Identitets- och åtkomsthantering för Oracle Database@Azure
Den här artikeln bygger på vägledningen i identitets- och åtkomsthantering. Använd den här informationen för att granska designöverväganden och rekommendationer för identitets- och åtkomsthantering som är specifika för Oracle Database@Azure distributioner. Identitetskraven för Oracle Database@Azure varierar beroende på implementeringen i Azure. Den här artikeln innehåller information baserat på de vanligaste scenarierna.
Oracle Database@Azure är en Oracle-databastjänst som körs på Oracle Cloud Infrastructure (OCI) och är samlokaliserad i Azure-datacenter på Microsoft. Microsoft och OCI tillhandahåller gemensamt det här erbjudandet, vilket kräver att du hanterar identiteter och rollbaserad åtkomstkontroll (RBAC) på båda plattformarna. Den här guiden beskriver metodtips för identitets- och åtkomsthantering för att skapa konsekventa distributionsmönster för Oracle Database@Azure.
Överväganden
Acceptera och aktivera Oracle Database@Azure privata erbjudande på Azure Marketplace för din prenumeration. Du måste ha rollen Deltagare för prenumerationen för att distribuera Oracle Database@Azure-tjänsten. Mer information finns i Konfigurera identitetsfederation. Om din driftsmodell är i linje med principerna för Azure-landningszonen hanterar det enskilda programutvecklingsteamet som kräver Oracle Database@Azure-tjänster processen. Om din organisation använder en centraliserad modell kan plattformsteamet behöva hantera delar av processen.
När du distribuerar den första Oracle Exadata-Database@Azure-instansen skapas specifika standardgrupper automatiskt i Microsoft Entra-ID och motsvarande OCI-klientorganisation. Vissa av dessa grupper replikeras till OCI, där principer definieras. Använd dessa grupper för att hantera de olika åtgärder som Oracle Database@Azure tjänster kräver. Mer information finns i grupper och roller i Oracle Database@Azure.
Du kan tilldela anpassade Oracle Exadata-Database@Azure gruppnamn, men de måste konfigureras manuellt. Policyer skapas för specifika gruppnamn. Om du ändrar gruppnamnet måste du också ändra principsatsen i OCI.
Om du vill förbättra detaljgraden för åtkomstbehörigheter kontaktar du OCI-administratören för att upprätta andra grupper och roller i OCI-miljön. OCI ger kontroll över vem som kan skapa och hantera Oracle Database@Azure resurser.
För arkitekturer som har flera kluster tillämpas RBAC-gruppbehörigheter på alla kluster i prenumerationen. Om du vill tilldela RBAC till enskilda kluster separat skapar du anpassade gruppnamn och principer i OCI och Azure för varje kluster.
Federation till icke-Microsoft-identitetsprovidrar eller Microsoft Active Directory stöds. Mer information om säkerhetsrekommendationer utöver federation av identitet och RBAC finns i Säkerhetsriktlinjer för Oracle Database@Azure.
Designrekommendationer
Implementera federation mellan Azure och OCI, inklusive enkel inloggning och replikering av användare och grupper.
Konfigurera federation mellan Microsoft Entra-ID och OCI så att användarna kan logga in på OCI med sina Microsoft Entra-ID-autentiseringsuppgifter. Mer information finns i Steg för att registrera Oracle Database@Azure).
När du etablerar ett nytt konto och en ny klientorganisation skapas en administratörsroll i OCI. Undvik att använda den här administratörsidentiteten för dagliga åtgärder. Använd i stället Microsoft Entra-administratörsgrupper för att ge förhöjd åtkomst för relevanta personer.
Använd Azure RBAC för att styra användarnas åtkomst till Oracle Database@Azure resurser. Följ principen om minsta behörighet när du tilldelar användare till Database@Azure roller.
För att säkerställa att Microsoft Entra ID-baserade användare är säkra följer du metodtips för identitetshantering och åtkomstkontroll. När du hjälper till att skydda dina Microsoft Entra ID-baserade användare aktiverar du identitetsskydd. Verifiera dina säkerhetsåtgärder med hjälp av säkerhetschecklista för identitets- och åtkomsthantering.
Aktivera Microsoft Entra ID-granskningsloggning för att övervaka åtkomstrelaterade händelser.