Oracle Cloud Infrastructure - Dokumentation

Zugriff auf eine Instanz einschränken

Schränken Sie die Netzwerke ein, die Zugriff auf Ihre Oracle Integration-Instanz haben, indem Sie eine Ausnahmeliste (früher eine weiße Liste) konfigurieren. Nur Benutzer aus den spezifischen IP-Adressen, Classless Inter-Domain Routing-(CIDR-)Blöcken und den von Ihnen angegebenen virtuellen Cloud-Netzwerken können auf die Oracle Integration-Instanz zugreifen.

Konfigurieren Sie die Ausnahmeliste für die Oracle Integration-Instanz beim Erstellen der Instanz oder nach dem Erstellen der Instanz.

Option 1 zum Konfigurieren von Zulisten: Zugriff auf Oracle Integration mit den Funktionen der Selfservice-Ausnahmeliste einschränken

Beschreibung von allowlist-only.png folgt

In diesem Szenario beschränken Sie den Zugriff auf Oracle Integration mit einer Ausnahmeliste. Die Werteliste schränkt den Zugriff auf Basis der folgenden Parameter ein:

  • Einzelne IP-Adresse
  • Classless Inter-Domain Routing-(CIDR-)Block (das heißt, ein IP-Adressbereich)
  • Oracle Cloud-ID (VCN-OCID) des virtuellen Cloud-Netzwerks

Darüber hinaus kann Ihre Organisation über ein Servicegateway verfügen. Mit dem Servicegateway kann Ihr virtuelles Cloud-Netzwerk (VCN) privat auf Oracle Integration zugreifen, ohne die Daten für das öffentliche Internet verfügbar zu machen.

Nur die angegebenen IP-Adressen und VCN-OCIDs können auf Oracle Integration zugreifen. Benutzer und Systeme, die über die aufgeführten VCNs auf Oracle Integration zugreifen, haben vollständigen Zugriff.

Vorteile

  • Einfaches Setup! Sie können Ihre Auswahlliste in wenigen Minuten konfigurieren, ohne einen benutzerdefinierten Endpunkt erstellen zu müssen.
  • Der gesamte Datenverkehr wird unterstützt, einschließlich REST-, SOAP- und anderer Internetdatenverkehr.

Nachteile

  • Die Regeln erlauben keinen All-oder Nichts-Zugriff und ermöglichen keine differenzierte Kontrolle.

    Beispielsweise ist der gesamte Datenverkehr für eine bestimmte IP-Adresse oder einen bestimmten Bereich zulässig, selbst wenn jemand, der eine zulässige IP-Adresse verwendet, SQL als Befehlszeilenparameter übergibt.

  • Sie sind auf 15 Zugriffsregeln begrenzt.

    Ein CIDR-Block zählt jedoch nur als 1 Eintrag, sodass Sie möglicherweise nicht mehr als 15 Regeln benötigen.

Für dieses Szenario auszuführende Aufgaben

  1. Fügen Sie die VCN-OCID Ihrer Organisation der Ausnahmeliste hinzu. Das VCN muss sich in derselben Region wie Oracle Integration befinden und über ein Servicegateway verfügen.

    Wenn Sie die VCN-OCID zur Auswahlliste hinzufügen, können alle Ressourcen im VCN auf Oracle Integration zugreifen.

  2. Fügen Sie für alle Partnernetzwerke und -anwendungen ihre IP-Adressen oder Adressbereiche der Ausnahmeliste hinzu.

    Sie benötigen alle IP-Adressen für alle Anwendungen und Systeme, die Zugriff auf Oracle Integration benötigen. Achten Sie beim Kompilieren der Liste auf alle Partnersysteme und SaaS-Anwendungen. Beispiel: Wenn eine CRM-Plattform Zugriff benötigt, müssen Sie die einzelnen IP-Adressen oder den IP-Adressbereich für die Plattform hinzufügen.

    Wenn Sie die IP-Adressen oder Adressbereiche der Ausnahmeliste hinzufügen, erteilen Sie vollständigen Zugriff auf die Benutzeroberfläche und Integrationen für Ihr Netzwerk.

  3. Aktivieren Sie das Loopback, damit Oracle Integration sich selbst aufrufen kann.

    Beispiel: Wenn Sie Loopback aktivieren, kann Oracle Integration seine eigenen REST-APIs aufrufen.

Option 2 zur Konfiguration von Zulisten: Zugriff auf Oracle Integration mit der Oracle Cloud Infrastructure Web Application Firewall (WAF) einschränken

Beschreibung von allowlist_with_waf.png folgt

Dieses Szenario ist die leistungsstärkste Konfigurationsoption für die Ausnahmeliste, mit der Sie ausgereifte Regeln erstellen können. In diesem Szenario beschränken Sie den Zugriff auf Oracle Integration mit Oracle Cloud Infrastructure Web Application Firewall (WAF).

Zugriff auf die einzelnen Artikelkontrollen

Mit der Ausnahmeliste können die folgenden Entitäten auf Oracle Integration zugreifen:

  • WAF
  • Oracle Cloud-ID (VCN-OCID) des virtuellen Cloud-Netzwerks

Daher wird der gesamte Internettraffic an WAF weitergeleitet, wodurch der Zugriff eingeschränkt wird auf:

  • Einzelne IP-Adresse
  • Classless Inter-Domain Routing-(CIDR-)Block (das heißt, ein IP-Adressbereich)
  • Oracle Cloud-ID (VCN-OCID) des virtuellen Cloud-Netzwerks
  • Weitere, von Ihnen definierte Regeln

Wenn Ihre Organisation über ein Servicegateway verfügt, kann Ihr virtuelles Cloud-Netzwerk (VCN) mit dem Servicegateway privat auf Oracle Integration zugreifen, ohne die Daten für das öffentliche Internet anzuzeigen.

Vorteile

  • Mit WAF können Sie komplexe Regeln für Ihre Ausnahmeliste erstellen. Beispiele:
    • Wenn jemand versucht, SQL als Befehlszeilenparameter zu übergeben, können Sie die Anforderung nicht zulassen.
    • Sie können den Zugriff anhand des Standorts mit Geoblocking einschränken.

    Weitere Informationen finden Sie unter WAF-Policys verwalten für Oracle Cloud Infrastructure Web Application Firewall.

  • Der gesamte Datenverkehr wird unterstützt, einschließlich REST-, SOAP- und anderer Internetdatenverkehr.
  • Die Beschränkung auf 15 Ausnahmelistenregeln gilt nicht für dieses Szenario.

Nachteile

  • Diese Option ist komplexer, zeitaufwändiger und fehleranfälliger als die Self-Service-Ausnahmeliste selbst.
  • Sie müssen einen benutzerdefinierten Endpunkt für WAF erstellen, der ein Serverzertifikat und einen DNS-Eintrag erfordert.

Für dieses Szenario auszuführende Aufgaben

  1. Konfigurieren Sie WAF entsprechend den Anforderungen Ihres Unternehmens.

    Weitere Informationen zu Oracle Cloud Infrastructure Web Application Firewall - Überblick finden Sie unter Überblick über Web Application Firewall.

  2. Konfigurieren Sie einen benutzerdefinierten Endpunkt für Oracle Integration.

    Siehe Benutzerdefinierten Endpunkt für eine Instanz konfigurieren.

  3. Fügen Sie der Ausnahmeliste die IP-Adressen für WAF hinzu.

    Wenn Ihre Organisation Oracle Integration in mehreren Regionen hat, verfügt jede Region über ein eigenes WAF. Sie müssen die IP-Adressen für alle WAFs der Ausnahmeliste hinzufügen.

  4. Fügen Sie die VCN-OCID Ihrer Organisation der Ausnahmeliste hinzu. Das VCN muss sich in derselben Region wie Oracle Integration befinden und über ein Servicegateway verfügen.

    Wenn sich die VCN-OCID auf der Ausnahmeliste befindet, umgeht Ihr virtuelles Cloud-Netzwerk WAF.

Hinweis

Sie müssen das Loopback nicht aktivieren, wenn Sie den Zugriff auf Oracle Integration mit WAF einschränken.

Option 3 zum Konfigurieren von Zulisten: Zugriff auf Oracle Integration mit dem API-Gateway einschränken

Beschreibung von allowlist_with_api_gateway.png folgt

In diesem Szenario beschränken Sie den Zugriff auf Oracle Integration mit dem API-Gateway und einer Ausnahmeliste.

Wenn der gesamte Traffic zu Oracle Integration in Form von REST-API-Aufrufen erfolgt, ist dieses Setup Ihren Anforderungen entsprechend. Wenn Sie jedoch Datenverkehr in Form von Nicht-REST-API-Aufrufen haben, ist dieses Szenario möglicherweise nicht ideal. Sie haben Traffic in Form von Nicht-REST-Aufrufen, wenn Ihre Organisation eine der folgenden Situationen unterstützt:

  • Benutzer, die in der Oracle Integration-Benutzeroberfläche arbeiten, einschließlich der Verwendung von Visual Builder und der Prozessfunktion
  • Benutzer, die in der Benutzeroberfläche der Oracle Cloud Infrastructure-Konsole arbeiten
  • SOAP-Aufrufe

Wenn Sie Nicht-REST-Aufrufe unterstützen, müssen Sie diesen Zugriff mit der Oracle Integration-Ausnahmeliste verwalten. Deshalb: API-Gateway lässt das Hinzufügen von IP-Adressen zu einer Ausnahmeliste nicht zu.

Zugriff auf die einzelnen Artikelkontrollen

  • Der gesamte REST-Traffic aus dem Internet wird an API Gateway weitergeleitet.

    Einzelheiten zur Einschränkung des Zugriffs finden Sie unter Überblick über API-Gateway für API-Gateway.

  • Mit der Ausnahmeliste können die folgenden Entitäten auf Oracle Integration zugreifen:
    • API-Gateway-VCN
    • Servicegateway, wenn Ihre Organisation über ein
    • REST- und SOAP-Anforderungen
    Hinweis

    Wenn Sie Zugriff auf Visual Builder und Prozesse benötigen, können Sie mit diesem Muster das API-Gateway umgehen.

Wenn Ihre Organisation über ein Servicegateway verfügt, kann Ihr virtuelles Cloud-Netzwerk (VCN) mit dem Servicegateway privat auf Oracle Integration zugreifen, ohne die Daten für das öffentliche Internet anzuzeigen.

Vorteile

  • Mit API Gateway können Sie differenzierte Regeln erstellen als die Selfservice-Ausnahmeliste.

    Weitere Informationen zu API-Gateway finden Sie unter Anforderungs-Policys und Antwort-Policys hinzufügen.

  • Die Beschränkung von 15 Ausnahmelistenregeln gilt nicht für REST-API-Aufrufe.

Nachteile

  • Wenn Ihre Organisation Dateiserver verwendet, können Sie den Zugriff mit dem API-Gateway nicht einschränken.

    Sie müssen direkten Zugriff auf Dateiserver gewähren.

  • Diese Option ist komplexer, zeitaufwändiger und fehleranfälliger als die Self-Service-Ausnahmeliste selbst.
  • Wenn Sie nicht alles genau nach Bedarf konfigurieren, treten Zugriffsprobleme auf. Beispiel: Benutzer können nicht auf die Prozessfunktion zugreifen, und nur Personen im internen Netzwerk können auf Visual Builder zugreifen.
  • Für alle Nicht-REST-Aufrufe von Oracle Integration müssen Sie über die Oracle Integration-Freibweise direkten Zugriff bereitstellen. Sie sind auf 15 Zugriffsregeln für diese Ausnahmeliste beschränkt.

Für dieses Szenario auszuführende Aufgaben

Hinweis

Sie müssen diese Schritte manuell durchführen und das richtige Format verwenden, oder Benutzer haben Zugriffsprobleme.
  1. Konfigurieren Sie API-Gateway gemäß den Anforderungen Ihrer Organisation.

    Weitere Informationen finden Sie in der API-Gateway-Dokumentation.

  2. Fügen Sie die VCN-OCID Ihrer Organisation der Ausnahmeliste hinzu. Das VCN muss sich in derselben Region wie Oracle Integration befinden.

    Wenn sich die VCN-OCID auf der Ausnahmeliste befindet, umgeht Ihr virtuelles Cloud-Netzwerk das API-Gateway

  3. Fügen Sie der Ausnahmeliste API-Gateway hinzu.
  4. Aktivieren Sie das Loopback, damit Oracle Integration sich selbst aufrufen kann.

    Beispiel: Wenn Sie Loopback aktivieren, kann Oracle Integration seine eigenen REST-APIs aufrufen.

REST-API für Auflistung

Sie können die REST-API auch zum Erstellen und Ändern von Zulisten verwenden. Siehe /integrationInstances/{integrationInstanceId}/actions/changeNetworkEndpoint.

Voraussetzungen für das Erstellen einer Ausnahmeliste für Oracle Integration

Beim Erstellen Ihrer Ausnahmeliste müssen Sie alle Anwendungen einbeziehen, die Zugriff auf Ihre Instanz erfordern. Hier sind die Informationen, die Sie benötigen.

Hinweis

Diese Aufgaben sind für Oracle Integration erforderlich.

Ausgehende IP-Adressen für Anwendungen abrufen, die Ereignisquellen sind

Sie müssen alle Ereignisquellen, wie Oracle Fusion Applications ERP-Ereignisse, der Ausnahmeliste hinzufügen. Dazu müssen Sie die ausgehende IP-Adresse der Anwendungen abrufen. Wenden Sie sich an die Anwendungsprovider, um die IP-Adressen abzurufen.

Öffentliche IP-Adressen für Oracle SaaS-Anwendungen abrufen, die HTTPS-Aufrufe zu Oracle Integration tätigen

Oracle SaaS-Anwendungen können je nach Design der Integration HTTPS-Aufrufe an Oracle Integration vornehmen. Gehen Sie zum Menü Info in Oracle Integration, um die öffentliche IP-Adresse Ihrer SaaS-Instanz abzurufen, die der Ausnahmeliste in Oracle Integration hinzugefügt werden soll. Siehe NAT-Gateway-IP-Adresse der Oracle Integration-Instanz abrufen.

Beispiele:

  • Integrationen mit SaaS-Adapterverbindungen für Trigger und Callbacks
  • Wenn der Konnektivitäts-Agent mit einem Adapter verwendet wird, der Polling durchführt, z.B. für Datenbank-Polling und Aufruf
  • Wenn der Konnektivitäts-Agent für die Kommunikation mit Oracle Integration verwendet wird

Eine Liste der externen IP-Adressen nach Data Center, die Sie Ihrer Ausnahmeliste für von Oracle Cloud-Anwendungen initiierte Webserviceaufrufe hinzufügen können, finden Sie in der Supporthinweis ID 1903739.1: IP Whitelist for Web Service Calls Initiated by Oracle Cloud Applications.

Ausnahmeliste für Ihre Instanz konfigurieren

Ihre Auswahlliste kann bis zu 15 Regeln für HTTPS-Verbindungen zur Oracle Integration-Instanz enthalten. Die von Ihnen erstellten Zulassungslisteneinschränkungen gelten zusätzlich zu den Standardautorisierungsmechanismen, wie z.B. Benutzerzugangsdaten, die immer gelten.

  1. Bei der Oracle Cloud Infrastructure-Konsole anmelden.
  2. Klicken Sie in der Spalte Anzeigename auf die zu bearbeitende Instanz.
  3. Wählen Sie auf der Seite "Integrationsinstanzdetails" unter "Ressourcen" unten links die Option Netzwerkzugriff.
  4. Klicken Sie unter dem Header "Netzwerkzugriff" auf Bearbeiten.
    Daraufhin wird das Dialogfeld Network Access (Netzwerkzugriff) angezeigt. Wenn Ihre Liste leer ist, wird die erste leere Ausnahmelistenregel hinzugefügt.
  5. Geben Sie Werte in die Felder am oberen Rand des Dialogfelds ein:
    • Netzwerkzugriff einschränken: Wählen Sie diese Option aus, um Zulassungslistenregeln hinzuzufügen und die Regeln anzuwenden. Wenn diese Option ausgewählt ist, können nur Benutzer aus Netzwerken, die den konfigurierten Einstellungen entsprechen, auf die Integrationsinstanz zugreifen. Wenn diese Option nicht ausgewählt ist, gibt es keine Ausnahmelistenregeln, und es gibt keine Netzwerkeinschränkungen für den Zugriff auf Ihre Instanz.

      Achtung:

      Wenn Sie die Option Restrict Network Access nach dem Konfigurieren der Ausnahmelistenregeln deaktivieren, werden alle konfigurierten Ausnahmelistenregeln gelöscht.
    • Loopback aktivieren: Wählen Sie diese Option aus, damit die Integration sich selbst aufrufen kann.
      Hinweis

      Wenn Sie Loopback aktivieren, kann jede Oracle Integration-Instanz in Ihrer Region Ihre Instanz aufrufen.

      Für bestimmte Aufrufe ist ein Loopback erforderlich. Sie müssen Loopback für die folgenden Szenarios aktivieren:

      • So rufen Sie eine Oracle Integration-API aus einer Integration auf. Verwenden Sie eine REST-Verbindung, um die API aufzurufen.
      • So rufen Sie Ihre Integration über eine andere Oracle Integration-Instanz auf.

      Um Ihre Integration von Ihrer Oracle Integration-Instanz aus aufzurufen, können Sie Loopback aktivieren. Es wird jedoch empfohlen, stattdessen den lokalen Aufruf zu verwenden. Wenn Sie den lokalen Aufruf für dieses Szenario verwenden, müssen Sie das Loopback nicht aktivieren. Sie benötigen auch keine Verbindung, wenn Sie den lokalen Aufruf verwenden.

  6. Konfigurieren Sie die Ausnahmelistenregeln.
    1. Um eine Regel hinzuzufügen, klicken Sie unter der letzten Regel in der Liste auf Regel hinzufügen. Scrollen Sie möglicherweise nach unten, um die Schaltfläche anzuzeigen.
    2. Wählen Sie im Feld Typ den Typ der zu konfigurierenden Regel aus.
      • IP-Adresse/CIDR-Block: Konfigurieren Sie den Zugriff von einer IP-Adresse oder einem IP-Adressbereich.
      • Virtuelles Cloud-Netzwerk: Konfigurieren Sie den Zugriff von einem bestimmten virtuellen Cloud-Netzwerk aus. Um eine Liste der Netzwerke in anderen Compartments anzuzeigen, klicken Sie auf Compartment ändern. Neben einem bestimmten virtuellen Cloud-Netzwerk können Sie eine IP-Adresse oder einen IP-Adressbereich innerhalb des virtuellen Cloud-Netzwerks angeben.
      • OCID virtuelles Cloud-Netzwerk: Geben Sie Zugriff auf eine Oracle Cloud-ID (OCID) des virtuellen Cloud-Netzwerks an. Informationen zum OCID-Format finden Sie unter Ressourcen-IDs.
  7. Nachdem Sie der Ausnahmeliste alle gewünschten Regeln hinzugefügt haben, klicken Sie auf Änderungen speichern.
    Die Arbeitsanforderung wird weitergeleitet, und die Änderungen werden wirksam, wenn der Instanzstatus in Aktiv geändert wird. In den Instanzdetails werden unter Integrationsinstanzinformationen auch Netzwerkzugriff: Eingeschränkt angezeigt.