Gerenciamento de identidade e acesso para Oracle Database@Azure
Este artigo baseia-se nas orientações do Identity and access management. Use essas informações para revisar considerações de design e recomendações para gerenciamento de identidade e acesso que são específicas para implantações do Oracle Database@Azure. Os requisitos de identidade para o Oracle Database@Azure variam dependendo de sua implementação no Azure. Este artigo fornece informações com base nos cenários mais típicos.
O Oracle Database@Azure é um serviço de banco de dados Oracle que é executado no Oracle Cloud Infrastructure (OCI) e está localizado em datacenters do Azure na Microsoft. A Microsoft e a OCI fornecem essa oferta em conjunto, que exige que você gerencie identidades e RBAC (controle de acesso baseado em função) em ambas as plataformas. Este guia descreve as práticas recomendadas para gerenciamento de identidade e acesso para criar padrões de implantação consistentes para o Oracle Database@Azure.
Considerações
Aceite e ative a oferta privada do Oracle Database@Azure no Azure Marketplace para a sua subscrição. Você deve ter a função de Colaborador da assinatura para implantar o serviço Oracle Database@Azure. Para mais informações, consulte Configurar a federação de identidades. Se o seu modelo operacional estiver alinhado com os princípios da zona de aterrissagem do Azure, a equipe de desenvolvimento de aplicativos individuais que requer os serviços Oracle Database@Azure gerencia o processo. Se sua organização usa um modelo centralizado, a equipe da plataforma pode precisar lidar com partes do processo.
Quando você implanta a instância inicial do Oracle Exadata Database@Azure, grupos padrão específicos são criados automaticamente dentro da ID do Microsoft Entra e do locatário OCI correspondente. Alguns desses grupos são replicados para a OCI, onde as políticas são definidas. Use esses grupos para gerenciar as várias ações que os serviços Oracle Database@Azure exigem. Para obter mais informações, consulte Grupos e funções no Oracle Database@Azure.
Você pode atribuir nomes de grupo Database@Azure Oracle Exadata personalizados, mas eles precisam ser configurados manualmente. As políticas são criadas para nomes de grupos específicos . Se você alterar o nome do grupo, também precisará alterar a declaração de política na OCI.
Para melhorar a granularidade das permissões de acesso, entre em contato com o administrador da OCI para estabelecer outros grupos e funções dentro do locatário da OCI. A OCI fornece controle sobre quem pode criar e gerenciar recursos do Oracle Database@Azure.
Para arquiteturas que têm vários clusters, as permissões de grupo RBAC são aplicadas a todos os clusters na assinatura. Para atribuir RBAC a clusters individuais separadamente, crie nomes de grupo personalizados e políticas no OCI e no Azure para cada cluster.
Há suporte para federação para provedores de identidade que não sejam da Microsoft ou para o Microsoft Ative Directory. Para obter mais informações sobre recomendações de segurança além da federação de identidade e RBAC, consulte Diretrizes de segurança para Oracle Database@Azure.
Recomendações de design
Implementar a federação entre o Azure e a OCI, incluindo logon único e replicação de usuários e grupos.
Configure a federação entre o Microsoft Entra ID e o OCI para permitir que os usuários entrem no OCI com suas credenciais do Microsoft Entra ID. Para obter mais informações, consulte Etapas para integração do Oracle Database@Azure).
Quando você provisiona uma nova conta e locatário, uma função de usuário Admin é criada na OCI. Evite usar essa identidade de administrador para operações diárias. Em vez disso, use os grupos de administradores do Microsoft Entra para fornecer acesso elevado para os indivíduos relevantes.
Use o RBAC do Azure para controlar o acesso dos usuários aos recursos do Oracle Database@Azure. Siga o princípio do menor privilégio ao atribuir usuários a Database@Azure funções.
Para ajudar a garantir que os utilizadores que utilizam o ID do Microsoft Entra estejam seguros, siga as práticas recomendadas de gestão de identidade e controlo de acesso. Quando você ajudar a proteger seus usuários baseados em ID do Microsoft Entra, habilite proteção de identidade. Valide suas medidas de segurança usando a lista de verificação de segurança para gerenciamento de identidade e acesso.
Habilite de log de auditoria do Microsoft Entra ID para monitorar eventos relacionados ao acesso.