Oracle Cloud Infrastructure-Dokumentation

Sicherer Zugriff auf Fusion Applications

Kontrollieren Sie den Netzwerkzugriff auf Fusion Applications.

Benutzer können über das Internet auf Fusion Applications zugreifen, solange sie über gültige Benutzerzugangsdaten verfügen. Um den Zugriff auf Ihre Umgebung weiter zu kontrollieren, unterstützt Fusion Applications die folgenden Optionen:

  • Access-Control-Liste (ACL): Zugriff auf Ihre Umgebung nur von ausgewählten öffentlichen IPs (CIDRs) oder virtuellen Cloud-Netzwerken (VCNs) mit einer Access-Control-Liste (ACL) zulassen.
  • Privater Zugriff über On-Premise-Netzwerke: Ermöglichen Sie den Zugriff auf Ihre Umgebung von Ihrem On-Premise-Netzwerk aus, ohne durch das Internet zu gehen.
  • Location-based Access Control (LBAC): Ermöglicht Benutzern den Zugriff auf Aufgaben und Daten basierend auf ihren Rollen und Compute-IP-Adressen. Diese Option wird in der Fusion Applications-Sicherheitskonsole von einem Administrator mit der Rolle "IT Security Manager" konfiguriert. Weitere Informationen finden Sie unter Standortbasierter Zugriff - Überblick.

Diese Anwendungsfälle schließen sich nicht gegenseitig aus und können miteinander unterstützt werden. Beispiel: Sie können privaten Zugriff von einem On-Premise-Netzwerk aus einrichten und auch Zugriff über das Internet für ausgewählte IPs bereitstellen. Sie können LBAC auch mit privatem Zugriff von On-Premises aktivieren.

Privater Zugriff über ein On-Premise-Netzwerk - Überblick

Mit Fusion Applications können Sie private Konnektivität von Ihrem On-Premise-Netzwerk zu Fusion Applications festlegen. Im Allgemeinen umfasst diese Konfiguration Folgendes:

  • Erstellen und konfigurieren Sie die Verbindung von Ihrem On-Premise-Netzwerk zu Ihrem VCN und Fusion Applications in OCI.

  • Netzwerkeinstellungen der Fusion Applications-Umgebung werden aktualisiert.

Voraussetzungen für den privaten Zugriff von On Premise

Um privaten Zugriff von einem On-Premise-Netzwerk auf Fusion Applications auf OCI einzurichten, benötigen Sie Folgendes:

  • Ein Mandant in Oracle Cloud Infrastructure (OCI), in dem Ihre Fusion Applications-Umgebung bereitgestellt wird.
  • Ein virtuelles Cloud-Netzwerk (VCN) in Ihrem OCI-Mandanten.
  • Eine Verbindung von Ihrem On-Premise-Netzwerk zu Ihrem VCN. Es gibt zwei Möglichkeiten, eine Verbindung von Ihrem On-Premise-Netzwerk zu Ihrem VCN in OCI herzustellen: Site-to-Site-VPN oder FastConnect.
    • Site-to-Site-VPN: Stellt eine Site-to-Site-IPSec-Verbindung zwischen dem On-Premise-Netzwerk und Ihrem virtuellen Cloud-Netzwerk (VCN) bereit. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor sie die Pakete von der Quelle an das Ziel übertragen werden, und entschlüsselt den Traffic beim Empfang. Die Anweisungen in diesem Thema führen Sie durch das Einrichten von Site-to-Site-VPN.

      Vollständige Details finden Sie unter Site-to-Site-VPN.

    • FastConnect: Mit dieser Option können Sie eine dedizierte, private Verbindung zwischen Ihrem Data Center und OCI erstellen. FastConnect bietet Optionen für höhere Bandbreite und ein zuverlässigeres und konsistenteres Netzwerk im Vergleich zu internetbasierten Verbindungen. Bei der Verbindung über FastConnect ist BGP die einzige Option zum Austausch von Routen.

      Informationen zum Einrichten finden Sie im FastConnect-Blog und in der Dokumentation.

  • Sie müssen über Servicelimits verfügen, damit Sie das VCN und Site-to-Site-VPN (früher als IPSec VPN bezeichnet) oder FastConnect in Ihrem Mandanten bereitstellen können.

Sie können Ihre Servicelimits in der Konsole wie folgt prüfen:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Governance und Administration aus. Wählen Sie unter Mandantenverwaltung die Option Limits, Quota und Nutzung aus.
  2. Wählen Sie neben Service die Option Filter bearbeiten aus.
  3. Wählen Sie im Feld Service Folgendes aus, um Ihre Servicelimits anzuzeigen:
    • Limits für VCN: Wählen Sie Virtuelles Cloud-Netzwerk aus.
    • Limits für Site-to-Site-VPN: Wählen Sie VPN aus, und zeigen Sie das Limit für die IPSec-Verbindungsanzahl an.
    • Limits für FastConnect: Wählen Sie Fast Connect aus.

Informationen zum Beantreiben einer Erhöhung des Servicelimits finden Sie unter Erhöhung eines Servicelimits anfordern.

Schritte zum Einrichten der privaten Konnektivität mit Site-to-Site-VPN

In den folgenden Schritten wird beschrieben, wie Sie private Konnektivität mit Site-to-Site-VPN einrichten. Referenzieren Sie die Dokumentation des OCI Networking-Service mit den folgenden spezifischen Werten.

Erstellen Sie ein VCN, und stellen Sie eine Verbindung von Ihrem On-Premise-Netzwerk zu Ihrem VCN und Fusion Applications in OCI her

  1. Erstellen Sie das virtuelle Cloud-Netzwerk.

    Um das VCN zu erstellen, befolgen Sie die Anweisungen in der Dokumentation zum Networking-Service: VCN erstellen. Stellen Sie sicher, dass sich der eingegebene IPV4-CIDR-Block nicht mit dem IP-Bereich des On-Premise-Netzwerks überschneidet.

  2. Verbinden Sie das VCN mit dem On-Premise-Netzwerk.

    In diesem Schritt stellen Sie eine Verbindung des VCN mit dem Site-to-Site-VPN zu Ihrem On-Premise-Netzwerk her. Um die Verbindung herzustellen, müssen Sie ein dynamisches Routinggateway (DRG) erstellen und an das VCN anhängen und das Routing zwischen dem VCN und Ihrem On-Premise-Netzwerk einrichten.

    1. Erstellen Sie ein dynamisches Routinggateway mit den Anweisungen im Thema DRG erstellen.
    2. Hängen Sie Ihr VCN mit den Anweisungen im Thema VCN an ein DRG anhängen an das DRG an.
  3. Befolgen Sie die Anweisungen im Thema Site-to-Site-VPN einrichten, um Ihr Customer-Premises Equipment einzurichten und die Site-to-Site-VPN-Verbindung IPSec zu erstellen.
  4. Konfigurieren Sie das Transitrouting, indem Sie die Anweisungen im Thema befolgen: Transitroutingoptionen für privaten Zugriff auf Oracle-Services. Verwenden Sie diese Anweisungen, um das Transitrouting direkt über Servicegateways zu konfigurieren. Wenn Sie erweiterte Szenarios haben, lesen Sie auch die Details zum Routing über eine private IP.

Netzwerkeinstellungen der Fusion Applications-Umgebung aktualisieren

Aktualisieren Sie in den letzten Schritten Ihre Fusion Applications-Umgebung, um privaten Traffic von Ihrem VCN zuzulassen. Um den Zugriff über das öffentliche Internet zu blockieren, müssen Sie sicherstellen, dass der Zugriffskontrollliste der Fusion Applications-Umgebung keine anderen öffentlichen IPs hinzugefügt werden.

Darüber hinaus verwendet Fusion Applications Content Delivery Network-(CDN-)basiertes Caching, um Inhalte schneller für Benutzer bereitzustellen. Sie müssen die Inhaltsbeschleunigung deaktivieren, um das Caching zu verhindern.

Erstellen Sie die Zugriffskontrollregel, um nur Ihr VCN zuzulassen:

  1. Wählen Sie auf der Listenseite Umgebungen die Umgebung aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter So listen Sie Umgebungen auf.

  2. Wählen Sie auf der Detailseite der Umgebung die Option Networking aus.
  3. Wählen Sie unter Zugriffskontrollregeln die Option Regel erstellen aus.
  4. Wählen Sie unter IP-Notationstyp die Option Virtuelles Cloud-Netzwerk aus, und wählen Sie Ihr VCN aus.
  5. Wählen Sie Regel erstellen aus.

Deaktivieren Sie den Internetcache (Inhaltsbeschleunigung):

  1. Wählen Sie auf der Registerkarte Networking neben der Einstellung Internetcache die Option Bearbeiten aus.
  2. Deaktivieren Sie im Bereich Inhaltsbeschleunigung den Umschalter.
  3. Wählen Sie Speichern aus.

Standortbasierte Zugriffskontrolle (LBAC) mit privater On-Premise-Konnektivität

LBAC ist ein weiteres Feature, das Fusion Applications bietet, um den Benutzerzugriff auf Aufgaben und Daten basierend auf ihren Rollen und Computer-IP-Adressen zu steuern.

LBAC wird in der Fusion Applications-Sicherheitskonsole konfiguriert. Um den standortbasierten Zugriff zu aktivieren und eine Rolle öffentlich zu machen, benötigen Sie die Rolle "IT Security Manager". Sie können eine Rolle nur dann öffentlich machen, wenn der standortbasierte Zugriff aktiviert ist. Um den standortbasierten Zugriff zu aktivieren, müssen Sie die IP-Adressen von Computern registrieren, von denen sich die Benutzer normalerweise bei der Anwendung anmelden. Die Details und das Aktivieren und Deaktivieren von LBAC finden Sie unter Überblick über standortbasierten Zugriff.

Um LBAC mit privater On-Premise-Konnektivität zu konfigurieren, öffnen Sie eine Supportanfrage (SR) mit dem Fusion Applications-Kundensupport.
Hinweis

Wenn Sie die Unterstützung für die IPv6-Adressierung in Ihrer Umgebung aktiviert haben, sollten Sie LBAC nicht in derselben Umgebung aktivieren, da diese beiden Features inkompatibel sind. Siehe Unterstützung für IPv6 aktivieren.