Administración de identidades y acceso para Oracle Database@Azure
Este artículo se basa en la orientación de Administración de identidad y acceso. Use esta información para revisar las consideraciones de diseño y recomendaciones para la administración de identidades y acceso específicas de las implementaciones de Oracle Database@Azure. Los requisitos de identidad de Oracle Database@Azure varían en función de su implementación en Azure. En este artículo se proporciona información basada en los escenarios más típicos.
Oracle Database@Azure es un servicio de base de datos de Oracle que se ejecuta en Oracle Cloud Infrastructure (OCI) y se coloca en centros de datos de Azure en Microsoft. Microsoft y OCI proporcionan conjuntamente esta oferta, lo que requiere que administre identidades y control de acceso basado en rol (RBAC) en ambas plataformas. En esta guía se describen los procedimientos recomendados para la administración de identidades y acceso para crear patrones de implementación coherentes para oracle Database@Azure.
Consideraciones
Acepte y habilite la oferta privada de Oracle Database@Azure en Azure Marketplace para su suscripción. Debe tener el rol de Colaborador de la suscripción para implementar el servicio Oracle Database@Azure. Para obtener más información, consulte Configurar la federación de identidades. Si el modelo operativo está alineado con los principios de la zona de aterrizaje de Azure, el equipo de desarrollo de aplicaciones que requiere los servicios de Oracle Database@Azure administra el proceso. Si su organización usa un modelo centralizado, es posible que el equipo de la plataforma tenga que controlar partes del proceso.
Al implementar la instancia inicial de Oracle Exadata Database@Azure, ciertos grupos predeterminados se crean automáticamente en Microsoft Entra ID y el tenant de OCI correspondiente. Algunos de estos grupos se replican en OCI, donde se definen las directivas. Use estos grupos para administrar las distintas acciones que requieren Oracle Database@Azure servicios. Para obtener más información, consulte Grupos y roles en Oracle Database@Azure.
Puede asignar nombres de grupo personalizados de Oracle Exadata Database@Azure, pero deben configurarse manualmente. Las políticas se crean para nombres de grupo específicos. Si cambia el nombre del grupo, también debe cambiar la declaración de política en OCI.
Para mejorar la granularidad de los permisos de acceso, póngase en contacto con el administrador de OCI para establecer otros grupos y roles dentro del inquilino de OCI. OCI proporciona control sobre quién puede crear y administrar recursos de Oracle Database@Azure.
En el caso de las arquitecturas que tienen varios clústeres, los permisos de grupo de RBAC se aplican a todos los clústeres de la suscripción. Para asignar RBAC a clústeres individuales por separado, cree nombres y directivas de grupo personalizados en OCI y Azure para cada clúster.
Se admite la federación a proveedores de identidades que no son de Microsoft o Microsoft Active Directory. Para obtener más información sobre las recomendaciones de seguridad más allá de la federación de identidades y RBAC, consulte Directrices de seguridad para Oracle Database@Azure.
Recomendaciones de diseño
Implementación de la federación entre Azure y OCI, incluido el inicio de sesión único y la replicación de usuarios y grupos.
Configure la federación entre microsoft Entra ID y OCI para permitir que los usuarios inicien sesión en OCI con sus credenciales de Id. de Microsoft Entra. Para obtener más información, consulte Pasos para incorporar Oracle Database@Azure).
Al aprovisionar una nueva cuenta e inquilino, se crea un rol de usuario administrador en OCI. Evite utilizar esta identidad de administrador para las operaciones diarias. En su lugar, use grupos de administradores de Microsoft Entra para proporcionar acceso elevado a los usuarios pertinentes.
Use RBAC de Azure para controlar el acceso de los usuarios a los recursos de Oracle Database@Azure. Siga el principio de privilegios mínimos al asignar usuarios a Database@Azure roles.
Para ayudar a asegurar que los usuarios que utilizan Microsoft Entra ID estén protegidos, siga procedimientos recomendados de administración de identidades y control de acceso. Cuando ayude a proteger a los usuarios de Microsoft Entra ID, habilite protección de identidad. Valide las medidas de seguridad mediante la lista de comprobación de seguridad para la administración de identidades y acceso.
Habilite registro de auditoría de Microsoft Entra ID para supervisar los eventos relacionados con el acceso.