Mettre en oeuvre le contrôle d'accès de niveau fin Oracle Integration
Mettez en oeuvre un modèle de contrôle d'accès détaillé pour Oracle Integration pour les scénarios où un contrôle précis basé sur les rôles sur l'accès aux intégrations est nécessaire, que ce soit par type d'intégration, environnement ou responsabilités d'utilisateur spécifiques.
Utilisez cette architecture lors de la mise en œuvre d'une gouvernance adaptée à l'entreprise et pour assurer un accès sécurisé et segmenté, aligné sur les politiques opérationnelles et de conformité de votre organisation.
En tirant parti de la passerelle d'API Oracle Cloud Infrastructure (OCI) en conjonction avec une fonction d'autorisation personnalisée (généralement mise en oeuvre à l'aide du service Fonctions OCI), cette architecture permet une autorisation centralisée et dynamique pour tous les appels d'API acheminés vers Oracle Integration. Ce modèle dissocie la logique d'authentification et d'autorisation des services individuels, assurant la cohérence et la réutilisabilité dans l'ensemble du paysage de l'intégration.
Composants clés :
- Oracle Integration
Héberge les points d'extrémité REST cibles qui exposent les processus d'affaires, les intégrations ou les API personnalisées.
- Passerelle d'API OCI
Agit en tant que mandataire inverse pour les demandes de client, les acheminant en toute sécurité vers les points d'extrémité Oracle Integration appropriés. Il s'intègre également à la fonction d'autorisation pour appliquer le contrôle d'accès basé sur OAuth.
- Fonction d'autorisation personnalisée (Fonctions OCI)
Fonction sans serveur chargée de :
- Validation des jetons d'accès OAuth 2.0 émis par un fournisseur d'identités (par exemple, Oracle Identity Cloud Service ou tout fournisseur tiers OAuth).
- Évaluation des étendues personnalisées intégrées dans le jeton pour déterminer si le demandeur dispose des autorisations nécessaires pour appeler l'API cible.
- Retour d'une décision d'autorisation à la passerelle d'API OCI, qui autorise ou bloque la demande en fonction du résultat.
Architecture
Cette architecture décrit un modèle de contrôle d'accès détaillé pour Oracle Integration.
Détails de l'architecture :
- Le service de passerelle d'API OCI déclenche le service Fonctions OCI, qui agit en tant qu'approbateur personnalisé pour gérer la logique d'autorisation de la demande entrante. Cette demande comprend un jeton d'accès destiné à accorder l'accès à Oracle Integration.
- La fonction d'autorisation effectue les opérations suivantes :
- Il extrait le jeton de la demande et l'utilise pour interroger le service Chambre forte OCI à la recherche de données d'identification sensibles telles que l'ID client et la clé secrète client.
- À l'aide de ces données d'identification, la fonction valide le jeton par rapport à Oracle Identity Cloud Service (IDCS) pour en assurer l'authenticité et l'intégrité.
- Si le jeton est valide, la fonction retourne une réponse contenant des détails de clé tels que :
- Statut de validité du jeton
- Principal (identité de l'utilisateur)
- ID client et clé secrète client
- Portée de l'accès
- La passerelle d'API OCI utilise ensuite l'étendue dans cette réponse pour vérifier l'étendue du jeton par rapport au niveau d'accès requis pour l'intégration Oracle Integration.
Si la portée correspond, le service Passerelle d'API OCI transmet la demande initiale à l'API Oracle Integration, qui est protégée par une liste d'autorisation, maintenant enrichie d'en-têtes d'autorisation validés, ce qui permet au flux d'intégration de continuer en toute sécurité.
Le diagramme suivant illustre cette architecture de référence.
oracle-integration-rest-oauth-diagram-oracle.zip
L'architecture comporte les composants suivants :
- Région
Une région OCI est une zone géographique localisée qui contient un ou plusieurs centres de données, des domaines de disponibilité d'hébergement. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent les séparer (à travers les pays ou même les continents).
- Réseau en nuage virtuel (VCN) et sous-réseaux
Un VCN est un réseau défini par logiciel personnalisable que vous configurez dans une région OCI. Comme les réseaux de centre de données traditionnels, les réseaux en nuage virtuels vous permettent de contrôler votre environnement de réseau. Un VCN peut disposer de plusieurs blocs de routage inter-domaine (CIDR) sans chevauchement que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Un sous-réseau est constitué d'un intervalle contigu d'adresses qui ne chevauchent pas les autres sous-réseaux dans le réseau en nuage virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.
- Passerelle d'API
Le service Passerelle d'API pour Oracle Cloud Infrastructure API Gateway vous permet de publier des API avec des points d'extrémité privés accessibles à partir de votre réseau et que vous pouvez exposer au réseau Internet public si nécessaire. Les points d'extrémité prennent en charge la validation, la transformation des demandes et des réponses, la CORS, l'authentification et l'autorisation, ainsi que la limitation des demandes pour les API.
- Fonctions
Oracle Cloud Infrastructure Functions est une plate-forme de fonctions-service (FaaS) entièrement gérée, multilocataire, hautement évolutive et sur demande. Il est propulsé par le moteur open source Fn Project. Le service Fonctions pour OCI vous permet de déployer votre code et de l'appeler directement ou de le déclencher en réponse à des événements. Le service Service des fonctions pour OCI utilise des conteneurs Docker hébergés dans Oracle Cloud Infrastructure Registry.
- Intégration
Oracle Integration est un environnement préconfiguré entièrement géré qui vous permet d'intégrer des applications en nuage et sur place, d'automatiser les processus d'affaires et de développer des applications visuelles. Il utilise un serveur de fichiers conforme à SFTP pour stocker et extraire des fichiers et vous permet d'échanger des documents avec des partenaires commerciaux d'affaires à l'aide d'un portefeuille de centaines d'adaptateurs et de recettes pour vous connecter à des applications Oracle et tierces.
- Gestion des identités et des accès
Le service Oracle Cloud Infrastructure Identity and Access Management (IAM) fournit un contrôle d'accès utilisateur pour OCI et Oracle Cloud Applications. L'API IAM et l'interface utilisateur vous permettent de gérer les domaines d'identité et les ressources qu'ils contiennent. Chaque domaine d'identité OCI IAM représente une solution autonome de gestion des identités et des accès ou une population d'utilisateurs différente.
- Oracle Cloud Infrastructure Vault
Oracle Cloud Infrastructure Vault vous permet de créer et de gérer de manière centralisée les clés de chiffrement qui protègent vos données et les données d'identification de clé secrète que vous utilisez pour sécuriser l'accès à vos ressources dans le nuage. La gestion des clés par défaut est les clés gérées par Oracle. Vous pouvez également utiliser des clés gérées par le client qui utilisent le service Chambre forte OCI. Le service de chambre forte pour OCI offre un jeu étoffé d'API REST pour gérer les chambres fortes et les clés.
Informations complémentaires
En savoir plus sur les intégrations d'Oracle Integration.
Vérifiez ces ressources supplémentaires :
- Aperçu du service de passerelle d'API dans la documentation sur Oracle Cloud Infrastructure
- Oracle Integration 3
- Configuration de OAuth dans la documentation sur Oracle Cloud Infrastructure
- Validation de jetons pour ajouter l'authentification et l'autorisation aux déploiements d'API dans la documentation sur Oracle Cloud Infrastructure
- Estimateur de coûts d'Oracle Cloud
- Documentation sur Oracle Cloud Infrastructure
- Cadre structuré pour Oracle Cloud Infrastructure