Documentation sur Oracle Cloud Infrastructure

Limiter l'accès à une instance

Limitez les réseaux qui ont accès à votre instance Oracle Integration en configurant une liste d'autorisation (anciennement une liste blanche). Seuls les utilisateurs provenant des adresses IP spécifiques, des blocs CIDR (Clless Inter-Domain Routing) et des réseaux en nuage virtuels que vous spécifiez peuvent accéder à l'instance Oracle Integration.

Pour l'instance Oracle Integration, configurez la liste d'autorisation lorsque vous créez l'instance ou après la création de l'instance.

Option 1 pour la configuration des listes d'autorisation : Restreindre l'accès à Oracle Integration à l'aide des capacités de liste d'autorisation en libre-service

Une description de enablelist-only.png suit

Dans ce scénario, vous limitez l'accès à Oracle Integration à l'aide d'une liste d'autorisation. La liste d'autorisation restreint l'accès en fonction des paramètres suivants :

  • Adresse IP unique
  • Bloc de routage interdomaine sans classe (CIDR) (c'est-à-dire un intervalle d'adresses IP)
  • ID Oracle Cloud du réseau en nuage virtuel (OCID du VCN)

De plus, votre organisation peut disposer d'une passerelle de service. La passerelle de service permet à votre réseau en nuage virtuel (VCN) d'accéder de manière privée à Oracle Integration sans les exposer sur l'Internet public.

Seules les adresses IP et les OCID du VCN spécifiés peuvent accéder à Oracle Integration. Les utilisateurs et les systèmes qui accèdent à Oracle Integration à partir des réseaux en nuage virtuels répertoriés ont un accès complet.

Avantages

  • Configuration simple! Vous pouvez configurer votre liste d'autorisation en quelques minutes, sans avoir à créer un point d'extrémité personnalisé.
  • Tout le trafic est pris en charge, y compris le trafic REST, SOAP et autre trafic Internet.

Inconvénients

  • Les règles permettent un accès tout ou rien et ne permettent pas un contrôle plus nuancé.

    Par exemple, tout le trafic pour une adresse IP ou un intervalle particulier est autorisé, même si quelqu'un qui utilise une adresse IP autorisée transmet SQL en tant que paramètre de ligne de commande.

  • Vous êtes limité à 15 règles d'accès.

    Toutefois, un bloc CIDR ne compte qu'une seule entrée, de sorte que vous n'avez peut-être pas besoin de plus de 15 règles.

Tâches à terminer pour ce scénario

  1. Ajoutez l'OCID du VCN de votre organisation à la liste d'autorisation. Le VCN doit se trouver dans la même région qu'Oracle Integration et doit disposer d'une passerelle de service.

    Lorsque vous ajoutez l'OCID du VCN à la liste d'autorisation, toutes les ressources du VCN peuvent accéder à Oracle Integration.

  2. Pour tous les réseaux et applications partenaires, ajoutez leurs adresses IP ou leurs intervalles d'adresses à la liste d'autorisation.

    Vous avez besoin de toutes les adresses IP pour toutes les applications et tous les systèmes qui nécessitent l'accès à Oracle Integration. Veillez à prendre en compte tous les systèmes de partenaires et les applications SaaS lors de la compilation de la liste. Par exemple, si une plate-forme CRM nécessite un accès, vous devez ajouter la personne ou l'intervalle d'adresses IP de la plate-forme.

    Lorsque vous ajoutez les adresses IP ou les intervalles d'adresses à la liste d'autorisation, vous accordez un accès complet à l'interface utilisateur et aux intégrations pour votre réseau.

  3. Activez le rappel de boucle pour qu'Oracle Integration puisse s'appeler.

    Par exemple, l'activation du bouclage permet à Oracle Integration d'appeler ses propres API REST.

Option 2 pour la configuration des listes d'autorisation : Restreindre l'accès à Oracle Integration à l'aide du service Oracle Cloud Infrastructure Web Application Firewall (WAF)

Une description de Allowlist_with_waf.png suit

Ce scénario est l'option de configuration la plus puissante pour la liste d'autorisation, ce qui vous permet de créer des règles sophistiquées. Dans ce scénario, vous limitez l'accès à Oracle Integration à l'aide du service Oracle Cloud Infrastructure Web Application Firewall (WAF).

Accès à chaque élément de contrôle

La liste d'autorisation permet aux entités suivantes d'accéder à Oracle Integration :

  • WAF
  • ID Oracle Cloud du réseau en nuage virtuel (OCID du VCN)

Par conséquent, tout le trafic Internet est acheminé vers le service WAF, qui restreint l'accès en fonction des éléments suivants :

  • Adresse IP unique
  • Bloc de routage interdomaine sans classe (CIDR) (c'est-à-dire un intervalle d'adresses IP)
  • ID Oracle Cloud du réseau en nuage virtuel (OCID du VCN)
  • Règles supplémentaires que vous définissez

Si votre organisation possède une passerelle de service, celle-ci permet à votre réseau en nuage virtuel (VCN) d'accéder de manière privée à Oracle Integration sans les exposer sur l'Internet public.

Avantages

  • Le service WAF vous permet de créer des règles sophistiquées pour votre liste d'autorisation. Par exemple :
    • Si un utilisateur tente de transmettre le code SQL en tant que paramètre de ligne de commande, vous pouvez interdire la demande.
    • Vous pouvez restreindre l'accès en fonction de l'emplacement à l'aide du blocage géographique.

    Pour plus d'informations, voir Gestion des politiques WAF pour Oracle Cloud Infrastructure Web Application Firewall.

  • Tout le trafic est pris en charge, y compris le trafic REST, SOAP et autre trafic Internet.
  • La limitation de 15 règles de liste d'autorisation ne s'applique pas à ce scénario.

Inconvénients

  • Cette option est plus complexe, longue et génératrice d'erreurs que la liste d'autorisation en libre-service.
  • Vous devez créer un point d'extrémité personnalisé pour le service WAF, nécessitant un certificat de serveur et une entrée DNS.

Tâches à terminer pour ce scénario

  1. Configurez le service WAF en fonction des exigences de votre organisation.

    Voir Aperçu du pare-feu d'application Web pour Oracle Cloud Infrastructure Web Application Firewall.

  2. Configurez un point d'extrémité personnalisé pour Oracle Integration.

    Voir Configurer un point d'extrémité personnalisé pour une instance.

  3. Ajoutez les adresses IP pour le service WAF à la liste d'autorisation.

    Si votre organisation utilise Oracle Integration dans plusieurs régions, chaque région dispose de son propre WAF. Vous devez ajouter les adresses IP de tous les fichiers WAF à la liste d'autorisation.

  4. Ajoutez l'OCID du VCN de votre organisation à la liste d'autorisation. Le VCN doit se trouver dans la même région qu'Oracle Integration et doit disposer d'une passerelle de service.

    Lorsque l'OCID du VCN se trouve sur la liste d'autorisation, votre réseau en nuage virtuel ignore le service WAF.

Note

Vous n'avez pas besoin d'activer le traitement de bouclage lorsque vous utilisez le service WAF pour restreindre l'accès à Oracle Integration.

Option 3 de configuration des listes d'autorisation : Restreindre l'accès à Oracle Integration à l'aide de la passerelle d'API

Une description de Allowlist_with_api_gateway.png suit

Dans ce scénario, vous limitez l'accès à Oracle Integration à l'aide de la passerelle d'API et d'une liste d'autorisation.

Si tout le trafic vers Oracle Integration se présente sous la forme d'appels d'API REST, cette configuration répond à vos besoins. Toutefois, si vous avez du trafic sous forme d'appels d'API non REST, ce scénario peut ne pas être idéal. Vous avez du trafic sous forme d'appels non REST si votre organisation prend en charge l'une des situations suivantes :

  • Utilisateurs travaillant dans l'interface utilisateur d'Oracle Integration, y compris à l'aide de Visual Builder et de la fonction Processes.
  • Utilisateurs travaillant dans l'interface utilisateur de la console Oracle Cloud Infrastructure
  • Appels SOAP

Si vous prenez en charge des appels non REST, vous devez utiliser la liste d'autorisation Oracle Integration pour gérer cet accès. Voici pourquoi : La passerelle d'API ne vous permet pas d'ajouter des adresses IP à une liste d'autorisation.

Accès à chaque élément de contrôle

  • Tout le trafic REST provenant d'Internet est acheminé vers la passerelle d'API.

    Pour plus de détails sur les restrictions d'accès, voir Aperçu du service de passerelle d'API pour le service de passerelle d'API.

  • La liste d'autorisation permet aux entités suivantes d'accéder à Oracle Integration :
    • VCN de passerelle d'API
    • Passerelle de service, si votre organisation en a une
    • Demandes REST et SOAP
    Note

    Si vous avez besoin d'un accès Visual Builder et Processes, ce modèle permet d'ignorer la passerelle d'API.

Si votre organisation possède une passerelle de service, celle-ci permet à votre réseau en nuage virtuel (VCN) d'accéder de manière privée à Oracle Integration sans les exposer sur l'Internet public.

Avantages

Inconvénients

  • Si votre organisation utilise le serveur de fichiers, vous ne pouvez pas restreindre l'accès à l'aide de la passerelle d'API.

    Vous devez autoriser l'accès direct au serveur de fichiers.

  • Cette option est plus complexe, longue et génératrice d'erreurs que la liste d'autorisation en libre-service.
  • Si vous ne configurez pas tout exactement comme vous le souhaitez, les utilisateurs rencontrent des problèmes d'accès. Par exemple, les utilisateurs ne peuvent pas accéder à la fonction Traitements et seules les personnes du réseau interne peuvent accéder à Visual Builder.
  • Pour tout appel non REST à Oracle Integration, vous devez fournir un accès direct à l'aide de la liste d'autorisation Oracle Integration. Vous êtes limité à 15 règles d'accès pour cette liste d'autorisation.

Tâches à terminer pour ce scénario

Note

Vous devez effectuer ces étapes à la main et utiliser le format approprié, ou les utilisateurs rencontrent des problèmes d'accès.
  1. Configurez la passerelle d'API en fonction des exigences de votre organisation.

    Voir la documentation sur le service de passerelle d'API.

  2. Ajoutez l'OCID du VCN de votre organisation à la liste d'autorisation. Le VCN doit se trouver dans la même région qu'Oracle Integration.

    Lorsque l'OCID du VCN se trouve sur la liste d'autorisation, votre réseau en nuage virtuel ignore la passerelle d'API

  3. Ajouter une passerelle d'API à la liste d'autorisation.
  4. Activez le rappel de boucle pour qu'Oracle Integration puisse s'appeler.

    Par exemple, l'activation du bouclage permet à Oracle Integration d'appeler ses propres API REST.

API REST pour Allowlisting

Vous pouvez également utiliser l'API REST pour créer et modifier des allowlists. Voir /integrationInstances/{integrationInstanceId}/actions/changeNetworkEndpoint.

Préalables pour la création d'une liste d'autorisation pour Oracle Integration

Lors de la création de votre liste d'autorisation, vous devez inclure toutes les applications qui nécessitent l'accès à votre instance. Voici les informations dont vous avez besoin.

Note

Ces tâches sont requises pour Oracle Integration.

Obtenir les adresses IP sortantes pour les applications qui sont des sources d'événement

Vous devez ajouter toutes les sources d'événement, comme les événements ERP d'Oracle Fusion Applications, à la liste d'autorisation. Pour ce faire, vous devez obtenir l'adresse IP sortante des applications. Communiquez avec les fournisseurs d'applications pour obtenir les adresses IP.

Obtenir les adresses IP publiques pour les applications Oracle SaaS qui effectuent des appels HTTPS vers Oracle Integration

Les applications Oracle SaaS peuvent effectuer des appels HTTPS vers Oracle Integration selon la conception de l'intégration. Allez au menu À propos d'Oracle Integration pour obtenir l'adresse IP publique de votre instance SaaS à ajouter à la liste d'autorisation dans Oracle Integration. Voir Obtenir l'adresse IP de la passerelle NAT de l'instance Oracle Integration.

Quelques exemples :

  • Intégration à l'aide de connexions d'adaptateur SaaS pour déclencheur et callbacks
  • Lorsque l'agent de connectivité est utilisé avec un adaptateur qui effectue un sondage, par exemple pour le sondage de base de données et l'appel
  • Lorsque l'agent de connectivité est utilisé pour communiquer avec Oracle Integration

Pour une liste d'adresses IP externes par centre de données que vous pouvez ajouter à votre liste de permissions pour les appels de service Web lancés par les Applications Oracle Cloud, voir l'ID note de soutien 1903739.1 : Liste blanche IP pour les appels de service Web lancés par les Applications Oracle Cloud.

Configurer une liste d'autorisations pour votre instance

Votre liste d'autorisation peut contenir jusqu'à 15 règles pour les connexions HTTPS à l'instance Oracle Integration. Les restrictions de liste d'autorisation que vous créez s'ajoutent aux mécanismes d'autorisation standard, tels que les données d'identification de l'utilisateur, qui sont toujours en place.

  1. Se connecter à la console Oracle Cloud Infrastructure.
  2. Dans la colonne Nom d'affichage, cliquez sur l'instance à modifier.
  3. Dans la page Détails de l'instance Integration, sous Ressources en bas à gauche, sélectionnez Accès réseau.
  4. Sous l'en-tête Accès au réseau, cliquez sur Modifier.
    La boîte de dialogue Accès réseau s'affiche. Si votre liste est vide, la première règle de liste d'autorisation vide est ajoutée pour vous.
  5. Remplissez les champs en haut de la boîte :
    • Restreindre l'accès au réseau : Sélectionnez cette option pour pouvoir ajouter des règles de liste d'autorisations et les appliquer. Lorsque cette option est sélectionnée, seuls les utilisateurs des réseaux qui répondent aux paramètres configurés sont autorisés à accéder à l'instance d'intégration. Lorsque cette option n'est pas sélectionnée, il n'y a aucune règle de liste d'autorisation et il n'y a aucune restriction de réseau pour accéder à votre instance.

      Attention :

      Si vous désélectionnez Restreindre l'accès au réseau après avoir configuré les règles de liste d'autorisation, toutes les règles de liste d'autorisation configurées sont supprimées.
    • Activer le rappel : Sélectionnez cette option pour permettre à l'intégration de s'appeler elle-même.
      Note

      Si vous activez le bouclage, toute instance Oracle Integration de votre région peut appeler votre instance.

      Une boucle est nécessaire pour certains appels. Vous devez activer le bouclage pour les scénarios suivants :

      • Pour appeler une API Oracle Integration à partir d'une intégration. Utilisez une connexion REST pour appeler l'API.
      • Pour appeler votre intégration à partir d'une instance autre Oracle Integration.

      Pour appeler votre intégration à partir de votre instance Oracle Integration, vous pouvez activer le traitement de bouclage, mais nous vous recommandons d'utiliser l'appel local à la place. Si vous utilisez l'appel local pour ce scénario, vous n'avez pas besoin d'activer le bouclage. Vous n'avez pas non plus besoin de connexion lors de l'utilisation de l'appel local.

  6. Configurez vos règles d'admissibilité.
    1. Pour ajouter une règle, cliquez sur Ajouter une règle, situé sous la dernière règle de la liste. Vous devrez peut-être faire défiler l'affichage vers le bas pour voir le bouton.
    2. Dans le champ Type, sélectionnez le type de règle à configurer.
      • Adresse IP/Bloc CIDR : Configurez l'accès à partir d'une adresse IP ou d'un intervalle d'adresses IP.
      • Réseau en nuage virtuel : Configurez l'accès à partir d'un réseau en nuage virtuel spécifique. Pour afficher la liste des réseaux d'autres compartiments, cliquez sur Changer de compartiment. Outre un réseau en nuage virtuel spécifique, vous pouvez spécifier une adresse IP ou un intervalle d'adresses IP dans le réseau en nuage virtuel.
      • OCID du réseau en nuage virtuel : Permet d'accéder à un ID Oracle Cloud (OCID) du réseau en nuage virtuel. Pour des informations sur le format des OCID, voir Identificateurs de ressource.
  7. Après avoir ajouté toutes les règles souhaitées à la liste d'autorisation, cliquez sur Enregistrer les modifications.
    The work request is submitted and the changes go into effect when the instance status changes to Active. In the instance details, under Integration Instance Information, you'll also notice Network Access: Restricted.