„echtes“ single sign-on mit apex -...
TRANSCRIPT
|
„Echtes“ Single Sign-On mit APEX
Niels de Bruijn, Fachbereichsleiter, MT AG
Ratingen, 14.07.2015 1
|
FACTS & FIGURES
GESCHÄFTSFORM INHABERGEFÜHRTE AG
HAUPTSITZ RATINGEN
GRÜNDUNGSJAHR 1994
BESCHÄFTIGTE 180 FESTANGESTELLTE MITARBEITER
BETEILIGUNGEN MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG)
business by integration
"Echtes" Single Sign-On 2
|
UNSER PORTFOLIO
BUSINESS INTELLIGENCE SOLUTIONS
SOCIAL BUSINESS SOLUTIONS
MOBILE SOLUTIONS
APPLICATION DEVELOPMENT
INTEGRATION SERVICES
IT SYSTEM SERVICES
DATA INTEGRATION SELF SERVICE BI MOBILE BI
COLLABORATION SEARCH SOCIAL
APPS ABLÄUFE LOKALISIERUNG
APEX / ADF JAVA .NET
STRATEGIE ARCHITEKTUR SAP HANA
MANAGED SERVICES BETRIEB MIGRATION
"Echtes" Single Sign-On 3
|
Über mich § Niels de Bruijn, Fachbereichsleiter APEX § Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen
§ seit 12.2003 bei der MT AG in Ratingen § zuvor 2 Jahre als Berater bei Oracle Nederland B.V. angestellt
§ Beschäftigt sich seit 2004 mit APEX
§ Federführend beim Vertrieb/Marketing/Delivery von APEX Projekten aller Art - https://apex.mt-ag.com & http://www.apexsolutions.de
§ Themenverantwortlicher für APEX bei der DOAG § Hält Vorträge u.A. auf der DOAG Konferenz / APEX connect, ODTUG Kscope
"Echtes" Single Sign-On 4
|
Warum Single Sign-On für interne Apps?
§ Die Anzahl (APEX) Anwendungen im Unternehmen steigt § Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da
§ Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet
§ Für externe Anwendungen gibt es das OAuth 2.0 Verfahren
§ Für interne Anwendungen diesen Vortrag J
"Echtes" Single Sign-On 5
|
LDAP Authentifizierung in APEX
"Echtes" Single Sign-On 6
|
Der „Shared Cookie“ Ansatz
"Echtes" Single Sign-On 7
Nur für APEX Anwendungen im gleichen Workspace
|
SSO mit Kerberos
"Echtes" Single Sign-On 8
Apache > ORDS > APEX-DB
Apache 2.x oder IIS
inkl. APEX static files
ORDS 3.x auf Tomcat 8 Oracle RDBMS
11gR2/12c
Browser (IE / Firefox)
JDBC Connection
Pool (UCP)
AJP HTTPS
Linux oder Windows
Domain Controller
Active Directory
|
Implementierung SSO mit Kerberos
"Echtes" Single Sign-On 9
Das Ergebnis
|
Implementierung SSO mit Kerberos
Step by Step Anleitung: https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0
Varianten:
§ Samba statt Windows Server als Domaincontroller verwenden § Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen
§ IIS statt Apache einsetzen
Welche Alternativen für SSO gibt es sonst noch?
§ http://wphilltech.com/options-for-windows-native-authentication-with-apex § SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen)
"Echtes" Single Sign-On 10
Step by step
|
Q&A zum Thema mod_auth_kerb
§ Fallback Authentifizierung? Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic Authentication, daher unbedingt HTTPS einsetzen.
§ Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen?
Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header welcher Benutzernamen dort drin steht und nimmt diese Identität an.
§ Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe?
Die Authentifizierung erfolgt über das unsichere Basic Authentication Verfahren, daher immer HTTPS verwenden!
"Echtes" Single Sign-On 11
|
Q&A zum Thema mod_auth_kerb
§ Gibt es generelle Tipps für die Installation einer APEX Umgebung? Ja. Siehe Blog Posts von Morten Braten: http://ora-00001.blogspot.de/
"Echtes" Single Sign-On 12
|
Telefon: Telefax:
E-Mail: www.mt-ag.com
Vielen Dank… Fachbereichsleiter APEX
+49 2102 309 61 0 +49 2102 309 61 101
Niels de Bruijn