Documentation Oracle Cloud Infrastructure

Accès sécurisé à Fusion Applications

Contrôler l'accès réseau à Fusion Applications.

Les utilisateurs peuvent accéder à Fusion Applications à partir d'Internet tant qu'ils disposent d'informations d'identification utilisateur valides. Pour mieux contrôler l'accès à votre environnement, Fusion Applications prend en charge les options suivantes :

  • Liste de contrôle d'accès (ACL) : autorise l'accès à votre environnement uniquement à partir d'adresses IP publiques (CIDR) ou de réseaux cloud virtuels (VCN) sélectionnés à l'aide d'une liste de contrôle d'accès (ACL).
  • Accès privé à partir de réseaux sur site : autorisez l'accès à votre environnement à partir de votre réseau sur site sans passer par Internet.
  • Contrôle d'accès basé sur l'emplacement (LBAC) : permet aux utilisateurs d'accéder aux tâches et aux données en fonction de leurs rôles et des adresses IP de calcul. Cette option est configurée dans la console de sécurité Fusion Applications par un administrateur doté du rôle Responsable de la sécurité informatique. Pour plus de détails, reportez-vous à Présentation de l'accès basé sur l'emplacement.

Ces cas d'utilisation ne s'excluent pas mutuellement et peuvent être pris en charge les uns avec les autres. Par exemple, vous pouvez configurer un accès privé à partir d'un réseau sur site et fournir un accès via Internet pour les adresses IP sélectionnées. Vous pouvez également activer LBAC avec un accès privé à partir d'un environnement sur site.

Présentation de l'accès privé à partir d'un réseau sur site

Fusion Applications vous permet de définir une connectivité privée entre Fusion Applications et votre réseau sur site. A un niveau élevé, cette configuration implique :

  • Création et configuration de la connexion à partir de votre réseau sur site vers votre VCN et Fusion Applications dans OCI.

  • Mise à jour des paramètres réseau de l'environnement Fusion Applications.

Prérequis pour l'accès privé à partir d'une configuration sur site

Pour configurer l'accès privé à partir d'un réseau sur site vers Fusion Applications sur OCI, vous devez disposer des éléments suivants :

  • Une location dans Oracle Cloud Infrastructure (OCI), où votre environnement Fusion Applications est provisionné.
  • Un réseau cloud virtuel (VCN) dans votre location OCI.
  • Connexion de votre réseau sur site à votre VCN. Il existe deux façons de se connecter à partir de votre réseau sur site à votre VCN dans OCI : VPN site à site ou FastConnect.
    • VPN site à site : fournit une connexion IPSec site à site entre votre réseau sur site et votre réseau cloud virtuel (VCN). La suite de protocoles IPSec crypte les trafics IP avant que les paquets soient transférés de la source vers la destination et décrypte le trafic lorsqu'il arrive. Les instructions de cette rubrique vous guident tout au long de la configuration du VPN site à site.

      Pour plus d'informations, reportez-vous à la section VPN site à site

    • FastConnect : permet de créer une connexion privée dédiée entre votre centre de données et OCI. FastConnect offre des options de bande passante supérieure et une expérience de réseau plus fiable et homogène par rapports aux connexions Internet. Lors de la connexion via FastConnect, BGP est la seule option d'échange de routes.

      Pour plus d'informations sur sa configuration, reportez-vous aux documents FastConnect blog et documentation.

  • Vous devez avoir des limites de service pour vous permettre de provisionner le VCN et le VPN site à site (anciennement appelé VPN IPSec) ou FastConnect dans votre location.

Vous pouvez vérifier vos limites de service dans la console comme suit :

  1. Ouvrez le menu de navigation et sélectionnez Gouvernance et administration. Sous Gestion des locations, sélectionnez Limites, quotas et utilisation.
  2. En regard de Service, sélectionnez Modifier les filtres.
  3. Dans le champ Service, sélectionnez les éléments suivants pour afficher vos limites de service :
    • Limites pour VCN : sélectionnez Réseau cloud virtuel.
    • Limites pour le VPN site à site : sélectionnez VPN et affichez la limite pour IPSec Connection Count.
    • Limites pour FastConnect : sélectionnez Fast Connect.

Pour demander l'augmentation d'une limite d'assistance, reportez-vous à la rubrique Demande d'augmentation de limite d'assistance.

Etapes de configuration de la connectivité privée à l'aide d'un VPN site à site

Les étapes suivantes décrivent comment configurer une connectivité privée à l'aide d'un VPN site à site. Référencez la documentation du service OCI Networking à l'aide des valeurs spécifiques suivantes.

Créez un VCN et établissez une connexion à partir de votre réseau sur site vers votre VCN et vos applications Fusion dans OCI

  1. Créez le réseau cloud virtuel.

    Pour créer le VCN, suivez les instructions de la documentation du service Networking : Creating a VCN. Assurez-vous que le bloc CIDR IPV4 que vous entrez ne chevauche pas la plage d'adresses IP réseau sur site.

  2. Connectez le VCN au réseau sur site.

    Au cours de cette étape, vous connectez le VCN à votre réseau sur site à l'aide d'un VPN site à site. Pour atteindre la connexion, vous devez créer et attacher une passerelle de routage dynamique (DRG) au VCN et configurer le routage entre le VCN et votre réseau sur site.

    1. Créez une passerelle de routage dynamique en suivant les instructions de la rubrique Création d'un DRG.
    2. Attachez votre VCN au DRG à l'aide des instructions de la rubrique Attachement d'un VCN à un DRG.
  3. Suivez les instructions de la rubrique Configuration d'un VPN site à site pour configurer votre équipement sur site client et créer la connexion VPN site à site IPSec.
  4. Configurez le routage de transit en suivant les instructions de la rubrique : Options de routage de transit pour l'accès privé aux services Oracle. Suivez ces instructions pour configurer le routage de transit directement via les passerelles de service. Ou, si vous disposez de scénarios plus avancés, consultez les détails du routage via une adresse IP privée.

Mettre à jour les paramètres réseau de l'environnement Fusion Applications

Dans les dernières étapes, mettez à jour votre environnement Fusion Applications pour autoriser le trafic privé à partir de votre VCN. Pour bloquer l'accès à partir du réseau Internet public, vous devez vous assurer qu'aucune autre adresse IP publique n'est ajoutée à la liste de contrôle d'accès de l'environnement Fusion Applications.

En outre, Fusion Applications utilise la mise en cache basée sur le réseau CDN (Content Delivery Network) pour fournir du contenu plus rapidement aux utilisateurs. Vous devez désactiver l'accélération du contenu pour empêcher la mise en cache.

Créez la règle de contrôle d'accès pour autoriser uniquement votre VCN :

  1. Dans la page de liste Environnements, sélectionnez l'environnement avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Procédure pour répertorier les environnements.

  2. Sur la page des détails de l'environnement, sélectionnez Networking.
  3. Sous Règles de contrôle d'accès, sélectionnez Créer une règle.
  4. Pour Type de notation IP, sélectionnez Réseau cloud virtuel, puis votre VCN.
  5. Sélectionnez Créer une règle.

Désactivez le cache Internet (accélération du contenu) :

  1. Toujours dans l'onglet Networking, en regard du paramètre Cache Internet, sélectionnez Edit.
  2. Dans le panneau Accélération de contenu, désactivez la bascule.
  3. Sélectionnez Enregistrer les modifications.

Contrôle d'accès basé sur l'emplacement (LBAC) avec connectivité privée sur site

LBAC est une autre fonctionnalité que Fusion Applications fournit pour contrôler l'accès des utilisateurs aux tâches et aux données en fonction de leurs rôles et de leurs adresses IP d'ordinateur.

LBAC est configuré dans la console de sécurité Fusion Applications. Pour activer l'accès basé sur l'emplacement et rendre un rôle public, vous devez disposer du rôle Responsable de la sécurité informatique. Vous ne pouvez rendre un rôle public que lorsque l'accès basé sur l'emplacement est activé. Pour activer l'accès basé sur la localisation, vous devez enregistrer les adresses IP des ordinateurs à partir desquels les utilisateurs se connectent généralement à l'application. Vous trouverez les détails et la procédure d'activation et de désactivation de LBAC à l'adresse Présentation de l'accès basé sur l'emplacement.

Pour configurer LBAC avec une connectivité privée sur site, ouvrez une demande d'assistance avec le support client Fusion Applications.
Remarque

Si vous avez activé la prise en charge de l'adressage IPv6 dans votre environnement, vous ne devez pas activer LBAC dans le même environnement car ces deux fonctionnalités sont incompatibles. Reportez-vous à Activation de la prise en charge de IPv6.