Oracle Database@Azure的身分識別和存取管理
本文以 身分識別和存取管理中的指引為基礎。 使用這項資訊來檢閱針對 Oracle Database@Azure 部署特有的身分識別與存取管理的設計考量和建議。 Oracle Database@Azure的身分識別需求會根據其在 Azure 中的實作而有所不同。 本文會根據最典型的案例提供資訊。
Oracle Database@Azure 是一個在 Oracle 雲端基礎設施(OCI)上運行的 Oracle 資料庫服務,並且與 Microsoft 管理的 Azure 資料中心共置。 Microsoft和 OCI 共同提供此供應專案,這需要您跨這兩個平臺管理身分識別和角色型訪問控制 (RBAC)。 本指南概述身分識別和存取管理的最佳做法,以建立 Oracle Database@Azure的一致部署模式。
注意事項
接受並啟用您的訂閱在 Azure Marketplace 上的 Oracle Database@Azure 私人優惠方案。 您必須擁有訂用帳戶的參與者角色,才能部署 Oracle Database@Azure服務。 如需詳細資訊,請參閱 設定身分識別同盟。 如果您的作業模型符合 Azure 登陸區域原則,則需要 Oracle Database@Azure服務的個別應用程式開發小組會管理此程式。 如果您的組織使用集中式模型,平臺小組可能需要處理過程的一部分。
當您部署初始 Oracle Exadata Database@Azure 實例時,會自動在 Microsoft Entra ID 和對應的 OCI 租戶內建立特定預設群組。 有些群組會同步至 OCI 並在那裡定義原則。 使用這些群組來管理 Oracle Database@Azure服務所需的各種動作。 如需詳細資訊,請參閱 Oracle Database@Azure 中的群組和角色。
您可以指派自定義 Oracle Exadata Database@Azure組名,但必須手動設定它們。 系統會為 特定的群組名稱建立政策,。 如果您變更組名,您也需要在 OCI 中變更原則語句。
若要增強訪問許可權的粒度,請連絡 OCI 系統管理員,以在 OCI 租使用者中建立其他群組和角色。 OCI 可控制誰可以建立和管理 Oracle Database@Azure資源。
對於具有多個叢集的架構,RBAC 群組許可權會套用至訂用帳戶中的所有叢集。 若要個別將 RBAC 指派給個別叢集,請在 OCI 和 Azure 中為每個叢集建立自定義的組名和原則。
支援與非 Microsoft 身分識別提供者或 Microsoft Active Directory 的聯盟整合。 如需身分識別和 RBAC 同盟以外的安全性建議詳細資訊,請參閱 Oracle Database@Azure 的安全性指導方針。
設計建議
實作 Azure 與 OCI之間的同盟,包括單一登錄和使用者和群組的複寫。
設定 entra ID 與 OCI 之間的Microsoft同盟,讓使用者使用其Microsoft Entra ID 認證登入 OCI。 如需詳細資訊,請參閱 將 Oracle Database@Azure上線的步驟。
當您在 OCI 中布建新的帳戶和租戶時,會建立管理員角色。 請避免將此系統管理員身分識別用於日常作業。 請改用 Microsoft Entra 系統管理員群組,為相關人員提供提升權限。
使用 Azure RBAC 來控制使用者對 Oracle Database@Azure資源的存取。 當您將使用者指派給Database@Azure角色時,請遵循最低許可權原則。
為了協助確保Microsoft以 Entra ID 為基礎的使用者安全,請遵循 身分識別管理和訪問控制最佳做法。 當您協助保護Microsoft Entra 識別碼型使用者時,請啟用 身分識別保護。 使用 安全性檢查清單來驗證安全性措施, 身分識別和存取管理。
啟用 Microsoft Entra ID 稽核記錄 來監視存取相關事件。