使用 OCI IAM App 閘道保護舊版應用程式

簡介

Oracle App Gateway 是一種軟體設備，可讓您將運算執行處理、雲端基礎架構或內部部署伺服器中代管的應用系統與 Oracle Cloud Infrastructure 整合，以進行認證。

App Gateway 是透過限制未經授權的網路存取來保護 Web 應用程式的反向代理主機。App Gateway 會攔截對這些應用程式的 HTTP 要求，並在將要求轉送給這些應用程式之前，確保已使用 OCI Identity and Access Management (IAM) 驗證使用者。App 閘道會將已認證使用者的識別傳輸至應用程式。

如果使用者未通過 OCI IAM 認證，應用程式閘道會將使用者重新導向至 OCI IAM 的登入頁面以進行證明資料驗證。

目標

本教學課程示範如何使用 Oracle App Gateway 透過新增與 OCI IAM 整合的認證和授權層來保護舊版應用程式。這可集中控制對舊有環境的存取，確保授權使用者的安全性、治理及可見性。

必備條件

在 Oracle Cloud Infrastructure (OCI) 中設定 App Gateway 之前，請確定您已：

具有管理權限的 OCI 帳戶
- 建立的識別網域類型為 Enterprise
- 存取 OCI IAM 中設定的識別網域
- 在 OCI IAM 中建立及管理企業應用程式的權限
已設定的網路環境
- 虛擬雲端網路 (VCN) 中代管 App 閘道的子網路
- 安全清單或網路安全群組 (NSG) 中的安全規則，以允許連接埠 443 (HTTPS) 和後端應用程式連接埠上的流量
具有 App 閘道的伺服器
- 執行 Linux 以安裝雲端閘道代理程式的虛擬機器 (VM) 或主機 (NGINX + OCI IAM 模組)
- 有效或自行簽署的 TLS 憑證，以在 App 閘道上啟用 HTTPS
可用的舊版應用程式
- 必須在後端主機 (HTTP 或 HTTPS) 上執行
- 必須知道應用程式的位址和連接埠，而且可從 VCN 連線
OCI IAM 中的使用者和群組
- 在識別網域中佈建的使用者
- 設定為定義可存取舊有應用程式的人員之群組或指派

任務 1：下載 Oracle App Gateway OVA 並將其轉換為 VMDK

按一下您網域的網域、設定值，然後向下捲動至「下載項目」區段。按一下 3 個點以開啟 Identity Cloud Service 的 App 閘道功能表，然後按一下下載：
下載完成後，請將 .ova 檔案 (VirtualBox 虛擬設備檔案) 從 .zip 檔案解壓縮到您的電腦。
若要處理此檔案，請匯入。OVA 檔案進入 VirtualBox 。匯入。OVA 檔案將會建立虛擬磁碟映像檔 (虛擬磁碟映像檔) .VDI) 檔案。
將此 VDI 檔案上傳至 OCI 中的儲存桶。

工作 2：在 OCI 中建立 App 閘道的自訂映像檔

。儲存桶中提供 VDI 檔案，請建立用於您租用戶中執行處理的自訂映像檔。按一下運算、自訂影像：
按一下匯入影像：
填入並選取要建立自訂影像的設定值：

其中：

在區間中建立：在此處選取將建立自訂映像檔的區間
名稱：要建立的自訂映像檔名稱
作業系統：保持選取 Oracle Linux
儲存桶：選取從物件儲存的儲存桶匯入
物件儲存體資訊：從上一個步驟選取物件儲存體和 .vdi 影像
影像類型：按一下 VMDK
投放模式：按一下模擬模式

填寫此資訊後，按一下匯入影像。匯入完成後，您可以使用新建立的自訂映像檔來建立 OCI 執行處理。

工作 3：建立 App 閘道執行處理

若要建立執行處理，請按一下運算、執行處理：
按一下建立執行處理。
填寫建立執行處理的相關資訊，然後按一下變更映像檔，即可選取先前步驟中所建立的自訂映像檔。
選取要使用自訂影像的欄位：

選取自訂影像欄位

其中：

我的影像：選取此項目以使用您的自訂影像
自訂影像：將此項目保留為已選取
區間：選取建立自訂映像檔的區間
自訂映像檔名稱：選取先前建立的 App 閘道映像檔

工作 4：驗證 App Gateway Server 設定值

若要在建立 App Gateway 伺服器後驗證設定值，請使用 SSH 登入終端機：

ssh -i <path_private_key> oracle@<IP_servidor_app_gateway>

使用 'oracle' 使用者設定 SSH。您可以在官方 App Gateway 產品文件中找到此使用者的密碼，網址為：連結。

注意：第一次登入時，必須變更密碼。

工作 5：建立 App Gateway Server 的憑證和私密金鑰

存取執行處理之後，請建立 server.crt 和 server.key 以供 App Gateway 使用，因為它會透過 HTTPS 進行作業。若要這麼做，請在伺服器上執行下列指令：

若要建立 server.key，請執行下列動作：

openssl genrsa -out server.key 2048
若要建立 server.crt：

openssl req -new -x509 -days 365 -key server.key -out server.crt

重要事項：請記下 server.crt 和 server.key 檔案儲存在您 App Gateway 伺服器上的路徑。您需要此資訊才能在 OCI Web 主控台內完成 App Gateway 組態：
```
ssl_certificate /home/oracle/server.crt;
ssl_certificate_key /home/oracle/server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
```

建立 server.crt 和 server.key 檔案之後，我們就可以在 OCI 主控台內註冊 App Gateway。

附註：

此實驗室使用自行簽署的 SSL 憑證。因此，使用 App Gateway 測試舊版應用程式的存取時，我們一定會在瀏覽器中遇到憑證驗證失敗訊息。
如果您的環境使用有效的 SSL，請瀏覽 Oracle App Gateway 文件以瞭解詳細資訊。

工作 6：在 OCI 主控台中註冊 App 閘道

若要註冊應用程式閘道，請從 OCI Web 主控台按一下 Identity & Security，Domains ：
按一下您的網域名稱：

注意：若要使用 App 閘道，您的識別網域必須建立為 Enterprise 類型。
按一下應用程式閘道，然後按一下建立應用程式閘道：
請在 App 閘道建立工作流程中填入必要的資訊，然後按一下建立 App 閘道。建立之後，您的 App 閘道詳細資訊會顯示在畫面上：
建立 App 閘道之後，請按一下主機，然後按一下新增主機：
輸入先前步驟所建立之 App Gateway 伺服器的相關資訊：

其中：

1：主機 ID：輸入 App 閘道的名稱

2：主機：這是先前建立之 App 閘道執行處理的 FQDN。若要擷取此資訊，請前往您的執行處理，按一下網路頁籤並擷取內部 FQDN 3：連接埠： 輸入將執行 App 閘道的連接埠 (在此範例中，我們將使用連接埠 4443)

4：啟用 SSL：在此實驗室中，App Gateway 將使用 SSL。因此，按一下啟用 SSL 。

5：其他特性：輸入先前建立的 SSL 設定值
```
ssl_certificate /home/oracle/server.crt;
ssl_certificate_key /home/oracle/server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
```
按一下新增主機。
建立 App 閘道之後，其組態設定之後會顯示在畫面上：
按一下詳細資訊頁籤，然後按一下動作、啟用應用程式閘道來啟用您的 App 閘道：
確認啟用：
啟用、確認您的啟用，並寫下您 App 閘道的從屬端 ID 和從屬端加密密碼 (將它保存在安全的地方) 以供後續步驟使用。

工作 7：設定 App Gateway Server

在 OCI 主控台中設定 App 閘道之後，您需要設定 App 閘道伺服器。下一步是讓 App Gateway 伺服器與 OCI 網域端點通訊。

若要測試與識別網域端點的連線，請擷取其 FQDN。若要擷取，請在 OCI 主控台的「識別網域的詳細資訊」頁面中，按一下「網域 URL」行中的複製：
編輯 cloudgate-env 檔案，透過變更 IDCS_INSTANCE_URL 設定，將識別網域設定值插入 App 閘道。在此設定中，您必須插入網域端點的 FQDN (與透過上面的 curl 執行存取測試的 FQDN 相同)：
下一個要設定的參數為：
- CG_APP_TENANT：在此欄位中輸入租用戶 OCID
- CG_APP_NAME：輸入您 App Gateway 的從屬端 ID
- CG_APP_SECRET：輸入您 App Gateway 的從屬端加密密碼
最後，您必須驗證 App Gateway 伺服器的解析器是否能夠識別 OCI 中識別網域端點的 IP 位址。若要這麼做，請執行以下命令：

nslookup <id_domain_endpoint_domain>

工作 8：設定應用程式伺服器

對 App 閘道檔案進行所有必要的變更之後，您必須執行命令來設定您的 App 閘道。若要這麼做，請在 /scratch/oracle/cloudgate/ova/bin/setup 目錄內執行 setup-cloudgate 命令：
完全依照指示進行。確認 App Gateway 檔案中設定的資訊，並在出現提示時輸入密碼。組態完成後，請確認 App Gateway 正在使用下列命令：

/scratch/oracle/cloudgate/home/bin/cg-status
驗證伺服器已啟動並在執行中之後，您就可以開始設定將使用 App 閘道功能的應用程式。

工作 9：使用 Oracle App Gateway 保護舊版應用程式

若要使用 Oracle App Gateway 保護舊版應用程式，您必須設定對已設定 App Gateway 之識別網域的存取，然後按一下整合式應用程式，然後按一下新增應用程式：
選取企業應用程式，然後按一下啟動工作流程：
填寫所有要求的資訊，包括：
- 名稱：將為您的應用程式建立以受 App Gateway 保護的企業應用程式名稱；
- 描述：輸入受 App 閘道保護之舊版應用程式的描述；
- 應用程式 URL：新增使用者目前用來存取舊版應用程式的 URL。這是將受 App 閘道保護的應用程式 URL。
按一下送出。

完成建立「企業應用程式」後，畫面會顯示其詳細資訊。
按一下 SSO 組態，然後按一下編輯 SSO 組態以繼續進行組態：
按一下動作，然後按一下新增資源：
設定哪些舊版應用程式資源將受到 Oracle App Gateway 保護。您可以個別建立資源、將資源逐一新增至舊版應用程式的 URL，以及使用正規表示式來代表應用程式所擁有的 URL 集合。
按一下新增資源。
若要設定「資源管理程式」，請按一下編輯 SSO 組態，向下捲動至「SSO 組態」頁面，選取新增受管理資源，按一下動作，然後按一下新增受管理資源：
在顯示的頁面上執行下列作業：

1：資源：選取新建立的資源 (在本教學課程中，它是 Legacy-app-resource)

2：認證方法：選取傳統應用程式的認證方法 (例如，我們使用表單或存取權杖 )

3：名稱 / 值：輸入要傳送給舊有應用程式之 HTTP 標頭的名稱和值
最後，按一下新增受管理資源，然後按一下儲存變更。這會完成在 OCI IAM 中建立企業應用程式。此企業應用程式代表將受 Oracle App 閘道保護的舊版應用程式。
建立企業應用程式之後，按一下動作功能表，然後按一下啟用來啟用它：
確認啟用：

工作 10：建立企業應用程式與 Oracle App Gateway 的關聯

若要將您的企業應用程式與 Oracle App Gateway 建立關聯，您必須使用先前步驟中識別網域中設定的 App 閘道，在 OCI 主控台內進行設定。
返回您的識別網域主畫面，按一下應用程式閘道，然後按一下您設定的 App 閘道名稱：
按一下應用程式，然後按一下新增應用程式：
在組態畫面中，填入必要的資訊：

其中：

1：應用程式：選取您先前建立的應用程式

2：選取主機：選取您為應用程式建立的主機。

3：資源前置碼：輸入應用程式應透過 App 閘道存取的路由

4：來源伺服器：輸入執行舊有應用程式之伺服器的 FQDN，接著輸入執行應用程式的連接埠
最後，按一下新增 App 。