Zarządzanie tożsamościami i dostępem dla Database@Azure Oracle
W tym artykule omówiono zagadnienia i zalecenia zdefiniowane w obszarach projektowania strefy docelowej platformy Azure. Zawiera ona kluczowe zagadnienia dotyczące projektowania i zalecenia dotyczące zarządzania tożsamościami i dostępem w programie Oracle Database@Azure.
Uwagi dotyczące projektowania
Zapoznaj się z następującymi zaleceniami dotyczącymi zarządzania tożsamościami i dostępem dla programu Oracle Database@Azure:
Zaakceptuj i włącz ofertę prywatną oracle Database@Azure w witrynie Azure Marketplace dla twojej subskrypcji. Aby wdrożyć usługę Oracle Database@Azure, musisz mieć dostęp współautora do subskrypcji. Aby uzyskać więcej informacji, zobacz Dołączanie przy użyciu Database@Azure Oracle. Jeśli model operacyjny został dopasowany do zasad strefy docelowej platformy Azure, indywidualny zespół deweloperów aplikacji, który wymaga, aby usługa Oracle Database@Azure zarządzała tym procesem. W przypadku uruchamiania bardziej tradycyjnego modelu może istnieć część procesu, którą musi obsłużyć scentralizowany zespół platformy.
Database@Azure Oracle nie obsługuje natywnie identyfikatora Entra firmy Microsoft na potrzeby zarządzania tożsamościami i dostępem. Można jednak skonfigurować federację między identyfikatorem Entra firmy Microsoft i infrastrukturą OCI (Oracle Cloud Infrastructure), aby umożliwić użytkownikom logowanie się do usługi OCI przy użyciu poświadczeń identyfikatora Entra firmy Microsoft. Użytkownicy mogą logować się tylko przy użyciu poświadczeń OCI, ale nie zalecamy tej konfiguracji. Po zalogowaniu się przy użyciu poświadczeń OCI masz więcej tożsamości użytkowników do zarządzania. Aby włączyć federację, postępuj zgodnie z instrukcjami w temacie Dołączanie przy użyciu Database@Azure Oracle.
Wdróż początkowe wystąpienie oracle Database@Azure, aby utworzyć określone grupy w ramach identyfikatora Entra firmy Microsoft i w odpowiedniej dzierżawie OCI. Aby uzyskać więcej informacji, zobacz Grupy i role dla Database@Azure Oracle. Grupy utworzone w dzierżawie OCI mają niezbędne uprawnienia do tworzenia baz danych kontenerów (CDB) i wtyczek baz danych (PDB) i zarządzania nimi we wszystkich wystąpieniach oracle Database@Azure w tej dzierżawie OCI.
Podczas aprowizacji nowego konta i dzierżawy użytkownik administracyjny jest tworzony w usłudze OCI. Unikaj używania tej tożsamości administratora do codziennych operacji. Zamiast tego użyj grup administratorów firmy Microsoft Entra, aby zapewnić podwyższony poziom dostępu dla odpowiednich osób.
Skontaktuj się z administratorem OCI, aby ustanowić inne grupy i role w dzierżawie OCI, aby zwiększyć stopień szczegółowości uprawnień dostępu. Technologia OCI zapewnia większą kontrolę nad tym, kto może tworzyć bazy danych CDB i pliki PDB oraz zarządzać nimi w wystąpieniach oracle Database@Azure.