你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Oracle Database@Azure的标识和访问管理
本文基于 标识和访问管理中的指南。 使用此信息可以查看特定于 Oracle Database@Azure 部署的标识和访问管理的设计注意事项和建议。 Oracle Database@Azure的标识要求因 Azure 中的实现而异。 本文基于最典型的方案提供信息。
Oracle Database@Azure 是在 Oracle 云基础结构 (OCI) 上运行的 Oracle 数据库服务,位于 Microsoft 的 Azure 数据中心。 Microsoft和 OCI 共同提供此产品/服务,这要求你跨两个平台管理标识和基于角色的访问控制(RBAC)。 本指南概述了标识和访问管理的最佳做法,为 Oracle Database@Azure创建一致的部署模式。
考虑事项
针对你的订阅,在 Azure 市场上接受并启用 Oracle Database@Azure 专用产品/服务。 必须具有订阅的参与者角色才能部署 Oracle Database@Azure 服务。 有关详细信息,请参阅设置联合身份验证。 如果您的运营模型符合 Azure 登陆区域原则,那么需要 Oracle Database@Azure 服务的各个应用程序开发团队将管理该过程。 如果组织使用集中式模型,则平台团队可能需要处理流程的各个部分。
部署初始 Oracle Exadata Database@Azure 实例时,特定默认组会自动在 Microsoft Entra ID 和相应的 OCI 租户中创建。 其中一些组被复制到 OCI,在那里定义了策略。 使用这些组来管理 Oracle Database@Azure 所需的各种操作。 有关详细信息,请参阅 Oracle Database@Azure 中的组和角色。
可以分配自定义 Oracle Exadata Database@Azure组名称,但需要手动配置它们。 为特定组名称创建了策略。 如果更改组名称,则还需要在 OCI 中更改策略语句。
若要精细化管理访问权限,请联系 OCI 管理员,以在 OCI 租户中创建其他组和角色。 OCI 可控制谁可以创建和管理 Oracle Database@Azure资源。
对于具有多个群集的体系结构,RBAC 组权限将应用于订阅中的所有群集。 若要将 RBAC 单独分配给各个群集,请在 OCI 和 Azure 中为每个群集创建自定义的组名和策略。
支持与非 Microsoft 标识提供者或 Microsoft Active Directory 进行联合。 若要详细了解超出联合身份验证和 RBAC 的安全建议,请参阅 Oracle Database@Azure 的安全准则。
设计建议
实现 Azure 与 OCI之间的联合身份验证,包括单一登录和用户和组的复制。
配置 Microsoft Entra ID 和 OCI 之间的联合身份验证,使用户能够使用其Microsoft Entra ID 凭据登录到 OCI。 有关详细信息,请参阅 载入 Oracle Database@Azure的步骤)。
预配新帐户和租户时,在 OCI 中创建管理员用户角色。 避免将此管理员标识用于日常操作。 请改用Microsoft Entra 管理员组为相关个人提供提升的访问权限。
使用 Azure RBAC 控制用户对 Oracle Database@Azure资源的访问。 将用户分配到Database@Azure角色时,请遵循最低特权原则。
为了帮助确保基于 Microsoft Entra ID 的用户安全,请遵循 身份管理和访问控制的最佳做法。 在帮助保护基于 Microsoft Entra ID 的用户时,请启用标识保护。 使用 安全清单,对标识和访问管理进行验证以确保安全措施。
启用 Microsoft Entra ID 审核日志来监视与访问相关的事件。