下表列出了仅在 OCI(第 2 代)Oracle Fusion Cloud Enterprise Performance Management 和 Oracle Fusion Cloud Enterprise Data Management 环境中提供的一些功能。
Table 2-2 OCI(第 2 代)环境的新功能
| 功能 | 说明 |
|---|---|
| IAM 界面 | 执行用户和安全管理任务,例如创建用户、删除用户、分配和取消分配角色以及设置单点登录 (Single Sign-On, SSO)。 |
| 新的审核报表和日志 | 可通过 EPM Automate 和 REST API 获取角色分配审核报表和无效审核报表。 |
| 可通过 Oracle Cloud 控制台以及 Oracle Cloud Identity Service REST API 获取应用程序角色权限报告、成功的登录尝试报告、失败的登录尝试报告以及休眠用户报告。 | |
| 可通过 Oracle Cloud 控制台以及 Oracle Cloud Identity Service REST API 获取包含成功登录和登录失败以及用户管理操作(用户创建、更新和删除)相关信息的审核日志。 | |
| 对 REST API、EPM Automate 和 EPM 集成代理的 OAuth 2 支持 | 可以通过 OAuth 2 访问令牌对环境进行 REST API 调用以及使用 EPM Automate 和 EPM 集成代理,从而避免使用密码。 |
| 支持一个域使用多个符合 SAML 2.0 标准的身份提供程序 | 可以为一个域同时配置使用多个符合 SAML 2.0 标准的身份提供程序的 SSO。 |
| 支持身份提供程序组 |
可以将单个用户添加到 Identity Cloud Service 组,然后为该组分配预定义角色。由于组可以与身份提供程序组(例如 Microsoft Entra ID 组)同步,因此您甚至可以将单个用户添加到身份提供程序组,然后在 IAM 界面中为这些组分配预定义角色。请参阅“使用 IDCS 组为用户分配预定义角色” |
| 在身份域之间同步用户和组 | 您可以使用跨域身份管理系统 (System for Cross-domain Identity Management, SCIM) 实现在身份域之间自动预配用户和组。请参阅“在两个身份域之间同步用户和组”。 |
| 从其他身份管理产品同步用户和组 |
您可以使用跨域身份管理系统 (System for Cross-domain Identity Management, SCIM) 从其他身份管理产品(例如 Microsoft Entra ID)中自动预配用户和组。请参阅“将 Microsoft Entra ID 中的用户和组同步到 IAM”。 |
| 能够重命名环境 | 您可以使用 Oracle Cloud 控制台更改环境名称,从而更改环境的 URL。请参阅“重命名或重定位环境”。 |
| 能够重定位环境 | 您可以使用 Oracle Cloud 控制台将环境重定位到其他区域。请参阅“重命名或重定位环境”。 |
| 对云 EPM 和 Oracle Enterprise Data Management Cloud 的专用访问权限 | 如果您拥有的 OCI IaaS 订阅与您的环境在同一数据中心,则可以使用服务网关服务来避免流量通过 Internet 传输。请参阅《运维指南》中的“使用专用 VPN 连接限制访问”。 |
| 更改密码策略 | 您可以设置自己的密码策略。有关详细信息,请参阅《Administering Oracle Identity Cloud Service》中的“Manage Oracle Identity Cloud Service Password Policies”。 |
| 多个密码策略 | 您可以创建多个密码策略并将其分配到不同的 Identity Cloud Service 组。有关详细信息,请参阅《Administering Oracle Identity Cloud Service》中的 "Manage Oracle Identity Cloud Service Password Policies"。 |
| 整个域的网络边界(IP 允许列表) | 您可以为整个域配置网络边界来设置 IP 允许列表。请参阅“设置网络边界”。 |
| 限制用户访问 | 您可以禁用环境,使用户无法登录。请参阅“禁止访问环境”。
您还可以配置自定义登录策略,以便仅具有特定预定义角色的用户才能访问。请参阅“使用登录策略限制对环境的访问”。 此外,您还可以禁用特定用户帐户。请参阅《Administering Oracle Identity Cloud Service》中的 "Deactivate User Accounts"。 |
| 最大会话持续时间 | 您可以在 IAM 界面中设置最大会话持续时间以注销用户,即使用户正在使用环境也是如此。请参阅“最大会话持续时间”。 |
| 对上传的文件进行病毒扫描 | OCI(第 2 代)环境提供了用于对上传的文件进行病毒扫描的选项。启用此选项后,将对每个上传的文件进行病毒扫描。如果检测到病毒,则不会上传文件。 |
| 禁止服务管理员分配预定义角色 |
您可以请求 Oracle 禁止服务管理员分配预定义角色。Oracle 实施此请求后,仅身份域管理员能够分配预定义角色。请参阅《运维指南》中的“阻止服务管理员授予预定义角色”。 |
| 使用 AES-256I 进行数据库加密 | OCI(第 2 代)使用 AES-256 对主密钥和表空间进行加密,以满足对关系数据库中的静态数据进行加密的要求。主密钥定期轮换。 |
| OCI 块存储卷加密 | 为了加密静态数据,OCI(第 2 代)使用块存储卷加密(使用 AES-256)来加密文件系统数据(包括 Oracle Essbase 数据)。 |
| 自助服务选项,列出和还原可用的备份维护快照 | OCI(第 2 代)环境日常维护产生的对象快照每天都会存档到 Oracle Object Storage 中。生产和测试环境备份保留 60 天。OCI(第 2 代)环境支持使用 listBackups 和 restoreBackup EPM Automate 命令执行自助服务操作,以在对象存储中检查可用备份快照并将其复制到您的环境。 |
| 加密密钥存储在符合 FIPS 140-2 的硬件安全模块 (Hardware Security Module, HSM) 中 |
在 OCI(第 2 代)环境中,包括以下加密主密钥在内的所有加密主密钥都存储在符合 FIPS 140-2 的 HSM 中:
|
| Web 应用程序防火墙 (Web Application Firewall, WAF) 支持 | 在 OCI(第 2 代)环境中,提供了现成的 Web 应用程序防火墙 (Web Application Firewall, WAF),可使用它来保护环境免遭许多应用程序层攻击。 |
| DKIM(DomainKeys Identified Mail,域密钥识别邮件)支持 | 在 OCI(第 2 代)环境中支持 DKIM 用于默认或自定义发件人电子邮件地址的传出消息。请参阅“DKIM 支持”。 |
| 自定义登录页面 | 您可以使用身份验证 REST API 自定义 Identity Cloud Service 登录页面。请参阅“使用身份验证 API 自定义 Oracle Identity Cloud Service 登录页面”。 |
| 通知的自定义设置 | 您可以修改 Identity Cloud Service 为活动(例如用户添加、角色分配和密码失效)发送的电子邮件通知的通知模板。您可以选择通知语言、要发送通知的活动、电子邮件发件人、主题和正文。 |