Identitäts- und Zugriffsverwaltung für Oracle Database@Azure
Dieser Artikel baut auf den Anleitungen in Identitäts- und Zugriffsverwaltungauf. Verwenden Sie diese Informationen, um Designüberlegungen und Empfehlungen für identitäts- und zugriffsverwaltung zu überprüfen, die für Oracle Database@Azure-Bereitstellungen spezifisch sind. Die Identitätsanforderungen für Oracle Database@Azure variieren je nach Implementierung in Azure. Dieser Artikel enthält Informationen basierend auf den am häufigsten verwendeten Szenarien.
Oracle Database@Azure ist ein Oracle-Datenbankdienst, der auf Oracle Cloud Infrastructure (OCI) ausgeführt wird und in Azure-Rechenzentren bei Microsoft kolociert wird. Microsoft und OCI bieten dieses Angebot gemeinsam an, das erfordert, dass Sie Identitäten und rollenbasierte Zugriffssteuerung (RBAC) auf beiden Plattformen verwalten. In diesem Leitfaden werden bewährte Methoden für die Identitäts- und Zugriffsverwaltung beschrieben, um konsistente Bereitstellungsmuster für Oracle Database@Azure zu erstellen.
Betrachtungen
Akzeptieren Sie das oracle Database@Azure private Angebot auf Azure Marketplace für Ihr Abonnement, und aktivieren Sie es. Sie müssen über die Rolle "Mitwirkender" für das Abonnement verfügen, um den Oracle Database@Azure-Dienst bereitzustellen. Weitere Informationen finden Sie unter Einrichten des Identitätsverbunds. Wenn Ihr Betriebsmodell an den Prinzipien der Azure-Zielzone ausgerichtet ist, wird der Prozess von dem einzelnen Anwendungsentwicklungsteam verwaltet, das Oracle Database@Azure-Dienste benötigt. Wenn Ihre Organisation ein zentralisiertes Modell verwendet, muss das Plattformteam möglicherweise Teile des Prozesses verarbeiten.
Wenn Sie die ursprüngliche Oracle Exadata-Database@Azure Instanz bereitstellen, werden bestimmte Standardgruppen automatisch in Microsoft Entra ID und dem entsprechenden OCI-Mandanten erstellt. Einige dieser Gruppen werden in OCI repliziert, wobei Richtlinien definiert sind. Verwenden Sie diese Gruppen, um die verschiedenen Aktionen zu verwalten, die Oracle Database@Azure Services erfordert. Weitere Informationen finden Sie unter Gruppen und Rollen in Oracle Database@Azure.
Sie können benutzerdefinierte Oracle Exadata-Database@Azure Gruppennamen zuweisen, müssen aber manuell konfiguriert werden. Richtlinien werden für bestimmte Gruppennamen erstellt. Wenn Sie den Gruppennamen ändern, müssen Sie auch die Richtlinienanweisung in OCI ändern.
Um die Granularität der Zugriffsberechtigungen zu verbessern, wenden Sie sich an den OCI-Administrator, um andere Gruppen und Rollen innerhalb des OCI-Mandanten einzurichten. OCI bietet Kontrolle darüber, wer Oracle Database@Azure-Ressourcen erstellen und verwalten kann.
Für Architekturen mit mehreren Clustern werden RBAC-Gruppenberechtigungen auf alle Cluster im Abonnement angewendet. Wenn Sie einzelnen Clustern RBAC separat zuweisen möchten, erstellen Sie benutzerdefinierte Gruppennamen und Richtlinien in OCI und Azure für jeden Cluster.
Die Verknüpfung mit Identitätsanbietern, die nicht zu Microsoft gehören, oder mit Microsoft Active Directory wird unterstützt. Weitere Informationen zu Sicherheitsempfehlungen, die über den Verbund von Identität und RBAC hinausgehen, finden Sie unter Sicherheitsrichtlinien für Oracle Database@Azure.
Designempfehlungen
Implementieren des Verbunds zwischen Azure und OCI, einschließlich einmaliger Anmeldung und Replikation von Benutzern und Gruppen.
Konfigurieren Sie den Partnerverbund zwischen Microsoft Entra ID und OCI, um Benutzern die Anmeldung bei OCI mit ihren Microsoft Entra ID-Anmeldeinformationen zu ermöglichen. Weitere Informationen finden Sie unter Schritte zum Onboarding von Oracle Database@Azure).
Wenn Sie ein neues Konto und einen neuen Mandanten bereitstellen, wird in OCI eine Administratorbenutzerrolle erstellt. Vermeiden Sie die Verwendung dieser Administratoridentität für tägliche Vorgänge. Verwenden Sie stattdessen Microsoft Entra-Administratorgruppen, um erhöhten Zugriff für die relevanten Personen bereitzustellen.
Verwenden Sie Azure RBAC, um den Zugriff der Benutzer auf Oracle Database@Azure-Ressourcen zu steuern. Befolgen Sie das Prinzip der geringsten Rechte, wenn Sie Benutzern Database@Azure Rollen zuweisen.
Um sicherzustellen, dass Microsoft Entra ID-basierte Benutzer sicher sind, befolgen Sie Bewährte Methoden für identitätsverwaltung und Zugriffssteuerung. Wenn Sie dabei helfen, Ihre Microsoft Entra ID-basierten Benutzer zu schützen, aktivieren Sie den Identitätsschutz . Überprüfen Sie Ihre Sicherheitsmaßnahmen mithilfe der Sicherheitsprüfliste für die Identitäts- und Zugriffsverwaltung.
Aktivieren Sie Microsoft Entra ID-Überwachungsprotokollierung, um zugriffsbezogene Ereignisse zu überwachen.