導入微點存取控制 Oracle Integration

導入 Oracle Integration 的微點存取控制模型，適用於需要依整合類型、環境或特定使用者職責進行精確、以角色為基礎的整合存取控制案例。

在導入企業級治理時使用此架構，並確保符合組織規範和營運政策的安全、區隔存取。

透過將 Oracle Cloud Infrastructure (OCI) API Gateway 與自訂授權者函數 (通常使用 OCI Functions 實作) 結合使用，此架構可為路由至 Oracle Integration 的所有 API 呼叫啟用集中式和動態授權。此模式會將個別服務的認證和授權邏輯分離，以確保整合環境的一致性和重複使用性。

主要元件：

• Oracle Integration

  代管公開業務流程、整合或自訂 API 的目標 REST 端點。

• OCI API 閘道

  作為從屬端要求的反向代理主機，將它們安全地遞送至適當的 Oracle Integration 端點。它也與授權者功能整合，可強制執行以 OAuth 為基礎的存取控制。

• 自訂授權者函數 ( OCI 函數 )

  負責下列項目的無伺服器函數：

  • 正在驗證身分識別提供者所發出的 OAuth 2.0 存取權杖 (例如 Oracle Identity Cloud Service 或任何第三方 OAuth 提供者)。
  • 評估記號中內嵌的自訂範圍，以判斷要求者是否具備呼叫目標 API 的必要權限。
  • 將授權決策傳回 OCI API 閘道，可根據結果允許或封鎖要求。

架構

此架構概述 Oracle Integration 的精細存取控制模型。

架構詳細資訊：

1. OCI API Gateway 會觸發 OCI Functions ，此函數可作為自訂授權者來處理內送要求的授權邏輯。此要求包含用於授予 Oracle Integration 存取權的存取權杖。
2. 授權者功能執行下列步驟：
   1. 它會從要求中擷取記號，並用來查詢 OCI Vault 以取得機密證明資料 (例如從屬端 ID 和從屬端加密密碼)。
   2. 此函數使用這些證明資料驗證 Oracle Identity Cloud Service (IDCS) 的記號，以確保其真實性與完整性。
   3. 如果記號有效，函數會傳回包含索引鍵明細的回應，例如：
      1. 權杖有效性狀態
      2. 主體 (使用者識別)
      3. 用戶端 ID 與用戶端密碼
      4. 存取範圍
3. 然後， OCI API Gateway 會在此回應中使用範圍，根據 Oracle Integration 整合的必要存取層級驗證權杖的範圍。

如果範圍相符， OCI API Gateway 會將原始要求轉送至受允許清單保護的 Oracle Integration API，現在使用經過驗證的授權標頭加以強化，讓整合流程能夠安全地繼續。

下圖說明此參照架構。

oracle-integration-rest-oauth-diagram.png 圖解描述

oracle-integration-rest-oauth-diagram-oracle.zip

此架構具有下列元件：

• 地區

  OCI 區域是本地化的地理區域，包含一或多個代管可用性網域的資料中心。區域獨立於其他地區，且遠距離能夠分離它們 (跨國家，甚至是大陸)。

• 虛擬雲端網絡 (VCN) 與子網路

  VCN 是您在 OCI 區域中設定的可自訂軟體定義網路。與傳統資料中心網路一樣，VCN 可讓您控制網路環境。VCN 可以有多個非重疊的無類別網域間路由 (CIDR) 區塊，您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 分隔到子網路中，而子網路的作用領域可以調整到某個區域或可用性網域。每個子網路都是由連續的位址範圍所組成，這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用網路。

• API 閘道

  Oracle Cloud Infrastructure API Gateway 可讓您發布具有可從網路存取之專用端點的 API，並視需要向公用網際網路公開這些 API。端點支援 API 驗證、要求與回應轉換、CORS、認證與授權，以及要求限制。

• 功能

  Oracle Cloud Infrastructure Functions 是一個完全託管、多租用戶、可高度擴展、隨選、函數即服務 (FaaS) 平台。它由 Fn Project 開放原始碼引擎提供技術支援。OCI Functions 可讓您部署程式碼，以及直接呼叫程式碼或觸發程式碼以回應事件。OCI Functions 使用 Oracle Cloud Infrastructure Registry 中代管的 Docker 容器。

• 整合

  Oracle Integration 是完全受管理的預先設定環境，可讓您整合雲端和內部部署應用程式、將業務流程自動化，以及開發視覺應用程式。它使用符合 SFTP 規範的檔案伺服器來儲存和擷取檔案，並允許您使用數百個轉接器和處方組合來與 Oracle 和第三方應用程式連線，與企業對企業交易夥伴交換文件。

• 識別與存取管理

  Oracle Cloud Infrastructure Identity and Access Management (IAM) 為 OCI 和 Oracle Cloud Applications 提供使用者存取控制。IAM API 和使用者介面可讓您管理識別網域及其中的資源。每個 OCI IAM 識別網域都代表獨立的識別與存取管理解決方案，或代表不同的使用者群體。

• Oracle Cloud Infrastructure Vault

  Oracle Cloud Infrastructure Vault 可讓您建立並集中管理加密金鑰，這些加密金鑰可保護您的資料，以及用來保護雲端資源存取的安全機密證明資料。預設金鑰管理是 Oracle 管理的金鑰。您也可以使用使用使用 OCI Vault 的客戶管理金鑰。OCI Vault 提供一組豐富的 REST API 來管理保存庫和金鑰。

探索更多資訊

深入瞭解 Oracle Integration 整合。

請複查這些其他資源：

• Oracle Cloud Infrastructure 文件中的 API Gateway 概要
• Oracle Integration 3
• Oracle Cloud Infrastructure 文件中的設定 OAuth
• Oracle Cloud Infrastructure 文件中的驗證要新增驗證與授權至 API 部署的權杖
• Oracle Cloud 成本預估工具
• Oracle Cloud Infrastructure 文件
• 架構完善的 Oracle Cloud Infrastructure 架構

確認

• 作者：Pradyumna Kodgi, Ravi Pinto, Sumit Aneja
• 貢獻者：John Sulyok