Documentation Oracle Cloud Infrastructure

Accès à Oracle APEX, à Oracle REST Data Services et aux outils de base de données intégrés à l'aide d'une URL personnalisée

Par défaut, l'accès aux applications Oracle APEX, aux adresses REST et aux outils de base de données intégrés sur Autonomous AI Database se fait par le biais du nom de domaine oraclecloudapps.com. Vous pouvez éventuellement configurer une URL personnalisée (c'est-à-dire un domaine personnalisé) plus pertinente pour votre organisation ou votre projet.

Pour cela, vous devez d'abord acquérir le nom de domaine souhaité et le certificat SSL correspondant auprès du fournisseur de votre choix.

Rubrique parent : Création d'applications avec Oracle APEX dans la base de données Autonomous AI

Activation d'une URL personnalisée sur votre base de données membre de pool élastique

Avec un nom de domaine et un certificat enregistrés disponibles, pour une base de données dans un pool élastique, vous pouvez facilement activer une URL personnalisée sur votre base de données Autonomous AI et configurer un domaine personnalisé d'URL personnalisée pour votre instance Autonomous AI Database à l'aide d'une passerelle d'API.

Remarque

  • Les URL personnalisées sont prises en charge par les passerelles d'API OCI qui utilisent des adresses HTTP, mais pas par des adresses TCP telles que MongoDB et SQLNET.
  • L'outil Oracle Machine Language (OML) ne prend pas en charge l'URL personnalisée.

Rubrique parent : Accès à Oracle APEX, à Oracle REST Data Services et aux outils de base de données intégrés à l'aide d'une URL personnalisée

Inscrire votre passerelle d'API auprès de votre DNS

Ce chapitre souligne l'importance de la configuration d'Oracle Cloud Infrastructure (OCI) Domain Name System (DNS) dans la configuration d'une URL personnalisée.

La configuration du DNS pour qu'il pointe vers une passerelle d'API Oracle Cloud Infrastructure (OCI) est nécessaire pour activer une URL personnalisée car DNS est le système qui traduit le nom de domaine personnalisé convivial (par exemple, api.mycompany.com) en adresse IP de l'adresse de passerelle d'API OCI réelle. Sans la configuration du DNS, le domaine personnalisé ne sera pas résolu sur l'adresse IP publique de la passerelle d'API OCI et les utilisateurs ne pourront pas atteindre vos API OCI à l'aide de l'URL personnalisée.

La configuration DNS comprend trois composants principaux :
  • Propriété et vérification du domaine :

    Un domaine de vanité nécessite une preuve de propriété. Le domaine doit être enregistré auprès d'un registraire de domaine autorisé et vous devez disposer d'un contrôle administratif pour gérer ses enregistrements DNS. Ainsi, seuls les propriétaires légitimes peuvent mettre en correspondance leur domaine personnalisé (par exemple, examplehost.com) avec l'adresse OCI API Gateway.

  • Certificats TLS pour HTTPS :

    Les passerelles d'API OCI étant sécurisées avec TLS (Transport Layer Security), un certificat TLS est obligatoire. Si vous utilisez le domaine par défaut (généré automatiquement) d'Oracle, Oracle provisionne et tient à jour automatiquement un certificat. Toutefois, lorsque vous utilisez un domaine personnalisé, vous devez fournir votre propre certificat TLS obtenu auprès d'une autorité de certification (CA) sécurisée. Ce certificat lie votre domaine personnalisé à la passerelle, ce qui permet une communication chiffrée et garantit la confiance du client.

    Il existe deux approches :

    • Utilisez un certificat géré par Oracle via le service OCI Certificates (auto-émis ou importé à partir d'une autorité de certification).

    • Chargez votre propre certificat personnalisé, ainsi que la clé privée et tous les certificats intermédiaires.

  • Configuration d'enregistrement DNS :

    Une fois la passerelle d'API OCI et le certificat TLS configurés, vous devez configurer le DNS afin que le domaine personnalisé soit résolu en adresse publique de la passerelle.

    Sans ce processus, les demandes entrantes vers votre domaine personnalisé n'atteindraient pas la passerelle.

Le DNS est comme un pont entre votre domaine personnalisé et l'infrastructure OCI API Gateway sous-jacente. Pour que votre URL personnalisée soit accessible et fonctionnelle, vous devez pointer vos enregistrements DNS vers API Gateway.

Etapes de configuration du DNS pour OCI API Gateway

Pour configurer DNS de sorte qu'il pointe vers une passerelle d'API OCI, vous devez effectuer les étapes suivantes impliquant la propriété de domaine, les certificats TLS et la configuration des enregistrements DNS.

Prérequis :
  • Vous devez posséder un nom de domaine enregistré (qu'il soit géré dans OCI DNS ou un fournisseur DNS externe) avant de commencer la configuration.
  • Vous devez vous procurer un certificat TLS pour votre domaine personnalisé auprès d'une autorité de certification tierce ou via le service de certificats OCI.
  1. Créer et télécharger un certificats TLS personnalisés :

    • Générez une demande de signature de certificat (CSR) pour votre domaine, y compris votre nom de domaine qualifié complet.

    • Utilisez le service OCI Certificates ou une autorité de certification tierce pour émettre le certificat.
    • Importez ce certificat et cette clé privée dans OCI en tant que ressource de certificat.

    Pour plus d'informations, reportez-vous à Configuration de domaines personnalisés et de certificats TLS.

  2. Créer une passerelle d'API dans OCI :

    • Accédez à Services de développeur > Passerelle d'API dans la console OCI.

    • Créez une passerelle avec vos certificats TLS sur le sous-réseau public approprié de VCN.

    Après la création, notez le fichier API Gateway OCID ID généré automatiquement par OCI.

    Pour plus de détails, reportez-vous à Création d'une passerelle d'API.

  3. Configurer des enregistrements DNS pour votre domaine :
    • Accédez à votre système de gestion DNS (service DNS OCI ou fournisseur DNS externe tel que la route 53) pour configurer votre correspondance DNS personnalisée avec l'adresse IP publique de la passerelle d'API OCI.

    Ainsi, le trafic entrant de votre domaine personnalisé est résolu vers votre adresse IP publique OCI API Gateway.

    Après la propagation DNS, vous pouvez accéder à l'URL personnalisée (https://examplehost.com) et confirmer son acheminement vers l'adresse IP publique de la passerelle d'API OCI.

Vous pouvez également configurer une URL personnalisée pour la base de données Autonomous AI à partir de la console de service Oracle Cloud Infrastructure pour les utilisateurs Elastic Pool.

Activation du principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure

Effectuez les étapes suivantes pour activer le principal de ressource sur la base de données Autonomous AI. Cela permet à la base de données d'authentifier les ressources OCI et d'y accéder en toute sécurité.

Vous devez au préalable configurer des groupes et des stratégies dynamiques. Pour plus d'informations, reportez-vous à Exécution des prérequis pour l'utilisation du principal de ressource avec la base de données Autonomous AI.

Pour activer un principal de ressource sur une base de données Autonomous AI, procédez comme suit :

  1. En tant qu'utilisateur ADMIN, activez le principal de ressource pour l'instance de base de données Autonomous AI.

    Par exemple :

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL();

PL/SQL procedure successfully completed.
    Pour plus d'informations, reportez-vous à Procédure ENABLE_RESOURCE_PRINCIPAL.

    Les informations d'identification OCI$RESOURCE_PRINCIPAL sont ainsi créées.

  2. (Facultatif) Cette étape n'est requise que si vous souhaitez accorder l'accès aux informations d'identification de principal de ressource à un utilisateur de base de données autre que l'utilisateur ADMIN. En tant qu'utilisateur ADMIN, activez le principal de ressource pour un utilisateur de base de données spécifié.

    Par exemple :

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user');

PL/SQL procedure successfully completed.

    L'utilisateur adb_user peut ainsi accéder aux informations d'identification OCI$RESOURCE_PRINCIPAL.

    Si vous voulez que l'utilisateur indiqué dispose de privilèges permettant d'activer le principal de ressource pour d'autres utilisateurs, définissez le paramètre grant_option sur TRUE.

    Par exemple :

    BEGIN
DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(
     username => 'adb_user',
     grant_option => TRUE);
END;
/

    Après avoir exécuté cette commande, adb_user peut activer le principal de ressource pour un autre utilisateur. Par exemple, si vous connectez-vous en tant que adb_user, vous pouvez exécuter la commande suivante : 

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user2');
    Pour plus d'informations, reportez-vous à Procédure ENABLE_RESOURCE_PRINCIPAL.
  3. Vérifiez que les informations d'identification du principal de ressource sont activées.

    Par exemple, lorsque l'utilisateur ADMIN interroge la vue DBA_CREDENTIALS : 

    SELECT owner, credential_name FROM dba_credentials 
        WHERE credential_name = 'OCI$RESOURCE_PRINCIPAL' AND owner = 'ADMIN'; 

OWNER  CREDENTIAL_NAME
-----  ----------------------
ADMIN  OCI$RESOURCE_PRINCIPAL

    Par exemple, en tant qu'utilisateur non-ADMIN, interrogez la vue ALL_TAB_PRIVS : 

    SELECT grantee, table_name, grantor FROM ALL_TAB_PRIVS
   WHERE grantee = 'ADB_USER' 
        AND table_name = 'OCI$RESOURCE_PRINCIPAL' 
        AND table_schema = 'ADMIN';

GRANTEE   TABLE_NAME                GRANTOR
--------- -----------------------   -------------
ADB_USER  OCI$RESOURCE_PRINCIPAL    ADMIN

L'activation du principal de ressource sur une instance de base de données Autonomous AI est une opération unique. Vous n'avez pas besoin d'activer à nouveau le principal de ressource, sauf si vous exécutez DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL pour désactiver le principal de ressource.

Stratégie IAM pour configurer une URL personnalisée

Avant de configurer une URL personnalisée pour votre instance de base de données Autonomous AI sur votre base de données membre de pool élastique, vous devez accorder des droits d'accès à la base de données pour gérer les déploiements OCI API Gateway

Pour créer des stratégies d'accès sur Oracle Cloud Infrastructure (OCI) en tant qu'administrateur de location, procédez comme suit :
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies.
  2. Cliquez sur Créer une stratégie.
  3. Dans la fenêtre Créer un stratégie, saisissez un nom (par exemple, IntegrationGroupPolicy) et une description.
  4. Dans Générateur de stratégies, sélectionnez Afficher l'éditeur manuel et entrez les instructions de stratégie requises.
    Syntaxe standard permettant à un groupe de gérer les déploiements API Gateway :

    • Autoriser l'ID de groupe dynamique <dynamic group ocid> à gérer les déploiements d'API dans le compartiment <compartment name>

    • Autoriser l'ID de groupe dynamique <dynamic group ocid> à utiliser des passerelles d'API dans le compartiment <compartment name>

    Exemple :
    • Autoriser l'ID de groupe dynamique ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq à gérer les déploiements d'API dans le compartiment adwtoolsqa
    • Autoriser l'ID de groupe dynamique ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq à utiliser des passerelles d'API dans le compartiment adwtoolsqa

    Cette instruction de stratégie permet au groupe ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq du domaine d'administration de gérer et d'utiliser les déploiements de passerelle d'API OCI dans le compartiment adwtoolsqa.

    Remarque

    • Lorsque vous définissez des instructions de stratégie, vous pouvez spécifier des verbes (comme ceux utilisés dans ces étapes) ou des droits d'accès (généralement employés par les superutilisateurs).

    • Pour plus d'informations sur les stratégies, reportez-vous aux sections suivantes :

      Fonctionnement des stratégies et Référence de stratégie dans la documentation Oracle Cloud Infrastructure.

  5. Vérifiez et créez la stratégie.

Les instructions de stratégie sont validées et les erreurs de syntaxe sont affichées.

Activation d'une URL personnalisée sur votre base de données membre de pool élastique

Suivez ces instructions pour configurer une URL personnalisée pour votre instance de base de données Autonomous AI à l'aide de la console de service Oracle Cloud Infrastructure.

  1. Sur la page Détails de la base de données Autonomous AI, dans la liste déroulante Actions supplémentaires, sélectionnez Activer l'URL personnalisée.
  2. Dans la boîte de dialogue Configurer l'URL personnalisée pour les outils de base de données, sélectionnez Utiliser l'URL personnalisée.
  3. Sélectionnez le compartiment de votre passerelle d'API OCI.
  4. Sélectionnez API Gateway dans la liste des noms de passerelle d'API OCI auxquels vous avez accès.
  5. Indiquez le nom de domaine personnalisé complet qui doit apparaître dans l'URL et qui est inscrit auprès du DNS.

    Par exemple, entrez examplehost.com.


    Description de l'image adb_configure_vanity_url.png
    Description de l'illustration adb_configure_vanity_url.png

    Cliquez sur Configurer.

    Une fois la configuration effectuée, l'onglet Configuration de l'outil de la page Détails de la base de données Autonomous AI affiche un nouveau champ nommé URL Vanity, ainsi que des champs d'URL Vanity supplémentaires sous Oracle APEX et Database Actions.


    Description de l'image adb-vanity-url-tool-configuration.png
    Description de l'exemple : adb-vanity-url-tool-configuration.png

    Vous pouvez accéder aux applications utilisateur final et aux outils de développement tels qu'Oracle APEX et Database Actions à l'aide de votre nom de domaine personnalisé ou de votre URL d'accès public/privé en fonction de votre accès au réseau de base de données.

Activation d'une URL personnalisée sur votre base de données de pool non élastique à l'aide d'un proxy inverse

Pour une base de données qui ne fait pas partie d'un pool élastique, vous pouvez déployer manuellement un équilibreur de charge Oracle Cloud Infrastructure Load Balancer dans votre réseau cloud virtuel (VCN) en utilisant votre base de données d'IA autonome en tant que back-end.

Votre instance de base de données Autonomous AI doit être configurée avec une adresse privée dans le même VCN. Pour plus d'informations, reportez-vous à la section Configure Network Access with Private Endpoints.

Pour plus d'informations sur l'activation d'une URL personnalisée pour une base de données hors d'un pool élastique, reportez-vous aux publications suivantes :