Oracle Cloud Infrastructure - Dokumentation

IAM-Föderation

Oracle empfiehlt die Verwendung von Föderation zur Verwaltung von Zugangsdaten in der Konsole.

  • Die Identitätsföderation unterstützt SAML 2.0-kompatible Identitätsprovider und kann zur Föderation von On-Premise-Benutzern und -Gruppen für IAM-Benutzer und -Gruppen verwendet werden. Der Unternehmensadministrator muss einen Föderations-Trust zwischen dem On-Premise-Identitätsprovider (IdP) und IAM einrichten und außerdem eine Zuordnung zwischen On-Premise-Gruppen und IAM-Gruppen erstellen. Dann können sich On-Premise-Benutzer mit Single Sign-On (SSO) in der Konsole anmelden und basierend auf der Autorisierung von IAM-Gruppen, denen sie angehören, auf Ressourcen zugreifen. Weitere Informationen zur Föderation mit der Konsole finden Sie unter Mit Identitätsprovidern föderieren. Föderation ist besonders wichtig für Unternehmen, die benutzerdefinierte Policys für die Benutzerauthentifizierung verwenden (z.B. Multifaktor-Authentifizierung). Weitere Informationen zur Verwaltung von föderierten Benutzern und Gruppen finden Sie unter Mit Identitätsprovidern föderieren.
  • Wenn Sie Föderation verwenden, empfiehlt Oracle, eine föderierte Administratorgruppe zu erstellen, die der föderierten IdP-Administratorgruppe zugeordnet ist. Die föderierte Administratorgruppe hat Administratorberechtigungen zur Verwaltung von Kundenmandanten, während sie von denselben Sicherheits-Policys gesteuert wird wie die föderierte IdP-Administratorgruppe. In diesem Szenario empfiehlt es sich, in Notfallszenarien auf den lokalen Mandantenadministratorbenutzer (Mitglied der IAM-Gruppe für Standardmandantenadministratoren) zugreifen zu können (Beispiel: Ressourcen können nicht über Föderation aufgerufen werden). Sie müssen jedoch die unbefugte Verwendung dieses hoch privilegierten lokalen Mandantenadministratorbenutzers verhindern. Oracle empfiehlt folgenden Ansatz, um den Mandantenadministratorbenutzer sicher zu verwalten:
    1. Erstellen Sie einen lokalen Benutzer, der zur Standardmandantenadministrator-Gruppe gehört.
    2. Erstellen Sie ein komplexes Konsolenkennwort oder eine Passphrase (mindestens 18 Zeichen mit mindestens einem Kleinbuchstaben, einem Großbuchstaben, einer Zahl und einem Sonderzeichen) für den lokalen Mandantenadministratorbenutzer.
    3. Bewahren Sie das Kennwort des lokalen Mandantenadministratorbenutzers sicher an einem On-Premise-Ort auf. (Beispiel: Legen Sie das Kennwort in einem verschlossenen Umschlag in einen physischen Safe vor Ort.)
    4. Erstellen Sie Sicherheits-Policys für den Zugriff auf das hinterlegte Kennwort ausschließlich in bestimmten Notfallszenarien.
    5. Erstellen Sie eine IAM-Sicherheits-Policy, die verhindert, dass die IAM-Gruppe der föderierten Administratoren die Mitgliedschaft der Standardmandantenadministrator-Gruppe hinzufügt oder ändert. So verhindern Sie, dass die Sicherheit umgangen wird.
    6. Überwachen Sie Auditlogs auf Zugriffe durch den Standardmandantenadministrator und Änderungen an der Administratorgruppe, um Alerts zu allen nicht autorisierten Aktionen auszugeben. Um zusätzliche Sicherheit zu gewährleisten, kann das Benutzerkennwort des lokalen Mandantenadministrators nach jeder Anmeldung oder in regelmäßigen Abständen basierend auf einer Kennwort-Policy rotiert werden.

Ein Beispiel dafür, wie die verschiedenen IAM-Komponenten zusammenpassen, finden Sie unter Details zu Health Checks. Überwachen Sie regelmäßig Auditlogs, um Änderungen an IAM-Benutzern, -Gruppen, Policys, Compartments und Tags zu prüfen.