インスタンスのカスタム・エンドポイントの構成

Oracle Integrationインスタンスの選択したドメイン(mycustom.example.orgなど)でカスタム・ホスト名を作成できます。

ノート:

カスタム・エンドポイントをOracle Integrationインスタンスに関連付けても、元のインスタンスURLには影響しません。カスタム・エンドポイントURLおよび元のインスタンスURLを使用してインスタンスにアクセスできます。

Oracle Integrationインスタンスのカスタム・エンドポイントURLを正常に使用するには、次の構成タスクを実行します:

ノート:

これらの手順は、Oracle Integrationインスタンスに直接アクセスできることを前提としています。 WAFまたはAPIゲートウェイの背後にあるインスタンスを使用している場合は、ここで説明する証明書関連のステップ(ステップ3以降)をスキップし、かわりにWAFまたはAPIゲートウェイ証明書のステップに従います。「WAF証明書」または「APIゲートウェイのカスタム・ドメインおよびTLS証明書の設定」を参照してください。

インスタンスのカスタム・ホスト名を選択し、DNSプロバイダに登録します。
ホスト名の認証局(CA)からSSL証明書を取得します。
OCIテナンシで、コンパートメントを選択し、証明書を格納するOCI Vaultを作成します。「コンパートメントの操作」、「Vaultの概要」、および「新規ボールトの作成」を参照してください。
証明書をシークレットとしてOCI Vaultに格納します。「新規シークレットの作成」を参照してください。次の証明書形式を使用します:
```
{
  "key": "-----BEGIN PRIVATE KEY-----\nâ¦..-----END PRIVATE KEY-----\n",
  "cert": "-----BEGIN CERTIFICATE-----\nâ¦.-----END CERTIFICATE-----\n",
  "intermediates": [
    "-----BEGIN CERTIFICATE-----\nâ¦.-----END CERTIFICATE-----\n",
    "-----BEGIN CERTIFICATE-----\nâ¦.-----END CERTIFICATE-----\n"
  ],
  "passphrase": "<private key password if encrypted key is provided>"
}
```
ノート:
- 手動エラーを回避するために、次のawkコマンドを使用して、PEM証明書を"\n"を含む単一行に変換することもできます。
  リーフ証明書の場合:
```
awk -v RS= '{gsub(/\n+/, "\\n")}1' <cert_pem_file>
```
  中間/ルート証明書ごとに:
```
awk -v RS= '{gsub(/\n+/, "\\n")}1' <each_intermediate_cert_pem_file>
```
  秘密キーの場合:
```
awk -v RS= '{gsub(/\n+/, "\\n")}1' <private_key_pem_file>
```
- シークレットのlatestバージョンは、インスタンスの作成またはインスタンスの編集操作でカスタム・エンドポイントをインスタンスに関連付けるときに使用されます。シークレット・バージョンの詳細は、「シークレット・バージョンおよびローテーション状態」を参照してください。
- 認証局(CA)がOracle Integrationトラスト・ストアに含まれていないホスト名証明書を使用する場合は、証明書をOracle Integrationインスタンスにアップロードする必要があります。そうしないと、インスタンスがコールするシナリオで例外がスローされます。
次の証明書要件に注意してください:
- 証明書に複数のルート/中間証明書がある場合、各証明書をintermediates配列に個別の要素として指定する必要があります。
- 最後のルートCAがアレイの最後の要素として指定されていることを確認してください。たとえば、リーフ証明書に3つの中間証明書がある場合、リーフ証明書を発行した証明書はintermediates[0]要素として、intermediates[0]証明書を発行した証明書はintermediates[1]要素に格納され、intermediates[1]証明書を発行した証明書はintermediates[2]要素に格納されます。
- passphrase属性はオプションであり、秘密キーが暗号化されていない場合は指定する必要はありません。
- 暗号化された秘密キーを使用する場合は、次の形式が必要です(PKCS1がサポートされています):
```
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
-----END RSA PRIVATE KEY-----
```
  暗号化された秘密キーを含むJSONファイルは次のとおりです:
```
{
  "key": "-----BEGIN RSA PRIVATE KEY-----\nProc-Type: 4,ENCRYPTED\n....\n-----END RSA PRIVATE KEY-----",
..
..
  "passphrase": "<passphrase to decrypt the key>"
}
```
  暗号化されていない秘密キーを含むJSONファイルは、次のようになります:
```
{
  "key": "-----BEGIN RSA PRIVATE KEY-----\nvRXUK08v31bw2rnDLw+vjuX2i8ujHWs\n....\n-----END RSA PRIVATE KEY-----",
..
..
}
```
- 秘密キーがPKCS8形式の場合は、それをPKCS1形式に変換する必要があります:
```
openssl rsa -in <input_pkcs8_encrypted_private_key> -out <converted_encrypted_private_key_file_name> -aes256
```
Identity and Access Management (IAM)ポリシーを作成して、次のことを行います:
- 統合サービスがシークレットのバージョンおよびコンテンツを読み取ることを許可します。
- カスタム・エンドポイントを使用したOracle Integrationインスタンスの作成または更新中に、管理グループがシークレットにアクセスできるようにします(または新しいシークレットを作成)。
ポリシー・ステートメントの構文については、「シークレットを管理するOCIポリシー」「およびCreatePolicy APIリクエスト」を参照してください。
統合インスタンスを作成し、カスタム・エンドポイント詳細をマップします。「Oracle Integrationインスタンスを作成」を参照してください。
既存のOracle Integrationインスタンスを編集し、カスタム・エンドポイントをマップすることもできます。「インスタンスのエディション、ライセンス・タイプ、メッセージ・パックおよびカスタム・エンドポイントの編集」を参照してください。
最後に、カスタム・エンドポイントDNSレコードを元のインスタンス・ホスト名に更新します。ベスト・プラクティスとして、DNSレコードのCNAMEを元のインスタンス・エンドポイントのホスト名で更新します。

サード・パーティ・アイデンティティ・プロバイダ(Google、Facebookなど)で3-legged OAuthを使用している場合は、アイデンティティ・プロバイダ(IdP)アプリケーションのカスタム・ホスト名でリダイレクトURLを更新します。 Oracle Integrationインスタンスのカスタム・ホスト名がmycustom.example.orgの場合、リダイレクトURLはhttps://mycustom.example.org/icsapis/agent/oauth/callbackのようにする必要があります。
IdPアプリケーションでリダイレクトURLを更新した後、接続ページで承諾を入力してアクセス・トークンを再取得する必要があります。
カスタム・エンドポイントをインスタンスにマップする前に統合フローを作成した場合、WSDLを再生成するには、それらすべての統合を非アクティブ化して再アクティブ化する必要があります。

ノート:

「Oracle NetSuiteアダプタ」を使用している場合は、アダプタTBA認可フロー・セキュリティ・ポリシーは、Oracle Integrationのカスタム・エンドポイントでは動作しないことに注意してください。