1. Oracle Database Service for Microsoft AzureへのOracle Exadata Database Serviceのデプロイ
  2. Microsoft AzureとOracleアカウントのリンク

Microsoft AzureとOracleアカウントのリンク

Microsoft Azure管理者は、まずOracle Database Service for Microsoft Azure (OracleDB for Azure)を使用するAzure環境をオンボードまたはリンクする必要があります。このプロセスが完了すると、管理者およびデータベース管理者または開発者はOracleDB for Azure Portalを使用して、オンボードのAzure環境で使用するOracle Cloud Infrastructure (OCI)データベース製品をプロビジョニングします。

アカウントのリンク中に、OracleDB for AzureはAzureテナンシをOCIテナンシに接続する構成を作成します。OracleDB for Azureポータルにアクセスする前に、このステップを完了する必要があります。アカウント・リンクによって、次のことが実行されます。

  • Azure Active DirectoryにOracleDB for Azureグループを作成します。
  • AzureテナントのAzure Active DirectoryにOracle Database Serviceエンタープライズ・アプリケーションおよびカスタム・ロールを作成します。
AzureとOCIをリンクするには、次のオプションを使用できます。
  • 自動構成: 競合する一連の権限に同意します。ワークフローは完全に自動化され、アイデンティティ・フェデレーションを含むOracle Database Service for Microsoft Azure (OracleDB for Azure)ポータルを構成します。OracleDB for AzureへのAzureユーザーのオンボーディングは、Azureの管理者で、OracleDB for AzureにリンクされたAzureサブスクリプションごとに所有者として割り当てられている必要があります。
  • ガイド付き構成: ロールとサブスクリプションの設定およびIdentity Federationを個別に自動化することを選択できます。

自動構成を使用したアカウントのリンク

OCIテナンシがある場合、Microsoft Azure管理者はOracle Database Service for Microsoft Azure (OracleDB for Azure)にサインアップし、自動構成を使用してAzure環境をOracleDB for Azureでオンボードおよびリンクできます。

  1. Azure管理者として、サインアップWebサイト(https://signup.multicloud.oracle.com/azure)にアクセスしてください。
  2. Azure資格証明を使用してAzureアカウントにサインインします。
  3. Azureとのアカウント・リンクを開始するために必要な権限をAzureのOracleDBに付与します。
  4. Oracle Database Service for Microsoft Azureへようこそページで、表示される情報を確認し、「完全に自動化された構成を開始」をクリックします。
  5. リクエストされた権限を読み、「受入れ」をクリックして権限を付与します。
    これらの権限は、完全自動サインアップ中に、お客様にかわって実行されるアカウント・リンクやサービス構成のタスクに必要です。
  6. OracleDB for Azureを使用してOCIにリンクする1つ以上のAzureサブスクリプションを選択し、「続行」をクリックします。
  7. 「Oracle Cloudアカウントにサインイン」ページで、Oracle Cloudアカウント名を入力します。
  8. AzureおよびOracle Cloudアカウントのリンクに関するドキュメントの条項を読んで同意します。文書を読み取るリンクをクリックし、リンクの横にあるチェック・ボックスを選択して条件に同意します。「続行」をクリックします。
  9. Oracle Cloudアカウントのサインイン・ページで、OCIのユーザー名およびパスワードを入力し、「サインイン」をクリックします。
  10. 「続行」をクリックします。
    アカウント・リンクの自動プロセスが開始され、通常は3分から5分で完了します。

自動サービス構成が正常に完了すると、OracleDB for Azureポータルに移動します。

Identity Federationの有効化

AzureとOCIの間のアイデンティティ・フェデレーションを有効にして、OracleDB for Azureユーザーが単一の資格証明セットを使用して両方のクラウド環境にログインしてタスクを実行できるようにします。

Oracle Cloud Infrastructure Identity and Access Managementでアイデンティティ・フェデレーションを使用する場合、AzureユーザーはAzure Active Directoryに姓および電子メール・アドレスを持っている必要があります。

自動構成では、アイデンティティ・フェデレーションが作成されます。ガイド付きアカウント・リンクでは、アイデンティティ・フェデレーションはオプションです。

Microsoft AzureでのOracleユーザーの追加

Oracle Database Service for Microsoft Azureは、OracleDB for Azureサインアップの初期アカウント・リンク・ステージ中に、Azure Active Directory (AAD)にユーザー・グループを作成します。

クラウド・リンクが完了すると、OracleDB for Azureポータルの上部に2つの新しいタイルが表示され、ロールを割り当ててサブスクリプションをリンクできます。

OracleDB for Azureのサインアップ・プロセスを完了するには、OCIにリンクするAzureサブスクリプションの管理権限および所有権を持つAzureユーザー・アカウントが必要です。

次のAzureロールには、サインアップするための十分な権限があり、サインアップの完了後に削除できます。
  • グローバル管理者
  • アプリケーション管理者
  • クラウド・アプリケーション管理者
  • 特権ロール管理者

次のタスクを順番に実行します。

  1. OracleDB for Azure Enterprise Application Azure Resource Manager (ARM)ロールをAzure Active Directoryのユーザーに割り当てます。

    Azure Active Directoryで適切なOracleDB for Azureユーザー・グループにAzureユーザーを割り当てて、データベースおよびインフラストラクチャ・リソースにきめ細かいレベルでアクセスできるようにすることができます。これにより、ユーザーはOracleDB for Azureエンタープライズ・アプリケーションおよびOracle Database Serviceエンタープライズ・アプリケーションの関連するARMロールに割り当てられます。

    1. Azure Portalで、エンタープライズ・アプリケーションOracle Database Serviceを検索し、リストから選択します。
      「Enterprise Application Oracle Database Service Overview」ページが表示されます。
    2. エンタープライズ・アプリケーションのリストで、「Oracle Database Service」をクリックして、アプリケーションの概要ページを表示します。
    3. 「ユーザーおよびグループの割当て」「+ユーザー/グループの追加」の順にクリックします。
      「Add Assignment」ページが表示されます。
    4. 「ユーザー」パネルで該当するユーザーを選択し、割り当てるユーザーを検索し、「選択」をクリックします。「ロールの選択」で、「選択なし」をクリックし、ユーザーに割り当てるARMロールを選択します。
  2. Azureサブスクリプション内のユーザーにOracleDB for Azure ARMロールを割り当てます。
    AzureのOracleDBユーザーには、AzureのOracleDBリソースを管理している各サブスクリプションのContributor ARMロールと、ドキュメントに記載されているネットワーキング、イベントおよびモニタリング・メトリックのAzureのOracleDBのARMロールが必要です。ユーザーにContributorロールを、ユーザーがOracleDB for Azureにアクセスするサブスクリプションに割り当てます。コントリビュータとして、ユーザーはデータベース、データベース・システム・インフラストラクチャおよびネットワーキングを含むOracleDB for Azureリソースを管理するためのフル・アクセス権を持ちますが、Azureロールベースのアクセス制御(RBAC)のロールを他のAzureユーザーに割り当てることはできません。
    1. Azureポータルにログインします。
    2. 「Azure services」で、「Subscriptions」をクリックします。
      ここにサブスクリプションが表示されない場合は、検索ボックスを使用して検索し、「サブスクリプション」ページに移動してください。
    3. サブスクリプションのリストで、管理するサブスクリプションの名前をクリックして、サブスクリプションの詳細を表示します。
    4. 左側のパネルで、「Access control (IAM)」をクリックします。
    5. + Add」をクリックしてから、「Add role assignment」をクリックします。
    6. Contributorロールを探し、「View」をクリックして、ロールの詳細を表示します。
    7. 「メンバー」をクリックします。
    8. 「Select Members」パネルで、Oracle Database Serviceエンタープライズ・アプリケーションを選択します。
    9. 「Assign access to」フィールドで、「User, group, or service principal」を選択します。
    10. 「Review + assign」をクリックして、割当ての詳細を確認します。
    11. 「Review + assign」ボタンをクリックして、割当てを確認します。
    12. Network ContributorMonitoring Metrics PublisherおよびEventGrid Data Senderロールに対して、これらのステップを繰り返します。
  3. ユーザーを適切なOracleDB for Azureユーザー・グループに割り当てます。

    このタスクのユーザー・グループは、OracleDB for Azureデプロイメント中に事前構成されています。AzureのOracleDBユーザー・グループを作成する責任はありません。

  4. Azure Active Directoryで、OracleDB for Azureグループにユーザーを追加します。
    ユーザーをグループに追加する方法については、Microsoft Azureのドキュメントを参照してください。