„Echtes“ Single Sign

„Echtes“ Single Sign-On mit APEX
Niels de Bruijn, Fachbereichsleiter, MT AG
1
|
Ratingen,
14.07.2015
FACTS & FIGURES
GESCHÄFTSFORM
HAUPTSITZ
GRÜNDUNGSJAHR
BESCHÄFTIGTE
BETEILIGUNGEN
INHABERGEFÜHRTE AG
RATINGEN
1994
180 FESTANGESTELLTE MITARBEITER
MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG)
business by integration
2 | "Echtes" Single Sign-On
UNSER PORTFOLIO
APPLICATION
DEVELOPMENT
APEX / ADF
JAVA
.NET
BUSINESS
INTELLIGENCE SOLUTIONS
DATA INTEGRATION
SELF SERVICE BI
MOBILE BI
3 | "Echtes" Single Sign-On
INTEGRATION
SERVICES
STRATEGIE
ARCHITEKTUR
SAP HANA
SOCIAL BUSINESS
SOLUTIONS
COLLABORATION
SEARCH
SOCIAL
IT SYSTEM
SERVICES
MANAGED SERVICES
BETRIEB
MIGRATION
MOBILE
SOLUTIONS
APPS
ABLÄUFE
LOKALISIERUNG
Über mich
§  Niels de Bruijn, Fachbereichsleiter APEX
§  Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen
§  seit 12.2003 bei der MT AG in Ratingen
§  zuvor 2 Jahre als Berater bei Oracle Nederland B.V. angestellt
§  Beschäftigt sich seit 2004 mit APEX
§  Federführend beim Vertrieb/Marketing/Delivery von APEX Projekten aller Art
-  https://apex.mt-ag.com & http://www.apexsolutions.de
§  Themenverantwortlicher für APEX bei der DOAG
§  Hält Vorträge u.A. auf der DOAG Konferenz / APEX connect, ODTUG Kscope
4 | "Echtes" Single Sign-On
Warum Single Sign-On für interne Apps?
§  Die Anzahl (APEX) Anwendungen im Unternehmen steigt
§  Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da
§  Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet
§  Für externe Anwendungen gibt es das OAuth 2.0 Verfahren
§  Für interne Anwendungen diesen Vortrag J
5 | "Echtes" Single Sign-On
LDAP Authentifizierung in APEX
6 | "Echtes" Single Sign-On
Der „Shared Cookie“ Ansatz
Nur für APEX Anwendungen im gleichen Workspace
7 | "Echtes" Single Sign-On
SSO mit Kerberos
Apache > ORDS > APEX-DB
Linux oder Windows
Browser
(IE / Firefox)
HTTPS
Apache 2.x
oder IIS
inkl. APEX static files
Domain
Controller
Active
Directory
8 | "Echtes" Single Sign-On
JDBC
Connection
Pool
(UCP)
AJP
ORDS 3.x
auf Tomcat 8
Oracle RDBMS
11gR2/12c
Implementierung SSO mit Kerberos
Das Ergebnis
9 | "Echtes" Single Sign-On
Implementierung SSO mit Kerberos
Step by step
Step by Step Anleitung:
https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0
Varianten:
§  Samba statt Windows Server als Domaincontroller verwenden
§  Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen
§  IIS statt Apache einsetzen
Welche Alternativen für SSO gibt es sonst noch?
§  http://wphilltech.com/options-for-windows-native-authentication-with-apex
§  SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen)
10 | "Echtes" Single Sign-On
Q&A zum Thema mod_auth_kerb
§  Fallback Authentifizierung?
Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic
Authentication, daher unbedingt HTTPS einsetzen.
§  Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen?
Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird
entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header
welcher Benutzernamen dort drin steht und nimmt diese Identität an.
§  Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe?
Die Authentifizierung erfolgt über das unsichere Basic Authentication Verfahren,
daher immer HTTPS verwenden!
11 | "Echtes" Single Sign-On
Q&A zum Thema mod_auth_kerb
§  Gibt es generelle Tipps für die Installation einer APEX Umgebung?
Ja. Siehe Blog Posts von Morten Braten: http://ora-00001.blogspot.de/
12 | "Echtes" Single Sign-On
Vielen Dank…
Niels de Bruijn
Fachbereichsleiter APEX
Telefon: +49 2102 309 61 0
Telefax: +49 2102 309 61 101
E-Mail: [email protected]
|
www.mt-ag.com

Download Report