Gestione delle identità e degli accessi per Oracle Database@Azure
Questo articolo si basa sulle linee guida riportate in gestione delle identità e degli accessi. Usare queste informazioni per esaminare le considerazioni di progettazione e le raccomandazioni per la gestione delle identità e degli accessi specifiche per le distribuzioni di Oracle Database@Azure. I requisiti di identità per Oracle Database@Azure variano a seconda dell'implementazione in Azure. Questo articolo fornisce informazioni basate sugli scenari più tipici.
Oracle Database@Azure è un servizio di database Oracle in esecuzione in Oracle Cloud Infrastructure (OCI) e si trova nei data center di Azure in Microsoft. Microsoft e OCI forniscono congiuntamente questa offerta, che richiede di gestire le identità e il controllo degli accessi in base al ruolo (RBAC) in entrambe le piattaforme. Questa guida illustra le procedure consigliate per la gestione delle identità e degli accessi per creare modelli di distribuzione coerenti per Oracle Database@Azure.
Considerazioni
Accettare e abilitare l'offerta privata Oracle Database@Azure in Azure Marketplace per la tua sottoscrizione. Per distribuire il servizio Oracle Database@Azure, è necessario avere il ruolo Collaboratore per la sottoscrizione. Per altre informazioni, vedere Configurare la federazione delle identità. Se il modello operativo è allineato ai principi della zona di destinazione di Azure, il singolo team di sviluppo di applicazioni che richiede oracle Database@Azure servizi gestisce il processo. Se l'organizzazione usa un modello centralizzato, il team della piattaforma potrebbe dover gestire parti del processo.
Quando si distribuisce l'istanza iniziale di Oracle Exadata Database@Azure, i gruppi predefiniti specifici vengono creati automaticamente all'interno dell'ID Microsoft Entra e del tenant OCI corrispondente. Alcuni di questi gruppi vengono replicati in OCI, dove vengono definiti i criteri. Usare questi gruppi per gestire le varie azioni richieste dai servizi oracle Database@Azure. Per altre informazioni, vedere Gruppi e ruoli in Oracle Database@Azure.
È possibile assegnare nomi di gruppi di Database@Azure Oracle Exadata personalizzati, ma devono essere configurati manualmente. Le politiche vengono create per nomi di gruppo specifici. Se modifichi il nome del gruppo, è necessario anche modificare la dichiarazione della politica in OCI.
Per migliorare la granularità delle autorizzazioni di accesso, contattare l'amministratore OCI per stabilire altri gruppi e ruoli all'interno del tenant OCI. OCI fornisce il controllo su chi può creare e gestire risorse oracle Database@Azure.
Per le architetture con più cluster, le autorizzazioni di gruppo RBAC vengono applicate a tutti i cluster nella sottoscrizione. Per assegnare il controllo degli accessi in base al ruolo a singoli cluster separatamente, creare nomi e criteri di gruppo personalizzati in OCI e Azure per ogni cluster.
La federazione ai provider di identità non Microsoft e/o Microsoft Active Directory è supportata. Per altre informazioni sulle raccomandazioni sulla sicurezza oltre alla federazione dell'identità e del controllo degli accessi in base al ruolo, vedere Linee guida sulla sicurezza per Oracle Database@Azure.
Consigli per la progettazione
Implementare la federazione tra Azure e OCI, inclusi l'accesso Single Sign-On e la replica di utenti e gruppi.
Configurare la federazione tra Microsoft Entra ID e OCI per consentire agli utenti di accedere a OCI con le credenziali dell'ID Microsoft Entra. Per altre informazioni, vedere Passaggi per eseguire l'onboarding di Oracle Database@Azure).
Quando si effettua il provisioning di un nuovo account e tenant, viene creato un ruolo utente amministratore in OCI. Evitare di usare questa identità amministratore per le operazioni quotidiane. Usare invece i gruppi di amministratori di Microsoft Entra per fornire l'accesso con privilegi elevati per le persone pertinenti.
Usare Azure RBAC per gestire l'accesso degli utenti alle risorse di Oracle Database@Azure. Seguire il principio dei privilegi minimi quando si assegnano utenti ai ruoli Database@Azure.
Per garantire la sicurezza degli utenti basati su Microsoft Entra ID, seguire le procedure consigliate per la gestione delle identità e il controllo di accesso. Quando si aiutano a proteggere gli utenti basati su ID di Microsoft Entra, abiliti Identity Protection. Convalidare le misure di sicurezza usando l'elenco di controllo di sicurezza per la gestione delle identità e degli accessi.
Abilitare registrazione di controllo di Microsoft Entra ID per monitorare gli eventi correlati all'accesso.