Identitets- och åtkomsthantering för Oracle Database@Azure
Den här artikeln bygger på de överväganden och rekommendationer som definieras i designområdena för Azure-landningszonen. Den innehåller viktiga designöverväganden och rekommendationer för Oracle Database@Azure identitets- och åtkomsthantering.
Utformningsbeaktanden
Överväg följande rekommendationer för identitets- och åtkomsthantering för Oracle Database@Azure:
Acceptera och aktivera Oracle Database@Azure privata erbjudande på Azure Marketplace för din prenumeration. Du behöver deltagaråtkomst till prenumerationen för att distribuera Oracle Database@Azure-tjänsten. Mer information finns i Publicera med Oracle Database@Azure. Om du har anpassat din driftsmodell efter principer för Azure-landningszoner hanterar det enskilda programutvecklingsteamet som kräver Oracle Database@Azure-tjänster processen. Det kan finnas delar av processen som ett centraliserat plattformsteam behöver hantera om du kör en mer traditionell modell.
Oracle Database@Azure har inte inbyggt stöd för Microsoft Entra-ID för identitets- och åtkomsthantering. Du kan dock konfigurera federation mellan Microsoft Entra ID och Oracle Cloud Infrastructure (OCI) så att användarna kan logga in på OCI med sina Microsoft Entra-ID-autentiseringsuppgifter. Användare kan bara logga in med OCI-autentiseringsuppgifter, men vi rekommenderar inte den konfigurationen. När du loggar in med endast OCI-autentiseringsuppgifter har du fler användaridentiteter att hantera. Om du vill aktivera federation följer du anvisningarna i Publicera med Oracle Database@Azure.
Distribuera den första Oracle-Database@Azure-instansen för att skapa specifika grupper inom Microsoft Entra-ID och i motsvarande OCI-klientorganisation. Mer information finns i Grupper och roller för Oracle Database@Azure. De grupper som skapas i OCI-klientorganisationen har de behörigheter som krävs för att skapa och hantera containerdatabaser (CDB: er) och pluggbara databaser (PDB) på alla Oracle Database@Azure-instanser i den OCI-klientorganisationen.
När du etablerar ett nytt konto och en ny klientorganisation skapas en administratörsanvändare i OCI. Undvik att använda den här administratörsidentiteten för dagliga åtgärder. Använd i stället Microsoft Entra-administratörsgrupperna för att ge förhöjd åtkomst för relevanta personer.
Kontakta OCI-administratören för att upprätta andra grupper och roller i OCI-klientorganisationen för att förbättra kornigheten för åtkomstbehörigheter. OCI ger mer kontroll över vem som kan skapa och hantera CDB:er och PDF-filer på Oracle Database@Azure-instanser.