Implemente o Controle de Acesso Detalhado Oracle Integration

Implemente um modelo de controle de acesso refinado para o Oracle Integration para cenários em que é necessário um controle preciso e baseado em funções sobre o acesso às integrações, seja por tipo de integração, ambiente ou responsabilidades específicas do usuário.

Use essa arquitetura ao implementar a governança de nível empresarial e garantir acesso seguro e segmentado alinhado com as políticas operacionais e de conformidade da sua organização.

Ao aproveitar o Gateway de API do OCI (Oracle Cloud Infrastructure) em conjunto com uma função de autorizador personalizada (normalmente implementada usando o OCI Functions), essa arquitetura permite autorização centralizada e dinâmica para todas as chamadas de API roteadas para o Oracle Integration. Esse padrão desacopla a lógica de autenticação e autorização de serviços individuais, garantindo consistência e reutilização em todo o cenário de integração.

Componentes principais:

• Oracle Integration

  Hospeda os pontos finais REST de destino que expõem processos de negócios, integrações ou APIs personalizadas.

• Gateway de API do OCI

  Funciona como um proxy reverso para solicitações do cliente, roteando-as com segurança para os pontos finais apropriados do Oracle Integration. Ele também se integra à função de autorizador para impor o controle de acesso baseado em OAuth.

• Função de autorizador personalizada (OCI Functions)

  Uma função serverless responsável por:

  • Validando tokens de acesso OAuth 2.0 emitidos por um provedor de identidades (como o Oracle Identity Cloud Service ou qualquer provedor OAuth de terceiros).
  • Avaliando escopos personalizados incorporados no token para determinar se o solicitante tem as permissões necessárias para chamar a API de destino.
  • Retornando uma decisão de autorização de volta ao OCI API Gateway, que permite ou bloqueia a solicitação com base no resultado.

Arquitetura

Essa arquitetura descreve um modelo de controle de acesso detalhado para o Oracle Integration.

Detalhes da arquitetura:

1. O OCI API Gateway aciona o OCI Functions, que atua como um autorizador personalizado para tratar a lógica de autorização da solicitação de entrada. Essa solicitação inclui um token de acesso destinado a conceder acesso ao Oracle Integration.
2. A função de autorizador executa as seguintes etapas:
   1. Ele extrai o token da solicitação e o usa para consultar o OCI Vault para obter credenciais confidenciais, como o ID do cliente e o segredo do cliente.
   2. Usando essas credenciais, a função valida o token em relação ao Oracle Identity Cloud Service (IDCS) para garantir sua autenticidade e integridade.
   3. Se o token for válido, a função retornará uma resposta contendo detalhes importantes, como:
      1. Status de validade do token
      2. Principal (identidade do usuário)
      3. ID do cliente e segredo do cliente
      4. Escopo de acesso
3. Em seguida, o OCI API Gateway usa o escopo nesta resposta para verificar o escopo do token em relação ao nível de acesso necessário para a integração do Oracle Integration.

Se o escopo corresponder, o OCI API Gateway encaminhará a solicitação original para a API do Oracle Integration, que é protegida por uma lista de permissões, agora enriquecida com cabeçalhos de autorização validados, permitindo que o fluxo de integração continue com segurança.

O diagrama a seguir ilustra essa arquitetura de referência.

Descrição da ilustração oracle-Integration-rest-Oauth-diagram.png

oracle-integration-rest-oauth-diagram-oracle.zip

A arquitetura tem os seguintes componentes:

• Região

  Uma região do OCI é uma área geográfica localizada que contém um ou mais data centers, hospedando domínios de disponibilidade. Regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).

• VCN (rede virtual na nuvem) e sub-redes

  Uma VCN é uma rede personalizável e definida por software que você configura em uma região da OCI. Assim como as redes tradicionais do data center, as VCNs dão a você controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos de CIDR (Classless Inter-domain Routing) não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Gateway da API

  O Oracle Cloud Infrastructure API Gateway permite que você publique APIs com pontos finais privados acessíveis de dentro da sua rede e que você pode expor à internet pública, se necessário. Os pontos finais suportam validação da API, transformação de solicitação e resposta, CORS, autenticação e autorização e limitação de solicitação.

• Funções

  O Oracle Cloud Infrastructure Functions é uma plataforma Functions-as-a-Service (FaaS) totalmente gerenciada, multitenant, altamente escalável e sob demanda. Ele é alimentado pelo mecanismo de open source do Fn Project. O OCI Functions permite que você implante o código da sua conta e o chame diretamente ou o acione em resposta a eventos. O OCI Functions usa contêineres Docker hospedados no Oracle Cloud Infrastructure Registry.

• Integração

  O Oracle Integration é um ambiente pré-configurado totalmente gerenciado que permite integrar aplicativos na nuvem e on-premises, automatizar processos de negócios e desenvolver aplicativos visuais. Ele usa um servidor de arquivos compatível com SFTP para armazenar e recuperar arquivos e permite que você troque documentos com parceiros comerciais business-to-business usando um portfólio de centenas de adaptadores e receitas para se conectar com aplicativos Oracle e de terceiros.

• Serviço Identity and Access Management

  O Oracle Cloud Infrastructure Identity and Access Management (IAM) fornece controle de acesso do usuário para OCI e Oracle Cloud Applications. A API do IAM e a interface do usuário permitem gerenciar domínios de identidades e os recursos dentro deles. Cada domínio de identidades do OCI IAM representa uma solução independente de gerenciamento de identidades e acessos ou outra população de usuários.

• Oracle Cloud Infrastructure Vault

  O Oracle Cloud Infrastructure Vault permite criar e gerenciar centralmente as chaves de criptografia que protegem seus dados e as credenciais secretas usadas para proteger o acesso aos seus recursos na nuvem. O gerenciamento de chaves padrão são chaves gerenciadas pela Oracle. Você também pode usar chaves gerenciadas pelo cliente que usam o OCI Vault. O OCI Vault oferece um conjunto avançado de APIs REST para gerenciar vaults e chaves.

Explorar Mais

Saiba mais sobre as integrações do Oracle Integration.

Revise estes recursos adicionais:

• Visão Geral do Serviço API Gateway na Documentação do Oracle Cloud Infrastructure
• Oracle Integration 3
• Configurando o OAuth na Documentação do Oracle Cloud Infrastructure
• Validando Tokens para Adicionar Autenticação e Autorização a Implantações de API na Documentação do Oracle Cloud Infrastructure
• Oracle Cloud - Estimador de Custos
• Documentação do Oracle Cloud Infrastructure
• Estrutura bem arquitetada para o Oracle Cloud Infrastructure

Confirmações

• Autores: Pradyumna Kodgi, Ravi Pinto, Sumit Aneja
• Colaboradores: John Sulyok