Documentação do Oracle Cloud Infrastructure

Restringir o Acesso a uma Instância

Restrinja as redes que têm acesso à sua instância do Oracle Integration configurando uma lista de permissões (anteriormente uma lista branca). Somente usuários dos endereços IP específicos, blocos CIDR (Classless Inter-Domain Routing) e redes virtuais na nuvem que você especificar podem acessar a instância do Oracle Integration.

Para a instância do Oracle Integration, configure a lista de permissões ao criar a instância ou depois de criar a instância.

Opção 1 para Configuração de Listas de Permissões: Restringir o Acesso ao Oracle Integration Usando os Recursos de Lista de Permissões de Autoatendimento

Veja a seguir a descrição da ilustração allowlist-only.png

Neste cenário, você restringe o acesso ao Oracle Integration usando uma lista de permissões. A lista de permissões restringe o acesso com base nos seguintes parâmetros:

  • Endereço IP único
  • Bloco CIDR (InterDomain Routing) sem classe (ou seja, uma faixa de endereços IP)
  • ID do Oracle Cloud (OCID da VCN) da Rede Virtual na Nuvem

Além disso, sua organização pode ter um gateway de serviço. O gateway de serviço permite que a sua rede virtual na nuvem (VCN) acesse de forma privada o Oracle Integration sem expor os dados à internet pública.

Somente os endereços IP e OCIDs da VCN especificados podem acessar o Oracle Integration. Usuários e sistemas que acessam o Oracle Integration das VCNs listadas têm acesso total.

Vantagens

  • Configuração fácil! Você pode configurar sua lista de permissões em apenas alguns minutos, sem precisar criar um ponto final personalizado.
  • Todo o tráfego é suportado, incluindo REST, SOAP e outro tráfego da internet.

Desvantagens

  • As regras permitem acesso de tudo ou nada e não permitem mais controle não equilibrado.

    Por exemplo, todo o tráfego para um endereço IP ou intervalo específico é permitido, mesmo que alguém que usa um endereço IP permitido passe SQL como parâmetro de linha de comando.

  • Você está limitado a 15 regras de acesso.

    No entanto, um bloco CIDR é contado apenas como 1 entrada, portanto, talvez você não precise de mais de 15 regras.

Tarefas a Serem Concluídas para este Cenário

  1. Adicione o OCID da VCN da sua organização à lista de permissões. A VCN deve estar na mesma região que o Oracle Integration e deve ter um gateway de serviço.

    Quando você adiciona o OCID da VCN à lista de permissões, todos os recursos da VCN podem acessar o Oracle Integration.

  2. Para todas as redes e aplicativos de parceiros, adicione seus endereços IP ou faixas de endereços à lista de permissões.

    Você precisa de todos os endereços IP para todos os aplicativos e sistemas que necessitam de acesso ao Oracle Integration. Certifique-se de considerar todos os sistemas parceiros e aplicativos SaaS ao compilar a lista. Por exemplo, se uma plataforma CRM exigir acesso, você deverá adicionar o individual ou o intervalo de endereços IP da plataforma.

    Ao adicionar os endereços IP ou intervalos de endereços à lista de permissões, você concede acesso total à interface do usuário e integrações à rede.

  3. Ative o loopback para que o Oracle Integration possa se chamar.

    Por exemplo, ativar loopback permite que o Oracle Integration chame suas próprias APIs REST.

Opção 2 para Configuração de Listas de Permissões: Restringir o Acesso ao Oracle Integration Usando o Oracle Cloud Infrastructure Web Application Firewall (WAF)

Veja a seguir a descrição da ilustração allowlist_with_waf.png

Este cenário é a opção de configuração mais poderosa para permitir a listagem, permitindo que você crie regras sofisticadas. Neste cenário, você restringe o acesso ao Oracle Integration usando o Oracle Cloud Infrastructure Web Application Firewall (WAF).

Como Cada Item Controla o Acesso

A lista de permissões permite que as seguintes entidades acessem o Oracle Integration:

  • Serviço WAF
  • ID do Oracle Cloud (OCID da VCN) da Rede Virtual na Nuvem

Como resultado, todo o tráfego da Internet é roteado para o WAF, que restringe o acesso com base em:

  • Endereço IP único
  • Bloco CIDR (InterDomain Routing) sem classe (ou seja, uma faixa de endereços IP)
  • ID do Oracle Cloud (OCID da VCN) da Rede Virtual na Nuvem
  • Regras adicionais definidas por você

Se sua organização tiver um gateway de serviço, o gateway de serviço permitirá que a sua rede virtual na nuvem (VCN) acesse de forma privada o Oracle Integration sem expor os dados à internet pública.

Vantagens

  • O WAF permite criar regras sofisticadas para a sua lista de permissões. Por exemplo:
    • Se alguém tentar passar um SQL como um parâmetro de linha de comando, você poderá não permitir a solicitação.
    • Você pode restringir o acesso com base na localização usando bloqueio geográfico.

    Para obter mais informações, consulte Gerenciando Políticas de WAF para o Oracle Cloud Infrastructure Web Application Firewall.

  • Todo o tráfego é suportado, incluindo REST, SOAP e outro tráfego da internet.
  • A limitação de 15 regras de lista de permissões não se aplica a este cenário.

Desvantagens

  • Essa opção é mais complexa, demorada e propensa a erros do que a lista de permissão de autoatendimento por conta própria.
  • Você deve criar um ponto final personalizado para o WAF, exigindo um certificado do servidor e uma entrada de DNS.

Tarefas a Serem Concluídas para este Cenário

  1. Configure o WAF de acordo com as necessidades da sua organização.

    Consulte Visão Geral do Firewall de Aplicativo Web para o Oracle Cloud Infrastructure Web Application Firewall.

  2. Configure um ponto final personalizado para o Oracle Integration.

    Consulte Configurar um Ponto Final Personalizado para uma Instância.

  3. Adicione o(s) endereço(s) IP do WAF à lista de permissões.

    Se sua organização tiver o Oracle Integration em várias regiões, cada região terá seu próprio WAF. Você deve adicionar os endereços IP de todas as WAFs à lista de permissões.

  4. Adicione o OCID da VCN da sua organização à lista de permissões. A VCN deve estar na mesma região que o Oracle Integration e deve ter um gateway de serviço.

    Quando o OCID da VCN está na lista de permissões, sua rede virtual na nuvem ignora o WAF.

Observação

Não é necessário ativar o loopback quando você usa o WAF para restringir o acesso ao Oracle Integration.

Opção 3 para Configuração de Listas de Permissões: Restringir o Acesso ao Oracle Integration Usando o Gateway de API

Veja a seguir a descrição da ilustração allowlist_with_api_gateway.png

Neste cenário, você restringe o acesso ao Oracle Integration usando o Gateway de API e uma lista de permissões.

Se todo o tráfego para o Oracle Integration estiver na forma de chamadas de API REST, essa configuração será adequada às suas necessidades. No entanto, se você tiver tráfego na forma de chamadas de API não REST, esse cenário pode não ser ideal. Você tem tráfego na forma de chamadas não REST se sua organização suportar qualquer uma das seguintes situações:

  • Usuários que trabalham na interface do usuário do Oracle Integration, incluindo o uso do Visual Builder e do recurso Processos
  • Usuários que trabalham na interface do usuário da Console do Oracle Cloud Infrastructure
  • Chamadas SOAP

Se você suportar qualquer chamada não REST, deverá usar a lista de permissões do Oracle Integration para gerenciar esse acesso. Veja por que: o API Gateway não permite que você adicione endereços IP a uma lista de permissões.

Como Cada Item Controla o Acesso

  • Todo o tráfego REST da Internet é roteado para o API Gateway.

    Para obter detalhes sobre como o acesso é restrito, consulte Visão Geral do Serviço API Gateway para o API Gateway.

  • A lista de permissões permite que as seguintes entidades acessem o Oracle Integration:
    • VCN de Gateway de API
    • Gateway de serviço, se sua organização tiver um
    • Solicitações REST e SOAP
    Observação

    Se você precisar de acesso ao Visual Builder e aos Processos, esse padrão permitirá ignorar o Gateway de API.

Se sua organização tiver um gateway de serviço, o gateway de serviço permitirá que a sua rede virtual na nuvem (VCN) acesse de forma privada o Oracle Integration sem expor os dados à internet pública.

Vantagens

Desvantagens

  • Se sua organização usar o Servidor de Arquivos, você não poderá restringir o acesso usando o Gateway de API.

    Você teria que permitir acesso direto ao Servidor de Arquivos.

  • Essa opção é mais complexa, demorada e propensa a erros do que a lista de permissão de autoatendimento por conta própria.
  • Se você não configurar tudo exatamente conforme necessário, os usuários terão problemas de acesso. Por exemplo, os usuários não podem acessar o recurso Processos e somente as pessoas na rede interna podem acessar o Visual Builder.
  • Para qualquer chamada não REST para o Oracle Integration, você deve fornecer acesso direto usando a lista de permissões do Oracle Integration. Você está limitado a 15 regras de acesso para esta lista de permissões.

Tarefas a Serem Concluídas para este Cenário

Observação

Você deve concluir essas etapas manualmente e usar o formato correto, ou os usuários têm problemas de acesso.
  1. Configure o Gateway de API de acordo com os requisitos da sua organização.

    Consulte a documentação do API Gateway.

  2. Adicione o OCID da VCN da sua organização à lista de permissões. A VCN deve estar na mesma região que o Oracle Integration.

    Quando o OCID da VCN está na lista de permissões, sua rede virtual na nuvem ignora o Gateway de API

  3. Adicione o Gateway de API à lista de permissões.
  4. Ative o loopback para que o Oracle Integration possa se chamar.

    Por exemplo, ativar loopback permite que o Oracle Integration chame suas próprias APIs REST.

API REST para Lista de Permissões

Você também pode usar a API REST para criar e modificar listas de permissão. Consulte /integrationInstances/{integrationInstanceId}/actions/changeNetworkEndpoint.

Pré-requisitos para Criar uma Lista de Permissões para o Oracle Integration

Ao criar sua lista de permissões, você deve incluir todos os aplicativos que necessitam de acesso à sua instância. Aqui estão as informações de que você precisa.

Observação

Essas tarefas são necessárias para o Oracle Integration.

Obter os Endereços IP de Saída para Aplicativos que São Origens de Eventos

Você deve adicionar todas as origens de evento, como eventos do Oracle Fusion Applications ERP, à lista de permissões. Para isso, você deve obter o endereço IP de saída dos aplicativos. Entre em contato com os provedores de aplicativos para obter os endereços IP.

Obtenha os Endereços IP Públicos para Aplicativos Oracle SaaS que Fazem Chamadas HTTPS para o Oracle Integration

Os aplicativos Oracle SaaS podem fazer chamadas HTTPS para o Oracle Integration, dependendo do design da integração. Vá para o menu Sobre no Oracle Integration para obter o endereço IP público da sua instância SaaS a ser adicionada à lista de permissões no Oracle Integration. Consulte Obter o Endereço IP do Gateway NAT da Instância do Oracle Integration.

Alguns exemplos:

  • Integrações usando conexões do adaptador SaaS para acionadores e callbacks
  • Quando o agente de conectividade é usado com um adaptador que faz sondagem, como para sondagem de banco de dados e chamada
  • Quando o agente de conectividade é usado para se comunicar com o Oracle Integration

Para obter uma lista de endereços IP externos por data center que você pode adicionar à sua lista de permissões para chamadas de serviço Web iniciadas por Aplicativos Oracle Cloud, consulte a nota de suporte ID 1903739.1: Lista de Permissões de IP para Chamadas de Serviço Web Iniciadas por Aplicativos Oracle Cloud.

Configurar uma Lista de Permissões para sua Instância

Sua lista de permissões pode conter até 15 regras para conexões HTTPS com a instância do Oracle Integration. As restrições da lista de permissões que você cria são adicionais aos mecanismos de autorização padrão, como credenciais do usuário, que estão sempre em vigor.

  1. Acessar a Console do Oracle Cloud Infrastructure.
  2. Na coluna Nome para Exibição, clique na instância a ser editada.
  3. Na página Detalhes da Instância de Integração, abaixo de Recursos no canto inferior esquerdo, selecione Acesso à Rede.
  4. Abaixo do cabeçalho Network Access, clique em Editar.
    A caixa de diálogo Acesso à Rede será exibida. Se sua lista estiver vazia, a primeira regra de lista de permissões em branco será adicionada para você.
  5. Preencha os campos na parte superior da caixa de diálogo:
    • Restringir o Acesso à Rede: Selecione esta opção para poder adicionar regras de lista de permissões e aplicar as regras. Quando essa opção é selecionada, somente usuários de redes que atendam às definições configuradas podem acessar a instância de integração. Quando essa opção não está selecionada, não há regras de lista de permissões e não há restrições de rede para acessar sua instância.

      Cuidado:

      Se você desmarcar Restringir o Acesso à Rede após configurar regras da lista de permissões, todas as regras da lista de permissões configuradas serão excluídas.
    • Ativar Loopback: Selecione esta opção para permitir que a integração se chame.
      Observação

      Se você ativar o loopback, qualquer instância do Oracle Integration na sua região poderá chamar sua instância.

      O loopback é necessário para determinadas chamadas. Você deve ativar o loopback para os seguintes cenários:

      • Para chamar uma API do Oracle Integration de dentro de uma integração. Use uma conexão REST para chamar a API.
      • Para chamar sua integração da instância do outro Oracle Integration.

      Para chamar sua integração de dentro da sua instância do Oracle Integration, você pode ativar o loopback, mas recomendamos usar a chamada local. Se você usar a chamada local para esse cenário, não será necessário ativar o loopback. Você também não precisa de uma conexão ao usar a chamada local.

  6. Configure suas regras de lista de permissões.
    1. Para adicionar uma regra, clique em Adicionar Regra, localizado abaixo da última regra da lista. Talvez você precise rolar para ver o botão.
    2. No campo Tipo, selecione o tipo de regra a ser configurada.
      • IP Address/CIDR Block: Configure o acesso de um endereço IP ou um intervalo de endereços IP.
      • Rede Virtual na Nuvem: Configure o acesso de uma rede virtual na nuvem específica. Para exibir uma lista de redes em outros compartimentos, clique em Alterar Compartimento. Além de uma rede virtual na nuvem específica, você pode especificar um endereço IP ou uma faixa de endereços IP dentro da rede virtual na nuvem.
      • OCID (Virtual Cloud Network OCID): Forneça acesso a um OCID (Oracle Cloud ID) da rede virtual na nuvem. Para obter informações sobre o formato OCID, consulte Identificadores de Recursos.
  7. Depois de adicionar todas as regras desejadas à lista de permissões, clique em Salvar Alterações.
    A solicitação de serviço é enviada e as alterações entram em vigor quando o status da instância é alterado para Ativo. Nos detalhes da instância, em Informações da Instância de Integração, você também notará Acesso à Rede: Restrito.