Implémenter le contrôle d'accès détaillé Oracle Integration
Implémentez un modèle de contrôle d'accès de niveau fin pour Oracle Integration pour les scénarios dans lesquels un contrôle précis et basé sur les rôles de l'accès aux intégrations est nécessaire, que ce soit par type d'intégration, environnement ou responsabilités utilisateur spécifiques.
Utilisez cette architecture lors de la mise en œuvre d'une gouvernance d'entreprise et de la garantie d'un accès sécurisé et segmenté aligné sur les politiques opérationnelles et de conformité de votre entreprise.
En tirant parti de la passerelle d'API Oracle Cloud Infrastructure (OCI) conjointement avec une fonction d'autorisation personnalisée (généralement implémentée à l'aide d'OCI Functions), cette architecture permet une autorisation centralisée et dynamique pour tous les appels d'API acheminés vers Oracle Integration. Ce modèle dissocie la logique d'authentification et d'autorisation des services individuels, garantissant ainsi la cohérence et la réutilisabilité dans l'environnement d'intégration.
Composants clés:
- Oracle Integration
Héberge les adresses REST cible qui exposent les processus métier, les intégrations ou les API personnalisées.
- Passerelle d'API OCI
agit en tant que proxy inverse pour les demandes client, en les acheminant en toute sécurité vers les adresses Oracle Integration appropriées. Il s'intègre également à la fonction d'autorisation pour appliquer le contrôle d'accès basé sur OAuth.
- Fonction d'autorisation personnalisée (Fonctions OCI)
Fonction sans serveur responsable des éléments suivants :
- Validation des jetons d'accès OAuth 2.0 émis par un fournisseur d'identités (par exemple, Oracle Identity Cloud Service ou tout fournisseur OAuth tiers).
- Evaluation des portées personnalisées intégrées au jeton pour déterminer si le demandeur dispose des droits d'accès nécessaires pour appeler l'API cible.
- Renvoi d'une décision d'autorisation à la passerelle d'API OCI, qui autorise ou bloque la demande en fonction du résultat.
Architecture
Cette architecture décrit un modèle de contrôle d'accès de niveau fin pour Oracle Integration.
Détails de l'architecture :
- OCI API Gateway déclenche des fonctions OCI, qui agissent en tant qu'autorisateur personnalisé pour gérer la logique d'autorisation de la demande entrante. Cette demande inclut un jeton d'accès destiné à accorder l'accès à Oracle Integration.
- La fonction d'autorisation effectue les opérations suivantes :
- Il extrait le jeton de la demande et l'utilise pour interroger OCI Vault afin d'obtenir des informations d'identification confidentielles telles que l'ID client et la clé secrète client.
- A l'aide de ces informations d'identification, la fonction valide le jeton par rapport à Oracle Identity Cloud Service (IDCS) pour garantir son authenticité et son intégrité.
- Si le jeton est valide, la fonction renvoie une réponse contenant des détails de clé tels que :
- Statut de validité du jeton
- Principal (identité de l'utilisateur)
- ID client et clé privée du client
- Portée de l'accès
- La passerelle d'API OCI utilise ensuite la portée dans cette réponse pour vérifier la portée du jeton par rapport au niveau d'accès requis pour l'intégration Oracle Integration.
Si la portée correspond, la passerelle d'API OCI transmet la demande d'origine à l'API Oracle Integration qui est protégée par une liste d'autorisation, désormais enrichie d'en-têtes d'autorisation validés, ce qui permet au flux d'intégration de se poursuivre en toute sécurité.
Le schéma suivant illustre cette architecture de référence.
oracle-integration-rest-oauth-diagram-oracle.zip
L'architecture comporte les composants suivants :
- Région
Une région OCI est une zone géographique précise qui contient des centres de données, hébergeant des domaines de disponibilité. Les régions sont indépendantes les une des autres et peuvent les séparer d'un pays ou d'un continent à l'autre par de grandes distances.
- Réseau cloud virtuel (VCN) et sous-réseaux
Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région OCI. Comme les Réseaux de centre de données traditionnels, les Réseaux cloud virtuels vous donnent un contrôle sur l'environnement réseau. Un VCN peut comporter plusieurs blocs de routage interdomaine sans classe (CIDR) qui ne se chevauchent pas et que vous pouvez modifier une fois le VCN créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.
- API Gateway
Oracle Cloud Infrastructure API Gateway vous permet de publier des API avec des adresses privées accessibles à partir de votre réseau, et que vous pouvez exposer au réseau Internet public si nécessaire. Les adresses prennent en charge la validation d'API, la transformation des demandes et des réponses, la spécification CORS, l'authentification et l'autorisation, ainsi que l'autorisation des demandes.
- Fonctions
Oracle Cloud Infrastructure Functions est une plate-forme de fonctions en tant que service (FaaS) entièrement gérée, colocative, hautement évolutive et à la demande. Il est optimisé par le moteur open source du projet Fn. OCI Functions vous permet de déployer votre code, l'appeler directement ou le déclencher en réponse à des événements. OCI Functions utilise des conteneurs Docker hébergés dans Oracle Cloud Infrastructure Registry.
- Intégration
Oracle Integration est un environnement entièrement géré et préconfiguré qui vous permet d'intégrer des applications cloud et sur site, d'automatiser les processus métier et de développer des applications visuelles. Il utilise un serveur de fichiers compatible SFTP pour stocker et extraire des fichiers et vous permet d'échanger des documents avec des partenaires commerciaux professionnels en utilisant un portefeuille de centaines d'adaptateurs et de recettes pour vous connecter à des applications Oracle et tierces.
- Gestion des identités et des informations
Oracle Cloud Infrastructure Identity and Access Management (IAM) fournit un contrôle d'accès utilisateur pour OCI et Oracle Cloud Applications. L'API IAM et l'interface utilisateur vous permettent de gérer les domaines d'identité et les ressources qu'ils contiennent. Chaque domaine d'identité OCI IAM représente une solution autonome de gestion des identités et des accès ou une population d'utilisateurs différente.
- Oracle Cloud Infrastructure Vault
Oracle Cloud Infrastructure Vault vous permet de créer et de gérer de manière centralisée les clés de cryptage qui protègent vos données et les informations d'identification de clé secrète que vous utilisez pour sécuriser l'accès à vos ressources dans le cloud. La gestion des clés par défaut est celle des clés gérées par Oracle. Vous pouvez également utiliser des clés gérées par le client qui utilisent OCI Vault. OCI Vault offre un riche ensemble d'API REST permettant de gérer les coffres et les clés.
En savoir plus
En savoir plus sur les intégrations Oracle Integration.
Consultez les ressources supplémentaires suivantes :
- Présentation d'API Gateway dans la documentation Oracle Cloud Infrastructure
- Oracle Integration 3
- Configuration de OAuth dans la documentation Oracle Cloud Infrastructure
- Validation de jetons pour ajouter l'authentification et l'autorisation aux déploiements d'API dans la documentation Oracle Cloud Infrastructure
- Estimateur de coût Oracle Cloud
- Documentation d'Oracle Cloud Infrastructure
- Structure bien conçue pour Oracle Cloud Infrastructure