Implementare il controllo dell'accesso con filtro Oracle Integration
Implementa un modello di controllo dell'accesso con filtro per Oracle Integration per scenari in cui è necessario un controllo preciso e basato sui ruoli sull'accesso alle integrazioni, in base al tipo di integrazione, all'ambiente o a responsabilità utente specifiche.
Utilizza questa architettura per implementare la governance di livello Enterprise e garantire un accesso sicuro e segmentato in linea con i criteri di conformità e operativi della tua organizzazione.
Sfruttando Oracle Cloud Infrastructure (OCI) API Gateway in combinazione con una funzione di autorizzazione personalizzata (in genere implementata utilizzando OCI Functions), questa architettura consente un'autorizzazione centralizzata e dinamica per tutte le chiamate API instradate a Oracle Integration. Questo pattern separa la logica di autenticazione e autorizzazione dai singoli servizi, garantendo coerenza e riutilizzabilità in tutto lo scenario di integrazione.
Componenti chiave:
- Oracle Integration
Ospita gli endpoint REST di destinazione che espongono processi aziendali, integrazioni o API personalizzate.
- OCI API Gateway
Agisce come proxy inverso per le richieste client, instradandole in modo sicuro agli endpoint Oracle Integration appropriati. Si integra anche con la funzione del responsabile autorizzazioni per applicare il controllo dell'accesso basato su OAuth.
- Funzione del responsabile autorizzazioni personalizzata (Funzioni OCI)
Una funzione serverless responsabile di:
- Convalida dei token di accesso OAuth 2.0 emessi da un provider di identità (ad esempio Oracle Identity Cloud Service o qualsiasi provider OAuth di terze parti).
- Valutazione degli ambiti personalizzati incorporati nel token per determinare se il richiedente dispone delle autorizzazioni necessarie per richiamare l'API di destinazione.
- Restituzione di una decisione di autorizzazione al gateway API OCI, che consente o blocca la richiesta in base al risultato.
Architettura
Questa architettura delinea un modello di controllo dell'accesso con filtro per Oracle Integration.
Dettagli architettura:
- Il gateway API OCI attiva le funzioni OCI, che funge da responsabile autorizzazioni personalizzato per gestire la logica di autorizzazione per la richiesta in entrata. Questa richiesta include un token di accesso destinato a concedere l'accesso a Oracle Integration.
- La funzione del responsabile autorizzazioni esegue le operazioni riportate di seguito.
- Estrae il token dalla richiesta e lo utilizza per eseguire una query su OCI Vault per ottenere credenziali riservate quali l'ID client e il segreto client.
- Utilizzando queste credenziali, la funzione convalida il token in base a Oracle Identity Cloud Service (IDCS) per garantirne l'autenticità e l'integrità.
- Se il token è valido, la funzione restituisce una risposta contenente i dettagli della chiave, ad esempio:
- Stato validità token
- Principal (identità utente)
- ID client e segreto client
- Ambito di accesso
- Il gateway API OCI utilizza quindi l'ambito in questa risposta per verificare l'ambito del token rispetto al livello di accesso richiesto per l'integrazione di Oracle Integration.
Se l'ambito corrisponde, il gateway API OCI inoltra la richiesta originale all'API Oracle Integration protetta da una lista di inclusione, ora arricchita con intestazioni di autorizzazione convalidate, consentendo al flusso di integrazione di continuare in modo sicuro.
Il diagramma seguente illustra questa architettura di riferimento.
oracle-integrazione-rest-oauth-diagram-oracle.zip
L'architettura ha i seguenti componenti:
- Area
Un'area geografica OCI è un'area geografica localizzata che contiene uno o più data center, che ospitano domini di disponibilità. Le regioni sono indipendenti da altre regioni e vaste distanze possono separarle (tra paesi o addirittura continenti).
- Rete e subnet cloud virtuale (VCN)
Una VCN è una rete personalizzabile e definita dal software impostata in un'area OCI. Come le reti di data center tradizionali, le reti VCN ti danno il controllo sul tuo ambiente di rete. Una VCN può avere più blocchi CIDR (Classless Inter-Domain Routing) non sovrapposti che è possibile modificare dopo aver creato la VCN. È possibile segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una sottorete dopo la creazione. Una subnet può essere pubblica o privata.
- Gateway API
Oracle Cloud Infrastructure API Gateway ti consente di pubblicare API con endpoint privati accessibili dall'interno della tua rete e che puoi esporre alla rete Internet pubblica, se necessario. Gli endpoint supportano la convalida dell'API, la trasformazione di richieste e risposte, CORS, autenticazione e autorizzazione e limitazione delle richieste.
- Funzioni
Oracle Cloud Infrastructure Functions è una piattaforma completamente gestita, multitenant, altamente scalabile, on-demand, Functions-as-a-Service (FaaS). È alimentato dal motore open source di Fn Project. Le funzioni OCI consentono di distribuire il codice e di chiamarlo direttamente o attivarlo in risposta agli eventi. OCI Functions utilizza container Docker ospitati in Oracle Cloud Infrastructure Registry.
- Integrazione
Oracle Integration è un ambiente completamente gestito e preconfigurato che consente di integrare applicazioni cloud e on-premise, automatizzare i processi aziendali e sviluppare applicazioni visive. Utilizza un file server conforme a SFTP per memorizzare e recuperare i file e consente di scambiare documenti con partner commerciali business-to-business utilizzando un portfolio di centinaia di adattatori e ricette per connettersi con le applicazioni Oracle e di terze parti.
- Identity and Access Management
Oracle Cloud Infrastructure Identity and Access Management (IAM) fornisce il controllo dell'accesso degli utenti per OCI e Oracle Cloud Applications. L'interfaccia API IAM e l'interfaccia utente consentono di gestire i domini di Identity e le risorse al loro interno. Ogni dominio di Identity OCI IAM rappresenta una soluzione standalone di gestione accessi e identità oppure una popolazione di utenti diversa.
- Oracle Cloud Infrastructure Vault
Oracle Cloud Infrastructure Vault ti consente di creare e gestire centralmente le chiavi di cifratura che proteggono i tuoi dati e le credenziali segrete che utilizzi per proteggere l'accesso alle tue risorse nel cloud. La gestione delle chiavi predefinita è costituita da chiavi gestite da Oracle. È inoltre possibile utilizzare chiavi gestite dal cliente che utilizzano OCI Vault. OCI Vault offre un ricco set di API REST per la gestione di vault e chiavi.
Scopri di più
Scopri di più sulle integrazioni di Oracle Integration.
Esaminare le seguenti risorse aggiuntive:
- Panoramica del gateway API nella documentazione di Oracle Cloud Infrastructure
- Oracle Integration 3
- Configurazione di OAuth nella documentazione di Oracle Cloud Infrastructure
- Convalida dei token per aggiungere autenticazione e autorizzazione alle distribuzioni API nella documentazione di Oracle Cloud Infrastructure
- Stima dei costi di Oracle Cloud
- Documentazione su Oracle Cloud Infrastructure
- Framework ben strutturato per l'infrastruttura Oracle Cloud