Configurare un endpoint personalizzato per un'istanza
È possibile mappare un endpoint personalizzato a un'istanza di Oracle Integration e utilizzarlo per accedere all'istanza anziché all'URL originale generato nella console di Oracle Cloud Infrastructure.
È possibile creare un nome host personalizzato con il dominio scelto, ad esempio
mycustom.example.org
, per l'istanza di Oracle Integration.
Nota
L'associazione di un endpoint personalizzato all'istanza di Oracle Integration non ha effetto sull'URL dell'istanza originale. Sarà possibile accedere all'istanza utilizzando l'URL dell'endpoint personalizzato e l'URL dell'istanza originale.
L'associazione di un endpoint personalizzato all'istanza di Oracle Integration non ha effetto sull'URL dell'istanza originale. Sarà possibile accedere all'istanza utilizzando l'URL dell'endpoint personalizzato e l'URL dell'istanza originale.
Per utilizzare correttamente un URL endpoint personalizzato per l'istanza di Oracle Integration, eseguire i task di configurazione riportati di seguito.
Nota
Queste istruzioni presuppongono l'accesso diretto a un'istanza di Oracle Integration. Se si utilizza l'istanza dietro un gateway WAF o API, saltare le istruzioni relative al certificato fornite qui (dal passo 3 in poi) e seguire invece le istruzioni del certificato del gateway WAF o API. Vedere Certificati WAF o Impostazione di domini personalizzati e certificati TLS per i gateway API.
Queste istruzioni presuppongono l'accesso diretto a un'istanza di Oracle Integration. Se si utilizza l'istanza dietro un gateway WAF o API, saltare le istruzioni relative al certificato fornite qui (dal passo 3 in poi) e seguire invece le istruzioni del certificato del gateway WAF o API. Vedere Certificati WAF o Impostazione di domini personalizzati e certificati TLS per i gateway API.
- Scegliere un nome host personalizzato per l'istanza e registrarlo presso un provider DNS.
- Ottenere un certificato SSL da un'autorità di certificazione (CA) per il proprio nome host.
- Nella tenancy OCI selezionare un compartimento e creare un vault OCI per memorizzare il certificato. Vedere Utilizzo dei compartimenti, Panoramica del vault e Creazione di un nuovo vault.
- Memorizzare il certificato come segreto nel vault OCI. Vedere Create a New Secret. Utilizzare il seguente formato di certificato:
{ "key": "-----BEGIN PRIVATE KEY-----\n…..-----END PRIVATE KEY-----\n", "cert": "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n", "intermediates": [ "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n", "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n" ], "passphrase": "<private key password if encrypted key is provided>" }
Nota
- Per evitare errori manuali, è inoltre possibile convertire il certificato PEM in una singola riga contenente
"\n"
, come previsto, con i seguenti comandiawk
.Per il certificato foglia:
awk -v RS= '{gsub(/\n+/, "\\n")}1' <cert_pem_file>
Per ogni certificato intermedio/radice:
awk -v RS= '{gsub(/\n+/, "\\n")}1' <each_intermediate_cert_pem_file>
Per la chiave privata:
awk -v RS= '{gsub(/\n+/, "\\n")}1' <private_key_pem_file>
- La versione più recente del segreto viene utilizzata quando si associa un endpoint personalizzato all'istanza tramite l'operazione di creazione dell'istanza o di modifica dell'istanza. Per informazioni sulle versioni dei segreti, vedere Secret Versions and Rotation States.
- Se si utilizza un certificato del nome host la cui autorità di certificazione (CA) non si trova nel truststore di Oracle Integration, è necessario anche caricare il certificato nell'istanza di Oracle Integration; in caso contrario, viene restituita un'eccezione negli scenari che l'istanza chiama se stessa.
Tenere presenti i requisiti del certificato riportati di seguito.- Se il certificato ha più di un certificato radice/intermedio, ogni certificato deve essere specificato come elemento separato in un array
intermediates
. - Assicurarsi sempre che la CA radice finale sia specificata come ultimo elemento dell'array. Ad esempio, se esistono tre certificati intermedi per il certificato foglia, il certificato che ha emesso il certificato foglia deve essere l'elemento
intermediates[0]
, il certificato che ha emesso il certificatointermediates[0]
deve essere incluso nell'elementointermediates[1]
e il certificato che ha emesso il certificatointermediates[1]
deve essere incluso nell'elementointermediates[2]
. - L'attributo
passphrase
è facoltativo e non deve essere specificato se la chiave privata non è cifrata. - Se si utilizza una chiave privata cifrata, è necessario il seguente formato (
PKCS1
è supportato):-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED -----END RSA PRIVATE KEY-----
Un file JSON con una chiave privata cifrata ha il seguente aspetto:
{ "key": "-----BEGIN RSA PRIVATE KEY-----\nProc-Type: 4,ENCRYPTED\n....\n-----END RSA PRIVATE KEY-----", .. .. "passphrase": "<passphrase to decrypt the key>" }
Un file JSON con una chiave privata non cifrata ha il seguente aspetto:
{ "key": "-----BEGIN RSA PRIVATE KEY-----\nvRXUK08v31bw2rnDLw+vjuX2i8ujHWs\n....\n-----END RSA PRIVATE KEY-----", .. .. }
- Se la chiave privata è in formato PKCS8, è necessario convertirla in formato
PKCS1
:openssl rsa -in <input_pkcs8_encrypted_private_key> -out <converted_encrypted_private_key_file_name> -aes256
- Per evitare errori manuali, è inoltre possibile convertire il certificato PEM in una singola riga contenente
- Creare un criterio IAM (Identity and Access Management) per:
- Consente al servizio di integrazione di leggere la versione e il contenuto del segreto.
- Consente al gruppo di amministratori di accedere al segreto (o di creare un nuovo segreto) durante la creazione o l'aggiornamento di un'istanza di Oracle Integration con un endpoint personalizzato.
- Creare un'istanza di integrazione e mappare i dettagli dell'endpoint personalizzato. Vedere Creare un'istanza di Oracle Integration.
- È inoltre possibile modificare un'istanza di Oracle Integration esistente ed eseguire il mapping di un endpoint personalizzato. Vedere Modifica dell'edizione, del tipo di licenza, dei pacchetti di messaggi e dell'endpoint personalizzato di un'istanza.
- Infine, aggiornare il record DNS dell'endpoint personalizzato nel nome host dell'istanza originale. Come procedura ottimale, aggiornare il CNAME del record DNS con il nome host dell'endpoint dell'istanza originale.
Task di postconfigurazione condizionali:
- Se si utilizza OAuth a tre fasi con provider di identità di terze parti (ad esempio Google, Facebook e così via), aggiornare l'URL di reindirizzamento con il nome host personalizzato nell'applicazione del provider di identità (IdP). Se il nome host personalizzato per l'istanza di Oracle Integration è
mycustom.example.org
, l'URL di reindirizzamento deve essere, ad esempio,https://mycustom.example.org/icsapis/agent/oauth/callback
.Dopo aver aggiornato l'URL di reindirizzamento nell'applicazione IdP, è necessario riacquisire il token di accesso fornendo il consenso nella pagina di connessione.
- Se sono stati creati flussi di integrazione prima di mappare un endpoint personalizzato all'istanza, è necessario disattivare e riattivare tutte le integrazioni per rigenerare i WSDL.
Nota
Se si utilizza Oracle NetSuite Adapter, tenere presente che il criterio di sicurezza del flusso di autorizzazione TBA dell'adattatore non funzionerà con endpoint personalizzati per Oracle Integration.
Se si utilizza Oracle NetSuite Adapter, tenere presente che il criterio di sicurezza del flusso di autorizzazione TBA dell'adattatore non funzionerà con endpoint personalizzati per Oracle Integration.