Fine-Grained Access Control 구현 Oracle Integration
Oracle Integration의 세분화된 액세스 제어 모델을 구현하여 통합 유형, 환경 또는 특정 사용자 권한에 따라 통합에 대한 정확한 역할 기반 제어가 필요한 시나리오를 구현합니다.
엔터프라이즈급 거버넌스를 구현하고 조직의 규제준수 및 운영 정책에 맞게 세분화된 보안 액세스를 보장할 때 이 아키텍처를 사용합니다.
이 아키텍처는 Oracle Cloud Infrastructure(OCI) API Gateway를 사용자 지정 승인자 함수(일반적으로 OCI Functions를 사용하여 구현됨)와 함께 활용하여 Oracle Integration으로 라우팅된 모든 API 호출에 대해 중앙 집중식 동적 권한 부여를 지원합니다. 이 패턴은 개별 서비스에서 인증 및 권한 부여 논리를 분리하여 통합 환경 전반에서 일관성과 재사용성을 보장합니다.
주요 구성요소:
- Oracle Integration
비즈니스 프로세스, 통합 또는 사용자정의 API를 노출하는 대상 REST 엔드포인트를 호스팅합니다.
- OCI API 게이트웨이
클라이언트 요청에 대한 역방향 프록시 역할을 하며, 적절한 Oracle Integration 엔드포인트로 안전하게 라우팅합니다. 또한 권한 부여자 함수와 통합되어 OAuth 기반 액세스 제어를 적용합니다.
- 사용자 정의 권한 부여자 함수(OCI 함수)
다음을 담당하는 서버리스 함수:
- ID 제공자가 발행한 OAuth 2.0 액세스 토큰 검증(예: Oracle Identity Cloud Service 또는 타사 OAuth 제공자)
- 토큰에 포함된 사용자정의 범위를 평가하여 요청자에게 대상 API를 호출하는 데 필요한 권한이 있는지 여부를 확인합니다.
- 권한 부여 결정을 OCI API Gateway로 되돌려 결과 기반의 요청을 허용하거나 차단합니다.
구조
이 아키텍처는 Oracle Integration에 대한 세분화된 액세스 제어 모델을 간략히 설명합니다.
구조 세부 정보:
- OCI API 게이트웨이는 OCI 함수를 트리거합니다. 이 함수는 수신 요청에 대한 권한 부여 논리를 처리하는 사용자정의 권한 부여자 역할을 합니다. 이 요청에는 Oracle Integration에 대한 액세스 권한을 부여하기 위한 액세스 토큰이 포함됩니다.
- 권한 부여자 함수는 다음 단계를 수행합니다.
- 요청에서 토큰을 추출하고 이를 사용하여 OCI Vault에서 클라이언트 ID 및 클라이언트 암호와 같은 중요한 인증서를 질의합니다.
- 이 인증서를 사용하여 함수는 Oracle Identity Cloud Service(IDCS)에 대해 토큰을 검증하여 신뢰성과 무결성을 확인합니다.
- 토큰이 유효하면 함수는 다음과 같은 키 세부정보를 포함하는 응답을 반환합니다.
- 토큰 유효성 상태
- 주체(사용자 ID)
- 클라이언트 ID 및 클라이언트 보안
- 액세스 범위
- 그런 다음 OCI API 게이트웨이는 이 응답의 범위를 사용하여 Oracle Integration 통합에 필요한 액세스 레벨에 대해 토큰의 범위를 확인합니다.
범위가 일치하면 OCI API Gateway는 허용 목록에 의해 보호되는 원래 요청을 Oracle Integration API로 전달하며, 이제 검증된 권한 부여 헤더로 강화되어 통합 플로우가 안전하게 계속될 수 있습니다.
다음 다이어그램은 이 참조 구조를 보여줍니다.
oracle-integration-rest-oauth-diagram-oracle.zip
아키텍처의 구성 요소는 다음과 같습니다.
- 지역
OCI 리전은 가용성 도메인을 호스팅하는 데이터 센터가 하나 이상 포함된 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 광대한 거리는 (국가 또는 대륙에 걸쳐) 그들을 분리 할 수 있습니다.
- VCN(가상 클라우드 네트워크에 연결) 및 서브넷
VCN은 OCI 리전에 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN을 사용하면 네트워크 환경을 제어할 수 있습니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 CIDR(클래스리스 도메인 간 경로 지정) 블록이 여러 개 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 이 서브넷은 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 썸네일의 크기는 생성 이후 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- API 게이트웨이
Oracle Cloud Infrastructure API Gateway를 사용하면 네트워크 내에서 액세스할 수 있고 필요한 경우 퍼블릭 인터넷에 노출할 수 있는 프라이빗 끝점이 있는 API를 게시할 수 있습니다. 엔드포인트는 API 검증, 요청 및 응답 변환, CORS, 인증 및 권한 부여, 요청 제한을 지원합니다.
- 함수
Oracle Cloud Infrastructure Functions는 완전 관리형 멀티테넌트, 확장성이 뛰어난 온디맨드 Functions-as-a-Service(FaaS) 플랫폼입니다. 그것은 Fn 프로젝트 오픈 소스 엔진에 의해 구동 됩니다. OCI 함수를 사용하면 코드를 배포하고 직접 호출하거나 이벤트에 대한 응답으로 트리거할 수 있습니다. OCI Functions는 Oracle Cloud Infrastructure Registry에서 호스팅되는 Docker 컨테이너를 사용합니다.
- 통합
Oracle Integration은 클라우드 및 온프레미스 애플리케이션을 통합하고, 비즈니스 프로세스를 자동화하고, 시각적 애플리케이션을 개발할 수 있는 완전 관리형 사전 구성 환경입니다. SFTP 호환 파일 서버를 사용하여 파일을 저장 및 검색하고 수백 개의 어댑터 및 레시피 포트폴리오를 사용하여 Oracle 및 타사 애플리케이션과 연결하여 B2B 거래 파트너와 문서를 교환할 수 있습니다.
- ID 및 액세스 관리
Oracle Cloud Infrastructure Identity and Access Management(IAM)는 OCI 및 Oracle Cloud Applications에 대한 사용자 액세스 제어를 제공합니다. IAM API 및 사용자 인터페이스를 통해 ID 도메인 및 해당 도메인 내의 리소스를 관리할 수 있습니다. 각 OCI IAM ID 도메인은 독립형 ID 및 액세스 관리 솔루션 또는 다른 사용자 모집단을 나타냅니다.
- Oracle Cloud Infrastructure Vault
Oracle Cloud Infrastructure Vault를 사용하면 클라우드의 리소스에 대한 액세스 보안을 위해 사용하는 데이터와 보안 인증서를 보호하는 암호화 키를 생성하고 중앙에서 관리할 수 있습니다. 기본 키 관리는 Oracle 관리 키입니다. OCI Vault를 사용하는 고객 관리형 키도 사용할 수 있습니다. OCI Vault는 저장소 및 키를 관리할 수 있는 다양한 REST API 세트를 제공합니다.
자세히 살펴보기
Oracle Integration 통합에 대해 자세히 알아보십시오.
다음 추가 리소스를 검토하십시오.
- Oracle Cloud Infrastructure 문서의 API 게이트웨이 개요
- Oracle Integration 3
- Oracle Cloud Infrastructure 설명서의 OAuth 구성
- Oracle Cloud Infrastructure 문서의 API 배치에 인증 및 권한 부여를 추가하도록 토큰 검증
- Oracle Cloud 비용 예측기
- Oracle Cloud Infrastructure 문서
- Oracle Cloud Infrastructure의 잘 설계된 프레임워크