Sicherheit

Jeder OCI-Mandant enthält einen Administratoraccount, der standardmäßig ein Mitglied der Administratorengruppe des Mandanten ist. Die Administratorengruppe erteilt vollständigen Zugriff auf den gesamten Mandanten. Aus diesem Grund empfiehlt es sich, den Administratoraccount nicht für die tägliche Administration des Mandanten zu verwenden.

Die Best Practice besteht darin, die Administratorengruppe für Notfallszenarios zu reservieren. Einzelne Administratoren können Berechtigungen zum Verwalten ihrer jeweiligen Bereiche erhalten, ohne dass eine einzelne Person vollständigen Zugriff auf den gesamten Mandanten hat.

Da Identity Cloud Service-Instanzen zu einem nativen Bestandteil von OCI werden, haben Mitglieder der Administratorengruppe vollständigen Zugriff auf die Verwaltung von IAM-Identitätsdomains. Dies bedeutet nicht, dass aktuelle Identity Cloud Service-Administratoren über Administratorberechtigungen für OCI-Accounts verfügen.

Stellen Sie sicher, dass die Verwendung der Administratorengruppe mit den Sicherheits-Policys Ihrer Organisation konsistent ist.

In einigen Fällen wird der IDCS-Instanz, die bei der Mandantenerstellung bereitgestellt wurde (in der Regel IdentityCloudService genannt), eine Gruppe mit dem Namen OCI_Administrators hinzugefügt. Diese Gruppe ist der Administratorengruppe der Standardidentitätsdomain zugeordnet, der beim Erstellen keine Benutzer zugewiesen wurden. Wenn Benutzer vollständigen Zugriff auf den gesamten Mandanten haben sollen, können Sie sie der Gruppe OCI_Administrators in der IdentityCloudServicedomain hinzufügen.

Jeder Benutzer mit der Identitätsdomainadministratorrolle verfügt über Administratorberechtigungen für diese Identitätsdomain. Als Best Practice wird empfohlen, dass der Identitätsdomainadministrator andere Administratoren (oder einen Benutzeradministrator) mit den minimalen Administrationsaufgaben erstellt, die er für die Ausführung seiner Aufgaben benötigt. Informationen hierzu finden Sie unter Administratorrollen.

Administratorrollen gelten für eine bestimmte Identitätsdomain. Beispiel: Ein Benutzeradministrator für DomainB kann Benutzer in DomainB nur verwalten und Benutzer in DomainA nicht verwalten.

Im Gegensatz zu Administratorrollen gelten Policys für Compartments im Mandanten. Beispiel: Ein Benutzer in der Gruppe foo in DomainA erhält eine Policy wie:

allow group DomainA/foo to manage users in tenancy

Dadurch erhält der Benutzer diese Berechtigungen über den gesamten Mandanten.

In Identitätsdomains sind IAM-Authentifizierungseinstellungen, mit denen Kennwortregeln festgelegt werden, jetzt Teil von Kennwort-Policys. Sie können mehrere Kennwort-Policys definieren und sie verschiedenen Gruppen zuweisen. Siehe Anmelde-Policys verwalten.

Wenn Sie Netzwerkquellen verwendet haben, um ein zulässiges Set von IP-Adressen anzugeben, von denen Benutzer bestimmte Aktionen ausführen können, wie z.B. die Anmeldung bei der Konsole, mit Identitätsdomains können Sie Netzwerkperimeter verwenden, um dasselbe zu tun. Siehe Netzwerkperimeter verwalten.

1. Notieren Sie sich vor der Migration von Identity Cloud Service die verwendeten Netzwerkquellen, z.B. my-allow-list 140.160.240.0/24.
2. Nachdem Ihr Mandant migriert wurde, erstellen Sie Netzwerkperimeter mit denselben IP-Adressen. Siehe Netzwerkperimeter erstellen.
3. Erstellen Sie Policys, die auf die neuen Netzwerkperimeter verweisen, wie eine Anmelde-Policy oder eine Identitätsprovider-Policy.

Wenn Sie die Standardanmelde-Policy zum Schutz der Identity Cloud Service-Konsole verwendet haben, setzt diese Policy die Regeln nach der Migration fort.

Nach der Migration ist die OCI-Konsole für Ihren Account aktiviert und durch eine neue Anmelde-Policy namens "Sicherheits-Policy für OCI-Konsole" geschützt.

Weitere Informationen zu den Anmelde-Policys finden Sie unter Informationen zu Anmelde-Policys und Anmelderegeln.