在企业的数字化转型旅程中,将遗留网络应用与现代身份认证提供商整合,通常意味着需要修改旧有应用程序代码并更改用户界面。与其在新的自定义开发上花费时间和资源,不如投资于一种架构,让你可以专注于业务逻辑,而非身份验证流程。
一些遗留应用程序并不直接支持OpenID Connect。随着它们转移到云端,你可以使用Oracle Cloud Infrastructure(OCI)API网关作为网络接入点,来协调用户、身份提供者和应用程序之间的认证。OCI API网关可以在网络上以标准化的方式执行访问控制,而不是要求所有应用程序直接添加OpenID Connect流程。开发人员可以利用OCI API网关现代化遗留应用程序,同时增强现代应用程序。
架构方面,OCI API网关是OCI中的一项无服务器、全面管理的服务,可用于保护API端点和网络应用程序。OCI API网关提供安全功能,如速率限制、授权执行、动态路由、SSL执行等。OCI API网关可以被用来保护需要OpenID认证支持的遗留网络应用程序。OCI API网关可以作为托管在OCI私有子网中的网络应用程序的集中式安全模块。OCI API网关与身份提供商无关,可与任何支持的OAuth 2.0提供商(如Okta、Google、Amazon和Auth0等)集成。
OpenID Connect协议是OAuth 2.0协议之上的一个简单身份层。OpenID Connect使不同类型的应用程序(如浏览器、移动应用程序和桌面客户端)能够以安全、集中和标准化的方式支持认证和身份管理。利用OpenID Connect协议的应用程序依赖于身份提供商来安全地处理认证流程并验证用户身份。OpenID Connect通过将用户管理集中到身份提供商(如Oracle Cloud Infrastructure Identity and Access Management)来实现不同应用程序的单点登录。
OCI API网关作为网络接入点,协调用户、身份提供商和应用程序之间的认证。将OCI API网关放置在应用程序和客户端之间,使其能够拦截请求并处理OpenID Connect授权流程。下图展示了这一参考架构。
该流程类似于下图所示的流程
在客户端已经获得授权的情况下,该流程类似于下图所示的流程。
该架构包括以下组件:
Oracle Cloud Infrastructure(OCI)区域是一个地理区域,包含一个或多个数据中心,称为可用性域。区域彼此独立,可能相隔很远(跨越国家甚至大陆)。
可用性域是区域内独立、自成一体的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,提供故障容忍。可用性域不共享基础设施,如电力或冷却系统,或内部可用性域网络。因此,一个可用性域的故障不太可能影响该区域内其他可用性域。
故障域是可用性域内的硬件和基础设施分组。每个可用性域包含三个故障域,拥有独立的电力和硬件。当你将资源分布在多个故障域时,你的应用程序可以承受物理服务器故障、系统维护和故障域内的电力故障。
VCN是您在Oracle Cloud Infrastructure区域中设置的可定制的、软件定义的网络。像传统数据中心网络一样,VCN让您完全控制您的网络环境。VCN可以有多个不重叠的CIDR块,您可以在创建VCN后更改这些块。您可以将VCN分割为子网,这些子网可以定位到一个区域或一个可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。
Oracle API网关使您可以发布具有私有端点的API,这些端点可在您的网络内部访问,并且可以根据需要向公共互联网公开。端点支持API验证、请求和响应转换、CORS、认证和授权以及请求限制。
Oracle Cloud Infrastructure身份和访问管理(IAM)是Oracle Cloud Infrastructure(OCI)和Oracle Cloud应用程序的访问控制平面。IAM API和用户界面使您能够管理身份域及其内部资源。每个OCI IAM身份域代表一个独立的身份和访问管理解决方案,或不同的用户群体。
Oracle Cloud Infrastructure FastConnect提供了一种在您的数据中心和Oracle Cloud Infrastructure之间创建专用、私有连接的简单方法。与基于互联网的连接相比,FastConnect提供更高带宽选项和更可靠的网络体验。
Oracle Cloud和Microsoft Azure互联是Oracle的首个多云产品。它在全球特定的Azure和Oracle Cloud Infrastructure(OCI)数据中心之间提供直接网络连接。它使Azure管理员和开发人员能夜将其应用程序连接到OCI中运行的应用程序和服务,无需创建专用链接或通过公共互联网发送其应用程序流量。
以下推荐可作为起点。您的需求可能与此处描述的架构不同。
您可以利用OCI API网关来暴露REST API,并为您的网络应用程序启用单点登录支持。OCI API网关还可以被指定为应用程序的集中式安全模块,将安全实施转移到OCI API网关上。这样可以最小化与实施、维护和复杂性相关的成本。
部署此参考架构时,请考虑以下因素。
跨站请求伪造(CSRF)保护
作为Oracle的高级合作伙伴,Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持,Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务,您可以迅速开启并享受Oracle云的全方位服务,从而无缝融入云端世界。
Agilewing的AgileCDN服务,结合了OCI的云基础服务,提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络,确保了无论您的业务扩展到全球哪个角落,都能保持高效稳定的运行。
利用Oracle云的先进技术,Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案,使他们能够更加专注于核心业务,同时享受Oracle云的高性能和安全保障。
Oracle云服务,作为一个充满潜力的领域,以其高性能、安全性和全球统一的服务标准,为各类企业开启了新的机遇之门。通过Agilewing的专业服务,无论是个人用户还是企业,都能轻松步入这个充满技术革新和高效能的新时代。现在,就让Agilewing引领您开始探索Oracle云服务,打开一个全新的世界大门。
如您想咨询 Oracle 的相关业务,可联系搜索微信号:lhh1843812463 或 woshiwhw123
或者可以进入以下群组进行咨询:
微信公众号
微信技术交流社群: