A propos de cette architecture
Cette architecture explique comment configurer des instances Oracle Integration 3 à des fins de développement, de test et de production, et se concentre sur les aspects de sécurité d'une implémentation. Reportez-vous à "En savoir plus" à la fin de ce guide pour obtenir un lien vers Configuration d'une architecture de zone de renvoi avec Oracle Integration, qui se concentre sur les services spécifiques d'Oracle Integration 3.
Configuration de domaines d'identité OCI IAM pour votre environnement Oracle Integration 3
Description de l'illustration oi3-ss-lz.png
Vous devez dédier le domaine d'identité OCI IAM par défaut à vos administrateurs OCI, car il n'est pas destiné à une utilisation quotidienne. Le domaine d'identité OCI IAM par défaut est plutôt utilisé pour les tâches d'administration au niveau de la location OCI. Des domaines d'identité OCI IAM de développement, de test et de production supplémentaires permettent de séparer davantage les environnements nécessaires.
L'instance de domaine d'identité OCI IAM par défaut est intégrée aux services OCI, ce qui garantit que les utilisateurs et les groupes de votre organisation peuvent authentifier les ressources OCI et y accéder en fonction des stratégies d'identité configurées dans le domaine d'identité OCI IAM. L'administrateur de compte cloud est propriétaire du domaine d'identité OCI IAM par défaut et peut créer des instances de domaine d'identité OCI IAM secondaires. Dans ce cas, les instances de domaine d'identité OCI IAM de développement, de test et de production pour un déploiement Oracle Integration 3.
Le domaine d'identité OCI IAM par défaut contient les groupes créés lors du déploiement d'une zone de renvoi.
Outre les ressources créées par la zone de renvoi, vous devez également créer les groupes et les compartiments nécessaires à la gestion des instances Oracle Integration 3. La configuration permet de faire la distinction entre les administrateurs autorisés à créer et supprimer une instance Oracle Integration 3 ou à modifier le compartiment d'une instance Oracle Integration 3 et les administrateurs autorisés à arrêter, démarrer et mettre à jour des instances Oracle Integration 3. Cette configuration garantit que les personnes au niveau de l'environnement de développement, de test ou de production ne peuvent pas créer ou supprimer une instance Oracle Integration 3. Ces administrateurs peuvent uniquement démarrer, arrêter ou mettre à jour les instances de leur propre compartiment.
Configuration des domaines d'identité OCI IAM pour vos instances
Comme indiqué dans la section de présentation, afin de déployer Oracle Integration 3, vous devez configurer un ensemble de domaines d'identité OCI IAM pour vos instances Oracle Integration 3. Dans ces instances de domaine d'identité OCI IAM, vous aurez des groupes spécifiques avec différents niveaux d'autorisation.
Comprendre les conventions d' dénomination
La convention de dénomination dans les domaines d'identité OCI IAM d'un administrateur est oci-iam-id-dev, oci-iam-id-test et oci-iam-id-prod. Notez que vous pouvez personnaliser les noms et autorisations de groupe exacts de votre organisation en fonction des exigences de votre organisation et des conventions de dénomination spécifiques que vous suivez.
Créer des groupes d'utilisateurs
Dans ces instances de domaine d'identité OCI IAM, créez des groupes d'utilisateurs qui obtiendront différents niveaux de droits d'accès. Les groupes nécessaires à la réalisation du déploiement OCI sont présentés dans le tableau suivant.
| Nom de groupe | Description | Autorisations d'accès | Réf. dans les politiques pour comp. |
|---|---|---|---|
| xxx-oi3-admin-grp | Administrateurs Oracle Integration3 | Créez, supprimez et modifiez le compartiment. | xxx-oi3-admin-cmp |
| xxx-oi3- opérateur-dev-grp | Groupe d'opérateurs Oracle Integration 3 pour le développement | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-dev-cmp |
| xxx-oi3- opérateur-test-grp | Groupe d'opérateurs Oracle Integration 3 pour le test | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-test-cmp |
| xxx-oi3- opérateur-prod-grp | Groupe d'opérateurs Oracle Integration 3 pour la production | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-prod-cmp |
Architecture
Le diagramme suivant illustre l'architecture d'un déploiement Oracle Integration 3 au-dessus de la zone de renvoi OCI :
- Compartiment
Les compartiments sont des partitions logiques inter-régionales au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments afin d'organiser, de contrôler l'accès et de définir des quotas d'utilisation pour les ressources Oracle Cloud. Dans un compartiment donné, vous définissez des stratégies qui contrôlent l'accès et définissent des privilèges pour les ressources.
- Domaine d'identité OCI IAM
Identity and Access Management (IAM) utilise des domaines d'identité afin de fournir des fonctionnalités de gestion des identités et des accès, telles que l'authentification, l'accès avec connexion unique (SSO) et la gestion du cycle de vie d'identité, pour Oracle Cloud, ainsi que pour les applications Oracle et tierces, qu'il s'agisse d'applications SaaS, hébergées dans le cloud ou sur site.
- Bastion
Oracle Cloud Infrastructure Bastion fournit un accès sécurisé limité et limité dans le temps aux ressources qui n'ont pas d'adresses publiques et qui nécessitent des contrôles stricts d'accès aux ressources, tels que les machines virtuelles et Bare Metal, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE), ainsi que toute autre ressource autorisant l'accès SSH (Secure Shell Protocol). Avec le service OCI Bastion, vous pouvez activer l'accès aux hôtes privés sans déployer et gérer un hôte de saut. En outre, vous bénéficiez d'une meilleure posture de sécurité avec des droits d'accès basés sur l'identité et une session SSH centralisée, auditée et limitée dans le temps. OCI Bastion élimine la nécessité d'une adresse IP publique pour l'accès au bastion, éliminant ainsi les tracas et la surface d'attaque potentielle lors de la fourniture d'un accès à distance.
- Oracle Services Network
Oracle Services Network (OSN) est un réseau conceptuel d'Oracle Cloud Infrastructure réservé aux services Oracle. Ces services possèdent des adresses IP publiques auxquelles vous pouvez accéder par Internet. Les hôtes en dehors d'Oracle Cloud peuvent accéder à OSN en privé à l'aide d'Oracle Cloud Infrastructure FastConnect ou de VPN Connect. Les hôtes de vos réseaux cloud virtuels peuvent accéder à OSN en privé via une passerelle de service.
Présentation de la structure de compartiments
Le diagramme suivant présente la structure de compartiment pour les instances de développement, de test et de production Oracle Integration 3 déployées :
Description de l'illustration oi3-compartment-structure.png
oi3-structure-compartiment-oracle.zip
Le diagramme présente un compartiment appelé compartiment Oracle Integration 3 (à l'aide de la convention de dénomination xxx-oi3-admin-cmp, où xxx est une abréviation client en trois lettres et en minuscules). Ce compartiment est destiné aux administrateurs autorisés à créer des instances Oracle Integration 3. Dans le sous-compartiment Oracle Integration 3 Development Compartment (xxx-oi3-operator-dev-cmp), les utilisateurs disposent de droits d'accès via une appartenance à un groupe qui vous permet d'arrêter et de démarrer des instances de développement Oracle Integration 3. Les instances de test et de production sont des compartiments distincts.
Les compartiments sont mentionnés dans le tableau 1. (Voir ci-dessus)
Chaque compartiment doit disposer de stratégies configurées pour permettre aux administrateurs d'effectuer les actions sur l'instance Oracle Integration 3. Pour plus d'informations sur ces stratégies, reportez-vous à Déployer Oracle Integration 3 ci-dessous.