ファイングレイン・アクセス制御Oracle Integrationの実装
統合タイプ、環境または特定のユーザー職責が必要かどうかに関係なく、統合へのアクセスをロールベースで正確に制御するシナリオに対して、Oracle Integrationのファイングレイン・アクセス制御モデルを実装します。
このアーキテクチャは、エンタープライズ・グレードのガバナンスを実装し、組織のコンプライアンスおよび運用ポリシーに沿ったセキュアでセグメント化されたアクセスを確保する場合に使用します。
Oracle Cloud Infrastructure (OCI) APIゲートウェイをカスタム・オーサライザ・ファンクション(通常はOCI Functionsを使用して実装)と組み合せて利用することで、このアーキテクチャにより、Oracle IntegrationにルーティングされたすべてのAPIコールに対して、一元化された動的認可が可能になります。このパターンによって、認証および認可ロジックが個々のサービスから分離されるため、統合環境全体で一貫性と再利用性が確保されます。
主なコンポーネント:
- Oracle Integration
ビジネス・プロセス、統合またはカスタムAPIを公開するターゲットRESTエンドポイントをホストします。
- OCI APIゲートウェイ
クライアント・リクエストのリバース・プロキシとして機能し、適切なOracle Integrationエンドポイントに安全にルーティングします。また、認可プロバイダ・ファンクションと統合して、OAuthベースのアクセス制御を適用します。
- カスタム認可プロバイダ・ファンクション(OCIファンクション)
次のことを担当するサーバーレス機能。
- アイデンティティ・プロバイダによって発行されたOAuth 2.0アクセス・トークン(Oracle Identity Cloud Serviceやサード・パーティのOAuthプロバイダなど)の検証。
- トークンに埋め込まれたカスタム・スコープを評価して、リクエスタにターゲットAPIの起動に必要な権限があるかどうかを判断します。
- 認可決定をOCI APIゲートウェイに戻します。これにより、結果に基づいてリクエストを許可またはブロックできます。
アーキテクチャ
このアーキテクチャでは、Oracle Integrationのファイングレイン・アクセス制御モデルの概要を示します。
アーキテクチャの詳細:
- OCI APIゲートウェイは、OCI Functionsをトリガーします。これは、受信リクエストの認可ロジックを処理するカスタム認可プロバイダとして機能します。このリクエストには、Oracle Integrationへのアクセス権を付与するためのアクセス・トークンが含まれます。
- 認可プロバイダ・ファンクションは次のステップを実行します。
- リクエストからトークンを抽出し、これを使用して、クライアントIDやクライアント・シークレットなどの機密資格証明についてOCI Vaultを問い合せます。
- このファンクションは、これらの資格証明を使用して、Oracle Identity Cloud Service (IDCS)に対してトークンを検証し、その信頼性と整合性を確保します。
- トークンが有効な場合、ファンクションは次のようなキー詳細を含むレスポンスを返します。
- トークンの有効性ステータス
- プリンシパル(ユーザーID)
- クライアントIDとクライアント・シークレット
- アクセスのスコープ
- 次に、OCI APIゲートウェイは、このレスポンスのスコープを使用して、Oracle Integration統合に必要なアクセス・レベルに対してトークンのスコープを検証します。
スコープが一致する場合、OCI APIゲートウェイは元のリクエストを、許可リストで保護されているOracle Integration APIに転送します。このAPIは、検証済認可ヘッダーでエンリッチされるため、統合フローを安全に続行できます。
次の図は、このリファレンス・アーキテクチャを示しています。
oracle-integration-rest-oauth-diagram-oracle.zip
アーキテクチャには次のコンポーネントがあります。
- リージョン
OCIリージョンとは、可用性ドメインをホストする1つ以上のデータ・センターを含む、ローカライズされた地理的領域のことです。リージョンは他のリージョンから独立しており、長距離の場合は複数の国または大陸にまたがる領域を分離できます。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、OCIリージョンで設定した、カスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNsではネットワーク環境を制御できます。VCNには、VCNの作成後に変更できる重複しない複数のクラスレス・ドメイン間ルーティング(CIDR)ブロックを複数含むことができます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。
- APIゲートウェイ
Oracle Cloud Infrastructure API Gatewayでは、ネットワーク内からアクセス可能なプライベート・エンドポイントを含むAPIを公開でき、必要に応じてパブリック・インターネットに公開できます。エンドポイントは、API検証、リクエストとレスポンスの変換、CORS、認証と認可およびリクエスト制限をサポートします。
- 関数
Oracle Cloud Infrastructure Functionsは、完全に管理されたマルチテナントで、スケーラビリティに優れたオンデマンドのFunctions-as-a-Service (FaaS)プラットフォームです。これは、Fn Projectのオープン・ソース・エンジンによって機能します。OCI関数を使用すると、コードをデプロイし、直接コールするか、イベントに応答してトリガーすることができます。OCI Functionsは、Oracle Cloud Infrastructure RegistryでホストされているDockerコンテナを使用します。
- 統合
Oracle Integrationは、クラウドとオンプレミスのアプリケーションの統合、ビジネス・プロセスの自動化、ビジュアル・アプリケーションの開発を可能にする、完全に管理された事前構成済の環境です。SFTP準拠のファイル・サーバーを使用してファイルを格納および取得し、数百のアダプタおよびレシピのポートフォリオを使用してOracleおよびサードパーティ・アプリケーションに接続することで、企業間取引パートナとドキュメントを交換できます。
- アイデンティティおよびアクセス管理
Oracle Cloud Infrastructure Identity and Access Management (IAM)は、OCIおよびOracle Cloud Applicationsのユーザー・アクセス制御を提供します。IAM APIおよびユーザー・インタフェースを使用すると、アイデンティティ・ドメインとその中のリソースを管理できます。各OCI IAMアイデンティティ・ドメインは、スタンドアロンのアイデンティティおよびアクセス管理ソリューション、または別々のユーザー・移入を表します。
- Oracle Cloud Infrastructure Vault
Oracle Cloud Infrastructure Vaultでは、データを保護する暗号化キーと、クラウド内のリソースへのアクセスを保護するために使用するシークレット資格証明を作成し、一元管理できます。デフォルトのキー管理は、Oracle管理キーです。OCI Vaultを使用する顧客管理キーを使用することもできます。OCI Vaultは、ボールトおよびキーを管理するための豊富なREST APIセットを提供します。
詳細の参照
Oracle Integration統合についてさらに学習します。
次の追加のリソースを確認します。
- Oracle Cloud InfrastructureドキュメンテーションのAPIゲートウェイの概要
- Oracle Integration 3
- Oracle Cloud InfrastructureドキュメンテーションのOAuthの構成
- Oracle Cloud Infrastructureドキュメントのトークンの検証によるAPIデプロイメントへの認証および認可の追加
- Oracle Cloudコスト見積り機能
- Oracle Cloud Infrastructureドキュメンテーション
- Oracle Cloud Infrastructure用のWell-architectedフレームワーク