Gerenciamento de identidade e acesso para Oracle Database@Azure
Este artigo se baseia nas diretrizes em gerenciamento de identidade e acesso. Use essas informações para examinar as considerações de design e as recomendações de gerenciamento de identidade e acesso específicas para implantações do Oracle Database@Azure. Os requisitos de identidade do Oracle Database@Azure variam dependendo de sua implementação no Azure. Este artigo fornece informações com base nos cenários mais típicos.
O Oracle Database@Azure é um serviço de banco de dados Oracle que é executado no Oracle Cloud Infrastructure (OCI) e é colocado em datacenters do Azure na Microsoft. A Microsoft e o OCI fornecem conjuntamente essa oferta, que exige que você gerencie identidades e RBAC (controle de acesso baseado em função) em ambas as plataformas. Este guia descreve as práticas recomendadas de gerenciamento de identidade e acesso para criar padrões de implantação consistentes para o Oracle Database@Azure.
Considerações
Aceite e habilite a oferta privada do Oracle Database@Azure no Azure Marketplace para sua assinatura. Você precisa ter a permissão de Colaborador na assinatura para implantar o serviço Oracle Database@Azure. Para obter mais informações, consulte Configuração de federação de identidade. Se o modelo operacional estiver alinhado com os princípios da zona de aterrissagem do Azure, a equipe de desenvolvimento de aplicativos individual que precisa dos serviços Oracle Database@Azure gerencia o processo. Se sua organização usar um modelo centralizado, a equipe da plataforma poderá precisar lidar com partes do processo.
Quando você implanta a instância inicial do Oracle Exadata Database@Azure, grupos padrão específicos são criados automaticamente na ID do Microsoft Entra e no locatário OCI correspondente. Alguns desses grupos são replicados para OCI, onde as políticas são definidas. Use esses grupos para gerenciar as várias ações que os serviços do Oracle Database@Azure exigem. Para obter mais informações, consulte Grupos e funções no Oracle Database@Azure.
Você pode atribuir nomes de grupo personalizados do Oracle Exadata Database@Azure, mas eles precisam ser configurados manualmente. As políticas são criadas para nomes de grupo específicos. Se você alterar o nome do grupo, também precisará alterar a instrução de política no OCI.
Para aprimorar a granularidade das permissões de acesso, entre em contato com o administrador do OCI para estabelecer outros grupos e funções dentro do locatário do OCI. O OCI fornece controle sobre quem pode criar e gerenciar recursos do Oracle Database@Azure.
Para arquiteturas que têm vários clusters, as permissões de grupo RBAC são aplicadas a todos os clusters na assinatura. Para atribuir o RBAC a clusters individuais separadamente, crie nomes e políticas de grupo personalizados no OCI e no Azure para cada cluster.
Há suporte para federação para provedores de identidade não Microsoft ou Microsoft Active Directory. Para obter mais informações sobre recomendações de segurança além da federação de identidade e RBAC, consulte Diretrizes de segurança para Oracle Database@Azure.
Recomendações de design
Implementar federação entre o Azure e o OCI, incluindo logon único e replicação de usuários e grupos.
Configure a federação entre a ID do Microsoft Entra e a OCI para permitir que os usuários entrem no OCI com suas credenciais de ID do Microsoft Entra. Para obter mais informações, consulte Etapas para integrar o Oracle Database@Azure).
Quando você provisiona uma nova conta e um locatário, uma função de usuário administrador é criada no OCI. Evite usar essa identidade de administrador para operações diárias. Em vez disso, use grupos de administradores do Microsoft Entra para fornecer acesso elevado para os indivíduos relevantes.
Use o RBAC do Azure para controlar o acesso dos usuários aos recursos do Oracle Database@Azure. Siga o princípio de privilégio mínimo ao atribuir usuários a funções de Database@Azure.
Para garantir a segurança dos usuários do ID do Microsoft Entra, siga as práticas recomendadas de gerenciamento de identidade e controle de acesso . Quando você ajuda a proteger seus usuários baseados em Microsoft Entra ID, habilite a proteção de identidade. Valide suas medidas de segurança usando a lista de verificação de segurança para gerenciamento de identidade e acesso.
Habilite o registro em log de auditoria do Microsoft Entra ID para monitorar eventos relacionados ao acesso.