このページは機械翻訳したものです。

Oracle Cloud Infrastructureドキュメント

インスタンスへのアクセスの制限

許可リスト(以前のホワイトリスト)を構成して、Oracle Integrationインスタンスにアクセスできるネットワークを制限します。特定のIPアドレス、クラスレス・ドメイン間ルーティング(CIDR)ブロックおよび指定した仮想クラウド・ネットワークのユーザーのみがOracle Integrationインスタンスにアクセスできます。

Oracle Integrationインスタンスの場合、インスタンスの作成時またはインスタンスの作成後に許可リストを構成します。

許可リストの構成のオプション1:セルフサービス許可リスト機能を使用したOracle Integrationへのアクセスの制限

allowlist-only.pngの説明が続きます

このシナリオでは、許可リストを使用してOracle Integrationへのアクセスを制限します。許可リストは、次のパラメータに基づいてアクセスを制限します。

  • 単一のIPアドレス
  • Classless Inter-Domain Routing (CIDR)ブロック(つまりIPアドレス範囲)
  • 仮想クラウド・ネットワークOracle Cloud ID (VCN OCID)

さらに、組織にサービス・ゲートウェイがある場合もあります。サービス・ゲートウェイを使用すると、パブリック・インターネットにデータを公開せずに、仮想クラウド・ネットワーク(VCN)がOracle Integrationにプライベート・アクセスできます。

指定されたIPアドレスおよびVCN OCIDのみがOracle Integrationにアクセスできます。リストされたVCNからOracle Integrationにアクセスするユーザーおよびシステムにはフル・アクセス権があります。

利点

  • 簡単なセットアップカスタム・エンドポイントを作成せずに、数分で許可リストを構成できます。
  • REST、SOAPおよびその他のインターネット・トラフィックを含むすべてのトラフィックがサポートされます。

デメリット

  • このルールでは、全部または一切のアクセス権が許可され、より微調整されたコントロールは許可されません。

    たとえば、許可されたIPアドレスを使用しているユーザーがコマンドライン・パラメータとしてSQLを渡す場合でも、特定のIPアドレスまたは範囲のすべてのトラフィックが許可されます。

  • アクセス・ルールは15個に制限されています。

    ただし、CIDRブロックは1つのエントリとしてのみカウントされるため、15を超えるルールは必要ない場合があります。

このシナリオに対して完了するタスク

  1. 組織のVCN OCIDを許可リストに追加します。 VCNはOracle Integrationと同じリージョンに存在し、サービス・ゲートウェイを持つ必要があります。

    VCN OCIDをallowlistに追加すると、VCNのすべてのリソースがOracle Integrationにアクセスできます。

  2. すべてのパートナ・ネットワークおよびアプリケーションについて、IPアドレスまたはアドレス範囲を許可リストに追加します。

    Oracle Integrationにアクセスする必要があるすべてのアプリケーションおよびシステムのすべてのIPアドレスが必要です。リストのコンパイル時には、すべてのパートナ・システムおよびSaaSアプリケーションを考慮してください。たとえば、CRMプラットフォームがアクセスを必要とする場合は、プラットフォームのIPアドレスの個別または範囲を追加する必要があります。

    許可リストにIPアドレスまたはアドレス範囲を追加すると、ネットワークのユーザー・インタフェースおよび統合への完全なアクセス権を付与します。

  3. Oracle Integrationがそれ自体を呼び出すことができるようにループバックを有効にします。

    たとえば、ループバックを有効化すると、Oracle Integrationは独自のREST APIをコールできます。

許可リストの構成のオプション2: Oracle Cloud Infrastructure Web Application Firewall (WAF)を使用したOracle Integrationへのアクセスの制限

allowlist_with_waf.pngの説明が続きます

このシナリオは、許可リストに最も強力な構成オプションであり、高度なルールを作成できます。このシナリオでは、Oracle Cloud Infrastructure Web Application Firewall (WAF)を使用してOracle Integrationへのアクセスを制限します。

各品目がアクセスを制御する方法

許可リストを使用すると、次のエンティティがOracle Integrationにアクセスできます。

  • WAF
  • 仮想クラウド・ネットワークOracle Cloud ID (VCN OCID)

その結果、すべてのインターネット・トラフィックがWAFにルーティングされ、次に基づいてアクセスが制限されます。

  • 単一のIPアドレス
  • Classless Inter-Domain Routing (CIDR)ブロック(つまりIPアドレス範囲)
  • 仮想クラウド・ネットワークOracle Cloud ID (VCN OCID)
  • ユーザー定義の追加ルール

組織にサービス・ゲートウェイがある場合、サービス・ゲートウェイを使用すると、仮想クラウド・ネットワーク(VCN)は、データをパブリック・インターネットに公開せずにOracle Integrationにプライベート・アクセスできます。

長所

  • WAFでは、許可リストに高度なルールを作成できます。次に例を示します。
    • SQLをコマンドライン・パラメータとして渡す場合、リクエストを禁止できます。
    • 地域ブロックを使用して場所に基づいてアクセスを制限できます。

    詳細は、Oracle Cloud Infrastructure Web Application FirewallWAFポリシーの管理を参照してください。

  • REST、SOAPおよびその他のインターネット・トラフィックを含むすべてのトラフィックがサポートされます。
  • 15個の許可リスト・ルールがこのシナリオには適用されません。

デメリット

  • このオプションは、セルフサービスの許可リストよりも複雑で時間がかかり、エラーが生じます。
  • WAFのカスタム・エンドポイントを作成し、サーバー証明書とDNSエントリが必要です。

このシナリオに対して完了するタスク

  1. 組織の要件に従ってWAFを構成します。

    Oracle Cloud Infrastructure Web Application FirewallWeb Application Firewallの概要を参照してください。

  2. Oracle Integrationのカスタム・エンドポイントを構成します。

    インスタンスのカスタム・エンドポイントの構成を参照してください。

  3. 許可リストにWAFのIPアドレスを追加します。

    組織に複数のリージョンにOracle Integrationがある場合、各リージョンには独自のWAFがあります。すべてのWAFのIPアドレスを許可リストに追加する必要があります。

  4. 組織のVCN OCIDを許可リストに追加します。 VCNはOracle Integrationと同じリージョンに存在し、サービス・ゲートウェイを持つ必要があります。

    VCN OCIDが許可リストにある場合、仮想クラウド・ネットワークはWAFをバイパスします。

ノート

WAFを使用してOracle Integrationへのアクセスを制限する場合にループバックを有効にする必要はありません。

許可リストの構成のオプション3: APIゲートウェイを使用したOracle Integrationへのアクセスの制限

allowlist_with_api_gateway.pngの説明が続きます

このシナリオでは、APIゲートウェイおよび許可リストを使用してOracle Integrationへのアクセスを制限します。

Oracle IntegrationへのすべてのトラフィックがREST APIコールの形式である場合、この設定はニーズに対応します。ただし、REST API以外のコール形式のトラフィックがある場合、このシナリオは理想的でない可能性があります。組織が次のいずれかの状況をサポートしている場合、REST以外のコールの形式でトラフィックが発生します。

  • Visual Builderおよびプロセス機能の使用など、Oracle Integrationユーザー・インタフェースで作業しているユーザー
  • Oracle Cloud Infrastructureコンソールのユーザー・インタフェースで作業しているユーザー
  • SOAPコール

REST以外のコールをサポートする場合は、Oracle Integration許可リストを使用してこのアクセスを管理する必要があります。そのため、APIゲートウェイでは許可リストにIPアドレスを追加できません。

各品目がアクセスを制御する方法

  • インターネットからのすべてのRESTトラフィックはAPIゲートウェイにルーティングされます。

    アクセスの制限方法の詳細は、APIゲートウェイのAPIゲートウェイの概要を参照してください。

  • 許可リストを使用すると、次のエンティティがOracle Integrationにアクセスできます。
    • API Gateway VCN
    • サービス・ゲートウェイ(組織に1つがある場合)
    • RESTおよびSOAPリクエスト
    ノート

    Visual Builderおよびプロセス・アクセスが必要な場合は、このパターンによってAPIゲートウェイをバイパスできます。

組織にサービス・ゲートウェイがある場合、サービス・ゲートウェイを使用すると、仮想クラウド・ネットワーク(VCN)は、データをパブリック・インターネットに公開せずにOracle Integrationにプライベート・アクセスできます。

長所

デメリット

  • 組織でファイル・サーバーを使用している場合は、APIゲートウェイを使用してアクセスを制限できません。

    ファイル・サーバーへの直接アクセスを許可する必要があります。

  • このオプションは、セルフサービスの許可リストよりも複雑で時間がかかり、エラーが生じます。
  • すべてを必要なとおりに構成しない場合、ユーザーはアクセスの問題が発生します。たとえば、ユーザーはプロセス機能にアクセスできず、内部ネットワーク上のユーザーのみがVisual Builderにアクセスできます。
  • Oracle IntegrationへのREST以外のコールの場合、Oracle Integration許可リストを使用して直接アクセスを提供する必要があります。この許可リストにアクセス・ルールは15個に制限されています。

このシナリオに対して完了するタスク

ノート

これらのステップを手作業で完了し、正しい形式を使用する必要があります。そうしないと、ユーザーがアクセスの問題が発生します。
  1. 組織の要件に従ってAPIゲートウェイを構成します。

    APIゲートウェイのドキュメントを参照してください。

  2. 組織のVCN OCIDを許可リストに追加します。 VCNはOracle Integrationと同じリージョンに存在する必要があります。

    VCN OCIDが許可リストにある場合、仮想クラウド・ネットワークはAPIゲートウェイをバイパスします

  3. 許可リストにAPIゲートウェイを追加します。
  4. Oracle Integrationがそれ自体を呼び出すことができるようにループバックを有効にします。

    たとえば、ループバックを有効化すると、Oracle Integrationは独自のREST APIをコールできます。

許可リスト用のREST API

REST APIを使用して、許可リストを作成および変更することもできます。/integrationInstances/{integrationInstanceId}/actions/changeNetworkEndpointを参照してください。

Oracle IntegrationのAllowlistを作成するための前提条件

権限リストを作成する場合、インスタンスへのアクセスが必要なアプリケーションをすべて含める必要があります。必要な情報は次のとおりです。

ノート

これらのタスクは、Oracle Integrationに必要です。

イベント・ソースであるアプリケーションのアウトバウンドIPアドレスの取得

Oracle Fusion Applications ERPイベントなどのすべてのイベント・ソースを許可リストに追加する必要があります。これを行うには、アプリケーションのアウトバウンドIPアドレスを取得する必要があります。アプリケーション・プロバイダに連絡して、IPアドレスを取得してください。

Oracle IntegrationへのHTTPSコールを実行するOracle SaaSアプリケーションのパブリックIPアドレスの取得

Oracle SaaSアプリケーションは、統合の設計に応じてOracle IntegrationにHTTPSコールを実行できます。Oracle Integration「情報」メニューに移動して、Oracle Integrationの許可リストに追加するSaaSインスタンスのパブリックIPアドレスを取得します。Oracle IntegrationインスタンスのNAT Gateway IPアドレスの取得を参照してください。

例:

  • トリガーおよびコールバックにSaaSアダプタ接続を使用する統合
  • データベースのポーリングや起動など、ポーリングを実行するアダプタで接続性エージェントが使用される場合
  • 接続エージェントがOracle Integrationとの通信に使用される場合

Oracle Cloudアプリケーションによって開始されるWebサービス・コールの許可リストに追加できるデータ・センター別の外部IPアドレスのリストは、サポート・ノートID 1903739.1「Oracle Cloudアプリケーションによって開始されるWebサービス・コールのIPホワイトリスト」を参照してください。

インスタンスの許可リストの構成

Oracle IntegrationインスタンスへのHTTPS接続には、最大15のルールを含めることができます。作成される許可リスト制限は、常に設定されているユーザー資格情報などの標準の認証メカニズムに加えられます。

  1. Oracle Cloud Infrastructureコンソールへのサインイン
  2. 表示名」列で、編集するインスタンスをクリックします。
  3. On the Integration Instance Details page, below Resources in the lower left, select Network Access.
  4. 「ネットワーク・アクセス」ヘッダーの下にある編集をクリックします。
    「Network Access」ダイアログが表示されます。リストが空の場合、最初の空白のAllowlistルールが追加されます。
  5. ダイアログの上部にあるフィールドに値を入力します。
    • Restrict Network Access: Select this option to be able to add allow list rules and to apply the rules. When this option is selected, only users from networks that meet the configured settings are allowed to access the integration instance. When this option is not selected, there are no allowlist rules and there are no network restrictions to access your instance.

      注意:

      If you deselect Restrict Network Access after configuring allowlist rules, all configured allowlist rules are deleted.
    • Enable Loopback: Select this option to allow the integration to call itself.
      ノート

      ループバックを有効にした場合、リージョン内のすべてのOracle Integrationインスタンスがインスタンスを呼び出すことができます。

      特定のコールにはループバックが必要です。次のシナリオでループバックを有効にする必要があります。

      • 統合内からOracle Integration APIを呼び出すため。REST接続を使用してAPIをコールします。
      • 別のOracle Integrationインスタンスから統合を呼び出すには、次のようにします。

      Oracle Integrationインスタンス内から統合を呼び出すには、ループバックを有効にできますが、かわりにローカル呼出しを使用することをお薦めします。このシナリオでローカル呼出しを使用する場合は、ループバックを有効にする必要はありません。また、ローカル呼出しの使用時に接続する必要はありません。

  6. 許可リスト・ルールを構成します。
    1. To add a rule, click Add Rule, located below the last rule in the list. You might need to scroll down to see the button.
    2. 「タイプ」フィールドで、構成するルールのタイプを選択します。
      • IP Address/CIDR Block: Configure access from an IP address or an IP address range.
      • Virtual Cloud Network: Configure access from a specific virtual cloud network. To display a list of networks in other compartments, click Change Compartment. In addition to a specific virtual cloud network, you can specify an IP address or IP address range within the virtual cloud network.
      • Virtual Cloud Network OCID: Provide access to an Oracle Cloud ID (OCID) of the virtual cloud network. For information about the OCID format see Resource Identifiers.
  7. After adding all the desired rules to the allowlist, click Save Changes.
    The work request is submitted and the changes go into effect when the instance status changes to Active. In the instance details, under Integration Instance Information, you'll also notice Network Access: Restricted.