Fein granulierte Zugriffskontrolle implementieren Oracle Integration

Implementieren Sie ein fein granuliertes Zugriffskontrollmodell für Oracle Integration für Szenarien, in denen eine präzise, rollenbasierte Kontrolle über den Zugriff auf Integrationen erforderlich ist – sei es nach Integrationstyp, Umgebung oder bestimmten Benutzerzuständigkeiten.

Verwenden Sie diese Architektur, wenn Sie Governance der Unternehmensklasse implementieren und einen sicheren, segmentierten Zugriff sicherstellen, der auf die Compliance- und Betriebsrichtlinien Ihres Unternehmens abgestimmt ist.

Durch die Nutzung von Oracle Cloud Infrastructure-(OCI-)API-Gateway in Verbindung mit einer benutzerdefinierten Autorisiererfunktion (in der Regel mit OCI Functions implementiert) ermöglicht diese Architektur eine zentralisierte und dynamische Autorisierung für alle API-Aufrufe, die an Oracle Integration weitergeleitet werden. Dieses Muster entkoppelt die Authentifizierungs- und Autorisierungslogik von einzelnen Services und gewährleistet Konsistenz und Wiederverwendbarkeit in der gesamten Integrationslandschaft.

Wichtige Komponenten:

• Oracle Integration

  hostet die Ziel-REST-Endpunkte, die Geschäftsprozesse, Integrationen oder benutzerdefinierte APIs bereitstellen.

• OCI API Gateway

  fungiert als Reverse Proxy für Clientanforderungen und leitet diese sicher an die entsprechenden Oracle Integration-Endpunkte weiter. Es lässt sich auch in die Autorisiererfunktion integrieren, um die OAuth-basierte Zugriffskontrolle durchzusetzen.

• Benutzerdefinierte Autorisiererfunktion (OCI Functions)

  Eine serverlose Funktion, die für Folgendes verantwortlich ist:

  • Validierung von OAuth 2.0-Zugriffstoken, die von einem Identitätsprovider (wie Oracle Identity Cloud Service oder einem externen OAuth-Provider) ausgegeben werden.
  • Es werden benutzerdefinierte Geltungsbereiche ausgewertet, die in das Token eingebettet sind, um zu bestimmen, ob der Anforderer über die erforderlichen Berechtigungen zum Aufrufen der Ziel-API verfügt.
  • Zurückgeben einer Autorisierungsentscheidung an das OCI-API-Gateway, das die Anforderung basierend auf dem Ergebnis entweder zulässt oder blockiert.

Architektur

Diese Architektur beschreibt ein fein granuliertes Zugriffskontrollmodell für Oracle Integration.

Architekturdetails:

1. Das OCI-API-Gateway löst OCI Functions aus, das als benutzerdefinierter Autorisierer zur Verarbeitung der Autorisierungslogik für die eingehende Anforderung fungiert. Diese Anforderung enthält ein Zugriffstoken, das Zugriff auf Oracle Integration erteilen soll.
2. Die Autorisiererfunktion führt die folgenden Schritte aus:
   1. Es extrahiert das Token aus der Anforderung und fragt OCI Vault nach sensiblen Zugangsdaten wie Client-ID und Client Secret ab.
   2. Mit diesen Zugangsdaten validiert die Funktion das Token anhand von Oracle Identity Cloud Service (IDCS), um seine Authentizität und Integrität sicherzustellen.
   3. Wenn das Token gültig ist, gibt die Funktion eine Antwort zurück, die Schlüsseldetails enthält, wie:
      1. Tokengültigkeitsstatus
      2. Principal (Benutzeridentität)
      3. Client-ID und Client Secret
      4. Geltungsbereich des Zugriffs
3. Das OCI-API-Gateway verwendet dann den Geltungsbereich in dieser Antwort, um den Geltungsbereich des Tokens mit der erforderlichen Zugriffsebene für die Oracle Integration-Integration zu prüfen.

Wenn der Geltungsbereich übereinstimmt, leitet das OCI-API-Gateway die ursprüngliche Anforderung an die Oracle Integration-API weiter, die durch eine Ausnahmeliste geschützt ist, die jetzt mit validierten Autorisierungsheadern angereichert ist, sodass der Integrationsfluss sicher fortgesetzt werden kann.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung oracle-integration-rest-oauth-diagram.png

oracle-integration-rest-oauth-diagram-oracle.zip

Die Architektur umfasst folgende Komponenten:

• Region

  Eine OCI-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Centre enthält, das Availability-Domains hostet. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können über Länder oder Kontinente voneinander getrennt werden.

• Virtuelles Cloud-Netzwerk (VCN) und Subnetze

  Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer OCI-Region einrichten. Wie herkömmliche Data Center-Netzwerke erhalten Sie über VCNs die Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

• API-Gateway

  Mit Oracle Cloud Infrastructure API Gateway können Sie APIs mit privaten Endpunkten veröffentlichen, auf die über Ihr Netzwerk zugegriffen werden kann und die Sie bei Bedarf im öffentlichen Internet bereitstellen können. Die Endpunkte unterstützen API-Validierung, Anforderungs- und Antworttransformation, CORS, Authentifizierung und Autorisierung sowie Anforderungsbegrenzung.

• Funktionen

  Oracle Cloud Infrastructure Functions ist eine vollständig verwaltete, mehrmandantenfähige, hoch skalierbare, On-Demand-Funktionen-as-a-Service-(FaaS-)Plattform. Sie wird von der Open Source-Engine Fn Project unterstützt. Mit OCI Functions können Sie Ihren Code bereitstellen, direkt aufrufen oder auch als Reaktion auf Ereignisse auslösen. OCI Functions verwendet Docker-Container, die in Oracle Cloud Infrastructure Registry gehostet werden.

• Integration

  Oracle Integration ist eine vollständig verwaltete, vorkonfigurierte Umgebung, in der Sie Cloud- und On-Premise-Anwendungen integrieren, Geschäftsprozesse automatisieren und visuelle Anwendungen entwickeln können. Es verwendet einen SFTP-konformen Dateiserver zum Speichern und Abrufen von Dateien und ermöglicht den Austausch von Dokumenten mit Geschäftspartnern zwischen Unternehmen, indem Sie ein Portfolio von Hunderten von Adaptern und Rezepten für die Verbindung mit Oracle- und Drittanbieteranwendungen verwenden.

• Identity and Access-Management

  Oracle Cloud Infrastructure Identity and Access Management (IAM) bietet Benutzerzugriffskontrolle für OCI und Oracle Cloud Applications. Mit der IAM-API und der Benutzeroberfläche können Sie Identitätsdomains und die darin enthaltenen Ressourcen verwalten. Jede OCI IAM-Identitätsdomain stellt eine eigenständige Identity and Access Management-Lösung oder eine andere Benutzerpopulation dar.

• Oracle Cloud Infrastructure Vault

  Mit Oracle Cloud Infrastructure Vault können Sie die Verschlüsselungsschlüssel zum Schutz Ihrer Daten und die Secret-Zugangsdaten erstellen und zentral verwalten, mit denen Sie den Zugriff auf Ihre Ressourcen in der Cloud sichern. Die Standardschlüsselverwaltung sind von Oracle verwaltete Schlüssel. Sie können auch vom Kunden verwaltete Schlüssel verwenden, die OCI Vault verwenden. OCI Vault bietet ein umfangreiches Set von REST-APIs zur Verwaltung von Vaults und Schlüsseln.

Mehr erfahren

Weitere Informationen zu Oracle Integration-Integrationen.

Prüfen Sie die folgenden zusätzlichen Ressourcen:

• Überblick über API-Gateway in der Oracle Cloud Infrastructure-Dokumentation
• Oracle Integration 3
• OAuth konfigurieren in der Oracle Cloud Infrastructure-Dokumentation
• Token zum Hinzufügen der Authentifizierung und Autorisierung zu API-Deployments validieren in der Oracle Cloud Infrastructure-Dokumentation
• Oracle Cloud-Kostenrechner
• Oracle Cloud Infrastructure-Dokumentation
• Gut durchdachte Framework-Architektur für Oracle Cloud Infrastructure

Bestätigungen

• Autoren: Pradyumna Kodgi, Ravi Pinto, Sumit Aneja
• Mitwirkende: John Sulyok