatible con instancias de base de datos de Oracle en una VPC. La instancia de DB puede estar en la misma VPC que el directorio o en una VPC diferente. Cuando cree o modifique la instancia de base de datos, haga lo siguiente:
+ Proporcione el identificador de dominio (identificador `d-*`) que se generó cuando creó el directorio.
+ Proporcione el nombre del rol de IAM que ha creado.
+ Asegúrese de que el grupo de seguridad de la instancia de base de datos pueda recibir tráfico entrante del grupo de seguridad del directorio y enviar tráfico saliente al directorio.
Si utiliza la consola para crear una instancia de base de datos, elija **Password and Kerberos authentication (Contraseña y autenticación Kerberos)** en la sección **Database authentication (Autenticación de base de datos)**. Elija **Browse Directory (Examinar directorio)** y, a continuación, seleccione el directorio o elija **Create a new directory (Crear un nuevo directorio)**.
Si utiliza la consola para modificar o restaurar una instancia de base de datos, elija el directorio en la sección **Kerberos authentication (Autenticación Kerberos)** o elija **Create a new directory (Crear un nuevo directorio)**.
Cuando utilice la AWS CLI, se necesitan los siguientes parámetros para que la instancia de base de datos pueda usar el directorio que ha creado:
+ Para el parámetro `--domain`, utilice el identificador de dominio (identificador "d-\*") que se generó cuando creó el directorio.
+ Para el parámetro `--domain-iam-role-name`, utilice el rol que creó que usa la política `AmazonRDSDirectoryServiceAccess` de IAM administrada.
Por ejemplo, el siguiente comando de CLI modifica una instancia de base de datos para usar un directorio.
Para Linux, macOS, o Unix:
```
aws rds modify-db-instance \
--db-instance-identifier {{mydbinstance}} \
--domain d-{{ID}} \
--domain-iam-role-name {{role-name}}
```
Para Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier {{mydbinstance}} ^
--domain d-{{ID}} ^
--domain-iam-role-name {{role-name}}
```
**importante**
Si modifica una instancia de base de datos para habilitar la autenticación Kerberos, reinicie la instancia de base de datos después de realizar el cambio.
**nota**
{{MANAGED\_SERVICE\_USER}} es una cuenta de servicio cuyo nombre genera aleatoriamente Directory Service para RDS. Durante la configuración de la autenticación Kerberos, RDS para Oracle crea un usuario con el mismo nombre y le asigna el privilegio `CREATE SESSION`. El usuario de base de datos de Oracle se identifica externamente como {{MANAGED\_SERVICE\_USER@EXAMPLE.COM}}, donde {{EXAMPLE.COM}} es el nombre de su dominio. Periódicamente, RDS utiliza las credenciales proporcionadas por Directory Service para iniciar sesión en la base de datos de Oracle. Después, RDS destruye inmediatamente la caché de tickets.
## Paso 7: crear inicios de sesión de Oracle de autenticación Kerberos
Use las credenciales del usuario maestro de Amazon RDS para conectarse a la instancia de base de datos de Oracle igaul que con cualquier otra instancia de base de datos. La instancia de base de datos se une al dominio de AWS Managed Microsoft AD. Por lo tanto, puede aprovisionar inicios de sesión y usuarios de Oracle desde usuarios de Microsoft Active Directory en el dominio. Para administrar los permisos de la base de datos, otorgue y revoque los permisos estándar de Oracle para estos inicios de sesión.
**Para permitir que un usuario de Microsoft Active Directory se autentique con Oracle**
1. Conéctese a la instancia de base de datos de Oracle mediante sus credenciales de usuario maestro de Amazon RDS.
1. Cree un usuario autenticado externamente en la base de datos de Oracle.
En el ejemplo siguiente, reemplace `{{KRBUSER@CORP.EXAMPLE.COM}}` por el nombre de usuario y el nombre de dominio.
```
CREATE USER "{{KRBUSER@CORP.EXAMPLE.COM}}" IDENTIFIED EXTERNALLY;
GRANT CREATE SESSION TO "{{KRBUSER@CORP.EXAMPLE.COM}}";
```
Ahora, los usuarios (tanto humanos como aplicaciones) del dominio pueden conectarse a la instancia de base de datos de Oracle desde un equipo cliente unido al dominio mediante la autenticación Kerberos.
## Paso 8: configurar un cliente de Oracle
Para configurar un cliente de Oracle, cumpla los requisitos siguientes:
+ Cree un archivo de configuración denominado krb5.conf (Linux) o krb5.ini (Windows) para apuntar al dominio. Configure el cliente de Oracle para utilizar este archivo de configuración.
+ Compruebe que el tráfico puede fluir entre el host cliente y Directory Service sobre el puerto 53 de DNS y TCP/UDP, y los puertos de Kerberos (88 y 464 para Directory Service administrado) sobre el puerto 389 de TCP y LDAP.
+ Verifique que el tráfico puede fluir entre el host cliente y la instancia de base de datos sobre el puerto de base de datos.
A continuación, se encuentra el contenido de muestra para AWS Managed Microsoft AD.
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = CORP.EXAMPLE.COM
example.com = CORP.EXAMPLE.COM
```
El siguiente es el contenido de muestra para Microsoft AD local. En el archivo krb5.conf o krb5.ini, sustituya{{on-prem-ad-server-name}} por el nombre del servidor AD local.
```
[libdefaults]
default_realm = ONPREM.COM
[realms]
AWSAD.COM = {
kdc = awsad.com
admin_server = awsad.com
}
ONPREM.COM = {
kdc = {{on-prem-ad-server-name}}
admin_server = {{on-prem-ad-server-name}}
}
[domain_realm]
.awsad.com = AWSAD.COM
awsad.com= AWSAD.COM
.onprem.com = ONPREM.COM
onprem.com= ONPREM.COM
```
**nota**
Después de configurar el archivo krb5.ini o krb5.conf, le recomendamos que reinicie el servidor.
El siguiente es contenido sqlnet.ora de ejemplo para una configuración de SQL\*Plus:
```
SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5PRE,KERBEROS5)
SQLNET.KERBEROS5_CONF={{path_to_krb5.conf_file}}
```
Para ver un ejemplo de una configuración de SQL Developer, consulte [Document 1609359.1](https://support.oracle.com/epmos/faces/DocumentDisplay?id=1609359.1) de Oracle Support.