Einführung
Erfahren Sie mehr über die Standardidentitätsdomain, die Verwendung mehrerer Domains, Disaster Recovery und Domains und mehr.
Die Einführung enthält folgende Themen:
Die Standardidentitätsdomain
Jeder Mandant umfasst eine Standardidentitätsdomain im Root Compartment.
Für eine Standardidentitätsdomain gilt Folgendes:
- Sie kann nicht deaktiviert oder gelöscht werden. (Lebt mit dem Lebenszyklus des Mandanten.)
- Sie kann auf der Anmeldeseite nicht ausgeblendet werden.
Die Standardidentitätsdomain enthält den anfänglichen Mandantenadministratorbenutzer und die Administratorengruppe sowie eine Standard-Policy, mit der Administratoren jede Ressource im Mandanten verwalten können. Die Administratoren-Policy und die Administratorengruppe können nicht gelöscht werden und müssen mindestens einen Benutzer enthalten. Außerdem können Sie Benutzeraccounts vordefinierten Administratorrollen zuweisen, um administrative Zuständigkeiten innerhalb der Standarddomain zu delegieren.
Wenn Benutzern oder Gruppen die Identitätsdomainadministratorrolle für andere Domains als die Standarddomain erteilt wird, erhalten sie nur für diese Domain (nicht für den Mandanten) vollständige Administratorberechtigungen. Mindestens einem Administrator für die Identitätsdomain muss die Rolle des Identitätsdomainadministrators direkt erteilt werden. Dies gilt zusätzlich zu allen Identitätsdomainadministratorrollen, die von der Gruppenmitgliedschaft erteilt wurden. Weitere Informationen finden Sie unter Administratorrollen.
Sie können eine Domain aktualisieren, indem Sie den Domaintyp ändern. Jeder Identitätsdomaintyp ist mit einem anderen Set von Features und Objektlimits verknüpft. Informationen zur Entscheidung, welcher Domaintyp für welche Aktionen geeignet ist, finden Sie unter IAM-Identitätsdomaintypen.
Mehrere Identitätsdomains verwenden
Erstellen und verwalten Sie mehrere Identitätsdomains (z.B. eine Domain für die Entwicklung und eine für die Produktion) mit jeweils unterschiedlichen Identitäts- und Sicherheitsanforderungen zum Schutz Ihrer Anwendungen und Oracle Cloud-Services.
Mit mehreren Identitätsdomains können Sie die Isolation der administrativen Kontrolle über jede Identitätsdomain aufrechterhalten. Dies ist z.B. erforderlich, wenn Sicherheitsstandards beispielsweise verhindern, dass IDs von Entwicklungsbenutzern in der Produktionsumgebung vorhanden sind, oder vorschreiben, dass verschiedene Administratoren verschiedene Umgebungen kontrollieren.
Jeder Mandant enthält eine Standardidentitätsdomain, die in Ihrem Mandanten enthalten ist. Administratoren können so viele zusätzliche Identitätsdomains erstellen wie gemäß ihrer Lizenz zulässig. Berechtigungen:
- Sie können zusätzliche Identitätsdomains erstellen und als Identitätsdomainadministrator für diese fungieren oder einen anderen Benutzer als Administrator zuweisen.
- Sie können zusätzliche Identitätsdomains erstellen und bei der Erstellung der Identitätsdomain Benutzer als Identitätsdomainadministratoren der Identitätsdomains zuweisen.
- Sie können die Erstellung zusätzlicher Identitätsdomains an andere Administratoren delegieren.
Der Identitätsdomainadministrator wird einer Identitätsdomain bei ihrer Erstellung zugewiesen. Auch wenn die Administratoridentität der Identitätsdomain denselben Benutzernamen wie ein Benutzer in der Standardidentitätsdomain haben kann, handelt es sich dabei um verschiedene Benutzer, die in jeder Identitätsdomain unterschiedliche Berechtigungen haben und über separate Kennwörter verfügen.
Der Identitätsdomainadministrator kann alle Features der Identitätsdomain verwenden. In einer Identitätsdomain kann der Identitätsdomainadministrator folgende Aktionen ausführen:
- Benutzer, Gruppen, Anwendungen, Systemkonfiguration und Sicherheitseinstellungen verwalten
- Delegierte Administration durch Zuweisen von Benutzern zu verschiedenen administrativen Rollen durchführen
- Die Multifaktor-Authentifizierung (MFA) aktivieren und deaktivieren, MFA-Einstellungen konfigurieren und Authentifizierungsfaktoren konfigurieren.
- Selbstregistrierungsprofile erstellen, um verschiedene Benutzergruppen, Genehmigungs-Policys und Anwendungen zu verwalten
Limits für Identitätsdomains
Jeder Identitätsdomaintyp ist mit einem anderen Set von Features und Objektlimits verknüpft.
Informationen zu Objektlimits, Ratenlimits und Zählern für jeden Identitätsdomaintyp finden Sie unter IAM-Identitätsdomaintypen.
Eine Liste der jeweiligen Limits und Anweisungen zum Anfordern einer Erhöhung finden Sie unter Servicelimits. Um compartment-spezifische Grenzwerte für eine Ressource oder Ressourcenfamilie festzulegen, können Administratoren Compartment-Quotas verwenden.
Domains wiederherstellen
Administratoren können gelöschte Identitätsdomains nicht wiederherstellen. Lesen Sie Hilfe erhalten und Support kontaktieren, wenn Sie eine gelöschte Identitätsdomain mithilfe von Oracle Support wiederherstellen möchten.
Disaster Recovery und Identitätsdomains
Eine Katastrophe kann jedes Ereignis sein, das Anwendungen gefährdet, z.B. durch Naturkatastrophen verursachte Ausfälle. In Regionen mit aktiviertem regionsübergreifendem Disaster Recovery (DR) verfügen Identitätsdomains über eine integrierte regionsübergreifende DR, um Datenverluste zu minimieren. Daten für eine Region werden im Katastrophenfall in einer nahegelegenen Region repliziert. Wenn eine gesamte OCI-Region nicht verfügbar ist, wird der Traffic an die Disaster-Recovery-Region umgeleitet, um das Service-Recovery zu beschleunigen und so viele Daten wie möglich beizubehalten. Oracle paart Regionen mit Disaster-Recovery-(DR-)Regionen für Sie.
Weitere Informationen zu DR in Oracle Cloud Infrastructure finden Sie unter Weitere Informationen zum Schutz Ihrer Cloud-Topologie vor Katastrophen.
Wenn ein Regionsausfall auftritt, fällt die Identitätsdomain kurz aus und wird dann wiederhergestellt. Nach dem Recovery in die DR-Region:
- Benutzer in der Identitätsdomain werden wie gewohnt authentifiziert und autorisiert.
- Identitätsdomain-URLs ändern sich nicht. Für Anwendungen sind keine Änderungen erforderlich.
- Failover-Identitätsdomains werden nicht in replizierte Regionen repliziert.
- In anderen Regionen replizierte Identitätsdomains sind möglicherweise nicht mit der DR-Region synchron. Beispiel: Änderungen an Benutzern, Gruppen und Domaineinstellungen werden möglicherweise nicht in der DR-Region widergespiegelt. Inkonsistenzen werden gelöst, wenn die Identitätsdomain das Failback ausführt.
Konsole beim Failover verwenden
Während des Failovers haben Sie möglicherweise keinen Zugriff auf die Konsole. In dieser Zeit können Sie Identitätskonfigurationen möglicherweise mit der CLI und dem SDK für IAM und Identitätsdomains verwalten.
Die Konsole ist verfügbar, wenn die Hauptregion der Identitätsdomain verfügbar ist oder wenn die nicht verfügbare Region nicht die Hauptregion des Mandanten ist.
Die Konsole ist nicht verfügbar, wenn die Hauptregion der Identitätsdomain oder die Hauptregion des Mandanten nicht verfügbar ist.
Auf die DR-Region zugreifen
Führen Sie die folgenden Schritte aus, um zu prüfen, ob das Netzwerk die DR-Region erreichen kann.
- Suchen Sie die DR-Region-ID in der Tabelle "DR-Regionspaare". Informationen hierzu finden Sie unter Regionspaare für Disaster Recovery.
- Ermitteln Sie anhand der DR-Regions-ID die öffentlichen IP-Adressen, die der Region zugewiesen sind. Siehe Öffentliche IP-Adressen für VCNs und das Oracle Services Network.
- Fügen Sie diese öffentlichen IP-Adressen zu Ihren Firewalls hinzu, um Traffic von dieser DR-Region zuzulassen.
Schreibgeschütztes Failover und Identitätsdomains
Wenn ein Regionsausfall auftritt, kann OCI ein Failover der Identitätsdomains (und IDCS-Stripes) dieser Region in eine Failover-Region initiieren, die den Zugriff auf diese Identitätsdomains (und IDCS-Stripes) in einem schreibgeschützten Zugriffsmodus wiederherstellt. Prüfen Sie die Ausfallinformationen, wann der Status des Regionsausfalls aktiviert und deaktiviert ist.
Wenn eine Hauptregion nicht verfügbar ist, können Benutzer in keiner Region auf die OCI-Konsole zugreifen, selbst wenn ein Failover der Identitätsdomains erfolgt ist. CLI- und SDK-Zugriff auf andere Regionen als die Hauptregion ist verfügbar.
Im schreibgeschützten Zugriffsmodus:
- Ressourcen können nicht aktualisiert werden. Aktualisierungen an Identitätsdomainressourcen (oder IDCS-Stripe-Ressourcen) sind nicht zulässig. Beispiel: Benutzer können Benutzer, Anwendungen, Gruppen oder Domaineinstellungen nicht aktualisieren oder löschen. Benutzer haben Leseberechtigungen für alle Ressourcen.
- Benutzer können ihre Kennwörter nicht ändern. Wenn ein Benutzer den Status "Kennwortzurücksetzung erzwingen" hat, kann er sein Kennwort nicht zurücksetzen und hat erst Zugriff, wenn der Regionsausfall behoben wurde.
- Benutzer mit Multifaktor-Authentifizierung können sich anmelden, während sich die Identitätsdomain im schreibgeschützten Modus befindet.
- Anwendungen, die die Identitätsdomain verwenden, können sich authentifizieren und autorisieren. Beispiel: Eine benutzerdefinierte Anwendung kann Aufrufe mit der Identitätsdomain authentifizieren und autorisieren, während sie sich im schreibgeschützten Modus befindet.
Regionspaare für Disaster Recovery
In der folgenden Tabelle finden Sie die DR-Regionspaare in der kommerziellen Oracle Cloud Infrastructure-Realm:
Informationen zu verfügbaren Regionen finden Sie unter Oracle Cloud-Regionen - Data Center.
| Region Name | Regions-ID | Regionsstandort | Disaster-Recovery-Regionsname | Disaster-Recovery-Regions-ID |
|---|---|---|---|---|
| Australia East | ap-sydney-1 | Sydney, Australia | Australien Südosten (Melbourne) | ap-melbourne-1 |
| Australien Südosten (Melbourne) | ap-melbourne-1 | Melbourne, Australien | Australia East | ap-sydney-1 |
| Brazil East (São Paulo) | sa-saopaulo-1 | Sao Paulo, Brasilien | Brasilianischer Südosten | Sa-Vinyl-1 |
| Brasilianischer Südosten | Sa-Vinyl-1 | Vinhedo, Brasilien | Brazil East (São Paulo) | sa-saopaulo-1 |
| Kanada Südosten (Montreal) | ca.montreal-1 | Montreal, Kanada | Canada Southeast (Toronto) | ca-toronto-1 |
| Canada Southeast (Toronto) | ca-toronto-1 | Toronto, Kanada | Kanada Südosten (Montreal) | ca.montreal-1 |
| Deutschland Mitte (Frankfurt) | eu-frankfurt-1 | Frankfurt, Deutschland | Netherlands Northwest (Distrikt) | eu-amsterdam-1 |
| Netherlands Northwest (Distrikt) | eu-amsterdam-1 | Amsterdam, Niederlande | Deutschland Mitte (Frankfurt) | eu-frankfurt-1 |
| India South (Hyderabad) | ap-hyderabad1 | Hyderabad, Indien | India West (Mumbai) | ap-mumbai-1 |
| India West (Mumbai) | ap-mumbai-1 | Mumbai, Indien | India South (Hyderabad) | ap-hyderabad1 |
| Italien Nordwesten (Mailand) | eu-milan-1 | Mailand (Italien) | France South (Marseille) | eu-marseille-1 |
| Zentral-Japan | ap-osaka-1 | Osaka, Japan | Japan East (Tokyo) | ap-tokyo-1 |
| Japan East (Tokyo) | ap-tokyo-1 | Tokio, Japan | Zentral-Japan | ap-osaka-1 |
| Südkoreanisches Zentrum (Seoul) | ap-seoul-1 | Seoul, Südkorea | Südkorea Nord (Chuncheon) | Ap-Chuncheon-1 |
| Südkorea Nord (Chuncheon) | Ap-Chuncheon-1 | Chuncheon, Südkorea | Südkoreanisches Zentrum (Seoul) | ap-seoul-1 |
| Schweiz Nord | eu-zurich-1 | Zürich, Schweiz | Deutschland Mitte (Frankfurt) | eu-frankfurt-1 |
| UAE Central (Abu Dhabi) | me-abudhabi-1 | Abu Dhabi, Vereinigte Arabische Emirate | UAE East (Dubai) | me-dubai-1 |
| UAE East (Dubai) | me-dubai-1 | Dubai, USA | UAE Central (Abu Dhabi) | me-abudhabi-1 |
| UK South (London) | uk-london-1 | London, Großbritannien | UK West | uk-cardiff-1 |
| UK West | uk-cardiff-1 | Newport, Vereinigtes Königreich | UK South (London) | uk-london-1 |
| US East | us-ashburn-1 | Ashburn, VA | US West | us-phoenix-1 |
| US West | us-phoenix-1 | Phoenix, AZ | US East | us-ashburn-1 |
| US West (San José) | us-sanjose-1 | San Jose, CA | US West | us-phoenix-1 |