Sicherheit

Jeder OCI-Mandant enthält einen Administratoraccount, der standardmäßig Mitglied der Mandantenadministratorgruppe ist. Die Administratorengruppe erteilt vollständigen Zugriff auf den gesamten Mandanten. Aus diesem Grund ist es Best Practice, den Administratoraccount nicht für die tägliche Verwaltung des Mandanten zu verwenden.

Als Best Practice wird empfohlen, die Administratorengruppe für Notfallszenarios zu reservieren. Einzelnen Administratoren können Berechtigungen zur Verwaltung ihrer jeweiligen Bereiche erteilt werden, ohne dass eine einzelne Person vollen Zugriff auf den gesamten Mandanten hat.

Da Identity Cloud Service-Instanzen ein nativer Teil von OCI werden, haben Mitglieder der Administratorengruppe vollständigen Zugriff auf die Verwaltung von IAM-Identitätsdomains. Dies bedeutet nicht, dass aktuelle Identity Cloud Service-Administratoren administrative Berechtigungen für OCI-Accounts haben.

Stellen Sie sicher, dass die Verwendung der Administratorengruppe mit den Sicherheits-Policys Ihrer Organisation konsistent ist.

In einigen Fällen wird der IDCS-Instanz eine Gruppe mit dem Namen OCI_Administrators hinzugefügt, die während der Mandantenerstellung bereitgestellt wurde (in der Regel IdentityCloudService). Diese Gruppe wird der Administratorengruppe der Standardidentitätsdomain zugeordnet, der beim Erstellen keine Benutzer zugewiesen sind. Wenn Benutzer vollständigen Zugriff auf den gesamten Mandanten haben sollen, können Sie sie der Gruppe OCI_Administrators in der IdentityCloudServicedomain hinzufügen.

Jeder Benutzer mit der Identitätsdomainadministratorrolle verfügt über administrative Berechtigungen für diese Identitätsdomain. Best Practice ist es, dass der Identitätsdomainadministrator andere Administratoren (oder beispielsweise einen Benutzeradministrator) mit den minimalen Administrationszuständigkeiten erstellt, die er für die Ausführung seiner Aufgaben benötigt. Informationen hierzu finden Sie unter Administratorrollen.

Administratorrollen gelten für eine bestimmte Identitätsdomain. Beispiel: Ein Benutzeradministrator für DomainB kann nur Benutzer in DomainB verwalten und keine Benutzer in DomainA verwalten.

Im Gegensatz zu Administratorrollen gelten Policys für Compartments im Mandanten. Beispiel: Ein Benutzer in der Gruppe foo in DomainA erhält eine Policy wie:

allow group DomainA/foo to manage users in tenancy

Dadurch erhält der Benutzer diese Berechtigungen über den gesamten Mandanten.

In Identitätsdomains sind IAM-Authentifizierungseinstellungen, mit denen Kennwortregeln festgelegt werden, jetzt Teil von Kennwort-Policys. Sie können mehrere Kennwort-Policys definieren und verschiedenen Gruppen zuweisen. Siehe Anmelde-Policys verwalten.

Wenn Sie Netzwerkquellen verwendet haben, um ein zulässiges Set von IP-Adressen anzugeben, von denen Benutzer bestimmte Aktionen ausführen können, wie z.B. die Anmeldung bei der Konsole, mit Identitätsdomains können Sie Netzwerkperimeter verwenden, um dasselbe zu tun. Siehe Netzwerkperimeter verwalten.

1. Notieren Sie sich vor der Migration von Identity Cloud Service die verwendeten Netzwerkquellen, z.B. my-allow-list 140.160.240.0/24.
2. Nachdem Ihr Mandant migriert wurde, erstellen Sie Netzwerkperimeter mit denselben IP-Adressen. Siehe Netzwerkperimeter erstellen.
3. Erstellen Sie Policys, die auf die neuen Netzwerkperimeter verweisen, wie eine Anmelde-Policy oder eine Identitätsprovider-Policy.

Wenn Sie die Standardanmelde-Policy zum Schutz der Identity Cloud Service-Konsole verwendet haben, setzt diese Policy die Durchsetzung von Regeln nach der Migration fort.

Nach der Migration wird die OCI-Konsole für Ihren Account aktiviert und durch eine neue Anmelde-Policy mit dem Namen "Sicherheits-Policy für OCI-Konsole" geschützt.

Weitere Informationen zu den Anmelde-Policys finden Sie unter Informationen zu Anmelde-Policys und Anmelderegeln.