Administración de identidades y acceso para Oracle Database@Azure
Este artículo profundiza en las consideraciones y recomendaciones que se definen en las áreas de diseño de la zona de aterrizaje de Azure. Ofrece las consideraciones clave de diseño y las recomendaciones para la administración de identidad y acceso de Oracle Database@Azure.
Consideraciones de diseño
Tenga en cuenta las siguientes recomendaciones de administración de identidad y acceso para Oracle Database@Azure:
Acepte y habilite la oferta privada de Oracle Database@Azure en Azure Marketplace para su suscripción. Necesita acceso de colaborador a la suscripción para implementar el servicio Oracle Database@Azure. Para obtener más información, consulte Incorporación con Oracle Database@Azure. Si alineó el modelo operativo con los principios de la zona de aterrizaje de Azure, el equipo de desarrollo de aplicaciones individual que requiere servicios de Oracle Database@Azure administra el proceso. Es posible que haya partes del proceso que un equipo de plataforma centralizado tenga que controlar si se ejecuta un modelo más tradicional.
Oracle Database@Azure no admite de forma nativa Microsoft Entra ID para la administración de identidad y acceso. Sin embargo, puede configurar la federación entre Microsoft Entra ID y Oracle Cloud Infrastructure (OCI) para permitir que los usuarios inicien sesión en OCI mediante sus credenciales de Microsoft Entra ID. Los usuarios solo pueden iniciar sesión con credenciales de OCI, pero no se recomienda esa configuración. Al iniciar sesión solo con credenciales de OCI, tiene que administrar más identidades de usuario. Para habilitar la federación, siga las instrucciones de Incorporación con Oracle Database@Azure.
Implemente la instancia inicial de Oracle Database@Azure para crear grupos específicos en Microsoft Entra ID y en el inquilino de OCI correspondiente. Para obtener más información, consulte Grupos y roles de Oracle Database@Azure. Los grupos creados en el inquilino de OCI tienen los permisos necesarios para crear y administrar bases de datos de contenedor (CDB) y bases de datos conectables (PDB) en todas las instancias de Oracle Database@Azure en ese inquilino de OCI.
Al aprovisionar una nueva cuenta e inquilino, se crea un usuario administrador en OCI. Evite utilizar esta identidad de administrador para las operaciones diarias. En su lugar, utilice los grupos de administradores de Microsoft Entra para proporcionar acceso con privilegios elevados a las personas pertinentes.
Póngase en contacto con el administrador de OCI para establecer otros grupos y roles dentro del inquilino de OCI para mejorar la granularidad de los permisos de acceso. OCI proporciona más control sobre quién puede crear y administrar CDB y PDB en instancias de Oracle Database@Azure.