Článek přečtěte do 3 min.

Pro použití externích identit s Oracle Cloud Infrastructure (OCI), doporučujeme použití OCI Identity and Access Management (IAM) jako jediného vstupního bodu do OCI, spíše než použití bodových integrací pro prostředí Oracle SaaS a PaaS.

Vývojový diagram pro použití OCI IAM jako jediného vstupního bodu do OCI.

Více prostředí pro IaaS a PaaS

V tomto příspěvku toto doporučení rozšiřujeme, abychom diskutovali o tom, jak přistupujete k architektuře, když máte více prostředí. Když se například přihlásíte k odběru aplikací OCI, jako je Enterprise Resource Planning (ERP), standardně poskytujete dvě prostředí. Jedním je produkční prostředí a druhým je pracovní prostředí. Mnoho zákazníků také odebírá několik dalších prostředí pro vývoj, testování a tak dále. V závislosti na tom, jak a kdy si předplatíte různé služby OCI, můžete mít také více nájemních vztahů OCI. Následující příklad architektury vysvětluje náš přístup a doporučení.

Schéma architektury pro základní řešení.

V tomto příkladu máme jeden nájem OCI obsahující pět instancí aplikací Oracle Fusion SaaS. Další samostatná nájemní smlouva OCI ukrývající pracovní zátěž platformy a infrastruktury jako služby (PaaS a IaaS) napříč všemi prostředími. Konečně máme externího poskytovatele identity.

Při přemýšlení o správném přístupu k řešení identity zvažte následující faktory:

  • Izolace: Když provádíte změny ve svých prostředích, je důležité, abyste mohli provádět změny v jednom prostředí, aniž by to ovlivnilo ostatní prostředí.
  • Administrativní kontrola: Umožňuje různým správcům a skupinám správců mít kontrolu nad různými prostředími.
  • Soulad se zabezpečením: Navrhování řešení, které může pomoci splnit požadavky předpisů, například zabránit neoprávněnému přístupu z vývoje do výroby.

Následující doporučená architektura pomáhá řešit každou z těchto úvah:

Schéma architektury pro doporučenou konfiguraci řešení.

Identity aplikací byly rozděleny do tří samostatných domén identity OCI IAM:

  • Výroba (PROD)
  • Testování (TEST)
  • Vývoj (DEV)

Tyto domény jsou přidány k výchozí doméně identity poskytované se všemi novými nájemci. Všechny prostředky produkčního softwaru jako služby (SaaS), PaaS a IaaS jsou integrovány s doménou identity PROD. Všechny testovací prostředky SaaS, PaaS a IaaS jsou integrovány s doménou identity TEST a všechna ostatní neprodukční prostředí SaaS, PaaS a IaaS jsou integrována s doménou identity DEV. Každá ze tří domén identity se integruje se svým příslušným prostředím identity v externím poskytovateli identity.

Výchozí doména identity je vyhrazena pro správu pronájmu OCI. Správci OCI se ověřují ve výchozí doméně, aby mohli spravovat konfiguraci nájemce a přiřazovat správce pro zdroje OCI, jako je výpočetní technika, úložiště, sítě a zabezpečení. Nepřidávejte uživatele aplikace do výchozí domény a podobně, kromě správce identity pro doménu, nepřidávejte administrativní uživatele OCI do domén PROD, TEST a DEV. Tato přiřazení vytvářejí jasné oddělení mezi administrativními uživateli OCI a uživateli aplikací a jasné oddělení mezi uživateli aplikací v různých prostředích.

Pokud byl váš nájemní vztah migrován ze služby Oracle Identity Cloud Service (IDCS) do domén identity OCI IAM, získáte kromě výchozí domény doménu OracleIdentityCloudService. V tomto případě si přečtěte Blog hosta: Pět aspektů pro OCI IAM v tenanciích migrovaných na IDCS, který pokrývá některé aspekty pro tato prostředí.

Závěr

Okrajové případy, které vyžadují více konstrukčních úvah a možného vyladění této architektury, vždy existují. Tento plán však slouží jako náš výchozí bod, když mluvíme se zákazníky o jejich strategii správy identit pro OCI, a nyní může být i váš.

Doufáme, že pro vás byly tyto informace užitečné. Můžete si přečíst více o Oracle Cloud Infrastructure nebo se zaregistrovat k bezplatné zkušební verzi. Nebo nás pro další informace kontaktujte.

Zdroj: Oracle