Oracle Cloud Infrastructure-Dokumentation

Sicherer Zugriff auf Fusion Applications

Kontrollieren Sie den Netzwerkzugriff auf Fusion Applications.

Benutzer können über das Internet auf Fusion Applications zugreifen, solange sie über gültige Benutzerzugangsdaten verfügen. Um den Zugriff auf Ihre Umgebung weiter zu kontrollieren, unterstützt Fusion Applications die folgenden Optionen:

  • Access Control-Liste (ACL): Zugriff auf Ihre Umgebung nur über ausgewählte öffentliche IPs (CIDRs) oder virtuelle Cloud-Netzwerke (VCNs) mit einer Access Control-Liste (ACL) zulassen.
  • Privater Zugriff über On-Premise-Netzwerke: Ermöglichen Sie den Zugriff auf Ihre Umgebung von Ihrem On-Premise-Netzwerk aus, ohne durch das Internet zu gehen.
  • Location Based Access Control (LBAC): Ermöglicht Benutzern den Zugriff auf Aufgaben und Daten basierend auf ihren Rollen und Compute-IP-Adressen. Diese Option wird in der Fusion Applications Security Console von einem Administrator mit der Rolle "IT Security Manager" konfiguriert. Weitere Informationen finden Sie unter Überblick über den standortbasierten Zugriff.

Diese Anwendungsfälle schließen sich nicht gegenseitig aus und können miteinander unterstützt werden. Beispiel: Sie können den privaten Zugriff von einem On-Premise-Netzwerk aus einrichten und den Zugriff über das Internet für ausgewählte IPs bereitstellen. Sie können LBAC auch mit privatem Zugriff von On-Premise aktivieren.

Privater Zugriff über ein On-Premise-Netzwerk - Überblick

Mit Fusion Application können Sie private Konnektivität von Ihrem On-Premise-Netzwerk zu Fusion Applications festlegen. Allgemein umfasst diese Konfiguration Folgendes:

  • Erstellen und konfigurieren Sie die Verbindung von Ihrem On-Premise-Netzwerk zu Ihrem VCN und Ihrer Fusion-Anwendung in OCI.

  • Netzwerkeinstellungen der Fusion Applications-Umgebung werden aktualisiert.

Voraussetzungen für den privaten Zugriff von On Premise

Um privaten Zugriff von einem On-Premise-Netzwerk auf Fusion Applications auf OCI einzurichten, benötigen Sie Folgendes:

  • Ein Mandant in Oracle Cloud Infrastructure (OCI), in dem Ihre Fusion Applications-Umgebung bereitgestellt wird.
  • Ein virtuelles Cloud-Netzwerk (VCN) in Ihrem OCI-Mandanten.
  • Eine Verbindung von Ihrem On-Premise-Netzwerk zu Ihrem VCN. Es gibt zwei Möglichkeiten, eine Verbindung von Ihrem On-Premise-Netzwerk zu Ihrem VCN in OCI herzustellen: Site-to-Site-VPN oder FastConnect.
    • Standort-zu-Standort VPN: Stellt eine Standort-zu-Standort-IPSec-Verbindung zwischen dem On-Premise-Netzwerk und dem virtuellen Cloud-Netzwerk (VCN) bereit. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor die Pakete von der Quelle zum Ziel übertragen werden, und entschlüsselt den Traffic beim Empfang. Die Anweisungen in diesem Thema führen Sie durch die Einrichtung eines Site-to-Site-VPN. Vollständige Details finden Sie unter Site-to-Site-VPN.
    • FastConnect: Bietet eine Möglichkeit, eine dedizierte, private Verbindung zwischen Ihrem Data Center und OCI zu erstellen. FastConnect bietet Optionen mit höherer Bandbreite sowie ein zuverlässigeres und konsistenteres Netzwerk als bei internetbasierten Verbindungen. Beim Herstellen einer Verbindung über FastConnect ist BGP die einzige Option zum Austausch von Routen. Informationen zum Einrichten finden Sie im FastConnect-Blog und in der Dokumentation.
  • Sie müssen über Servicelimits verfügen, damit Sie das VCN und Site-to-Site-VPN (früher als IPSec VPN bezeichnet) oder FastConnect in Ihrem Mandanten bereitstellen können.

Sie können Ihre Limits in der Konsole wie folgt prüfen:

Öffnen Sie das Navigationsmenü, und wählen Sie Governance und Administration aus. Wählen Sie unter Mandantenverwaltung die Option Limits, Quota und Nutzung aus.

Wählen Sie Folgendes aus der Liste Service, um das Limit anzuzeigen:

  • Limits für Site-to-Site-VPN: Wählen Sie VPN aus, und zeigen Sie das Limit für die Anzahl der IPSec-Verbindungen an.
  • Limits für VCN: Wählen Sie "Virtuelles Cloud-Netzwerk" aus.
  • Limits für FastConnect: Wählen Sie Fast Connect aus.

Wie Sie eine Erhöhung der Servicelimits beantragen, finden Sie unter Erhöhung des Servicelimits beantragen.

Schritte zum Einrichten der privaten Konnektivität mit Site-to-Site-VPN

In den folgenden Schritten wird beschrieben, wie Sie private Konnektivität mit Site-to-Site-VPN einrichten. Referenzieren Sie die Dokumentation des OCI Networking-Service mit den unten angegebenen spezifischen Werten.

Erstellen Sie ein VCN, und stellen Sie eine Verbindung von Ihrem On-Premise-Netzwerk zu Ihrem VCN und Ihrer Fusion-Anwendung in OCI her

  1. Erstellen Sie das virtuelle Cloud-Netzwerk.

    Um das VCN zu erstellen, befolgen Sie die Anweisungen in der Dokumentation zum Networking-Service: VCN erstellen. Stellen Sie sicher, dass sich der von Ihnen eingegebene CIDR-Block IPV4 nicht mit dem IP-Bereich des On-Premise-Netzwerks überschneidet.

  2. Verbinden Sie das VCN mit dem On-Premise-Netzwerk.

    In diesem Schritt stellen Sie eine Verbindung des VCN mit dem Site-to-Site-VPN zu Ihrem On-Premise-Netzwerk her. Um die Verbindung herzustellen, müssen Sie ein dynamisches Routinggateway (DRG) erstellen und an das VCN anhängen und das Routing zwischen dem VCN und Ihrem On-Premise-Netzwerk einrichten.

    1. Erstellen Sie ein dynamisches Routinggateway mit den Anweisungen im Thema DRG erstellen.
    2. Hängen Sie Ihr VCN mit den Anweisungen im Thema VCN an ein DRG anhängen an das DRG an.

  3. Befolgen Sie die Anweisungen im Thema Site-to-Site-VPN einrichten, um Customer-Premises Equipment festzulegen und die Site-to-Site-VPN-IPSec-Verbindung zu erstellen.

  4. Konfigurieren Sie das Transitrouting, indem Sie die Anweisungen im Thema befolgen: Transitroutingoptionen für privaten Zugriff auf Oracle-Services. Verwenden Sie diese Anweisungen, um das Transitrouting direkt über Servicegateways zu konfigurieren. Wenn Sie erweiterte Szenarios haben, lesen Sie auch die Details zum Routing über eine private IP.

Netzwerkeinstellungen der Fusion Applications-Umgebung aktualisieren

Aktualisieren Sie in den letzten Schritten Ihre Fusion Applications-Umgebung, um privaten Traffic von Ihrem VCN zuzulassen. Um den Zugriff über das öffentliche Internet zu blockieren, müssen Sie sicherstellen, dass der Zugriffskontrollliste der Fusion Applications-Umgebung keine anderen öffentlichen IPs hinzugefügt werden.

Darüber hinaus verwendet Fusion Applications Content Delivery Network-(CDN-)basiertes Caching, um Inhalte schneller für Benutzer bereitzustellen. Sie müssen die Inhaltsbeschleunigung deaktivieren, um das Caching zu verhindern.

Erstellen Sie die Zugriffskontrollregel, um nur Ihr VCN zuzulassen:

  1. Navigieren Sie zur Umgebung: Klicken Sie in der Konsole im Anwendungs-Home auf Fusion-Anwendungen. Suchen Sie auf der Seite Überblick die Umgebungsfamilie für die Umgebung, und wählen Sie dann den Umgebungsnamen aus.
  2. Wählen Sie auf der Seite mit den Umgebungsdetails unter Ressourcen die Option Networking aus.
  3. Wählen Sie Regel erstellen aus.
  4. Wählen Sie unter IP-Notationstyp die Option Virtuelles Cloud-Netzwerk aus, und wählen Sie im nächsten Feld das VCN aus.
  5. Wählen Sie Regel erstellen aus.

Deaktivieren Sie den Internetcache (Content Acceleration):

  1. Wählen Sie unter Networking die Registerkarte Inhaltsbeschleunigung aus.
  2. Wählen Sie Bearbeiten aus.
  3. Setzen Sie den Internetcache-Switch auf "Deaktiviert".
  4. Wählen Sie Speichern aus.

Standortbasierte Zugriffskontrolle (LBAC) mit privater On-Premise-Konnektivität

LBAC ist ein weiteres Feature, das Fusion Applications bietet, um den Benutzerzugriff auf Aufgaben und Daten basierend auf ihren Rollen und Computer-IP-Adressen zu steuern.

LBAC wird in der Fusion Applications Security Console konfiguriert. Um den standortbasierten Zugriff zu aktivieren und eine Rolle öffentlich zu machen, benötigen Sie die Rolle "IT-Sicherheitsmanager". Sie können eine Rolle nur dann öffentlich machen, wenn der standortbasierte Zugriff aktiviert ist. Um den standortbasierten Zugriff zu ermöglichen, müssen Sie die IP-Adressen von Computern registrieren, von denen sich die Benutzer normalerweise bei der Anwendung anmelden. Details zum Aktivieren und Deaktivieren von LBAC finden Sie unter Überblick über den standortbasierten Zugriff.

Um LBAC mit privater On-Premise-Konnektivität zu konfigurieren, müssen Sie auch Supportanfragen (SR) an den Fusion Applications-Kundensupport senden, um LBAC mit privater On-Premise-Konnektivität zu aktivieren.