Zarządzanie tożsamościami i dostępem dla Database@Azure Oracle
W tym artykule rozszerzono wskazówki zawarte w sekcji Zarządzanie tożsamością i dostępem. Te informacje służą do przeglądania zagadnień projektowych i zaleceń dotyczących zarządzania tożsamościami i dostępem specyficznych dla wdrożeń Oracle Database@Azure. Wymagania dotyczące tożsamości dla Database@Azure Oracle różnią się w zależności od jej implementacji na platformie Azure. Ten artykuł zawiera informacje na podstawie najbardziej typowych scenariuszy.
Oracle Database@Azure to usługa bazy danych Oracle, która działa w infrastrukturze Oracle Cloud Infrastructure (OCI) i jest kolokowana w centrach danych platformy Azure w firmie Microsoft. Firma Microsoft i firma OCI wspólnie udostępniają tę ofertę, która wymaga zarządzania tożsamościami i kontrolą dostępu opartą na rolach (RBAC) na obu platformach. W tym przewodniku opisano najlepsze rozwiązania dotyczące zarządzania tożsamościami i dostępem w celu tworzenia spójnych wzorców wdrażania dla programu Oracle Database@Azure.
Zagadnienia dotyczące
Akceptuj i włącz ofertę prywatną Oracle Database@Azure w Azure Marketplace dla subskrypcji. Aby wdrożyć usługę Oracle Database@Azure, musisz mieć rolę Współtwórca dla subskrypcji. Aby uzyskać więcej informacji, zobacz Konfigurowanie federacji tożsamości. Jeśli model operacyjny jest zgodny z zasadami strefy początkowej platformy Azure, indywidualny zespół deweloperów aplikacji, który wymaga usług Oracle Database@Azure, zarządza tym procesem. Jeśli Organizacja korzysta ze scentralizowanego modelu, zespół platformy może potrzebować obsługi części procesu.
Podczas wdrażania początkowej instancji Oracle Exadata Database@Azure określone grupy domyślne są automatycznie tworzone w ramach Microsoft Entra ID i odpowiedniej dzierżawy OCI. Niektóre z tych grup są replikowane do OCI, gdzie zasady są definiowane. Użyj tych grup, aby zarządzać różnymi akcjami wymaganymi przez usługę Oracle Database@Azure. Aby uzyskać więcej informacji, zobacz Groups and roles in Oracle Database@Azure.
Możesz przypisać niestandardowe nazwy grup oracle Exadata Database@Azure, ale należy je skonfigurować ręcznie. Zasady są tworzone dla określonych nazw grup . Jeśli zmienisz nazwę grupy, musisz również zmienić instrukcję zasad w usłudze OCI.
Aby zwiększyć stopień szczegółowości uprawnień dostępu, skontaktuj się z administratorem OCI w celu ustanowienia innych grup i ról w dzierżawie OCI. Usługa OCI zapewnia kontrolę nad tym, kto może tworzyć zasoby oracle Database@Azure i zarządzać nimi.
W przypadku architektur, które mają wiele klastrów, uprawnienia grupy RBAC są stosowane do wszystkich klastrów w subskrypcji. Aby oddzielnie przypisać RBAC do poszczególnych klastrów, utwórz niestandardowe nazwy grup i zasady w OCI i Azure dla każdego klastra.
Federacja z dostawcami tożsamości innymi niż Microsoft oraz z Microsoft Active Directory jest obsługiwana. Aby uzyskać więcej informacji na temat zaleceń dotyczących zabezpieczeń wykraczających poza federację tożsamości oraz RBAC (Role-Based Access Control), zobacz Wytyczne dotyczące zabezpieczeń dla programu Oracle Database@Azure.
Zalecenia dotyczące projektowania
Zaimplementuj federację między platformą Azure iOCI, w tym logowanie jednokrotne i replikację użytkowników i grup.
Skonfiguruj federację między microsoft Entra ID i OCI, aby umożliwić użytkownikom logowanie się do OCI przy użyciu poświadczeń identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Kroki dotyczące onboardingu Oracle Database@Azure).
Podczas tworzenia nowego konta i dzierżawy rola użytkownika o uprawnieniach administratora jest tworzona w usłudze OCI. Unikaj używania tej tożsamości administratora do codziennych operacji. Zamiast tego użyj grup administratorów firmy Microsoft Entra, aby zapewnić podwyższony poziom dostępu dla odpowiednich osób.
Użyj Azure RBAC do kontrolowania dostępu użytkowników do zasobów Oracle Database@Azure. Przestrzegaj zasady najniższych uprawnień podczas przypisywania użytkowników do ról Database@Azure.
Aby zapewnić bezpieczeństwo użytkowników opartych na identyfikatorach Entra firmy Microsoft, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zarządzania tożsamościami i kontroli dostępu . Gdy pomożesz zabezpieczyć użytkowników opartych na identyfikatorach Entra firmy Microsoft, włącz ochronę tożsamości. Zweryfikuj środki zabezpieczeń przy użyciu listy kontrolnej zabezpieczeń na potrzeby zarządzania tożsamościami i dostępem.
Włącz rejestrowanie inspekcji Microsoft Entra ID w celu monitorowania zdarzeń związanych z dostępem.