Echtes Single Sign-On mit APEX realisieren

|

„Echtes“ Single Sign-On mit APEXDOAG Konferenz 2014

Niels de Bruijn

Nürnberg, 19.11.20141

|

FACTS & FIGURES

GESCHÄFTSFORM INHABERGEFÜHRTE AG

HAUPTSITZ RATINGEN

GRÜNDUNGSJAHR 1994

BESCHÄFTIGTE 180 FESTANGESTELLTE MITARBEITER

BETEILIGUNGEN MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG)

business by integration

"Echtes" Single Sign-On5

|

UNSER PORTFOLIO

BUSINESS

INTELLIGENCE SOLUTIONSSOCIAL BUSINESS

SOLUTIONSMOBILE

SOLUTIONS

APPLICATION

DEVELOPMENTINTEGRATION

SERVICESIT SYSTEM

SERVICES

DATA INTEGRATION

SELF SERVICE BI

MOBILE BI

COLLABORATION

SEARCH

SOCIAL

APPS

ABLÄUFE

LOKALISIERUNG

APEX / ADF

JAVA

.NET

STRATEGIE

ARCHITEKTUR

SAP HANA

MANAGED SERVICES

BETRIEB

MIGRATION

"Echtes" Single Sign-On6

|

Weiße Folien für den eigentlichen Vortrag

"Echtes" Single Sign-On7

Mehr Infos dazu während Open Mic Night heute zwischen 20:00-21:30 im Raum Istanbul

| "Echtes" Single Sign-On8

apexmeetups.com

|

Über mich

Niels de Bruijn, Fachbereichsleiter APEX

Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen

seit 12.2003 bei der MT AG in Ratingen

zuvor 2 Jahre als Berater bei Oracle Nederland B.V. angestellt

Beschäftigt sich seit 2004 mit APEX

Federführend beim Vertrieb/Marketing/Delivery von APEX Projekten aller Art

- https://apex.mt-ag.com & http://www.apexsolutions.de

Themenverantwortlicher für APEX bei der DOAG

Wo bin ich zu finden?

- Online: Skype, Xing, LinkedIn, Twitter, Facebook

- Offline: DOAG Konferenz/ APEX CONNECT, ODTUG Kscope, APEX UserGroup,

Meetups

"Echtes" Single Sign-On9

|

Warum Single Sign-On für interne Apps?

Die Anzahl (APEX) Anwendungen im Unternehmen steigt

Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da

Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet

Für externe Anwendungen gibt es das OAuth 2.0 Verfahren

Für interne Anwendungen diesen Vortrag

"Echtes" Single Sign-On10

|

APEX Referenz-Architektur

"Echtes" Single Sign-On11

Apache > ORDS > APEX-DB

|

Authentifizierung in APEX

Browser Session Cookie + Session ID in URL ist pro Request notwendig

Warum gibt es eine Session ID in der URL von einer APEX Anwendung?

Wegen der Sicherheit. Ansonsten könnte ich die folgende URL per E-Mail verteilen

und nichts ahnende, bereits authentifizierte Kollegen, klicken darauf und erhöhen

damit mein Gehalt:

https://host/apex/f?p=HR:PAYRISE::BRANCH_TO_PAGE_ACCEPT|Apply_Chang

es:::P42_EMPNO,P42_NEW_SALARY:4711,99999

APEX 5.0 bietet optional das Feature „Session Rejoin“

Eine APEX URL in einer E-Mail führt zu einer erneuten Anmeldung, da keine

Session ID vorhanden. Mit Session Rejoin ist keine Session ID mehr notwendig.

Die Sicherheit ist dank der Verwendung von „Checksums“ trotzdem gegeben.

"Echtes" Single Sign-On12

|

Auf dem Weg zum SSO: LDAP Authentifizierung

"Echtes" Single Sign-On13

|

LDAP Authentifizierung einstellen

"Echtes" Single Sign-On14

|

Ein wenig SSO: der „Shared Cookie“ Ansatz

"Echtes" Single Sign-On15

Nur für APEX Anwendungen im gleichen Workspace

|

Single Sign-On mit Kerberos

"Echtes" Single Sign-On16

|

Implementierung SSO mit Kerberos

Siehe aktuelles Dokument „SSO für APEX Anwendungen mit Kerberos“ auf

https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0

Varianten:

Samba statt Windows Server als Domaincontroller verwenden

Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen

Apache mit mod_auth_kerb auf Windows installieren:

https://www.schaeuffelhut-berger.de/blog/2014/01/apache-ads-sso

Welche Alternativen für SSO gibt es sonst noch?

http://wphilltech.com/options-for-windows-native-authentication-with-apex

SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen)

"Echtes" Single Sign-On17

Step by step

|

Implementierung SSO mit Kerberos

"Echtes" Single Sign-On18

Das Ergebnis

|

Q&A zum Thema mod_auth_kerb

Fallback Authentifizierung?

Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic

Authentication, daher unbedingt HTTPS einsetzen.

Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen?

Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird

entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header

welcher Benutzernamen dort drin steht und nimmt diese Identität an.

Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe?

Die Authentifizierung erfolgt über Basic Authentication. Nochmals: HTTPS

verwenden!

"Echtes" Single Sign-On19

| "Echtes" Single Sign-On20

ALLE VORTRÄGE DER

MT AG

|21

15:00 - 15:45

Sydney

Datenmodellierung ist langweilig,

lassen Sie Datamodeler das machen

Oleg

Kiriltsev18.11.14

12:00 - 12:45

Sydney

Das nächste Duet(t):

APEX und SAP.

Niels de

Bruijn19.11.14

16:00 - 16:45

Singapur

Speichersparende XML Verarbeitung

mit StAX und JAXB

Wolfgang

Nast19.11.14

16:00 - 16:45

Istanbul

"Echtes" Single Sign On

mit APEX realisieren.

Niels de

Bruijn19.11.14

09:00 - 09:45

Sydney Five Fingers Death Punch

Oliver

Lemm20.11.14

10:00 - 10:45

Helsinki

12c Oracle Warehousing voll Groovy.

Ein Projektbericht.Rosenberger

Ketteltasche20.11.14

12:00 - 12:45

Istanbul

Dateien per Drag & Drop in APEX

Applikationen ablegen

Franziska

Höcker20.11.14

15:00 - 15:45

Oslo Ist Gradle auch für die APEX-Projekte?

Oleg

Kiriltsev20.11.14

Tune Up Your APEXOliver

Lemm20.11.14

15:00 - 15:45

Istanbul

|

Telefon:

Telefax:

E-Mail:

www.mt-ag.com

Vielen Dank…

Fachbereichsleiter APEX

+49 2102 309 61 0

+49 2102 309 61 101

niels.de.bruijn@mt-ag.com

Niels de Bruijn