home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> การเขียนโปรแกรม >> ฐานข้อมูล

ภาพรวมของ IAM ใน Oracle Cloud Infrastructure

บล็อกโพสต์นี้แนะนำส่วนประกอบ Oracle® Cloud Infrastructure (OCI) Identityand Access Management (IAM) และแสดงคุณสมบัติบางอย่างที่ช่วยคุณจัดการทรัพยากร Oracle Cloud

โพสต์ระบุประเภทการเข้าถึงสำหรับทรัพยากรเฉพาะที่คุณสามารถกำหนดให้กับกลุ่มผู้ใช้และวิธีรวม OCI กับ Oracle Identity Cloud Service (IDCS)

ส่วนประกอบของ IAM

IAM ประกอบด้วยองค์ประกอบต่อไปนี้:

  • แหล่งข้อมูล :ทรัพยากรคือออบเจ็กต์ที่สร้างขึ้นใน OCI เช่น Computeinstances, บล็อก, เครือข่ายคลาวด์เสมือน (VCN) และซับเน็ต

  • ผู้ใช้ :ผู้ใช้ถูกกำหนดให้กับกลุ่มที่ให้สิทธิ์ที่จำกัดและเข้าถึงทรัพยากร OCI ตามนโยบายการเช่าและส่วนสำหรับกลุ่ม

  • กลุ่ม :กลุ่มคือกลุ่มผู้ใช้ที่มีสิทธิ์เข้าถึง OCIresources เดียวกัน ผู้ใช้สามารถเป็นสมาชิกของกลุ่มได้ตั้งแต่หนึ่งกลุ่มขึ้นไป

  • ไดนามิกกรุ๊ป :กลุ่มไดนามิกให้การรักษาความปลอดภัยและช่วยให้คุณสามารถจัดการคีย์บนฝั่งไคลเอ็นต์แทนที่จะเป็นฝั่งเซิร์ฟเวอร์ กลุ่มไดนามิกสามารถเชื่อมโยงอินสแตนซ์เฉพาะในส่วนได้ คุณสามารถกำหนดนโยบายให้กับกลุ่มไดนามิกเพื่อให้เข้าถึงอินสแตนซ์เฉพาะเพื่อเข้าถึงผ่านอินเทอร์เฟซของโปรแกรมเมอร์แอปพลิเคชัน (API)

  • ช่อง :ส่วนที่เป็นคอนเทนเนอร์แบบลอจิคัลส่วนกลางที่คุณสามารถบังคับใช้นโยบายและให้การควบคุมการเข้าถึงคอมพิวเตอร์ ที่เก็บข้อมูล เครือข่าย ตัวจัดสรรภาระงาน และทรัพยากรอื่นๆ ตัวอย่างเช่น คุณสามารถใช้นโยบายเพื่อจำกัดผู้ใช้ นอกเหนือจากผู้ดูแลระบบ จากการใช้ทรัพยากรที่สร้างขึ้นในส่วนนั้น

  • การเช่า :การเช่าเป็นช่องรูทเริ่มต้นและมีทรัพยากร OCI ทั้งหมด ภายในการเช่า ผู้ดูแลระบบสามารถสร้างหนึ่งหรือหลายช่อง ผู้ใช้ และกลุ่ม ผู้ดูแลระบบสามารถกำหนดนโยบายที่อนุญาตให้กลุ่มใช้ทรัพยากรภายในส่วนได้

  • นโยบาย :นโยบายกำหนดว่าใครสามารถเข้าถึงทรัพยากรในระดับกลุ่มและส่วนที่มีระดับการเข้าถึงต่อไปนี้:

    • ตรวจสอบ

    • อ่าน

    • ใช้

    • จัดการ

  • ภูมิภาค :ภูมิภาคคือที่ตั้งทางภูมิศาสตร์ที่มีทรัพยากร IAM อยู่ ทรัพยากรบริการ IAM มีอยู่ทั่วโลก และสามารถมีผู้เช่ารายเดียวในหลายภูมิภาค Oracle เผยแพร่การเปลี่ยนแปลงที่ทำขึ้นในภูมิภาคหลักไปยังทุกภูมิภาค

  • สหพันธ์ :สหพันธ์เป็นกลไกระหว่างสองฝ่ายขึ้นไปที่ทำหน้าที่เป็นผู้ให้บริการข้อมูลประจำตัวและผู้ให้บริการ มันจัดการผู้ใช้และกลุ่มในผู้ให้บริการข้อมูลประจำตัว IDCS จัดให้มีสหพันธ์สำหรับ OCI โดยค่าเริ่มต้น

ทรัพยากร IAM

ส่วนนี้จะอธิบายแหล่งที่มาของทรัพยากร ตัวระบุทรัพยากร และขีดจำกัดของทรัพยากร

ขอบเขตของทรัพยากร

เนื่องจาก IAM กำหนดทรัพยากรเป็นสากล ทรัพยากรจึงพร้อมใช้งานในทุกภูมิภาคและองค์ประกอบโดเมนความพร้อมใช้งาน

ตัวระบุทรัพยากร

ทรัพยากร OCI ใช้ชื่อเฉพาะ (OCID) โดยมีรูปแบบดังนี้:

ocid1.<resource-type>.<realm>.[region][.future-use].<unique-ID>

ตัวยึดตำแหน่ง OCID ประกอบด้วยองค์ประกอบต่อไปนี้:

  • ocid1 :เวอร์ชัน OCID

  • ประเภททรัพยากร :ประเภทของทรัพยากร เช่น อินสแตนซ์ วอลุ่ม VCN ซับเน็ต ผู้ใช้ หรือกลุ่ม

  • อาณาเขต :ขอบเขตประกอบด้วยชุดของภูมิภาคและแชร์เอนทิตีด้วยโดเมนความพร้อมใช้งาน ขอบเขตสามารถมีค่าดังต่อไปนี้:

    • oc1 :ขอบเขตการค้า
    • oc2 :อาณาจักรคลาวด์ของรัฐบาล
    • oc3 :ขอบเขตระบบคลาวด์ของรัฐบาลกลาง

ขีดจำกัดของทรัพยากร

ขีดจำกัด IAM คือโควตาทรัพยากร IAM ที่ควบคุมจำนวนสูงสุดของอินสแตนซ์การประมวลผลในโดเมนความพร้อมใช้งาน

หากต้องการดูขีดจำกัดของผู้เช่าและการใช้งานตามภูมิภาค ให้ทำตามขั้นตอนต่อไปนี้:

  1. เปิดคอนโซล IAM
  2. เปิด ผู้ใช้ เมนูแล้วคลิก การเช่า .
  3. คลิก ขีดจำกัดบริการ .

เมื่ออินสแตนซ์ถึงขีดจำกัดบริการสำหรับทรัพยากรเฉพาะ คุณสามารถส่งคำขอเพื่อเพิ่มขีดจำกัดบริการและสร้างทรัพยากรใหม่ได้ตามต้องการ

หากต้องการขอเพิ่มขีดจำกัดบริการ ให้ทำตามขั้นตอนต่อไปนี้:

  1. เปิด ความช่วยเหลือ เมนูไปที่ สนับสนุน และคลิกขอเพิ่มขีดจำกัดบริการ .
  1. ป้อนรายละเอียดต่อไปนี้:
    • รายละเอียดการติดต่อหลัก
    • หมวดหมู่บริการ
    • แหล่งข้อมูล
    • เหตุผลสำหรับคำขอ
  1. คลิก ส่งคำขอ .

ติดต่อกับผู้ให้บริการข้อมูลประจำตัว

OCI รองรับการรวมกลุ่มสำหรับส่วนประกอบและผู้ให้บริการข้อมูลประจำตัวต่อไปนี้:

  • ไอดีซี

  • Microsoft® Active Directory®

  • Microsoft Azure® Active Directory

  • อ็อคต้า®

  • ผู้ให้บริการข้อมูลประจำตัวที่รองรับโปรโตคอล Security Assertion Markup Language (SAML) 2.0

ในตัวอย่างในบล็อกโพสต์นี้ ฉันใช้ IDCS เป็นผู้ให้บริการข้อมูลประจำตัว

ขั้นตอนในการติดต่อกับ IDCS


ทำตามขั้นตอนต่อไปนี้เพื่อติดต่อกับ IDCS:

ขั้นตอนที่ 1:รับข้อมูลที่จำเป็นจาก IDCS

  1. เข้าสู่ระบบคอนโซล OCI IDCS ด้วยสิทธิ์ของผู้ดูแลระบบ

  2. ในคอนโซล IDCS ให้คลิก แอปพลิเคชัน .

  3. คลิก COMPUTEBAREMETAL .

  4. คลิก การกำหนดค่า .

  5. ขยายข้อมูลทั่วไป เพื่อแสดงรหัสลูกค้า

  6. คลิก แสดงความลับ เพื่อดูความลับของลูกค้า

  7. บันทึกรหัสลูกค้าและข้อมูลลับไคลเอ็นต์

ขั้นตอนที่ 2:เพิ่มผู้ให้บริการข้อมูลประจำตัวใน OCI

  1. ลงชื่อเข้าใช้คอนโซลด้วยข้อมูลรับรองการเข้าสู่ระบบ OCI ของคุณ

  2. เปิด การกำกับดูแลและการบริหาร เมนูนำทางแล้วคลิกข้อมูลประจำตัว -> สหพันธ์ .

  3. คลิก เพิ่มผู้ให้บริการข้อมูลประจำตัว .

  1. ป้อนรายละเอียดต่อไปนี้:
    1. ชื่อ :ชื่อต้องไม่ซ้ำกันในผู้ให้บริการข้อมูลประจำตัวทั้งหมด Oracle เพิ่มชื่อในการเช่า และคุณไม่สามารถแก้ไขได้
    2. คำอธิบาย :คำอธิบายที่ชัดเจน
    3. IDCS Base URL :URL ของทรัพยากร
    4. รหัสลูกค้า :ตัวระบุลูกค้าที่คุณรวบรวมไว้ก่อนหน้านี้
    5. ความลับของไคลเอ็นต์ :ความลับของลูกค้าที่คุณรวบรวมไว้ก่อนหน้านี้
  2. คลิก แสดงตัวเลือกขั้นสูง และกรอกรายละเอียดดังนี้
    1. เข้ารหัสการยืนยัน :เลือกช่องทำเครื่องหมายเพื่อเปิดใช้งานการเข้ารหัสจาก IDP หากคุณไม่ได้เลือกช่องทำเครื่องหมายนี้ คุณต้องตั้งค่าการเข้ารหัสของการยืนยันใน IDCS
    2. แท็ก :คุณสามารถใช้แท็กได้หากคุณได้รับอนุญาตให้สร้างทรัพยากร หากต้องการใช้แท็กที่กำหนด คุณต้องมีสิทธิ์ใช้เนมสเปซแท็ก
  3. คลิก ดำเนินการต่อ .
  4. กำหนดการจับคู่ระหว่างกลุ่ม IDCS และกลุ่ม IAM ใน OCI คุณสามารถจับคู่กลุ่ม IDCS กับกลุ่ม IAM ศูนย์ หนึ่งกลุ่มหรือหลายกลุ่ม และในทางกลับกันได้

สหพันธ์ หน้าจะแสดงผู้ให้บริการข้อมูลประจำตัวในรายการผู้เช่า Oracle กำหนด OCID ให้กับการแมปแต่ละกลุ่ม

ขั้นตอนที่ 3:ตั้งค่านโยบาย IAM สำหรับกลุ่ม

ปฏิบัติตามขั้นตอนมาตรฐานของคุณเพื่อกำหนดนโยบาย IAM สำหรับกลุ่ม

ขั้นตอนที่ 4:มอบผู้เช่าและ URL ให้กับผู้ใช้ที่ติดต่อกับภายนอก

ระบุชื่อผู้เช่าและ URL ลงชื่อเข้าใช้แก่ผู้ใช้ที่ติดต่อกับภายนอก URL ควรคล้ายกับตัวอย่างต่อไปนี้:

https://console.us-cshburn-1.oraclecloud.com

จัดการผู้ให้บริการข้อมูลประจำตัวในคอนโซล

ส่วนนี้ระบุขั้นตอนในการลบผู้ให้บริการระบุและเพิ่ม อัปเดต หรือลบการแมปกลุ่มสำหรับ IDCS

ลบผู้ให้บริการข้อมูลประจำตัว

หากต้องการลบผู้ให้บริการข้อมูลประจำตัว ให้ทำตามขั้นตอนต่อไปนี้:

  1. ลบผู้ให้บริการข้อมูลประจำตัวออกจากการเช่า
    1. เปิด การกำกับดูแลและการบริหาร เมนูนำทางแล้วคลิก Identity -> Federation เพื่อดูรายชื่อผู้ให้บริการข้อมูลประจำตัวในการเช่า
    2. คลิกที่ผู้ให้บริการข้อมูลประจำตัวที่คุณต้องการลบเพื่อดูรายละเอียด
    3. คลิก ลบ และยืนยัน
  2. ลบการเช่าจากบัญชี IDCS
    1. เปิดคอนโซล IDCS และลงชื่อเข้าใช้บัญชีรวม
    2. คลิก แอปพลิเคชัน เพื่อแสดงรายการแอปพลิเคชัน
    3. ค้นหาผู้เช่าและคลิกที่ชื่อเพื่อดูหน้ารายละเอียด
    4. คลิก ปิดใช้งาน และยืนยัน
    5. คลิก ลบ และยืนยัน

เพิ่มการแมปกลุ่มสำหรับ IDCS

หากต้องการเพิ่มการแมปกลุ่มสำหรับ IDCS ให้ทำตามขั้นตอนต่อไปนี้:

  1. เปิด การกำกับดูแลและการบริหาร เมนูนำทางแล้วคลิกข้อมูลประจำตัว เพื่อแสดงรายการของผู้ให้บริการข้อมูลประจำตัวในการเช่า

  2. คลิก สหพันธ์ และคลิกที่ชื่อสหพันธ์ IDCS เพื่อดูรายละเอียด

  3. คลิก แก้ไขรายละเอียดผู้ให้บริการ .

  1. เพิ่มการแมปอย่างน้อยหนึ่งรายการ
    1. คลิก + เพิ่มการแมป .
    2. เลือกกลุ่ม IDCS จาก Identity Provider Group รายการ
    3. เลือก กลุ่ม IAM เพื่อรับรายชื่อกลุ่ม OCI
    4. เลือก กลุ่ม OCI ใหม่ เพื่อสร้างกลุ่ม OCI ใหม่ใน IAM แทนที่จะเป็นกลุ่ม IAM ใหม่และจับคู่กลุ่ม OCI ใหม่กับกลุ่ม IDP
  2. ทำซ้ำขั้นตอนที่ 4 สำหรับแต่ละแผนที่และคลิก ส่ง หลังจากที่คุณได้เพิ่มการแมปทั้งหมดแล้ว

อัปเดตหรือลบการแมปกลุ่ม

ในการอัปเดตหรือลบการแมปกลุ่ม ให้ทำตามขั้นตอนต่อไปนี้:

  1. เปิด การกำกับดูแลและการบริหาร เมนูนำทางแล้วคลิกข้อมูลประจำตัว -> สหพันธ์ เพื่อแสดงรายการผู้ให้บริการข้อมูลประจำตัวในการเช่า

  2. คลิกที่ผู้ให้บริการข้อมูลประจำตัวเพื่อดูรายละเอียด

  3. คลิก แก้ไขการทำแผนที่ .

  4. อัปเดตการแมปหรือคลิกที่ X เพื่อลบการแมป

  5. คลิก ส่ง .

บทสรุป

โพสต์ในบล็อกนี้อธิบายวิธีการทำงานร่วมกันขององค์ประกอบ IAM ต่างๆ และวิธีรวมบัญชี IDCS หลายบัญชีใน OCI

ใช้แท็บคำติชมเพื่อแสดงความคิดเห็นหรือถามคำถาม คุณยังแชทตอนนี้เพื่อเริ่มการสนทนาได้

เรียนรู้เพิ่มเติมเกี่ยวกับบริการฐานข้อมูลของเรา