Protección de aplicaciones heredadas mediante el gateway de aplicación de OCI IAM

Introducción

El gateway de aplicación de Oracle es un dispositivo del software que permite integrar aplicaciones alojadas en una instancia informática, en una infraestructura de la nube o en un servidor local con Oracle Cloud Infrastructure con fines de autenticación.

El gateway de aplicación actúa como un proxy inverso que protege las aplicaciones web restringiendo el acceso de red no autorizado a estas. El gateway de aplicación intercepta cualquier solicitud HTTP a estas aplicaciones y garantiza que los usuarios se autentiquen con OCI Identity and Access Management (IAM) antes de reenviar la solicitud a estas aplicaciones. El gateway de aplicaciones propaga la identidad del usuario autenticado a las aplicaciones.

Si el usuario no está autenticado con OCI IAM, el gateway de aplicación redirige al usuario a la página de conexión de OCI IAM para la validación de credenciales.

Objetivo

En este tutorial se muestra cómo utilizar Oracle App Gateway para proteger una aplicación heredada mediante la adición de una capa de autenticación y autorización integrada con OCI IAM. Esto proporciona un control centralizado sobre el acceso al entorno heredado, lo que garantiza la seguridad, la gobernanza y la visibilidad de los usuarios autorizados.

Requisitos

Antes de configurar el gateway de aplicación en Oracle Cloud Infrastructure (OCI), asegúrese de tener:

• Una cuenta de OCI con permisos administrativos
  • Dominio de identidad creado de tipo Enterprise
  • Acceso al dominio de identidad configurado en OCI IAM
  • Permiso para crear y gestionar aplicaciones empresariales en OCI IAM
• Un entorno de red configurado
  • Una subred de la red virtual en la nube (VCN) para alojar el gateway de aplicación
  • Reglas de seguridad en listas de seguridad o en un grupo de seguridad de red (NSG) para permitir el tráfico en el puerto 443 (HTTPS) y en el puerto de aplicación backend
• Un servidor con gateway de aplicación
  • Una máquina virtual (VM) o un host que ejecuta Linux para instalar el agente de Cloud Gate (NGINX + módulo OCI IAM)
  • Un certificado TLS válido o autofirmado para activar HTTPS en el gateway de aplicación
• Una aplicación heredada disponible
  • Debe ejecutarse en un host backend (HTTP o HTTPS)
  • La dirección y el puerto de la aplicación deben ser conocidos y accesibles desde la VCN
• Usuarios y grupos en OCI IAM
  • Usuarios aprovisionados en el dominio de identidad
  • Grupos o asignaciones configurados para definir quién puede acceder a la aplicación heredada

Tarea 1: Descargar el OVA del gateway de aplicación de Oracle y convertirlo en VMDK

1. Haga clic en Dominios, Configuración para su dominio y, a continuación, desplácese a la sección Descargas. Haga clic en los 3 puntos para abrir el menú del gateway de aplicación para Identity Cloud Service y, a continuación, haga clic en Descargar:

   

2. Una vez finalizada la descarga, extraiga el archivo .ova (archivo de dispositivo virtual VirtualBox) del archivo .zip en su computadora.

   

3. Para procesar este archivo, importe el . Archivo OVA en VirtualBox. Importando el . El archivo OVA creará una imagen de disco virtual (. archivo VDI).

4. Cargue este archivo VDI en un cubo de OCI.

   

Tarea 2: Creación de la imagen personalizada del gateway de aplicación en OCI

1. Después del . El archivo VDI está disponible en el cubo; cree una imagen personalizada para usarla en instancias de su inquilino. Haga clic en Recursos informáticos, imágenes personalizadas:

   

2. Haga clic en Importar imagen.

   

3. Rellene y seleccione la configuración para crear la imagen personalizada:

   

Dónde:

1. Crear en compartimento: seleccione el compartimento aquí donde se creará la imagen personalizada
2. Nombre: nombre de la imagen personalizada que se va a crear
3. Sistema operativo: mantenga seleccionada Oracle Linux
4. Bloque: seleccione Importar desde un cubo de Object Storage
5. Información de almacenamiento de objetos: seleccione el torage de objetos y la imagen .vdi del paso anterior
6. Tipo de imagen: haga clic en VMDK
7. Modo de inicio: haga clic en Modo emulado

Después de rellenar esta información, haga clic en Importar imagen. Una vez finalizada la importación, puede crear una instancia de OCI con la imagen personalizada recién creada.

Tarea 3: Crear instancia de gateway de aplicación

1. Para crear la instancia, haga clic en Recursos informáticos, instancias:

   

2. Haga clic en Create instance:

   

3. Rellene la información relativa a la creación de instancias y haga clic en Cambiar imagen para seleccionar la imagen personalizada que se creó en los pasos anteriores.

   

4. Seleccione los campos para utilizar la imagen personalizada:

Dónde:

1. Mis imágenes: seleccione este elemento para utilizar la imagen personalizada
2. Imágenes personalizadas: deje este elemento seleccionado
3. Compartimento: seleccione el compartimento donde se creó la imagen personalizada
4. Nombre de imagen personalizada: seleccione la imagen del gateway de aplicación creada anteriormente

Tarea 4: Validación de la configuración del servidor del gateway de aplicación

Para validar la configuración del servidor del gateway de aplicación después de crearlo, conéctese a un terminal mediante SSH:

ssh -i <path_private_key> oracle@<IP_servidor_app_gateway>

SSH con el usuario 'oracle'. La contraseña de este usuario se puede encontrar en la documentación oficial del producto del gateway de aplicación en este enlace.

Nota: La contraseña se debe cambiar la primera vez que se conecte.

Tarea 5: Creación de un certificado y una clave privada para el servidor de gateway de aplicación

Una vez que haya accedido a la instancia, cree un server.crt y un server.key para que lo utilice el gateway de aplicación, ya que funcionará sobre HTTPS. Para ello, ejecute los siguientes comandos en el servidor:

1. Para crear server.key:

   openssl genrsa -out server.key 2048

2. Para crear server.crt:

   openssl req -new -x509 -days 365 -key server.key -out server.crt

   

   Importante: Anote la ruta de acceso en la que se almacenan los archivos server.crt y server.key en el servidor del gateway de aplicación. Necesitará esta información para completar la configuración del gateway de aplicación en la consola web de OCI:

   ssl_certificate /home/oracle/server.crt;
   ssl_certificate_key /home/oracle/server.key;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ssl_ciphers HIGH:!aNULL:!MD5;
   

Después de crear los archivos server.crt y server.key, podemos registrar el gateway de aplicación en la consola de OCI.

Notas:

• Este laboratorio utiliza certificados SSL autofirmados. Por lo tanto, estamos seguros de que encontraremos un mensaje de fallo de validación de certificado en el explorador al probar el acceso a la aplicación heredada mediante el gateway de aplicación.
• Si su entorno utiliza SSL válido, visite la documentación del gateway de aplicación de Oracle para obtener más información.

Tarea 6: Registro del gateway de aplicación en la consola de OCI

1. Para registrar el gateway de aplicación, desde la consola web de OCI, haga clic en Identidad y seguridad, dominios:

   

2. Haga clic en su nombre de dominio:

   

   Nota: Para utilizar el gateway de aplicación, el dominio de identidad se debe crear como tipo Enterprise.

3. Haga clic en Gateways de aplicación y, a continuación, en Crear gateway de aplicación:

   

4. Complete la información necesaria en el flujo de trabajo de creación del gateway de aplicación y haga clic en Crear gateway de aplicación. Después de la creación, los detalles del gateway de aplicación se mostrarán en la pantalla:

   

5. Después de crear el gateway de aplicación, haga clic en Hosts y, a continuación, en Agregar host:

   

6. Introduzca la información relativa al servidor del gateway de aplicación creado en los pasos anteriores:

   Dónde:

   1: Identificador de Host: Introduzca un nombre para el gateway de aplicación

   2: Host: FQDN de la instancia del gateway de aplicación creada anteriormente. Para capturar esta información, vaya a la instancia, haga clic en el separador Red y capture el FQDN interno 3: Puerto: introduzca el puerto en el que se ejecutará el gateway de aplicación (en este ejemplo, utilizaremos el puerto 4443).

   4: SSL Activado: en esta práctica, el gateway de aplicación utilizará SSL. Por lo tanto, haga clic en SSL enabled.

   5: Propiedades Adicionales: Introduzca la configuración de SSL como se ha creado anteriormente

   ssl_certificate /home/oracle/server.crt;
   ssl_certificate_key /home/oracle/server.key;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ssl_ciphers HIGH:!aNULL:!MD5;
   

7. Haga clic en Add host (Agregar host).

   

8. Una vez creado el gateway de aplicación, aparecerá en pantalla después de su configuración:

   

9. Haga clic en el separador Detalles y active el gateway de aplicación haciendo clic en Acciones, activar gateway de aplicación:

   

10. Confirme la activación:

    

11. Al activarla, confirme la activación y anote el ID de cliente y el secreto de cliente del gateway de aplicación (manténgalo en un lugar seguro) para utilizarlo en los siguientes pasos.

    

Tarea 7: Configuración del servidor del gateway de aplicación

Después de configurar el gateway de aplicación en la consola de OCI, debe configurar el servidor del gateway de aplicación. El siguiente paso es permitir que el servidor del gateway de aplicación se comunique con el punto final del dominio de OCI.

1. Para probar la conectividad con el punto final del dominio de identidad, capture su FQDN. Para capturarlo, en la consola de OCI, en la página Detalles de su dominio de identidad, haga clic en Copiar en la línea URL de dominio:

   

2. Edite el archivo cloudgate-env para insertar la configuración del dominio de identidad en el gateway de aplicación cambiando la configuración de IDCS_INSTANCE_URL. En este valor, debe insertar el FQDN del punto final de dominio (el mismo que se utiliza para realizar la prueba de acceso mediante la rúbrica anterior):

   

3. Los siguientes parámetros que se deben configurar son:

   • CG_APP_TENANT: introduzca el OCID de inquilino en este campo
   • CG_APP_NAME: introduzca el ID de cliente del gateway de aplicación
   • CG_APP_SECRET: introduzca el secreto de cliente del gateway de aplicación

4. Como paso final, debe verificar que el solucionador del servidor del gateway de aplicación pueda identificar la dirección IP del punto final del dominio de identidad en OCI. Para ello, ejecute el comando siguiente:

   nslookup <id_domain_endpoint_domain>

   

Tarea 8: Configurar el servidor de aplicaciones

1. Después de realizar todos los cambios necesarios en los archivos del gateway de aplicación, debe ejecutar el comando para configurar el gateway de aplicación. Para ello, ejecute el comando setup-cloudgate en el directorio /scratch/oracle/cloudgate/ova/bin/setup:

   

2. Siga las instrucciones por completo. Confirme la información configurada en los archivos del gateway de aplicación e introduzca la contraseña cuando se le solicite. Una vez finalizada la configuración, compruebe que el gateway de aplicación funciona con el siguiente comando:

   /scratch/oracle/cloudgate/home/bin/cg-status

   

3. Después de haber validado que el servidor está activo y en ejecución, puede comenzar a configurar la aplicación que utilizará las funciones del gateway de aplicación.

Tarea 9: Protección de una aplicación heredada con el gateway de aplicación de Oracle

1. Para proteger una aplicación heredada mediante el gateway de aplicación de Oracle, deberá configurar el acceso al dominio de identidad en el que está configurado el gateway de aplicación, hacer clic en Aplicaciones integradas y, a continuación, en Agregar aplicación:

   

2. Seleccione Aplicación empresarial y haga clic en Iniciar flujo de trabajo:

   

3. Rellene toda la información solicitada, incluyendo:

   • Nombre: nombre de la aplicación empresarial que se creará para que la aplicación esté protegida por el gateway de aplicación;
   • Descripción: introduzca una descripción para que la aplicación heredada esté protegida por el gateway de aplicación.
   • URL de aplicación: agregue la URL que los usuarios utilizan actualmente para acceder a la aplicación heredada. URL de la aplicación que estará protegida por el gateway de aplicación.

   

4. Haga clic en Ejecutar.

   Cuando haya terminado de crear la aplicación empresarial, se mostrará la pantalla con sus detalles.

5. Haga clic en Configuración de SSO y, a continuación, en Editar configuración de SSO para continuar con la configuración:

   

6. Haga clic en Acciones y, a continuación, en Agregar recurso:

   

7. Configure qué recursos de aplicación heredados estarán protegidos por el gateway de aplicación de Oracle. Puede crear recursos de forma individual, agregarlos uno por uno a las URL de la aplicación heredada y utilizar expresiones regulares para representar las recopilaciones de URL que tiene la aplicación.

   

8. Haga clic en Add resource.

9. Para configurar el gestor de recursos, haga clic en Editar configuración de SSO, desplácese hasta la página Configuración de SSO, seleccione Agregar recursos gestionados, haga clic en Acciones y haga clic en Agregar recursos gestionados:

   

10. En la página que se muestra, haga lo siguiente:

    1: Recurso: Seleccione el recurso recién creado (en este tutorial, es Legacy-app-resource)

    2: Método de autenticación: seleccione el método de autenticación para su aplicación heredada (aquí, por ejemplo, utilizaremos Token de formulario o acceso)

    3: Nombre/Valor: Introduzca el nombre y el valor de las cabeceras HTTP que desea enviar a la aplicación heredada

    

11. Por último, haga clic en Agregar recurso gestionado y, a continuación, en Guardar cambios. Esta acción finaliza la creación de la aplicación empresarial en OCI IAM. Esta aplicación empresarial representa la aplicación heredada protegida por el gateway de aplicación de Oracle.

12. Una vez creada la aplicación de empresa, actívela haciendo clic en el menú Acción y, a continuación, en Activar:

    

13. Confirme su activación:

    

Tarea 10: Asociación de la aplicación empresarial con el gateway de aplicación de Oracle

1. Para asociar la aplicación empresarial al gateway de aplicación de Oracle, debe configurarla en la consola de OCI mediante el gateway de aplicación que se ha configurado en el dominio de identidad en los pasos anteriores.

2. Vuelva a la pantalla principal del dominio de identidad, haga clic en Gateways de aplicación y, a continuación, haga clic en el nombre del gateway de aplicación que ha configurado:

   

3. Haga clic en Aplicaciones y, a continuación, en Agregar aplicación:

   

4. En la pantalla de configuración, complete la información necesaria:

   

   Dónde:

   1: Aplicación: seleccione la aplicación que ha creado anteriormente

   2: Seleccionar Host: Seleccione el host que ha creado para la aplicación

   3: Prefijo de Recurso: Introduzca la ruta a través de la que se debe acceder a la aplicación a través del gateway de aplicación

   4: Servidor de Origen: Introduzca el FQDN del servidor en el que se ejecuta la aplicación heredada, seguido del puerto en el que se ejecuta la aplicación

5. Finalmente, haga clic en Add app (Agregar aplicación).

Una vez completadas todas las configuraciones, puede probar el acceso a la aplicación heredada mediante el gateway de aplicación de Oracle.

Tarea 11: Prueba del acceso a aplicaciones heredadas mediante el gateway de aplicación de Oracle

1. Después de configurar el gateway de aplicación y la aplicación empresarial, puede realizar una prueba de acceso. Para ello, abra un explorador e introduzca la dirección pública del gateway de aplicación junto con el puerto en el que se configuró:

   

2. Al acceder, el gateway de aplicación redirigirá al usuario a OCI IAM para que se pueda realizar la conexión a OCI.

   

3. Después de conectarse, se producirá una redirección y se accederá a la aplicación a través del gateway de aplicación:

   

Acuses de recibo

• Autor: Rodrigo Pace de Barros (Ingeniero de soluciones de seguridad en la nube de Oracle LAD A-Team)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Secure Legacy Applications by Using OCI IAM App Gateway

G43059-01

Copyright ©2025,

Oracle y/o sus filiales.