Oracle Database@Azure的身分識別和存取管理
本文以 Azure 登陸區域設計區域中定義的考慮和建議為基礎。 它提供 Oracle Database@Azure身分識別和存取管理的重要設計考慮和建議。
設計考量
請考慮下列 Oracle Database@Azure身分識別和存取管理建議:
接受併為您的訂用帳戶啟用 Azure Marketplace 上的 Oracle Database@Azure私人供應專案。 您需要訂用帳戶的參與者存取權,才能部署 Oracle Database@Azure服務。 如需詳細資訊,請參閱 使用 Oracle Database@Azure上線。 如果您將作業模型與 Azure 登陸區域原則一致,則需要 Oracle Database@Azure服務管理程式的個別應用程式開發小組。 如果您執行較傳統的模型,集中式平臺小組可能需要處理的程式部分。
Oracle Database@Azure原生不支援身分識別和存取管理的 Microsoft Entra ID。 不過,您可以設定Microsoft Entra ID 與 Oracle Cloud Infrastructure (OCI) 之間的同盟,讓用戶能夠使用其Microsoft Entra ID 認證登入 OCI。 使用者只能使用 OCI 認證登入,但我們不建議進行設定。 當您只使用 OCI 認證登入時,您有更多的使用者身分識別要管理。 若要啟用同盟,請遵循使用 Oracle Database@Azure上線中的指示。
部署初始 Oracle Database@Azure 實例,以在相對應的 OCI 租使用者中,於 entra ID 和 Microsoft 內建立特定群組。 如需詳細資訊,請參閱 Oracle Database@Azure的群組和角色。 在 OCI 租使用者中建立的群組具有在該 OCI 租使用者中所有 Oracle Database@Azure 實例上建立和管理容器資料庫 (CDB) 和插入式資料庫 (PDB) 的必要許可權。
當您布建新的帳戶和租使用者時,會在 OCI 中建立系統管理員使用者。 請避免將此系統管理員身分識別用於日常作業。 請改用Microsoft Entra 系統管理員群組,為相關人員提供提升許可權的存取權。
請連絡 OCI 系統管理員,以在 OCI 租使用者中建立其他群組和角色,以增強訪問許可權的粒度。 OCI 可更充分控制可在 Oracle Database@Azure 實例上建立和管理 CDB 和 PDB 的人員。