Documentazione di Oracle Cloud Infrastructure

Informazioni su App Gateway

Gateway applicazioni è un'appliance software che consente di integrare le applicazioni ospitate su un'istanza di computazione, in un'infrastruttura cloud o in un server in locale con IAM a scopo di autenticazione.

App Gateway agisce come un proxy inverso che protegge le applicazioni Web limitando l'accesso di rete non autorizzato ad esse. Il gateway applicazioni intercetta qualsiasi richiesta HTTP a queste applicazioni e garantisce che gli utenti vengano autenticati con IAM prima di inoltrare la richiesta a queste applicazioni. Il gateway applicazioni propaga l'identità dell'utente autenticato alle applicazioni.

Se l'utente non è autenticato con IAM, il gateway applicazioni reindirizza l'utente alla pagina di accesso per la convalida delle credenziali.

Nota

Se si utilizza Cloud Gate, è importante che il nome di un utente contenga solo i caratteri mostrati in Creazione di un utente perché il nome visualizzato viene inviato come intestazione HTTP. Se vengono utilizzati caratteri ASCII non stampabili, Cloud Gate considera la richiesta non valida e restituisce un errore 400.

Utilizzi per il gateway applicazioni

Utilizza gateway applicazioni per:

  • Integra le applicazioni aziendali ospitate on-premise o in un'infrastruttura cloud con IAM per scopi di autenticazione.

    Ad esempio, se si dispone di un'applicazione Web ospitata in locale o in un'infrastruttura cloud, è possibile integrare questa applicazione con qualsiasi altra applicazione basata su cloud per Single Sign-On. Utilizza Gateway applicazioni per integrare un'applicazione Web con IAM, quindi assicurati che le altre applicazioni basate su cloud utilizzino IAM come meccanismo di autenticazione. Tutte queste applicazioni utilizzano il Single Sign-On fornito da IAM.

  • Esporre le applicazioni Web intranet all'accesso a Internet.

    Se l'applicazione Web è ospitata e vi si accede tramite una intranet e si desidera esporre l'accesso a questa applicazione tramite Internet, utilizzare Gateway applicazioni per proxy di qualsiasi richiesta Internet e per richiedere agli utenti di eseguire l'autenticazione con IAM prima di accedere all'applicazione Web intranet. In questo caso, si distribuisce il gateway applicazioni nella zona DMZ di rete mentre l'applicazione rimane nella zona intranet.

  • Esegui l'integrazione con applicazioni prive di un meccanismo di autenticazione nativo e che non supportano i metodi di integrazione SAML federation, OAuth o OpenID Connect.

    Se l'applicazione non supporta gli standard di autenticazione supportati da IAM (SAML, OAuth e OpenID Connect) e non è possibile utilizzare gli SDK IAM nell'applicazione, è possibile utilizzare il gateway applicazioni per integrare l'applicazione Web con IAM.

  • Integrazione con le applicazioni che supportano l'autenticazione basata sull'intestazione HTTP.

    Per le applicazioni Web che supportano l'autenticazione basata su intestazione HTTP, il metodo di integrazione Gateway applicazioni non richiede alcuna modifica al codice sorgente dell'applicazione Web. È necessario configurare i criteri di autenticazione dell'applicazione in IAM per aggiungere variabili di intestazione nella richiesta prima che il gateway applicazioni inoltri la richiesta all'applicazione. In questo modo, l'applicazione può identificare l'utente autenticato con IAM.

Funzionamento di App Gateway

Il gateway applicazioni viene distribuito all'interno dell'infrastruttura di un cliente, indipendentemente dal fatto che l'infrastruttura sia nel cloud, on premise o ibrida. Funziona come proxy inverso, intercettando tutte le richieste dal client all'applicazione. Il gateway applicazioni verifica quindi se un utente è già connesso a IAM. Se l'utente ha eseguito l'accesso, Gateway applicazioni aggiunge variabili di intestazione alla richiesta in modo che l'applicazione protetta possa accedere alla variabile di intestazione. L'applicazione considera attendibile Gateway applicazioni che ha identificato l'utente connesso nei valori del dominio di Identity e creato la sessione utente.

Assicurarsi che la comunicazione tra Gateway applicazioni e applicazione sia sicura per evitare modifiche ai valori delle variabili di intestazione prima che la richiesta venga inviata all'applicazione.

mostra in che modo l'applicazione, il gateway applicazioni, il dominio di Identity e il browser utente interagiscono quando un utente tenta di accedere a qualsiasi risorsa dell'applicazione, ma non è connesso a un dominio di Identity

I passi riportati di seguito illustrano il flusso di autenticazione basato su form tra il browser Web, il gateway applicazioni e un'applicazione enterprise.

A passi descrizione;
Callout 1 In un browser Web, un utente richiede l'accesso a un'applicazione tramite un URL esposto dal gateway applicazioni.
Callout 2

Gateway applicazioni intercetta la richiesta, verifica che l'utente non disponga di una sessione con IAM, quindi reindirizza il browser dell'utente alla pagina di accesso.

Nel passaggio 2, se l'utente ha una sessione con IAM, significa che l'utente ha già effettuato l'accesso. In tal caso, un token di accesso viene inviato al gateway applicazioni e i passi rimanenti vengono saltati.
Callout 3 IAM presenta la pagina di accesso o il meccanismo di accesso configurato per il dominio.
Callout 4 L'utente si collega a IAM.
Callout 5 Quando l'autenticazione riesce, IAM crea una sessione per l'utente ed emette un token di accesso al gateway applicazioni.
Callout 6 Gateway applicazioni utilizza il token per identificare l'utente. Aggiunge quindi variabili di intestazione alla richiesta e inoltra la richiesta all'applicazione.
Callout 7 L'applicazione riceve le informazioni sull'intestazione, convalida l'identità dell'utente e avvia la sessione utente.

Gateway applicazioni intercetta qualsiasi richiesta successiva alle risorse protette dell'applicazione. Gateway applicazioni identifica l'utente, aggiunge variabili di intestazione alla richiesta e inoltra la richiesta all'applicazione.

Per disconnettersi, l'utente chiama l'URL di logout di un'applicazione. Il gateway applicazioni identifica l'URL di logout e reindirizza l'utente all'endpoint di logout OAuth del dominio di Identity (/oauth2/v1/userlogout). Dopo che IAM ha disconnesso l'utente, IAM può reindirizzare il browser dell'utente a un URL dell'applicazione che può quindi rimuovere la sessione utente dell'applicazione.

Funzionamento del logout dal gateway applicazioni

Gli utenti possono eseguire il logout dalle applicazioni protette da Gateway applicazioni utilizzando due meccanismi diversi: URL di logout del gateway applicazioni o chiamando una risorsa protetta da un metodo di autenticazione di logout.

Usa URL di logout gateway applicazioni

Gateway applicazioni fornisce un URL di logout centrale che può essere utilizzato per eseguire il logout dell'utente dal Single Sign-On fornito da IAM. Qualsiasi chiamata a questo endpoint attiva il processo di logout. Dopo il logout dell'utente, qualsiasi accesso successivo a una risorsa dell'applicazione protetta richiederà all'utente di accedere di nuovo a IAM.

Questo endpoint supporta due parametri aggiunti all'URL:
  • postlogouturl: l'URL di una pagina di arrivo dopo il logout. Questo valore deve essere codificato tramite URL. Se il parametro non viene specificato, Gateway applicazioni reindirizza il browser utente all'URL di logout specificato nelle impostazioni di sessione della console.
  • stato: si tratta di un parametro facoltativo che deve essere utilizzato dall'applicazione enterprise al termine del processo di logout.

Sintassi

http(s)://<appgateway_host>:<appgateway_port>/cloudgate/logout.html?postlogouturl=<url_encoded>&state=<state_value>

Esegui logout endpoint con parametri

Se l'URL di base del gateway applicazioni è https://myappgateway.example.com:4443, utilizzare l'URL seguente per eseguire il logout dell'utente dal Single Sign-On: https://myappgateway.example.com:4443/cloudgate/logout.html?postlogouturl=http%3A%2F%2Fwww.oracle.com&state=123

Usa risorsa protetta da metodo di autenticazione logout

È possibile creare una risorsa nell'applicazione enterprise e configurare un criterio di autenticazione per questa risorsa utilizzando il metodo di autenticazione Forms+Logout. Quando l'utente accede a questa risorsa, Gateway applicazioni richiama il processo di logout e disconnette l'utente dal Single Sign-On fornito da IAM.

Sintassi

http(s)://<appgateway_host>:<appgateway_port>/<logout_resource>

Risorsa protetta dal metodo di autenticazione Logout

Se è stata creata la risorsa /myapp/logout nell'applicazione enterprise e Forms+Logout è stato assegnato come Metodo di autenticazione per questa risorsa nella sezione Criteri di autenticazione, quando gli utenti accedono all'URL https://myappgateway.example.com:4443/myapp/logout, viene eseguito il logout dal Single Sign-On fornito da IAM.