Descripción del gateway de aplicación

El gateway de aplicación es un dispositivo de software que permite integrar aplicaciones alojadas en una instancia informática en una infraestructura en la nube o en un servidor local con IAM con fines de autenticación.

El gateway de aplicación actúa como un proxy inverso que protege las aplicaciones web restringiendo el acceso de red no autorizado a estas. El gateway de aplicación acepta cualquier solicitud HTTP a estas aplicaciones y garantiza que los usuarios se autenticen con IAM antes de reenviar la solicitud a estas aplicaciones. El gateway de aplicación propaga la identidad del usuario autenticado a las aplicaciones.

Si el usuario no se ha autenticado con IAM, el gateway de aplicación redirige al usuario hacia la página de conexión para la validación de credenciales.

Nota

Si utiliza Cloud Gate, es importante que el nombre de un usuario solo contenga los caracteres que se muestran en Creación de un usuario porque el nombre mostrado se envía como cabecera HTTP. Si se utilizan caracteres ASCII no imprimibles, Cloud Gate considera que la solicitud no es válida y devuelve un error 400.

Usos del gateway de aplicación

Utilice el gateway de aplicación para:

  • Integre las aplicaciones empresariales alojadas de forma local o en una infraestructura en la nube con IAM con fines de autenticación.

    Por ejemplo, si dispone de una aplicación web alojada de forma local o en una infraestructura en la nube, puede integrar esta aplicación con cualquier otra aplicación basada en la nube para la conexión única. Utilice el gateway de aplicación para integrar una aplicación web con IAM y, a continuación, asegúrese de que las otras aplicaciones basadas en la nube utilizan IAM como mecanismo de autenticación. Todas estas aplicaciones utilizan la conexión única proporcionada por IAM.

  • Exponga las aplicaciones web de la intranet al acceso a Internet.

    Si la aplicación web está alojada y se accede a través de una intranet y desea exponer el acceso a esta aplicación a través de Internet, utilice el gateway de aplicación para proxy para cualquier solicitud de Internet y para solicitar a los usuarios que se autentiquen con IAM antes de acceder a la aplicación web de intranet. En este caso, debe desplegar el gateway de aplicación en la DMZ de red mientras la aplicación permanece en la zona de intranet.

  • Intégrelo con aplicaciones que no tengan un mecanismo de autenticación nativo y no soporten los métodos de integración de federación de SAML, OAuth u OpenID Connect.

    Si la aplicación no soporta los estándares de autenticación que soporta IAM (SAML, OAuth y OpenID Connect), y no puede utilizar los SDK de IAM en la aplicación, puede utilizar el gateway de aplicación para integrar la aplicación web con IAM.

  • Intégrelo con aplicaciones que soporten la autenticación basada en cabecera HTTP.

    Para las aplicaciones web que soportan la autenticación basada en cabecera HTTP, el método de integración del gateway de aplicación no requiere ningún cambio en el código fuente de la aplicación web. Debe configurar las políticas de autenticación de la aplicación en IAM de modo que se agreguen variables de cabecera en la solicitud antes de que el gateway de aplicación reenvíe la solicitud a la aplicación. Al hacerlo, la aplicación puede identificar al usuario autenticado con IAM.

Cómo funciona el gateway de aplicación

El gateway de aplicación se despliega en la infraestructura de un cliente, independientemente de si la infraestructura está en la nube, en las instalaciones locales o si es híbrida. Funciona como proxy inverso, interceptando todas las solicitudes desde el cliente a la aplicación. A continuación, el gateway de aplicación comprueba si un usuario ya está conectado a IAM. Si el usuario se ha conectado, el gateway de aplicación agrega variables de cabecera a la solicitud para que la aplicación que se está protegiendo pueda acceder a la variable de cabecera. La aplicación confía en que el gateway de aplicación ha identificado al usuario conectado en los valores de dominio de identidad y crea la sesión de usuario.

Asegúrese de que la comunicación entre el gateway de aplicación y la aplicación es segura para evitar cambios en los valores de las variables de cabecera antes de que la solicitud se envíe a la aplicación.

muestra cómo interactúa la aplicación, el gateway de aplicación, el dominio de identidad y el explorador de usuario cuando un usuario intenta acceder a cualquier recurso de aplicación pero el usuario no está conectado a ningún dominio de identidad

En los siguientes pasos se explica el flujo de autenticación basado en formulario entre el explorador web, el gateway de aplicación y una aplicación empresarial:

Paso Descripción
Llamada 1 En un explorador web, un usuario solicita acceso a una aplicación a través de una URL expuesta por el gateway de aplicación.
Llamada 2

El gateway de aplicación intercepta la solicitud, verifica que el usuario no tiene una sesión con IAM y, a continuación, redirige el explorador del usuario hacia la página de conexión.

En el paso 2, si el usuario tiene una sesión con IAM, significa que el usuario ya se ha conectado. Si es así, se envía un token de acceso al gateway de aplicación y, a continuación, se omiten los pasos restantes.

Llamada 3 IAM presenta la página de conexión o el mecanismo de conexión que se haya configurado para el dominio.
Llamada 4 El usuario se conecta a IAM.
Llamada 5 Tras la autenticación correcta, IAM crea una sesión para el usuario y emite un token de acceso al gateway de aplicación.
Llamada 6 El gateway de aplicación utiliza el token para identificar al usuario. A continuación, agrega variables de cabecera a la solicitud y reenvía la solicitud a la aplicación.
Llamada 7 La aplicación recibe la información de cabecera, valida la identidad del usuario e inicia la sesión de usuario.

El gateway de aplicación intercepta cualquier solicitud posterior a los recursos protegidos de la aplicación. El gateway de aplicación identifica al usuario, agrega variables de cabecera a la solicitud y reenvía la solicitud a la aplicación.

Para desconectarse, el usuario llama a la URL de desconexión de una aplicación. El gateway de aplicación identifica la URL de desconexión y redirige al usuario al punto final de desconexión OAuth del dominio de identidad (/oauth2/v1/userlogout). Una vez que IAM ha desconectado al usuario, IAM puede redirigir el explorador del usuario a una URL de la aplicación que, a continuación, puede eliminar la sesión de usuario de la aplicación.

Funcionamiento de la desconexión del gateway de aplicación

Los usuarios pueden desconectarse de las aplicaciones protegidas por el gateway de aplicación mediante dos mecanismos diferentes: la URL de desconexión del gateway de aplicación o la llamada a un recurso protegido por un método de autenticación de desconexión.

Uso de la URL de desconexión de gateway de aplicación

El gateway de aplicación proporciona una URL de desconexión central que se puede utilizar para desconectar al usuario de la conexión única proporcionada por IAM. Cualquier llamada a este punto final dispara el proceso de desconexión. Una vez desconectado el usuario, cualquier acceso posterior a un recurso de aplicación protegido requerirá que el usuario vuelva a conectarse a IAM.

Este punto final soporta dos parámetros agregados a la URL:
  • postlogouturl: URL de una página de llegada posterior a la desconexión. Este valor debe estar codificado para URL. Si no se especifica el parámetro, el gateway de aplicación redirige el explorador del usuario a la URL de desconexión especificada en la Configuración de sesión de la consola.
  • state: se trata de un parámetro opcional que utilizará la aplicación empresarial una vez finalizado el proceso de desconexión.

Sintaxis

http(s)://<appgateway_host>:<appgateway_port>/cloudgate/logout.html?postlogouturl=<url_encoded>&state=<state_value>

Punto final de desconexión con parámetros

Si la URL base del gateway de aplicación es https://myappgateway.example.com:4443, utilice la siguiente URL para desconectar al usuario de la conexión única: https://myappgateway.example.com:4443/cloudgate/logout.html?postlogouturl=http%3A%2F%2Fwww.oracle.com&state=123

Uso del recurso protegido por el método de autenticación de desconexión

Puede crear un recurso en la aplicación empresarial y configurar una política de autenticación para este recurso mediante el método de autenticación Formularios y desconexión. Cuando el usuario accede a este recurso, el gateway de aplicación llama al proceso de desconexión y desconecta al usuario de la conexión única proporcionada por IAM.

Sintaxis

http(s)://<appgateway_host>:<appgateway_port>/<logout_resource>

Recurso protegido por método de autenticación de desconexión

Si ha creado el recurso /myapp/logout en la aplicación empresarial y asignado Forms+Logout como Método de autenticación para este recurso en la sección Política de autenticación, cuando los usuarios acceden a la URL https://myappgateway.example.com:4443/myapp/logout, se desconectan de la conexión única proporcionada por IAM.