Identity & Access Management für Oracle Database@Azure
Dieser Artikel baut auf Überlegungen und Empfehlungen auf, die unter Entwurfsbereiche für Azure-Zielzonen definiert sind. Er enthält wichtige Überlegungen und Empfehlungen zum Identity & Access Management für Oracle Database@Azure.
Überlegungen zum Entwurf
Berücksichtigen Sie die folgenden Empfehlungen zum Identity & Access Management für Oracle Database@Azure:
Akzeptieren und aktivieren Sie das private Oracle Database@Azure-Angebot im Azure Marketplace für Ihr Abonnement. Für die Bereitstellung des Oracle Database@Azure-Diensts brauchen Sie Zugriff auf das Abonnement als Mitwirkender. Weitere Informationen finden Sie unter Onboarding mit Oracle Database@Azure. Wenn Sie Ihr Betriebsmodell an den Grundsätzen für Azure-Zielzonen ausgerichtet haben, wird der Prozess vom jeweiligen Anwendungsentwicklungsteam verwaltet, das Oracle Database@Azure-Dienste benötigt. Bei Verwendung eines herkömmlicheren Modells kann es Teile des Prozesses geben, die von einem zentralen Plattformteam verwaltet werden müssen.
Microsoft Entra ID wird von Oracle Database@Azure für das Identity & Access Management nicht nativ unterstützt. Sie können jedoch einen Partnerverbund zwischen Microsoft Entra ID und Oracle Cloud Infrastructure (OCI) konfigurieren, damit die Benutzer sich mit ihren Microsoft Entra ID-Anmeldedaten bei OCI anmelden können. Benutzer können sich auch nur mit OCI-Anmeldedaten anmelden, aber eine solche Einrichtung ist nicht zu empfehlen. Wenn Sie sich nur mit OCI-Anmeldeinformationen anmelden, müssen mehr Benutzeridentitäten verwaltet werden. Halten Sie sich zum Aktivieren eines Partnerverbunds an die Anweisungen in Onboarding mit Oracle Database@Azure.
Stellen Sie die erste Oracle Database@Azure-Instanz bereit, um bestimmte Gruppen in Microsoft Entra ID und im entsprechenden OCI-Mandanten zu erstellen. Weitere Informationen finden Sie unter Gruppen und Rollen für Oracle Database@Azure. Die im OCI-Mandanten erstellten Gruppen verfügen über die erforderlichen Berechtigungen zum Erstellen und Verwalten von Container Databases (CDBs) und austauschbaren Datenbanken (PDBs) für alle Oracle Database@Azure-Instanzen in diesem OCI-Mandanten.
Wenn Sie ein neues Konto und einen neuen Mandanten bereitstellen, wird ein Administratorbenutzer in OCI erstellt. Vermeiden Sie die Verwendung dieser Administratoridentität für tägliche Vorgänge. Verwenden Sie stattdessen die Microsoft Entra-Administratorgruppen, um den betreffenden Personen erhöhte Zugriffsrechte zu gewähren.
Wenden Sie sich an den OCI-Administrator, um andere Gruppen und Rollen innerhalb des OCI-Mandanten einzurichten und damit die Granularität von Zugriffsberechtigungen zu verbessern. OCI ermöglicht eine bessere Kontrolle darüber, wer CDBs und PDBs auf Oracle Database@Azure-Instanzen erstellen und verwalten kann.