Gestione delle identità e degli accessi per Oracle Database@Azure
Questo articolo si basa sulle considerazioni e le raccomandazioni definite nelle aree di progettazione della zona di destinazione di Azure. Fornisce considerazioni di progettazione e consigli chiave per Oracle Database@Azure gestione delle identità e degli accessi.
Considerazioni relative alla progettazione
Considerare le raccomandazioni seguenti sulla gestione delle identità e degli accessi per Oracle Database@Azure:
Accettare e abilitare l'offerta oracle Database@Azure privata in Azure Marketplace per la sottoscrizione. È necessario l'accesso collaboratore alla sottoscrizione per distribuire il servizio Oracle Database@Azure. Per altre informazioni, vedere Eseguire l'onboarding con Oracle Database@Azure. Se il modello operativo è stato allineato ai principi della zona di destinazione di Azure, il singolo team di sviluppo di applicazioni che richiede i servizi Oracle Database@Azure gestisce il processo. Potrebbero esserci parti del processo che un team centralizzato della piattaforma deve gestire se si esegue un modello più tradizionale.
Oracle Database@Azure non supporta in modo nativo Microsoft Entra ID per la gestione delle identità e degli accessi. Tuttavia, è possibile configurare la federazione tra Microsoft Entra ID e Oracle Cloud Infrastructure (OCI) per consentire agli utenti di accedere a OCI usando le credenziali dell'ID Microsoft Entra. Gli utenti possono accedere solo con le credenziali OCI, ma non è consigliabile configurare questa configurazione. Quando si accede solo con le credenziali OCI, sono disponibili più identità utente da gestire. Per abilitare la federazione, seguire le istruzioni in Eseguire l'onboarding con Oracle Database@Azure.
Distribuire l'istanza iniziale di Oracle Database@Azure per creare gruppi specifici all'interno dell'ID Microsoft Entra e nel tenant OCI corrispondente. Per altre informazioni, vedere Gruppi e ruoli per Oracle Database@Azure. I gruppi creati nel tenant OCI hanno le autorizzazioni necessarie per creare e gestire database contenitore (CDB) e database collegabili (PDB) in tutte le istanze di Oracle Database@Azure in tale tenant OCI.
Quando si effettua il provisioning di un nuovo account e tenant, viene creato un utente amministratore in OCI. Evitare di usare questa identità amministratore per le operazioni quotidiane. Usare invece i gruppi di amministratori di Microsoft Entra per fornire l'accesso con privilegi elevati per le persone pertinenti.
Contattare l'amministratore OCI per stabilire altri gruppi e ruoli all'interno del tenant OCI per migliorare la granularità delle autorizzazioni di accesso. OCI offre un maggiore controllo su chi può creare e gestire CDB e PDB in istanze di Oracle Database@Azure.