你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供有关 Oracle Autonomous Database(自治数据库)@Azure 和 Oracle Exadata Database@Azure 部署的鉴别身份和访问管理指南。 这些建议可在 Azure 和 Oracle 云基础结构(OCI)之间实现安全合规的访问,同时保持运营效率。
Oracle Database@Azure需要跨 Azure 和 OCI 平台协调标识管理。 实施这些建议以建立一致的安全姿态,实现无缝用户访问,并保持符合组织策略,同时支持 Oracle 自主数据库@Azure 和 Oracle Exadata 数据库@Azure 服务。
建立联合标识基础
Azure 与 OCI 之间的联合身份验证为跨两个平台的统一访问管理提供了基础。 在部署 Oracle Database@Azure服务之前配置联合身份验证,以确保一致的安全性和访问模式。
配置 Microsoft Entra ID 与 OCI 的联合身份验证。 在 Azure 和 OCI 之间建立标识联合,以启用单一登录(SSO)和自动化用户预配。 此联合身份验证允许用户使用其现有的 Azure 凭据访问 OCI 资源。 有关 Microsoft Entra ID 集成模式,请参阅 Microsoft Entra ID 中的应用程序预配。
启用 SSO 功能。 在 Microsoft Entra ID 和 OCI 之间配置 SSO,以简化两个平台的用户身份验证。 此配置可降低凭据管理开销并改善用户体验。 有关 SSO 配置指南,请参阅 Microsoft Entra SSO。
实现自动化用户和组同步。 设置从 Microsoft Entra ID 到 OCI 的用户和组的自动复制,以跨平台保持一致的访问策略。 此自动化可减少管理开销,并确保访问一致性。 有关预配配置,请参阅 “规划自动用户预配部署”。
在 Oracle Database@Azure部署之前验证联合身份验证。 在部署 Oracle Database@Azure服务之前测试标识联合功能,以确保无缝集成。 验证用户身份验证、组成员身份同步和访问策略强制在两个平台上都正常工作。
部署具有适当权限的 Oracle Database@Azure
Oracle Database@Azure部署需要特定的 Azure 权限并创建默认标识组。 规划部署过程,使其与组织的标识治理和运营模型保持一致。
为 Oracle Database@Azure 部署分配参与者角色。 在接受 Azure Marketplace 上的专用报价之前,请确保部署人员在目标订阅中具有参与者角色。 此角色为 Oracle Database@Azure 服务部署提供所需的最低权限。 有关订阅访问管理,请参阅 使用 Azure 门户分配 Azure 角色。
自动创建组的计划。 Oracle Database@Azure部署会在初始预配期间自动在 Microsoft Entra ID 和相应的 OCI 租户中创建特定的默认组。 这些 组 包括用于 Oracle Database@Azure 操作的预定义权限。
请遵循部署团队的运作模式。 使部署过程与组织的运营模型保持一致。 应用程序开发团队应在分散式模型中管理 Oracle Database@Azure部署,而平台团队在集中式作模型中处理部署。 有关登陆区域指南,请参阅 Azure 登陆区域设计区域。
记录自动组分配。 记录自动创建的组及其关联的权限,以便将来进行引用和安全审核。 本文档支持正在进行的标识治理和合规性报告。
为 Oracle Database@Azure配置基于角色的访问控制
使用 Azure 基于角色的访问控制(Azure RBAC)和 OCI 策略实施精细访问控制,以跨 Oracle Database@Azure资源强制实施最低特权访问。 配置符合组织安全要求的访问控制。
将最低特权原则应用于Database@Azure角色。 通过 Azure RBAC,控制用户对 Oracle Database@Azure 资源的访问权限,仅授予最低必要的权限。 根据用户的工作职能将用户分配到特定的 Oracle Database@Azure 角色,而不是授予广泛的访问权限。 有关详细信息,请参阅 Azure RBAC 的最佳做法。
自定义组名称以提高安全性。 如果默认名称与组织命名约定不一致,请为 Oracle Database@Azure 角色创建自定义组名称。 自定义组名称需要 Azure 和 OCI 中的手动策略配置。 有关策略管理指南,请参阅 Azure Policy 概述。
通过 OCI 管理员协调建立精细权限。 与 OCI 管理员协作,在 OCI 租户中创建额外的组和角色,以提高访问粒度。 此协调可确保跨两个平台的一致权限,同时满足特定的组织要求。
为多群集架构实施特定于群集的 RBAC。 管理多个 Oracle Database@Azure群集时,为每个群集创建单独的自定义组和策略。 默认的 RBAC 组权限适用于订阅中的所有群集。 管理员必须配置自定义设置,以强制实施特定于群集的访问控制。
集成 Azure Arc 标识管理
Azure Arc 与 Oracle Database@Azure集成需要专用服务主体和混合标识规划。 配置 Arc 标识组件以支持治理和监视功能,而不会中断现有的 OCI 联合。
为 Azure Arc 操作创建专用服务主体。 为 Arc 代理的初始化和持续管理操作专门建立服务主体。 为 Azure Arc 代理注册分配 Azure Connected Machine Onboarding 角色,并为集中监视分配 Log Analytics 贡献者 权限。 有关详细信息,请参阅 创建服务主体以大规模入驻。
为 Azure Arc 代理实现托管标识身份验证。 尽可能对 Azure Arc 代理使用 托管标识身份验证 ,以最大程度地减少凭据管理开销。 此方法可降低与存储凭据关联的安全风险,并简化凭据生命周期管理。
使用 Azure Key Vault 保护服务主体凭据。 当托管标识身份验证不可用时,使用 Key Vault 安全地存储服务主体凭据。 实现与现有 Azure 标识治理框架一致的自动凭据轮换策略。
规划混合标识集成点。 Azure Arc 在 Azure 和 OCI 平台之间创建额外的标识接触点。 规划服务主体生命周期管理,包括凭据轮换和权限更新,以避免干扰现有的 OCI 标识联合。
有关 Azure Arc 连接要求的详细信息,请参阅 Oracle Database@Azure的 Azure Arc 连接设计。
使用 Microsoft Defender 集成增强安全性
Microsoft Defender for Cloud 为 Oracle Database@Azure 基础结构提供增强的安全监视和标识保护。 将 Defender for Cloud 建议与标识控制集成,以加强整体安全态势。
将 Defender for Cloud 安全建议应用于标识控制。 查看并实施 Defender for Cloud 安全建议 ,以增强标识和访问管理。 这些建议提供了有关跨 Oracle Database@Azure 部署加强标识安全性的可作指南。
使用标识管理清单验证安全状况。 使用 标识和访问管理的安全清单 在 Oracle Database@Azure环境中验证全面的安全措施。 定期验证可确保持续符合安全最佳做法。
有关标识管理以外的全面安全指南,请参阅 Oracle Database@Azure的安全指南。
Azure 工具和资源
| 类别 | Tool | Description |
|---|---|---|
| 联合身份验证 | Microsoft Entra ID | Azure 和 OCI 联合身份和访问管理平台 |
| 存取控制 | Azure RBAC | 适用于 Oracle Database@Azure 资源的 RBAC |
| 特权访问 | Microsoft Entra Privileged Identity Management | 实时特权访问管理 |
| 身份保护 | Microsoft Entra ID 保护 | 基于风险的标识安全和自动修正 |
| 安全监视 | 云端保护者 (Defender for Cloud) | 安全状况管理和威胁防护 |
| 混合管理 | 已启用 Azure Arc 的服务器 | 混合服务器管理和治理 |
| 凭据管理 | 密钥保管库 | 保护凭据存储和管理 |