1. Oracle Utilities Cloudサービスを外部アプリケーションと統合するためのネットワーク接続オプション
  2. 使用可能な統合チャネルの理解

使用可能な統合チャネルの理解

Oracle Utilities Cloudサービスでは、Webサービス・ベースおよびファイル転送ベースのチャネルがサポートされており、オンプレミスまたはOracle PaaSまたはOracle IaaSまたはサードパーティ・データ・センター(Oracle Utilities Cloudサービス以外)でホストされているOracle Utilities Cloudサービスと外部アプリケーションの間でデータを移動します。

統合に使用されるチャネルに基づいて、外部アプリケーション/APIは、Oracle Utilities Cloudサービスと統合するための特定の基準を満たす必要があります。

Webサービスを使用したユーティリティの統合

この統合チャネルでは、Oracle Utilities Cloudサービスと外部アプリケーションの両方でWebサービスAPIを使用します。

Webサービスを使用した統合には、業界標準のベスト・プラクティス、プロトコルおよび認証方法を使用する必要があります。経験則として、すべての通信はhttpsプロトコルベースである必要があります。リクエストがOracle Utilities Cloudサービスから出るかどうか、またはリクエストがOracle Utilities Cloudサービスに入るかどうかに応じて、次の概念が適用されます。

アウトバウンド通信について

この情報は、Oracle Utilities CloudサービスおよびOracle Utilities Cloudサービス外部のアプリケーションに送信される通信/リクエストに適用されます。

Oracle Utilities Cloudサービスで外部システムへのアウトバウンドまたはインバウンドのWebサービス・コールを行うには、次の基準を外部システムのWebサービスAPIで満たす必要があります。
  • アクセス可能なAPI。
  • 有効なCA署名証明書。
  • HTTPSプロトコルでの基本的な認証/OAuthクライアント資格証明のサポート。
  • SSLポート番号443。外部アプリケーションのAPIがポート番号として443を持っていない場合は、ポートを443に変更することを検討するか、ポート番号を変更できない場合は、追加のインフラストラクチャ/ソフトウェアをメディエータとして追加することを検討してください。たとえば、ポート443で待機するリバースプロキシを追加します。
アクセス可能なAPIの理解

外部アプリケーションに属するWebサービスAPIは、Oracle Utilities Cloudサービスからアクセスできる必要があるため、Oracle Utilities Cloudサービスから外部システムのWebサービスAPIへのリクエストのため、これらのAPIにはパブリックIPアドレスを介してアクセスできる必要があります。

外部アプリケーションAPIがまだパブリックでない場合、ITチーム/パートナ/実装担当者のネットワーク管理者は、プライベートAPIがパブリックIPを介して公開されるように、適切なコンポーネントを設定および構成できる必要があります。次に、パブリックAPIを介して外部システムのプライベートWebサービスAPIを公開できる例を示します。
  • ファイアウォールでルールを設定し、外部アプリケーションが存在するデータ・センターでリバース・プロキシを使用して、外部アプリケーションのAPIをパブリック・インターネットに公開します。単一のリバース・プロキシを使用して、複数のアプリケーション/APIを公開できます。
  • Oracle VPN接続とリバース・プロキシを介してAPIにアクセスできるようにします。これは、外部アプリケーションがプライベート・ネットワーク内にあり、APIをパブリック・インターネットに公開/公開できない場合に適用されます。Oracle Utilities Cloudサービスは、外部アプリケーションのプライベートAPIと統合できません。そのため、VPNとともに、OCIのリバース・プロキシが統合に必要です。逆プロキシは、VPNを介してOracle Utilities Cloudサービスと外部アプリケーションを仲介します。SaaSアプリケーションがリバース・プロキシをコールできるようにするには、DNS名がallowlist上にある必要があります。
  • FastConnectパブリック・ピアリングを介してAPIを公開するため、リバース・プロキシは必要ありません。FastConnectを使用すると、外部アプリケーションのデータ・センターから専用のプライベート回線を使用してOracle Cloud Infrastructureに接続できます。
  • もう1つのオプションとして、Oracle Integration Cloudなどのミドルウェア・ソフトウェアを使用することもできます。このソフトウェアには、広範なファイアウォール構成やVPNを必要とせずにOracle Integration Cloudに接続できるオンプレミス・エージェントがあります。
CA署名証明書の理解

外部アプリケーションのWebサービスAPIには、有効なCA発行証明書が必要です。証明書がOracle Utilities Cloudサービスの許可リストにあるものと一致することを確認するためのTLSハンドシェイクがあります。これを有効にすると、Oracle Utilities Cloudサービスはアウトバウンド・リクエストを外部アプリケーションにポストできます。

外部アプリケーションのWebサービスAPIで自己署名証明書を使用する場合、CA署名証明書をサポートするようにAPIを構成する必要があります。次に、これを実行する方法の例を示します。
  • 有効なCA署名証明書を使用してください。
  • 外部アプリケーションのデータ・センターで有効なCA署名証明書を持つリバース・プロキシを使用します。これは、外部アプリケーションAPIを間接的に公開するゲートウェイとして機能できます。構成に基づいて、複数のWebサービスまたはアプリケーションに単一のプロキシを使用できます。
  • リバース・プロキシは同じ目的でOCIで設定できます。この場合、外部アプリケーションのWebサービスAPIがパブリックかどうかに応じて、VPN接続が必要になることがあります。

インバウンド通信について

リクエスト/通信がOracle Utilities Cloudサービス外部でホストされている外部システムからOracle Utilities Cloudサービス・アプリケーションのWebサービスAPIに送られる場合、コール元のアプリケーション/サービスは次の基準を満たす必要があります。

  • Oracle Utilities Cloudサービス・アプリケーションのWebサービスAPIにアクセスします。
  • コール側アプリケーションは、IDCSトークンベースの認証またはHTTPSを介した基本的な認証をサポートする必要があります。
外部アプリケーションがOracle Utilities Cloud ServicesアプリケーションのWebサービスAPIにアクセス

Oracle Utilities Cloudサービス・アプリケーションへのインバウンド通信用のWebサービスAPIは、パブリック・インターネットを介して使用できます。外部アプリケーションがパブリック・インターネットにアクセスできる場合は、WebサービスAPIにアクセスできる必要があります。

外部アプリケーション/サービスにパブリック・インターネットへのアクセス権がない場合は、外部アプリケーションがOracle Utlities Cloud Servicesにメッセージを送信できるように適切な設定を行う必要があります。設定の例を次に示します。
  • 外部アプリケーションのデータ・センター内のプロキシで、外部アプリケーションがOracle Utilities Cloudサービス・アプリケーションのパブリックAPIにアクセスできるようにします。
  • Oracle VPN Connectを使用して、外部アプリケーションの/データセンターのプライベート・ネットワークをOCI VCNに拡張し、APIが外部アプリケーションからアクセスできるようにOracle Utilities CloudサービスVCNにリクエストをルーティングします。
  • FastConnectを使用して、OCIデータ・センターと外部アプリケーションのデータ・センター間の専用プライベート回線を介した通信を設定します。
  • Oracle Integration Cloudサービスなどの統合ソフトウェアを使用して、外部アプリケーションとOracle Utilities Cloudサービス・アプリケーションの間のブリッジとして機能します。

ファイル転送を使用したユーティリティの統合

Webサービスベースの統合に加えて、Oracle Utilities Cloudサービス・アプリケーションはファイル転送を使用した統合もサポートしています。つまり、ファイルを転送することで、Oracle Utilities Cloudサービス・アプリケーションと外部アプリケーションの間でデータを移動することもできます。

通常、Oracle Utilities Cloudサービス・アプリケーションは、組込みファイル・アダプタを介してOracle Object Storage Cloud Serviceにバッチ・プログラムを使用して、インバウンド・ファイルとアウトバウンド・ファイルの両方を処理します。したがって、すべてのインバウンドおよびアウトバウンドのファイル転送は、Oracle Object Storage Cloud Serviceを介してのみサポートされます。ファイルを使用してOracle Utilities Cloudサービス・アプリケーションと統合する必要がある外部アプリケーションは、Oracle Object Storage Cloud Serviceのファイルをプッシュおよびプルできる必要があります。

ファイル転送を使用したインバウンド/アウトバウンド通信の許可

外部アプリケーションとの統合の一部としてOracle Utilities Cloudサービス・アプリケーションとの間でファイルを移動するための基準/方法は、同じか少ないものです。Oracle Object Storage Cloud Serviceは、Oracle Utilities Cloudサービス・アプリケーションとの間でファイルをプッシュおよびプルするために使用します。

外部アプリケーションは、Oracle Object Storage Cloud Serviceと統合できる必要があります。Oracle Object Storage Cloud Serviceには、パブリック・インターネットを介して使用可能なREST APIがあり、外部アプリケーションでOracle Object Storage Cloud Serviceへのファイルのプルまたはプッシュに使用できます。外部アプリケーションがREST APIベースのファイル転送をサポートしていない場合、オブジェクト・ストレージからファイルをプッシュおよびプルする中間設定を行う必要があります。次に、外部アプリケーションにREST API機能がない場合に、ファイルベース統合のサンプル設定を示します。
  • 外部アプリケーションがSFTPベースのファイル転送をサポートしている場合は、外部アプリケーションで使用されているSFTPストレージとOracle Object Storage Cloud Serviceの間にカスタム・アダプタを作成できます。カスタム・アダプタでは、Oracle Object Storage Cloud ServiceのREST APIを使用して、ファイルをOracle Object Storage Cloud ServiceとSFTPストレージ・サーバー間で移動できます。
  • SOAクラウド・サービスの一部であるManaged File Transfer Cloud Serviceを使用できます。Managed File Transfer Cloud Serviceは、Oracle Object Storage Cloud Serviceへのアダプタが組み込まれています。外部アプリケーションは、SFTPを使用してManaged File Transfer Cloud Serviceとインタフェースできます。
  • ファイルベースの統合にOracle Integration Cloud Serviceを使用

許可リストの理解

allow-listオプションを使用すると、Oracle Utilities Cloud Servicesで通信を許可するターゲットおよびソースを指定できます。

アウトバウンド通信の場合:

allow-listオプションを使用すると、Oracle Utilities Cloud Servicesから通信を許可するターゲットを指定できます。デフォルトでは、外部インタフェースへの通信は無効になっています。この動作は、許可リストにターゲットを追加することで変更できます。ターゲットの追加/削除は、許可リストを更新するためにサポート・チケットを呼び出すことによって実行できます。次の情報をサポートチケットで使用できるようにする必要があります。
  • 名前付きDNS OR URLとそのアローワンスの理由。アウトバウンド通信の前のセクションですでに説明されているように:
  • SSLポート443を使用する必要があります。
  • ホストには、信頼できる公開認証局によって署名された有効なTLS証明書が必要です

インバウンド通信の場合:

allow-listオプションを使用すると、Oracle Utilities Cloud Servicesへの通信を許可するソースを指定できます。デフォルトでは、有効な認証情報を持つすべてのソースからの通信が許可されます。この動作は、許可リストにソースを追加することで変更できます。ソースの追加/削除は、許可リストを更新するためにサポート・チケットを呼び出すことによって実行できます。1つ以上のソースがアクセスできるリソースを指定することもできます。
  • ソースは次の方法で識別できます。
    • CIDRブロックとして定義されるIPアドレス範囲
    • VCN OCID。OCIサービス・ゲートウェイを介してリソースにアクセスするソースにのみ使用されます。
    • IPおよびVCN OCIDの両方。オプションで、サポート・チケットを使用してCIDRブロックまたはVCN OCID (あるいはその両方)のグループを作成および名前を付けることができます。
  • リソースは次の方法で識別できます。
    • アプリケーションに応じたパス。例:オンラインWebアプリケーションの/web、ORDSの/sql、休憩サービスの/restなど
    • 特定のサブパスで始まるパスのグループ。例:すべてのK1-ownedリスト・サービスに対する/rest/busSvc/K1
    • 特定のパス。たとえば、/rest/busSvc/F1-HealthCheckは、ソース・セットからアクセスできるように構成できます。オプションで、サポート・チケットを使用してパス・グループを作成し、名前を付けることができます。
許可ルールは、ソースとパス間のマッピングです。つまり、どのソース/ソースがどのパス/パスにアクセスできるかなどです。各ルールは、パス・グループとそれにアクセスできる1つ以上のソースで構成されます。サポート・チケットを使用して許可ルールのグループを作成して名前を付けるオプションがあります。

ノート:

許可リスト・ルールを作成、更新または削除するには、サポート・チケットを発行する必要があります。