OCI API Gateway: すべてのAPIを保護、ルーティング、変換、スケーリングするための1つのゲートウェイ (2026/02/16)

OCI API Gateway: すべてのAPIを保護、ルーティング、変換、スケーリングするための1つのゲートウェイ (2026/02/16)

https://www.ateam-oracle.com/oci-api-gateway-one-gateway-for-securing-routing-transforming-and-scaling-all-your-apis

投稿者: Gautam Mishra | Principal Cloud Architect

現代のクラウドネイティブ・アーキテクチャにおいて、APIは統合、データ交換、そしてアプリケーションの拡張性の基盤となっています。しかし、APIが増加するにつれて、APIのセキュリティ保護、ルーティング、スケーリング、認証、そして管理の複雑さは飛躍的に増大します。Oracle Cloud Infrastructure (OCI) API Gatewayは、APIトラフィック管理のための一元化された、安全でスケーラブルかつ拡張可能なプラットフォームを提供することで、これらの課題に対処するように設計されています。

このブログでは、実際の顧客シナリオと熟練した Oracle アーキテクトからの教訓を組み合わせて、カスタム認可機能、スコープ、トークン キャッシュ、レガシー クライアント サポートとともに API Gateway を使用して、OIC と統合された堅牢な API サービスを構築する方法を説明します。

OCI API Gatewayのコア機能

OCI API Gatewayは、Oracle Integration Cloud(OIC)、Compute、ロードバランサ、Functions、Autonomous Database、SaaSエンドポイント、サードパーティサービスなど、バックエンドサービスにアクセスするAPIコンシューマにとって安全なプロキシとして機能します。以下の機能を提供します。

  • TLS の強制、認証、承認による安全なエントリ ポイント
  • REST API のルーティングとパスベースのバックエンド
  • ヘッダーと本文を変更するための変換ポリシー
  • バックエンドシステムを保護するためのレート制限とセキュリティポリシー
  • アクセス制御を強化するためのOAuth2 / JWT / IAM トークンとの統合

この統合ゲートウェイにより、セキュリティとガバナンスをカプセル化しながら、消費者にとって一貫した API サーフェスが実現します。

1.トークンキャッシュを使用したバックエンド呼び出しのセキュリティ保護

問題

外部アプリケーションがOIC APIを呼び出す場合、 OCI IAM OAuthトークンが必要です。リクエストごとに新しいトークンを生成すると、特に小売や物流などの高ボリュームのシナリオでは、レイテンシが増加し、OCI IAMトークンのコストが増加する可能性があります。その結果、次のような問題が発生する可能性があります。

  • 過剰なIAM呼び出し
  • 認証の遅延
  • IAM サーバーからの潜在的なスロットリング

ソリューション

OCI API Gatewayをカスタム認可ファンクション(OCI Functions)併用することで、認証を効率的に処理できます。認可ファンクションは受信リクエストから認証情報を抽出し、まずキャッシュされたOCI IAMトークンの有無を確認します。有効なトークンが既に存在する場合は再利用され、そうでない場合は、ファンクションはOCI IAMを1回呼び出して新しいトークンを取得します。取得されたトークンは有効期限が切れるまでメモリに保存され、API Gatewayに返されます。API Gatewayは、このトークンを使用してバックエンドサービスを安全に呼び出します。このアプローチにより、IAM呼び出しの繰り返しを最小限に抑えながら、強力なセキュリティ制御を維持できます。

これにより、IAM エンドポイントの呼び出しが大幅に削減され、セキュリティを維持しながらパフォーマンスが向上します。

実際の影響: 1 秒あたり数百のリクエストを処理する小売アプリケーションでは、認証のレイテンシが短縮され、不要な IAM 負荷を回避できます。

2.カスタムスコープによるきめ細かなアクセス制御

認証だけでは不十分です。承認により、適切なユーザーだけが特定の API にアクセスできるようになります。

チャレンジ

異なるチーム (例: 財務と HR) では、同じ OIC API エンドポイントに対して異なるアクセス権が必要になる場合があります。

アプローチ

  1. OCI IAM でリソース サーバーのカスタム OAuth スコープを定義する
  2. oic_api_HRなどのスコープをoic_api_ITチームアプリに割り当てる
  3. ゲートウェイ認可関数は、受信トークンのスコープを検証します。
  4. API Gatewayは、正しいスコープを持つクライアントのみがバックエンド統合にアクセスできるようにします。

このパターンにより、チームベースまたはロールベースのアクセス制御が可能になり、適切なスコープのトークンのみが特定のルートを呼び出すことができるようになります。

▶ スコープが必要な API ルートと一致しない場合、ゲートウェイは「見つかりません」または「許可されていません」という応答を返します。

3. SCOPEのないクライアントをサポートする

すべてのクライアント(特にレガシーシステム)がOAuthスコープを送信できるわけではありません。OAuth標準ではスコープはオプションとされていますが、OCI IAMではクライアント認証情報を使用したトークン発行にスコープが必須です。そのため、次のようなエラーが発生します。


クリップボードにコピーされました
エラー: コピーできませんでした
クリップボードにコピーされました
エラー: コピーできませんでした
400 – invalid_scope  
Required scope missing

コストがかかったり不可能になる可能性があるクライアントの変更ではなく、スコープ処理をインフラストラクチャに移行できます。

ソリューションパターン

  • クライアントは単純なAuthorization: Basic <client_id:client_secret>
  • APIゲートウェイはカスタム認可関数に転送します
  • このファンクションは必要なOICスコープを内部に挿入します
  • クライアントに代わって正しいIAMトークンを取得します
  • トークンは検証され、安全なAPIルーティングに使用されます

このアプローチ:

✔ レガシークライアントを変更せずに継続できます
✔ 安全な IAM ベースのトークンが使用されることを保証します
✔ クライアントにスコープの理解や構築を強制する必要がありません

ゲートウェイ レベルでトークン ブローカーのようなパターンを導入します。

4.エンタープライズIDPトークンを交換して、OICのOCIアイデンティティドメイントークンを取得する

ほとんどの企業は、エンタープライズIDプロバイダーに依存することはほとんどありません。多くの企業は、Microsoft Entra IDを企業IDプラットフォームとして利用しており、 Oracle Integration Cloudを通じて公開されるクラウド統合にも、同じ認証とアクセス制御を拡張したいと考えています

API Gateway + OCI Functionsはトークンの交換に役立ち、企業が既存の企業 ID を再利用できるようにします。

アプローチ

OCI API Gatewayは、Microsoft Entra ID と OIC 間のID ブリッジとして機能します。

  1. Microsoft Entra IDはユーザー認証後に OAuth2/JWT トークンを発行します
  2. APIゲートウェイ:
    – Entra ID発行のJWTトークンを検証
    – 発行者、オーディエンスを検証
  3. カスタム認可関数:
    – Entra ID 認証コンテキスト (UPN、トークンの有効性) を抽出
    – UPN の jwt-assertion 付与タイプを使用して OCI IAM バックエンド トークンを要求
  4. API Gateway はヘッダー変換を実行し、実際のバックエンド エンドポイント (Oracle Integration フロー) を呼び出します。

このパターンにより、OIC APIがエンタープライズ対応であることが保証され、アイデンティティガバナンスはMicrosoft Entra IDに維持されます。ハイブリッドまたはマルチクラウド環境を持つ組織は、バックエンドの統合を変更することなくOIC APIを保護し、AzureとOCI全体で一貫したアクセス制御を維持できます。

まとめ

OCI API GatewayOCI Functions、およびOracle Integration Cloud間の相乗効果により、企業は機能的であるだけでなく、次のようなAPIエンドポイントを公開できるようになります。

安全- 認証と承認を一元管理
効率的- バックエンドのオーバーヘッドとレイテンシを削減
スケーラブル- 最新の大容量アプリケーションに適合
柔軟性- 最新のクライアントと従来のクライアントの両方をサポート

レガシー システムを最新化する場合でも、安全な B2B API を構築する場合でも、複数チームのアクセス ポリシーを管理する場合でも、ここで説明するパターンは、OCI 上の安全でパフォーマンスの高い API エコシステムのための実証済みのロードマップを提供します。

関連リンク

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13)

イメージ
ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13) https://blogs.oracle.com/cloud-infrastructure/post/milliseconds-matter-bcc-group-and-oci-vs-aws 投稿者: Steven Riley | Senior Cloud Architect William Bierds | Business Analyst and Systems Engineer - BCC Group International Travis Liles | Master Principal Cloud Architect Puru Patel | Cloud Architect - FSI これは、BCC グループと Oracle Cloud Infrastructure (OCI) 間の市場データ パートナーシップを紹介するブログ シリーズの第 2 部です。   はじめに 金融市場データアプリケーションは、トレーダー、金融機関、そして市場参加者が情報に基づいた意思決定を行えるよう、リアルタイムデータを提供することで、取引エコシステムにおいて重要な役割を果たしています。 前回のブログ で述べたように、取引環境において最適なパフォーマンスを確保するには、市場データを超低レイテンシかつ高い信頼性で配信する必要があります。 今日の急速に変化する金融市場において、クラウドは市場データ・アプリケーションにとって強力な推進力として台頭しています。適切なネットワークとインフラストラクチャがあれば、企業は実行時間の短縮、可用性の向上、そして堅牢なセキュリティを実現できます。しかし、企業によるクラウド導入は遅れており、ワークロードのクラウド移行計画を中止しているケースもあります。そこで、BCCグループとOracle Cloud Infrastructure(OCI)のパートナーシップが注目されています。 BCCグループは、主力市場データアプリケーションであるONE PlatformをOCI上に導入しました。このブログでは、以下の点について説明します。 このパートナーシップがなぜこれほど相乗効果をもたらすのかを探る OC...
続きを読む

OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30)

イメージ
OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30) https://blogs.oracle.com/cloudsecurity/post/using-oci-services-part-4 投稿者: Christopher Johnson 今回は、OCI Native Servicesを使って完全にサーバーレスでWebサイトをホスティングするシリーズの第4弾です。     パート1 では、OCI WAF + API Gateway + Functionを使用して、OCI Object Store Bucketから静的コンテンツを提供する基本的な方法を紹介しました。     パート2 では、バケットを(公開ではなく)非公開にし、Resource Prinicpalを使用して安全にアクセスする方法を紹介しました。     パート3 では、ハードコードされた設定を削除し、代わりにそれらの設定をアプリケーションに保存する方法を紹介しました。 パート4では、サイトの一部をログインの後ろに置いてみようと思っています。 この記事は、ちょっとした「フクロウの描き方」のようなものになりそうです。でも、コードを見ればきっと理解できるはずです! IDCSでアプリケーションを作成 注:OCI Identity Domains は、OCI の新規顧客に対して IDCS の機能を直ちに提供します。現在 IDCS を使用している顧客については、既存の IDCS ストライプは今後数ヶ月の間に OCI Identity Domains に移行される予定です。詳細については、OCI Identity Domainの ドキュメント を参照してください。この変更は、このブログで説明したセキュリティ・パターンに影響を与えるものではありません。このブログで IDCS に起因するセキュリティ機能は、OCI Identity Domainsでも提供されます。 まず最初に、サイトを表現するために IDCS で実際にアプリケーションを作成する必要があります。 IDCSコンソールを開き、「アプリケーション」に移動し、「作成」をクリックします。Functionアプリケーシ...
続きを読む