Oracle Database@Azure の ID およびアクセス管理

この記事は、「Azure ランディング ゾーンの設計領域」で定義されているいくつかの考慮事項と推奨事項に基づいています。 Oracle Database@Azure の ID およびアクセス管理に関する主要な設計上の考慮事項と推奨事項を説明します。

設計上の考慮事項

Oracle Database@Azure では、次の ID およびアクセス管理に関する推奨事項を検討してください。

• サブスクリプションの Azure Marketplace で Oracle Database@Azure プライベート オファーを受け入れて有効にします。 Oracle Database@Azure サービスをデプロイするには、サブスクリプションへの共同作成者アクセス権が必要です。 詳細については、「Oracle Database@Azure を使用したオンボード」に関する記事を参照してください。 運用モデルを Azure ランディング ゾーンの原則に合わせて調整した場合、Oracle Database@Azure サービスを必要とする個々のアプリケーション開発チームがプロセスを管理します。 より従来のモデルを実行する場合、一元化されたプラットフォーム チームが処理する必要があるプロセスの一部が存在する可能性があります。

• Oracle Database@Azure は、ID およびアクセス管理のために Microsoft Entra ID をネイティブにサポートしていません。 ただし、Microsoft Entra ID と Oracle Cloud Infrastructure (OCI) 間のフェデレーションを構成することで、ユーザーが Microsoft Entra ID 認証情報を使用して OCI にサインインできるようになります。 ユーザーは OCI 認証情報のみでサインインできますが、そのセットアップはお勧めしません。 OCI 認証情報のみでサインインすると、管理するユーザー ID が増えます。 フェデレーションを有効にするには、「Oracle Database@Azure を使用したオンボード」の手順に従います。

• 最初の Oracle Database@Azure インスタンスをデプロイして、Microsoft Entra ID 内および対応する OCI テナント内に特定のグループを作成します。 詳細については、「Oracle Database@Azure のグループとロール」を参照してください。 OCI テナントで作成されたグループには、その OCI テナント内のすべての Oracle Database@Azure インスタンスでコンテナー データベース (CDN) とプラグ可能なデータベース (PDB) を作成および管理するために必要なアクセス許可があります。

• 新しいアカウントとテナントをプロビジョニングすると、管理者ユーザーが OCI に作成されます。 日常的な操作には、この管理者 ID を使用しないでください。 代わりに、Microsoft Entra 管理者グループを使用して、関連する個人に昇格アクセス権を提供します。

• OCI 管理者に連絡して、OCI テナント内で他のグループとロールを確立し、アクセス許可の細分性を高めます。 OCI では、Oracle Database@Azure インスタンスで CDN と PDB を作成および管理できるユーザーをより詳細に制御できます。

次のステップ

• Oracle Database@Azure のセキュリティ ガイドライン
• Oracle Database@Azure のネットワーク トポロジと接続性