Embed Size (px)
Citation preview
|
„Echtes“ Single Sign-On mit APEXDOAG Konferenz 2014
Niels de Bruijn
Nürnberg, 19.11.20141
|
FACTS & FIGURES
GESCHÄFTSFORM INHABERGEFÜHRTE AG
HAUPTSITZ RATINGEN
GRÜNDUNGSJAHR 1994
BESCHÄFTIGTE 180 FESTANGESTELLTE MITARBEITER
BETEILIGUNGEN MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG)
business by integration
"Echtes" Single Sign-On5
|
UNSER PORTFOLIO
BUSINESS
INTELLIGENCE SOLUTIONSSOCIAL BUSINESS
SOLUTIONSMOBILE
SOLUTIONS
APPLICATION
DEVELOPMENTINTEGRATION
SERVICESIT SYSTEM
SERVICES
DATA INTEGRATION
SELF SERVICE BI
MOBILE BI
COLLABORATION
SEARCH
SOCIAL
APPS
ABLÄUFE
LOKALISIERUNG
APEX / ADF
JAVA
.NET
STRATEGIE
ARCHITEKTUR
SAP HANA
MANAGED SERVICES
BETRIEB
MIGRATION
"Echtes" Single Sign-On6
|
Weiße Folien für den eigentlichen Vortrag
"Echtes" Single Sign-On7
Mehr Infos dazu während Open Mic Night heute zwischen 20:00-21:30 im Raum Istanbul
| "Echtes" Single Sign-On8
apexmeetups.com
|
Über mich
Niels de Bruijn, Fachbereichsleiter APEX
Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen
seit 12.2003 bei der MT AG in Ratingen
zuvor 2 Jahre als Berater bei Oracle Nederland B.V. angestellt
Beschäftigt sich seit 2004 mit APEX
Federführend beim Vertrieb/Marketing/Delivery von APEX Projekten aller Art
- https://apex.mt-ag.com & http://www.apexsolutions.de
Themenverantwortlicher für APEX bei der DOAG
Wo bin ich zu finden?
- Online: Skype, Xing, LinkedIn, Twitter, Facebook
- Offline: DOAG Konferenz/ APEX CONNECT, ODTUG Kscope, APEX UserGroup,
Meetups
"Echtes" Single Sign-On9
|
Warum Single Sign-On für interne Apps?
Die Anzahl (APEX) Anwendungen im Unternehmen steigt
Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da
Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet
Für externe Anwendungen gibt es das OAuth 2.0 Verfahren
Für interne Anwendungen diesen Vortrag
"Echtes" Single Sign-On10
|
APEX Referenz-Architektur
"Echtes" Single Sign-On11
Apache > ORDS > APEX-DB
|
Authentifizierung in APEX
Browser Session Cookie + Session ID in URL ist pro Request notwendig
Warum gibt es eine Session ID in der URL von einer APEX Anwendung?
Wegen der Sicherheit. Ansonsten könnte ich die folgende URL per E-Mail verteilen
und nichts ahnende, bereits authentifizierte Kollegen, klicken darauf und erhöhen
damit mein Gehalt:
https://host/apex/f?p=HR:PAYRISE::BRANCH_TO_PAGE_ACCEPT|Apply_Chang
es:::P42_EMPNO,P42_NEW_SALARY:4711,99999
APEX 5.0 bietet optional das Feature „Session Rejoin“
Eine APEX URL in einer E-Mail führt zu einer erneuten Anmeldung, da keine
Session ID vorhanden. Mit Session Rejoin ist keine Session ID mehr notwendig.
Die Sicherheit ist dank der Verwendung von „Checksums“ trotzdem gegeben.
"Echtes" Single Sign-On12
|
Auf dem Weg zum SSO: LDAP Authentifizierung
"Echtes" Single Sign-On13
|
LDAP Authentifizierung einstellen
"Echtes" Single Sign-On14
|
Ein wenig SSO: der „Shared Cookie“ Ansatz
"Echtes" Single Sign-On15
Nur für APEX Anwendungen im gleichen Workspace
|
Single Sign-On mit Kerberos
"Echtes" Single Sign-On16
|
Implementierung SSO mit Kerberos
Siehe aktuelles Dokument „SSO für APEX Anwendungen mit Kerberos“ auf
https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0
Varianten:
Samba statt Windows Server als Domaincontroller verwenden
Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen
Apache mit mod_auth_kerb auf Windows installieren:
https://www.schaeuffelhut-berger.de/blog/2014/01/apache-ads-sso
Welche Alternativen für SSO gibt es sonst noch?
http://wphilltech.com/options-for-windows-native-authentication-with-apex
SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen)
"Echtes" Single Sign-On17
Step by step
|
Implementierung SSO mit Kerberos
"Echtes" Single Sign-On18
Das Ergebnis
|
Q&A zum Thema mod_auth_kerb
Fallback Authentifizierung?
Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic
Authentication, daher unbedingt HTTPS einsetzen.
Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen?
Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird
entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header
welcher Benutzernamen dort drin steht und nimmt diese Identität an.
Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe?
Die Authentifizierung erfolgt über Basic Authentication. Nochmals: HTTPS
verwenden!
"Echtes" Single Sign-On19
| "Echtes" Single Sign-On20
ALLE VORTRÄGE DER
MT AG
|21
15:00 - 15:45
Sydney
Datenmodellierung ist langweilig,
lassen Sie Datamodeler das machen
Oleg
Kiriltsev18.11.14
12:00 - 12:45
Sydney
Das nächste Duet(t):
APEX und SAP.
Niels de
Bruijn19.11.14
16:00 - 16:45
Singapur
Speichersparende XML Verarbeitung
mit StAX und JAXB
Wolfgang
Nast19.11.14
16:00 - 16:45
Istanbul
"Echtes" Single Sign On
mit APEX realisieren.
Niels de
Bruijn19.11.14
09:00 - 09:45
Sydney Five Fingers Death Punch
Oliver
Lemm20.11.14
10:00 - 10:45
Helsinki
12c Oracle Warehousing voll Groovy.
Ein Projektbericht.Rosenberger
Ketteltasche20.11.14
12:00 - 12:45
Istanbul
Dateien per Drag & Drop in APEX
Applikationen ablegen
Franziska
Höcker20.11.14
15:00 - 15:45
Oslo Ist Gradle auch für die APEX-Projekte?
Oleg
Kiriltsev20.11.14
Tune Up Your APEXOliver
Lemm20.11.14
15:00 - 15:45
Istanbul
|
Telefon:
Telefax:
E-Mail:
www.mt-ag.com
Vielen Dank…
Fachbereichsleiter APEX
+49 2102 309 61 0
+49 2102 309 61 101
Niels de Bruijn
