Benutzerdefinierten Endpunkt für eine Instanz konfigurieren
Sie können einen benutzerdefinierten Endpunkt einer Oracle Integration-Instanz zuordnen und mit diesem auf die Instanz statt auf die ursprüngliche URL zugreifen, die in der Oracle Cloud Infrastructure-Konsole generiert wurde.
Sie können einen benutzerdefinierten Hostnamen mit der ausgewählten Domain (z.B.
mycustom.example.org) für Ihre Oracle Integration-Instanz erstellen.
Hinweis
Das Zuordnen eines benutzerdefinierten Endpunkts zu Ihrer Oracle Integration-Instanz wirkt sich nicht auf die ursprüngliche Instanz-URL aus. Sie können über die benutzerdefinierte Endpunkt-URL und die ursprüngliche Instanz-URL auf Ihre Instanz zugreifen.
Das Zuordnen eines benutzerdefinierten Endpunkts zu Ihrer Oracle Integration-Instanz wirkt sich nicht auf die ursprüngliche Instanz-URL aus. Sie können über die benutzerdefinierte Endpunkt-URL und die ursprüngliche Instanz-URL auf Ihre Instanz zugreifen.
Führen Sie die folgenden Konfigurationsaufgaben aus, um eine benutzerdefinierte Endpunkt-URL für Ihre Oracle Integration-Instanz erfolgreich zu verwenden:
Hinweis
Bei diesen Anweisungen wird davon ausgegangen, dass Sie direkt auf eine Oracle Integration-Instanz zugreifen können. Wenn Sie die Instanz hinter einem WAF oder API-Gateway verwenden, überspringen Sie die hier angegebenen zertifikatbezogenen Anweisungen (ab Schritt 3) und befolgen Sie stattdessen die Anweisungen zum WAF- oder API-Gatewayzertifikat. Siehe WAF-Zertifikate oder Benutzerdefinierte Domains und TLS-Zertifikate für API-Gateways einrichten.
Bei diesen Anweisungen wird davon ausgegangen, dass Sie direkt auf eine Oracle Integration-Instanz zugreifen können. Wenn Sie die Instanz hinter einem WAF oder API-Gateway verwenden, überspringen Sie die hier angegebenen zertifikatbezogenen Anweisungen (ab Schritt 3) und befolgen Sie stattdessen die Anweisungen zum WAF- oder API-Gatewayzertifikat. Siehe WAF-Zertifikate oder Benutzerdefinierte Domains und TLS-Zertifikate für API-Gateways einrichten.
- Wählen Sie einen benutzerdefinierten Hostnamen für Ihre Instanz, und registrieren Sie ihn bei einem DNS-Provider.
- Rufen Sie ein SSL-Zertifikat von einer Certificate Authority (CA) für Ihren Hostnamen ab.
- Wählen Sie in Ihrem OCI-Mandanten ein Compartment aus, und erstellen Sie einen OCI Vault zum Speichern des Zertifikats. Siehe Mit Compartments arbeiten, Überblick über Vault und Neuen Vault erstellen.
- Speichern Sie das Zertifikat als Secret im OCI Vault. Siehe Neues Secret erstellen. Verwenden Sie das folgende Zertifikatformat:
{ "key": "-----BEGIN PRIVATE KEY-----\n…..-----END PRIVATE KEY-----\n", "cert": "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n", "intermediates": [ "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n", "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n" ], "passphrase": "<private key password if encrypted key is provided>" }Hinweis
- Um manuelle Fehler zu vermeiden, können Sie Ihr PEM-Zertifikat mit den folgenden
awk-Befehlen auch in eine einzelne Zeile mit"\n"konvertieren.Für die Blattbescheinigung gilt:
awk -v RS= '{gsub(/\n+/, "\\n")}1' <cert_pem_file>Für jedes Zwischen-/Root-Zertifikat:
awk -v RS= '{gsub(/\n+/, "\\n")}1' <each_intermediate_cert_pem_file>Für den Private Key:
awk -v RS= '{gsub(/\n+/, "\\n")}1' <private_key_pem_file> - Die letzte Version des Secrets wird verwendet, wenn Sie einen benutzerdefinierten Endpunkt mit Ihrer Instanz über den Vorgang "Instanz erstellen" oder "Instanz bearbeiten" verknüpfen. Informationen zu geheimen Versionen finden Sie unter Secretversionen und Rotationsstatus.
- Wenn Sie ein Hostnamenzertifikat verwenden, dessen Certificate Authority (CA) nicht im Oracle Integration-Truststore enthalten ist, müssen Sie das Zertifikat auch in die Oracle Integration-Instanz hochladen. Andernfalls wird eine Ausnahme in den Szenarios ausgelöst, die die Instanz selbst aufruft.
Beachten Sie die folgenden Zertifikatanforderungen:- Wenn das Zertifikat über mehrere Root-/Zwischenzertifikate verfügt, muss jedes Zertifikat als separates Element in einem
intermediates-Array angegeben werden. - Stellen Sie immer sicher, dass die endgültige Root-CA als letztes Element im Array angegeben ist. Beispiel: Wenn für das Blattzertifikat drei Zwischenzertifikate vorhanden sind, muss das Zertifikat, das das Blattzertifikat ausgestellt hat, als
intermediates[0]-Element verwendet werden, das Zertifikat, das dasintermediates[0]-Zertifikat ausgestellt hat, imintermediates[1]-Element abgelegt werden, und das Zertifikat, das dasintermediates[1]-Zertifikat ausgestellt hat, muss imintermediates[2]-Element abgelegt werden. - Das Attribut
passphraseist optional und muss nicht angegeben werden, wenn der Private Key nicht verschlüsselt ist. - Wenn Sie einen verschlüsselten Private Key verwenden, ist das folgende Format erforderlich (
PKCS1wird unterstützt):-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED -----END RSA PRIVATE KEY-----Eine JSON-Datei mit einem verschlüsselten Private Key sieht folgendermaßen aus:
{ "key": "-----BEGIN RSA PRIVATE KEY-----\nProc-Type: 4,ENCRYPTED\n....\n-----END RSA PRIVATE KEY-----", .. .. "passphrase": "<passphrase to decrypt the key>" }Eine JSON-Datei mit einem unverschlüsselten Private Key sieht folgendermaßen aus:
{ "key": "-----BEGIN RSA PRIVATE KEY-----\nvRXUK08v31bw2rnDLw+vjuX2i8ujHWs\n....\n-----END RSA PRIVATE KEY-----", .. .. } - Wenn der Private Key im Format PKCS8 vorliegt, müssen Sie ihn in das Format
PKCS1konvertieren:openssl rsa -in <input_pkcs8_encrypted_private_key> -out <converted_encrypted_private_key_file_name> -aes256
- Um manuelle Fehler zu vermeiden, können Sie Ihr PEM-Zertifikat mit den folgenden
- Erstellen Sie eine Identity and Access Management-(IAM-)Policy, um:
- Erlauben Sie dem Integrationsservice, die Version und den Inhalt des Secrets zu lesen.
- Erlauben Sie der Admin-Gruppe, auf das Secret zuzugreifen (oder ein neues Secret zu erstellen), während Sie eine Oracle Integration-Instanz mit einem benutzerdefinierten Endpunkt erstellen oder aktualisieren.
- Erstellen Sie eine Integrationsinstanz, und ordnen Sie ihr die benutzerdefinierten Endpunktdetails zu. Siehe Oracle Integration-Instanzen erstellen.
- Sie können auch eine vorhandene Oracle Integration-Instanz bearbeiten und ihr einen benutzerdefinierten Endpunkt zuordnen. Siehe Edition bearbeiten, Lizenztyp, Nachrichtenpakete und benutzerdefinierten Endpunkt einer Instanz.
- Aktualisieren Sie den benutzerdefinierten Endpunkt-DNS-Datensatz schließlich auf den ursprünglichen Instanzhostnamen. Als Best Practice wird empfohlen, den CNAME des DNS-Datensatzes mit dem Hostnamen des ursprünglichen Instanzendpunkts zu aktualisieren.
Bedingte Aufgaben nach der Konfiguration:
- Wenn Sie dreiteilige OAuth mit externen Identitätsprovidern (wie Google, Facebook usw.) verwenden, aktualisieren Sie die Umleitungs-URL mit dem benutzerdefinierten Hostnamen in Ihrer Identitätsprovideranwendung (IdP). Wenn der benutzerdefinierte Hostname für Ihre Oracle Integration-Instanz
mycustom.example.orglautet, muss die Umleitungs-URL z.B.https://mycustom.example.org/icsapis/agent/oauth/callbacklauten.Nachdem Sie die Umleitungs-URL in der Anwendung IdP aktualisiert haben, müssen Sie das Zugriffstoken erneut anfordern, indem Sie die Zustimmung auf der Verbindungsseite erteilen.
- Wenn Sie vor der Zuordnung eines benutzerdefinierten Endpunkts zu Ihrer Instanz Integrationsabläufe erstellt haben, müssen Sie alle Integrationen deaktivieren und erneut aktivieren, um die WSDLs neu zu generieren.
Hinweis
Wenn Sie den Oracle NetSuite-Adapter verwenden, beachten Sie, dass die Sicherheits-Policy des TBA-Autorisierungsablaufs des Adapters nicht mit benutzerdefinierten Endpunkten für Oracle Integration funktioniert.
Wenn Sie den Oracle NetSuite-Adapter verwenden, beachten Sie, dass die Sicherheits-Policy des TBA-Autorisierungsablaufs des Adapters nicht mit benutzerdefinierten Endpunkten für Oracle Integration funktioniert.