1. Opciones de conectividad de red para integrar los servicios de Oracle Utilities Cloud con aplicaciones externas
  2. Comprender los canales de integración disponibles

Comprender los canales de integración disponibles

Los servicios de Oracle Utilities Cloud admiten canales basados en el servicio web y basados en la transferencia de archivos para mover los datos entre los servicios de Oracle Utilities Cloud y las aplicaciones externas alojadas en ubicaciones locales o en Oracle PaaS o en centros de datos de Oracle IaaS o de terceros, fuera de los servicios de Oracle Utilities Cloud.

Según el canal que se utiliza para la integración, las aplicaciones/API externas deben cumplir determinados criterios de integración con los servicios de Oracle Utilities Cloud.

Integrar utilidades mediante servicios web

Este canal de integración utiliza API de servicio web tanto en los servicios de Oracle Utilities Cloud como en las aplicaciones externas.

Deben utilizarse las mejores prácticas, los protocolos y los métodos de autenticación estándar del sector para la integración con servicios web. Como regla general, toda la comunicación tiene que estar basada en el protocolo https. En función de si la solicitud sale de los servicios de Oracle Utilities Cloud o si la solicitud entra en los servicios de Oracle Utilities Cloud, se aplican los siguientes conceptos.

Información sobre comunicaciones salientes

Esta información se aplica a la comunicación/solicitud que sale de los servicios de Oracle Utilities Cloud y a la aplicación que es externa con los servicios de Oracle Utilities Cloud.

Para que los servicios de Oracle Utilities Cloud realicen una llamada de servicio web entrante o saliente a un sistema externo, las API de servicio web del sistema externo deben cumplir los siguientes criterios:
  • API accesible.
  • Certificado firmado por CA válido.
  • Compatibilidad con la autenticación básica/credenciales de cliente OAuth mediante el protocolo HTTPS.
  • Número de puerto SSL 443. Si la API de la aplicación externa no tiene 443 como número de puerto, puede que tenga que considerar la posibilidad de cambiar el puerto a 443 o en los casos en los que no se puede cambiar el número de puerto, puede considerar agregar infraestructura/software adicional como mediador; por ejemplo, agregar un proxy inverso que reciba en el puerto 443.
Descripción de la API accesible

Los servicios de Oracle Utilities Cloud deben poder acceder a las API de servicio web que pertenecen a la aplicación externa, por lo que para que se realice una solicitud de los servicios de Oracle Utilities Cloud a las API de servicio web del sistema externo, se debe poder acceder a esas API mediante direcciones IP públicas.

Si las API de aplicaciones externas aún no son públicas, los administradores de redes de su equipo de TI/socio/implementador deben poder configurar los componentes adecuados para que las API privadas se expongan a través de IP públicas. A continuación se muestran algunos ejemplos que pueden ayudar a exponer las API de servicio web privado de un sistema externo a través de API públicas.
  • Muestre las API de la aplicación externa a la red pública de Internet mediante la configuración de reglas en el firewall y el uso de un proxy inverso en el centro de datos donde reside la aplicación externa. Se puede utilizar un único proxy inverso para exponer varias aplicaciones/API.
  • Haga que la API sea accesible a través de: Oracle VPN Connect & es un proxy inverso. Esto es aplicable si la aplicación externa está dentro de una red privada y no puede/no puede exponer las API a la red pública de Internet. Los servicios de Oracle Utilities Cloud no se pueden integrar con las API privadas de una aplicación externa. Por lo tanto, junto con la VPN, se necesitaría un proxy inverso en OCI para la integración. El proxy inverso mediaría entre los servicios de Oracle Utilities Cloud y la aplicación externa a través de la VPN. El nombre de DNS debe estar en "allowlist" para que la aplicación SaaS pueda realizar una llamada al proxy inverso.
  • Exponga las API mediante el intercambio de tráfico público de FastConnect, en cuyo caso no se necesitaría ningún proxy inverso. FastConnect permite conectarse a Oracle Cloud Infrastructure a través de una línea privada dedicada del centro de datos de la aplicación externa.
  • Otra opción puede ser utilizar un software de middleware como Oracle Integration Cloud, que tiene un agente local que se puede conectar a Oracle Integration Cloud sin necesidad de configuraciones de firewall o VPN extensas.
Descripción de certificados firmados por CA

Las API de servicio web de la aplicación externa deben tener un certificado emitido por CA válido. Hay un protocolo de enlace TLS para comprobar que el certificado coincide con lo que aparece en la lista de permitidos de los servicios de Oracle Utilities Cloud y, si es correcto, los servicios de Oracle Utilities Cloud pueden publicar solicitudes salientes en la aplicación externa.

Si las API de servicio web de la aplicación externa utilizan certificados autofirmados, debe configurar las API para que soporten el certificado firmado por CA. A continuación se muestran algunos ejemplos de cómo se puede hacer esto:
  • Utilice un certificado firmado por una CA válido.
  • Utilice un proxy inverso con un certificado firmado por una CA válido en el centro de datos de la aplicación externa, que puede actuar como gateway que expone indirectamente las API de la aplicación externa. Un único proxy se puede utilizar para varios servicios web o aplicaciones, según la configuración.
  • Se puede configurar un proxy inverso en OCI con el mismo fin. En este caso, puede que se necesite VPN Connect dependiendo de si las API de servicio web de la aplicación externa son públicas o no.

Información sobre comunicaciones entrantes

Cuando llega una solicitud/comunicación a las API de servicio web de la aplicación de servicios de Oracle Utilities Cloud desde un sistema externo alojado fuera de los servicios de Oracle Utilities Cloud, la aplicación/servicio de llamada debe cumplir estos criterios:

  • Acceso a las API de servicio web de las aplicaciones de servicios de Oracle Utilities Cloud.
  • La aplicación que llama debe soportar la autenticación basada en token de IDCS o la autenticación básica a través de HTTPS.
Acceso de la aplicación externa a las API de servicio web de las aplicaciones de servicios de Oracle Utilities Cloud

Las API de servicio web para la comunicación entrante con las aplicaciones de servicios de Oracle Utilities Cloud están disponibles a través de la red pública de Internet. Si la aplicación externa puede acceder a la red pública de Internet, se debe poder acceder a las API del servicio web.

Si la aplicación o el servicio externos no tienen acceso a la red pública de Internet, se debe realizar la configuración adecuada para permitir que la aplicación externa envíe mensajes a los servicios de Oracle Utlities Cloud. A continuación, se presentan algunos ejemplos de configuraciones:
  • Proxy en el centro de datos de la aplicación externa que permite a la aplicación externa acceder a las API públicas de las aplicaciones de servicios de Oracle Utilities Cloud.
  • Utilice Oracle VPN Connect para ampliar la red privada de la aplicación externa/centro de datos a la VCN de OCI y enrutar las solicitudes a la VCN de servicios de Oracle Utilities Cloud para que la aplicación externa pueda acceder a las API.
  • Utilice FastConnect para configurar la comunicación a través de una línea privada dedicada entre el centro de datos de OCI y el centro de datos de la aplicación externa.
  • Utilice software de integración como el servicio Oracle Integration Cloud para actuar como puente entre la aplicación externa y la aplicación de servicios de Oracle Utilities Cloud.

Integrar servicios públicos mediante transferencias de archivos

Junto con la integración basada en servicios web, las aplicaciones de servicios de Oracle Utilities Cloud también soportan la integración mediante transferencias de archivos; es decir, también puede mover datos entre la aplicación de servicios de Oracle Utilities Cloud y la aplicación externa mediante la transferencia de archivos.

Normalmente, las aplicaciones de servicios de Oracle Utilities Cloud procesan archivos de entrada y de salida mediante programas por lotes mediante adaptadores de archivos incorporados a Oracle Object Storage Cloud Service. Por lo tanto, todas las transferencias de archivos entrantes y salientes solo se admiten a través de Oracle Object Storage Cloud Service. Una aplicación externa que necesite integrarse con la aplicación de servicios de Oracle Utilities Cloud mediante archivos debe tener la capacidad de transferir y extraer archivos de Oracle Object Storage Cloud Service.

Permitir comunicación entrante-saliente mediante transferencias de archivos

Los criterios/métodos para mover archivos desde y hacia la aplicación de servicios de Oracle Utilities Cloud como parte de una integración con aplicaciones externas son más o menos los mismos. Oracle Object Storage Cloud Service se debe utilizar para transferir y extraer archivos desde y hacia la aplicación de servicios de Oracle Utilities Cloud.

La aplicación externa debe poder integrarse con Oracle Object Storage Cloud Service. Oracle Object Storage Cloud Service tiene API REST disponibles en Internet pública que puede utilizar la aplicación externa para extraer o transferir archivos a Oracle Object Storage Cloud Service. Si la aplicación externa no soporta transferencias de archivos basadas en API de REST, se debe realizar una configuración de intermediario para transferir y extraer archivos del almacenamiento de objetos. A continuación se muestran algunas configuraciones de ejemplo para la integración basada en archivos, en ausencia de la capacidad de API de REST en la aplicación externa:
  • Si la aplicación externa admite transferencias de archivos basadas en SFTP, puede crear un adaptador personalizado entre el almacenamiento SFTP que utiliza la aplicación externa y Oracle Object Storage Cloud Service. El adaptador personalizado puede utilizar las API de REST de Oracle Object Storage Cloud Service para mover los archivos entre Oracle Object Storage Cloud Service y el servidor de almacenamiento SFTP.
  • Puede utilizar Managed File Transfer Cloud Service, que forma parte del servicio de SOA en la nube. Managed File Transfer Cloud Service ha incorporado adaptadores a Oracle Object Storage Cloud Service. La aplicación externa puede interactuar con Managed File Transfer Cloud Service con SFTP.
  • Utilizar Oracle Integration Cloud Service para integraciones basadas en archivos

Descripción de la Lista de Permisos

La opción de lista de permitidos permite especificar los destinos y orígenes a los que se permite la comunicación en los servicios de Oracle Utilities Cloud.

Para la comunicación de salida:

La opción de lista de permitidos permite especificar los destinos a los que se puede permitir la comunicación desde Oracle Utilities Cloud Services. De manera predeterminada, la comunicación con interfaces externas está desactivada. Puede cambiar este comportamiento agregando destinos a la lista de permitidos. La adición/eliminación de destinos se puede realizar mediante un ticket de soporte para actualizar la lista de permitidos. La siguiente información debe estar disponible en el ticket de soporte:
  • URL de DNS OR con nombre junto con la justificación de su asignación. Como ya se ha mencionado en las secciones anteriores sobre comunicación saliente:
  • Se debe utilizar el puerto SSL 443.
  • Los hosts deben tener un certificado TLS válido firmado por una autoridad de certificación pública de confianza

Para la comunicación de entrada:

La opción de lista de permitidos permite especificar los orígenes desde los que se permite la comunicación en Oracle Utilities Cloud Services. Por defecto, se permite la comunicación desde todos los orígenes con información de autenticación válida. Puede cambiar este comportamiento agregando orígenes a la lista de permitidos. La adición/eliminación de orígenes se puede realizar mediante un ticket de soporte para actualizar la lista de permitidos. Incluso puede especificar los recursos a los que tiene acceso uno o más orígenes.
  • Un origen se puede identificar por:
    • Rangos de direcciones IP definidos como bloques CIDR
    • OCID de VCN; que se utiliza solo para los orígenes que acceden a los recursos a través del gateway de servicio de OCI
    • OCID de IP y VCN; opcionalmente, puede crear y asignar nombres a grupos de bloques CIDR y/o OCID de VCN mediante el uso de un ticket de soporte.
  • Un recurso se puede identificar mediante:
    • Rutas según la aplicación. Por ejemplo: /web para aplicación web en línea; /sql para ORDS, /rest para servicios de descanso, etc.
    • Grupos de rutas que comienzan con una subruta determinada. Por ejemplo: /rest/busSvc/K1 para todos los servicios de descanso K1-owned
    • Rutas específicas. Por ejemplo: /rest/busSvc/F1-HealthCheck se puede configurar para que el juego de orígenes pueda acceder a él. Opcionalmente, puede crear y asignar un nombre a grupos de rutas mediante el uso de un ticket de soporte.
Una regla de permiso sería una asignación entre orígenes y rutas, es decir, qué orígenes/orígenes tienen acceso a qué ruta/rutas. Cada regla está formada por un grupo de rutas de acceso y uno o más orígenes que pueden acceder a ella. Hay una opción para crear y asignar un nombre a un grupo de reglas de permiso mediante el uso de un ticket de soporte.

Nota:

Para crear, actualizar o eliminar una regla de lista de permitidos, es necesario emitir un ticket de soporte.