Proteger Aplicativos Legados usando o OCI IAM App Gateway

Introdução

O Oracle App Gateway é um appliance de software que permite integrar aplicativos hospedados em uma instância de computação, em uma infraestrutura de nuvem ou em um servidor on-premises com a Oracle Cloud Infrastructure para fins de autenticação.

O App Gateway funciona como proxy reverso que protege aplicativos web restringindo o acesso não autorizado da rede a eles. O App Gateway intercepta qualquer solicitação HTTP para esses aplicativos e garante que os usuários sejam autenticados com o OCI Identity and Access Management (IAM) antes de encaminhar a solicitação para esses aplicativos. O App Gateway propaga a identidade do usuário autenticado para os aplicativos.

Se o usuário não for autenticado com o OCI IAM, o App Gateway redirecionará o usuário para a página de Acesso do OCI IAM para validação de credenciais.

Objetivo

Este tutorial demonstra como usar o Oracle App Gateway para proteger um aplicativo legado adicionando uma camada de autenticação e autorização integrada ao OCI IAM. Isso fornece controle centralizado sobre o acesso ao ambiente legado, garantindo a segurança, a governança e a visibilidade dos usuários autorizados.

Pré-requisitos

Antes de configurar o App Gateway no OCI (Oracle Cloud Infrastructure), certifique-se de ter:

• Uma conta do OCI com permissões administrativas
  • Um domínio de identidades criado do tipo Enterprise
  • Acesso ao domínio de identidades configurado no OCI IAM
  • Permissão para criar e gerenciar aplicativos empresariais no OCI IAM
• Um ambiente de rede configurado
  • Uma sub-rede na rede virtual na nuvem (VCN) para hospedar o App Gateway
  • Regras de segurança em listas de segurança ou em um NSG (grupo de segurança de rede) para permitir tráfego na porta 443 (HTTPS) e na porta do aplicativo de backend
• Um servidor com o App Gateway
  • Uma máquina virtual (VM) ou host executando o Linux para instalar o Cloud Gate Agent (módulo NGINX + OCI IAM)
  • Um certificado TLS válido ou autoassinado para ativar HTTPS no App Gateway
• Um aplicativo legado disponível
  • Deve estar em execução em um host de backend (HTTP ou HTTPS)
  • O endereço e a porta do aplicativo devem ser conhecidos e acessíveis pela VCN
• Usuários e grupos no OCI IAM
  • Usuários provisionados no domínio de identidades
  • Grupos ou atribuições configuradas para definir quem pode acessar o aplicativo legado

Tarefa 1: Fazer Download do OVA do Oracle App Gateway e convertê-lo em VMDK

1. Clique em Domínios, Definições do seu domínio e role para baixo até a seção Downloads. Clique nos 3 pontos para abrir o menu App Gateway for Identity Cloud Service e, em seguida, clique em Fazer Download:

   

2. Após a conclusão do download, extraia o arquivo .ova (arquivo do appliance virtual VirtualBox) do arquivo .zip para o computador.

   

3. Para processar este arquivo, importe o . Arquivo OVA em VirtualBox. Importando o . O arquivo OVA criará uma Imagem de Disco Virtual (. arquivo VDI).

4. Faça upload desse arquivo VDI para um bucket no OCI.

   

Tarefa 2: Criar a Imagem personalizada do App Gateway no OCI

1. Após o . O arquivo VDI está disponível no bucket; crie uma imagem personalizada para uso em instâncias do tenant. Clique em Compute, Custom Images:

   

2. Clique em Importar imagem:

   

3. Preencha e selecione as configurações para criar a imagem personalizada:

   

Onde:

1. Criar no compartimento: Selecione o compartimento aqui em que a imagem personalizada será criada
2. Nome: Nome da imagem personalizada a ser criada
3. Sistema Operacional: Mantenha o Oracle Linux selecionado
4. Bucket: Selecione Importar de um ucket do serviço Object Storage
5. Informações do serviço Object Storage: Selecione o armazenamento de objetos e a imagem .vdi na etapa anterior
6. Tipo de imagem: Clique em VMDK
7. Modo de inicialização: Clique em Modo emulado

Depois de preencher essas informações, clique em Importar imagem. Após a conclusão da importação, você poderá criar uma instância do OCI com a imagem personalizada recém-criada.

Tarefa 3: Criar instância do App Gateway

1. Para criar a instância, clique em Compute, Instances:

   

2. Clique em Criar instância:

   

3. Preencha as informações sobre a criação da instância e clique em Alterar imagem para selecionar a imagem personalizada que foi criada nas etapas anteriores.

   

4. Selecione os campos para usar a imagem personalizada:

Onde:

1. Minhas imagens: Selecione este item para usar sua imagem personalizada
2. Imagens personalizadas: Deixe este item selecionado
3. Compartimento: Selecione o compartimento no qual a imagem personalizada foi criada
4. Nome da imagem personalizada: Selecione a imagem do App Gateway criada anteriormente

Tarefa 4: Validar Definições do Servidor App Gateway

Para validar as definições do servidor do App Gateway após criá-las, faça log-in em um terminal usando SSH:

ssh -i <path_private_key> oracle@<IP_servidor_app_gateway>

SSH com o usuário 'oracle'. A senha desse usuário pode ser encontrada na documentação oficial do produto App Gateway neste link.

Observação: A senha deve ser alterada na primeira vez que você fizer log-in.

Tarefa 5: Criar um Certificado e uma Chave Privada para o Servidor App Gateway

Depois de acessar a instância, crie um server.crt e um server.key para uso pelo App Gateway, pois ele operará por HTTPS. Para fazer isso, execute os seguintes comandos no servidor:

1. Para criar a server.key:

   openssl genrsa -out server.key 2048

2. Para criar server.crt:

   openssl req -new -x509 -days 365 -key server.key -out server.crt

   

   Importante: Anote o caminho no qual os arquivos server.crt e server.key são armazenados no servidor do App Gateway. Você precisará dessas informações para concluir a configuração do App Gateway no Console da Web do OCI:

   ssl_certificate /home/oracle/server.crt;
   ssl_certificate_key /home/oracle/server.key;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ssl_ciphers HIGH:!aNULL:!MD5;
   

Depois de criar os arquivos server.crt e server.key, podemos registrar o App Gateway na console do OCI.

Observações:

• Este laboratório usa certificados SSL autoassinados. Portanto, certamente encontraremos uma mensagem de falha de validação de certificado no navegador ao testar o acesso ao aplicativo legado usando o App Gateway.
• Se seu ambiente usar SSL válido, visite a documentação do Oracle App Gateway para obter mais informações.

Tarefa 6: Registrar o App Gateway na Console do OCI

1. Para registrar o App Gateway, no Console da Web do OCI, clique em Identidade e Segurança, Domínios:

   

2. Clique no seu nome de domínio:

   

   Observação: Para usar o App Gateway, seu Domínio de Identidades deve ser criado como o tipo Enterprise.

3. Clique em App Gateways e em Criar gateway de aplicativo:

   

4. Preencha as informações necessárias no workflow de criação do App Gateway e clique em Criar gateway de aplicativo. Após a criação, os detalhes do App Gateway serão exibidos na tela:

   

5. Depois de criar o App Gateway, clique em Hosts e, em seguida, em Adicionar host:

   

6. Especifique as informações sobre o servidor App Gateway criado nas etapas anteriores:

   Onde:

   1: Identificador de Host: Digite um nome para seu App Gateway

   2: Host: Este é o FQDN da instância do App Gateway criada anteriormente. Para capturar essas informações, vá para sua instância, clique na guia Rede e capture o FQDN Interno 3: Porta: Informe a porta na qual o App Gateway será executado (neste exemplo, usaremos a porta 4443)

   4: SSL Ativado: Neste laboratório, o App Gateway usará SSL. Portanto, clique em SSL ativado

   5: Propriedades Adicionais: Informe as definições de SSL conforme criadas anteriormente

   ssl_certificate /home/oracle/server.crt;
   ssl_certificate_key /home/oracle/server.key;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ssl_ciphers HIGH:!aNULL:!MD5;
   

7. Clique em Adicionar host.

   

8. Depois que o App Gateway for criado, ele aparecerá na tela após sua configuração:

   

9. Clique na guia Detalhes e ative seu App Gateway clicando em Ações, Ativar gateway de aplicativo:

   

10. Confirme a ativação:

    

11. Ao ativar, confirme sua ativação e anote o ID do Cliente e o Segredo do Cliente do seu App Gateway (mantenha-os em um local seguro) para uso nas próximas etapas.

    

Tarefa 7: Configurar o Servidor App Gateway

Após configurar o App Gateway na console do OCI, você precisa configurar o servidor do App Gateway. A próxima etapa é permitir que o servidor do App Gateway se comunique com o ponto final do Domínio do OCI.

1. Para testar a conectividade com o ponto final do Domínio de Identidades, capture seu FQDN. Para capturá-lo, na console do OCI, na página Detalhes do seu Domínio de Identidades, clique em Copiar na linha URL do Domínio:

   

2. Edite o arquivo cloudgate-env para inserir as definições do Domínio de Identidades no App Gateway alterando a definição IDCS_INSTANCE_URL. Nesta configuração, você deve inserir o FQDN do seu Ponto Final de Domínio (o mesmo usado para executar o teste de acesso via curl acima):

   

3. Os próximos parâmetros a serem configurados são:

   • CG_APP_TENANT: Informe o OCID do Tenant neste campo
   • CG_APP_NAME: Informe o ID do Cliente do App Gateway
   • CG_APP_SECRET: Informe o Segredo do Cliente do App Gateway

4. Como etapa final, você precisa verificar se o resolvedor do servidor do App Gateway pode identificar o endereço IP do ponto final do Domínio de Identidades no OCI. Para isso, execute o comando a seguir:

   nslookup <id_domain_endpoint_domain>

   

Tarefa 8: Configurar o Servidor de Aplicativos

1. Depois de fazer todas as alterações necessárias nos arquivos do App Gateway, você precisará executar o comando para configurar o App Gateway. Para fazer isso, execute o comando setup-cloudgate no diretório /scratch/oracle/cloudgate/ova/bin/setup:

   

2. Siga as instruções completamente. Confirme as informações configuradas nos arquivos do App Gateway e digite a senha quando solicitado. Após a conclusão da configuração, verifique se o App Gateway está funcionando com o seguinte comando:

   /scratch/oracle/cloudgate/home/bin/cg-status

   

3. Depois de validar que o servidor está ativo e em execução, você poderá começar a configurar o aplicativo que usará os recursos do App Gateway.

Tarefa 9: Proteger um Aplicativo Legado com o Oracle App Gateway

1. Para proteger um aplicativo legado usando o Oracle App Gateway, você precisará configurar o acesso ao Domínio de Identidades no qual o App Gateway está configurado e clicar em Aplicativos Integrados e, em seguida, clicar em Adicionar aplicativo:

   

2. Selecione Aplicativo Empresarial e clique em Iniciar workflow:

   

3. Preencha todas as informações solicitadas, incluindo:

   • Nome: O nome do Aplicativo Empresarial que será criado para que seu aplicativo seja protegido pelo App Gateway;
   • Descrição: Digite uma descrição para que seu aplicativo legado seja protegido pelo App Gateway;
   • URL do Aplicativo: Adicione o URL que seus usuários usam no momento para acessar seu aplicativo legado. Este é o URL do aplicativo que será protegido pelo App Gateway.

   

4. Clique em Submeter.

   Quando você terminar de criar o Aplicativo Empresarial, a tela com seus detalhes será exibida.

5. Clique em Configuração de SSO e em Editar configuração de SSO para continuar com a configuração:

   

6. Clique em Ações e em Adicionar recurso:

   

7. Configure quais recursos de aplicativos legados serão protegidos pelo Oracle App Gateway. Você pode criar recursos individualmente, adicionando-os um a um aos URLs do seu aplicativo legado, e usar expressões regulares para representar as coleções de URLs que seu aplicativo tem.

   

8. Clique em Adicionar recurso.

9. Para configurar o Resource Manager, clique em Editar Configuração de SSO, role para baixo até a página Configuração de SSO, selecione Adicionar recursos gerenciados, clique em Ações e clique em Adicionar recursos gerenciados:

   

10. Na página exibida, faça o seguinte:

    1: Recurso: Selecione o Recurso recém-criado (neste tutorial, é Legacy-app-resource)

    2: Método de autenticação: Selecione o método de autenticação do seu aplicativo legado (aqui, por exemplo, usaremos Token de Formulário ou Acesso)

    3: Nome/Valor: Informe o nome e o valor dos cabeçalhos HTTP que você deseja enviar à aplicação legada

    

11. Por fim, clique em Adicionar recurso gerenciado e depois clique em Salvar alterações. Isso conclui a criação do Aplicativo Empresarial no OCI IAM. Esse Aplicativo Empresarial representa seu aplicativo legado que será protegido pelo Oracle App Gateway.

12. Após a criação do Enterprise Application, ative-o clicando no menu Ação e, em seguida, clicando em Ativar:

    

13. Confirme sua ativação:

    

Tarefa 10: Associar o Aplicativo Empresarial ao Oracle App Gateway

1. Para associar seu Aplicativo Empresarial ao Oracle App Gateway, você precisa configurá-lo na Console do OCI, usando o App Gateway que foi configurado no Domínio de Identidades nas etapas anteriores.

2. Retorne à tela principal do Domínio de Identidades, clique em App Gateways e, em seguida, clique no nome do App Gateway configurado:

   

3. Clique em Aplicativos e em Adicionar aplicativo:

   

4. Na tela de configuração, preencha as informações necessárias:

   

   Onde:

   1: Aplicativo: Selecione o aplicativo criado anteriormente

   2: Selecionar um host: Selecione o host criado para o aplicativo

   3: Prefixo do recurso: Informe a rota pela qual o aplicativo deve ser acessado por meio do App Gateway

   4: Servidor de origem: Informe o FQDN do seu servidor em que o aplicativo legado está em execução, seguido pela porta em que o aplicativo está em execução

5. Por fim, clique em Adicionar aplicativo.

Após a conclusão de todas as configurações, você poderá testar o acesso ao aplicativo legado usando o Oracle App Gateway.

Tarefa 11: Testar o Acesso ao Aplicativo Legado Usando o Oracle App Gateway

1. Depois de configurar o App Gateway e o Enterprise Application, você poderá executar um teste de acesso. Para fazer isso, abra um browser e informe o endereço público do App Gateway junto com a porta em que ele foi configurado:

   

2. Ao acessar, o App Gateway redirecionará o usuário para o OCI IAM para que o log-in no OCI possa ser feito.

   

3. Após o acesso, ocorrerá um redirecionamento e o aplicativo será acessado por meio do App Gateway:

   

Confirmações

• Autor: Rodrigo Pace de Barros (Engenheiro de Soluções de Segurança em Nuvem da Oracle LAD A-Team)

Mais Recursos de Aprendizado

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal do Oracle Learning YouTube. Além disso, acesse education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Secure Legacy Applications by Using OCI IAM App Gateway

G43065-01

Copyright ©2025,

Oracle e/ou suas empresas afiliadas.