Implantación de control de acceso detallado Oracle Integration
Implante un modelo de control de acceso detallado para Oracle Integration para escenarios en los que se necesite un control preciso y basado en roles sobre el acceso a las integraciones, ya sea por tipo de integración, entorno o responsabilidades de usuario específicas.
Utilice esta arquitectura al implantar la gobernanza empresarial y garantizar un acceso seguro y segmentado alineado con las políticas operativas y de cumplimiento de su organización.
Al aprovechar el gateway de API de Oracle Cloud Infrastructure (OCI) junto con una función de autorizador personalizada (normalmente implantada mediante OCI Functions), esta arquitectura permite la autorización centralizada y dinámica para todas las llamadas de API enrutadas a Oracle Integration. Este patrón desacopla la lógica de autenticación y autorización de los servicios individuales, lo que garantiza la coherencia y la reutilización en todo el panorama de la integración.
Componentes clave:
- Oracle Integration
Aloja los puntos finales de REST de destino que exponen los procesos de negocio, las integraciones o las API personalizadas.
- Gateway de API de OCI
Actúa como proxy inverso para las solicitudes de cliente y las direcciona de forma segura a los puntos finales de Oracle Integration adecuados. También se integra con la función de autorizador para aplicar el control de acceso basado en OAuth.
- Función de autorizador personalizada (Funciones de OCI)
Una función sin servidor responsable de:
- Validación de tokens de acceso OAuth 2.0 emitidos por un proveedor de identidad (como Oracle Identity Cloud Service o cualquier proveedor OAuth de terceros).
- Evaluando los ámbitos personalizados embebidos en el token para determinar si el solicitante tiene los permisos necesarios para llamar a la API de destino.
- Devolviendo una decisión de autorización al gateway de API de OCI, que permite o bloquea la solicitud según el resultado.
Arquitectura
Esta arquitectura describe un modelo de control de acceso detallado para Oracle Integration.
Detalles de la arquitectura:
- OCI API Gateway dispara OCI Functions, que actúa como un autorizador personalizado para manejar la lógica de autorización para la solicitud entrante. Esta solicitud incluye un token de acceso destinado a otorgar acceso a Oracle Integration.
- La función de autorizador realiza los siguientes pasos:
- Extrae el token de la solicitud y lo utiliza para consultar OCI Vault para las credenciales confidenciales, como el ID de cliente y el secreto de cliente.
- Con estas credenciales, la función valida el token con Oracle Identity Cloud Service (IDCS) para garantizar su autenticidad e integridad.
- Si el token es válido, la función devuelve una respuesta que contiene detalles clave como:
- Estado de validez de token
- Principal (identidad de usuario)
- ID de cliente y secretos de cliente
- Ámbito de acceso
- A continuación, OCI API Gateway utiliza el ámbito en esta respuesta para verificar el ámbito del token en el nivel de acceso necesario para la integración de Oracle Integration.
Si el ámbito coincide, Gateway de API de OCI reenvía la solicitud original a la API de Oracle Integration, que está protegida por una lista de permitidos, ahora enriquecida con cabeceras de autorización validadas, lo que permite que el flujo de integración continúe de forma segura.
El siguiente diagrama ilustra esta arquitectura de referencia.
oracle-integration-rest-oauth-diagram-oracle.zip
La arquitectura tiene los siguientes componentes:
- Región
Una región de OCI es un área geográfica localizada que contiene uno o más centros, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y pueden haber grandes distancias que las separan (entre países o incluso continentes).
- Red virtual en la nube (VCN) y subredes
Una VCN es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las Redes de los Centros de Datos Tradicionales, las Redes Virtuales le proporcionan el control sobre su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Gateway de API
Oracle Cloud Infrastructure API Gateway permite publicar API con puntos finales privados a los que se puede acceder desde la red y que, si es necesario, se pueden exponer a la red pública de Internet. Los puntos finales soportan las validaciones de API, las transformaciones de solicitud y respuesta, CORS, la autenticación y autorización, y la limitación de solicitudes.
- Funciones
Oracle Cloud Infrastructure Functions es una plataforma de funciones como servicio (FaaS) totalmente gestionada, multiinquilino, altamente escalable y a demanda. Se basa en el motor de código abierto Fn Project. OCI Functions le permite desplegar su código y llamarlo directamente o dispararlo en respuesta a eventos. OCI Functions utiliza contenedores de Docker alojados en Oracle Cloud Infrastructure Registry.
- Integración
Oracle Integration es un entorno preconfigurado y totalmente gestionado que permite integrar aplicaciones en la nube y locales, automatizar procesos de negocio y desarrollar aplicaciones visuales. Utiliza un servidor de archivos compatible con SFTP para almacenar y recuperar archivos y permite intercambiar documentos con partners comerciales de empresa a empresa mediante una cartera de cientos de adaptadores y recetas para conectarse con aplicaciones de Oracle y de terceros.
- Gestión de identidad y acceso
Oracle Cloud Infrastructure Identity and Access Management (IAM) proporciona control de acceso de usuario para OCI y Oracle Cloud Applications. La API de IAM y la interfaz de usuario le permiten gestionar los dominios de identidad y los recursos que contienen. Cada dominio de identidad de OCI IAM representa una solución de gestión de identidad y acceso independiente o un grupo de usuarios diferente.
- Oracle Cloud Infrastructure Vault
Oracle Cloud Infrastructure Vault permite crear y gestionar de forma centralizada las claves de cifrado que protegen los datos y las credenciales secretas que utiliza para proteger el acceso a los recursos en la nube. La gestión de claves por defecto son las claves gestionadas por Oracle. También puede utilizar claves gestionadas por el cliente que utilizan OCI Vault. OCI Vault ofrece un juego enriquecido de API de REST para gestionar almacenes y claves.
Explorar más
Obtenga más información sobre las integraciones de Oracle Integration.
Revise estos recursos adicionales:
- Visión general de API Gateway en la documentación de Oracle Cloud Infrastructure
- Oracle Integration 3
- Configuración de OAuth en la documentación de Oracle Cloud Infrastructure
- Validación de tokens para agregar autenticación y autorización a despliegues de API en la documentación de Oracle Cloud Infrastructure
- Estimador de costos de Oracle Cloud
- Documentación deOracle Cloud Infrastructure
- Marco bien diseñado para Oracle Cloud Infrastructure