Echtes Single Sign-On mit APEX realisieren
-
Upload
mt-ag -
Category
Technology
-
view
261 -
download
2
Transcript of Echtes Single Sign-On mit APEX realisieren
![Page 1: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/1.jpg)
|
„Echtes“ Single Sign-On mit APEXDOAG Konferenz 2014
Niels de Bruijn
Nürnberg, 19.11.20141
![Page 2: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/2.jpg)
|
FACTS & FIGURES
GESCHÄFTSFORM INHABERGEFÜHRTE AG
HAUPTSITZ RATINGEN
GRÜNDUNGSJAHR 1994
BESCHÄFTIGTE 180 FESTANGESTELLTE MITARBEITER
BETEILIGUNGEN MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG)
business by integration
"Echtes" Single Sign-On5
![Page 3: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/3.jpg)
|
UNSER PORTFOLIO
BUSINESS
INTELLIGENCE SOLUTIONSSOCIAL BUSINESS
SOLUTIONSMOBILE
SOLUTIONS
APPLICATION
DEVELOPMENTINTEGRATION
SERVICESIT SYSTEM
SERVICES
DATA INTEGRATION
SELF SERVICE BI
MOBILE BI
COLLABORATION
SEARCH
SOCIAL
APPS
ABLÄUFE
LOKALISIERUNG
APEX / ADF
JAVA
.NET
STRATEGIE
ARCHITEKTUR
SAP HANA
MANAGED SERVICES
BETRIEB
MIGRATION
"Echtes" Single Sign-On6
![Page 4: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/4.jpg)
|
Weiße Folien für den eigentlichen Vortrag
"Echtes" Single Sign-On7
Mehr Infos dazu während Open Mic Night heute zwischen 20:00-21:30 im Raum Istanbul
![Page 5: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/5.jpg)
| "Echtes" Single Sign-On8
apexmeetups.com
![Page 6: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/6.jpg)
|
Über mich
Niels de Bruijn, Fachbereichsleiter APEX
Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen
seit 12.2003 bei der MT AG in Ratingen
zuvor 2 Jahre als Berater bei Oracle Nederland B.V. angestellt
Beschäftigt sich seit 2004 mit APEX
Federführend beim Vertrieb/Marketing/Delivery von APEX Projekten aller Art
- https://apex.mt-ag.com & http://www.apexsolutions.de
Themenverantwortlicher für APEX bei der DOAG
Wo bin ich zu finden?
- Online: Skype, Xing, LinkedIn, Twitter, Facebook
- Offline: DOAG Konferenz/ APEX CONNECT, ODTUG Kscope, APEX UserGroup,
Meetups
"Echtes" Single Sign-On9
![Page 7: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/7.jpg)
|
Warum Single Sign-On für interne Apps?
Die Anzahl (APEX) Anwendungen im Unternehmen steigt
Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da
Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet
Für externe Anwendungen gibt es das OAuth 2.0 Verfahren
Für interne Anwendungen diesen Vortrag
"Echtes" Single Sign-On10
![Page 8: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/8.jpg)
|
APEX Referenz-Architektur
"Echtes" Single Sign-On11
Apache > ORDS > APEX-DB
![Page 9: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/9.jpg)
|
Authentifizierung in APEX
Browser Session Cookie + Session ID in URL ist pro Request notwendig
Warum gibt es eine Session ID in der URL von einer APEX Anwendung?
Wegen der Sicherheit. Ansonsten könnte ich die folgende URL per E-Mail verteilen
und nichts ahnende, bereits authentifizierte Kollegen, klicken darauf und erhöhen
damit mein Gehalt:
https://host/apex/f?p=HR:PAYRISE::BRANCH_TO_PAGE_ACCEPT|Apply_Chang
es:::P42_EMPNO,P42_NEW_SALARY:4711,99999
APEX 5.0 bietet optional das Feature „Session Rejoin“
Eine APEX URL in einer E-Mail führt zu einer erneuten Anmeldung, da keine
Session ID vorhanden. Mit Session Rejoin ist keine Session ID mehr notwendig.
Die Sicherheit ist dank der Verwendung von „Checksums“ trotzdem gegeben.
"Echtes" Single Sign-On12
![Page 10: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/10.jpg)
|
Auf dem Weg zum SSO: LDAP Authentifizierung
"Echtes" Single Sign-On13
![Page 11: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/11.jpg)
|
LDAP Authentifizierung einstellen
"Echtes" Single Sign-On14
![Page 12: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/12.jpg)
|
Ein wenig SSO: der „Shared Cookie“ Ansatz
"Echtes" Single Sign-On15
Nur für APEX Anwendungen im gleichen Workspace
![Page 13: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/13.jpg)
|
Single Sign-On mit Kerberos
"Echtes" Single Sign-On16
![Page 14: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/14.jpg)
|
Implementierung SSO mit Kerberos
Siehe aktuelles Dokument „SSO für APEX Anwendungen mit Kerberos“ auf
https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0
Varianten:
Samba statt Windows Server als Domaincontroller verwenden
Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen
Apache mit mod_auth_kerb auf Windows installieren:
https://www.schaeuffelhut-berger.de/blog/2014/01/apache-ads-sso
Welche Alternativen für SSO gibt es sonst noch?
http://wphilltech.com/options-for-windows-native-authentication-with-apex
SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen)
"Echtes" Single Sign-On17
Step by step
![Page 15: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/15.jpg)
|
Implementierung SSO mit Kerberos
"Echtes" Single Sign-On18
Das Ergebnis
![Page 16: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/16.jpg)
|
Q&A zum Thema mod_auth_kerb
Fallback Authentifizierung?
Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic
Authentication, daher unbedingt HTTPS einsetzen.
Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen?
Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird
entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header
welcher Benutzernamen dort drin steht und nimmt diese Identität an.
Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe?
Die Authentifizierung erfolgt über Basic Authentication. Nochmals: HTTPS
verwenden!
"Echtes" Single Sign-On19
![Page 17: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/17.jpg)
| "Echtes" Single Sign-On20
ALLE VORTRÄGE DER
MT AG
![Page 18: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/18.jpg)
|21
15:00 - 15:45
Sydney
Datenmodellierung ist langweilig,
lassen Sie Datamodeler das machen
Oleg
Kiriltsev18.11.14
12:00 - 12:45
Sydney
Das nächste Duet(t):
APEX und SAP.
Niels de
Bruijn19.11.14
16:00 - 16:45
Singapur
Speichersparende XML Verarbeitung
mit StAX und JAXB
Wolfgang
Nast19.11.14
16:00 - 16:45
Istanbul
"Echtes" Single Sign On
mit APEX realisieren.
Niels de
Bruijn19.11.14
09:00 - 09:45
Sydney Five Fingers Death Punch
Oliver
Lemm20.11.14
10:00 - 10:45
Helsinki
12c Oracle Warehousing voll Groovy.
Ein Projektbericht.Rosenberger
Ketteltasche20.11.14
12:00 - 12:45
Istanbul
Dateien per Drag & Drop in APEX
Applikationen ablegen
Franziska
Höcker20.11.14
15:00 - 15:45
Oslo Ist Gradle auch für die APEX-Projekte?
Oleg
Kiriltsev20.11.14
Tune Up Your APEXOliver
Lemm20.11.14
15:00 - 15:45
Istanbul
![Page 19: Echtes Single Sign-On mit APEX realisieren](https://reader031.fdocuments.net/reader031/viewer/2022012402/55aa6aa11a28ab73398b45eb/html5/thumbnails/19.jpg)
|
Telefon:
Telefax:
E-Mail:
www.mt-ag.com
Vielen Dank…
Fachbereichsleiter APEX
+49 2102 309 61 0
+49 2102 309 61 101
Niels de Bruijn