1. |
„Echtes“ Single Sign-On mit APEX
DOAG Konferenz 2014
Niels de Bruijn
Nürnberg, 19.11.2014 1
2. |
FACTS & FIGURES
GESCHÄFTSFORM
INHABERGEFÜHRTE AG
HAUPTSITZ
RATINGEN
GRÜNDUNGSJAHR
1994
BESCHÄFTIGTE
180 FESTANGESTELLTE MITARBEITER
BETEILIGUNGEN
MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG)
business by integration
5 "Echtes" Single Sign-On
3. |
UNSER PORTFOLIO
BUSINESSINTELLIGENCESOLUTIONS
SOCIAL BUSINESS SOLUTIONS
MOBILE
SOLUTIONS
APPLICATIONDEVELOPMENT
INTEGRATION SERVICES
IT SYSTEM SERVICES
DATA INTEGRATION
SELF SERVICE BI
MOBILE BI
COLLABORATION
SEARCH
SOCIAL
APPS
ABLÄUFE
LOKALISIERUNG
APEX / ADF
JAVA
.NET
STRATEGIE
ARCHITEKTUR
SAP HANA
MANAGED SERVICES
BETRIEB
MIGRATION
6 "Echtes" Single Sign-On
4. |
Weiße Folien für den eigentlichen Vortrag
7 "Echtes" Single Sign-On
Mehr Infos dazu während Open MicNightheute zwischen 20:00-21:30 im Raum Istanbul
6. |
Übermich
Niels de Bruijn, Fachbereichsleiter APEX
Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen
seit 12.2003 bei der MT AG in Ratingen
zuvor 2 Jahre als Berater bei Oracle NederlandB.V. angestellt
Beschäftigt sich seit 2004 mit APEX
Federführend beim Vertrieb/Marketing/Deliveryvon APEX Projekten aller Art
-https://apex.mt-ag.com & http://www.apexsolutions.de
ThemenverantwortlicherfürAPEX beider DOAG
Wobin ichzufinden?
-Online: Skype, Xing, LinkedIn, Twitter, Facebook
-Offline: DOAG Konferenz/ APEX CONNECT, ODTUG Kscope, APEX UserGroup, Meetups
9 "Echtes" Single Sign-On
7. |
Warum Single Sign-On für interne Apps?
Die Anzahl (APEX) Anwendungen im Unternehmen steigt
Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da
Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet
Für externe Anwendungen gibt es das OAuth2.0 Verfahren
Für interne Anwendungen diesen Vortrag
10 "Echtes" Single Sign-On
9. |
Authentifizierung in APEX
Browser Session Cookie + Session ID in URL ist pro Request notwendig
Warum gibt es eine Session ID in der URL von einer APEX Anwendung?
Wegen der Sicherheit. Ansonsten könnte ich die folgende URL per E-Mail verteilen und nichts ahnende, bereits authentifizierte Kollegen, klicken darauf und erhöhen damit mein Gehalt:
https://host/apex/f?p=HR:PAYRISE::BRANCH_TO_PAGE_ACCEPT|Apply_Changes:::P42_EMPNO,P42_NEW_SALARY:4711,99999
APEX 5.0 bietet optional das Feature „Session Rejoin“
Eine APEX URL in einer E-Mail führt zu einer erneuten Anmeldung, da keine Session ID vorhanden. Mit Session Rejoinist keine Session ID mehr notwendig. Die Sicherheit ist dank der Verwendung von „Checksums“ trotzdem gegeben.
12 "Echtes" Single Sign-On
10. |
Auf dem Weg zum SSO: LDAP Authentifizierung
13 "Echtes" Single Sign-On
14. |
Implementierung SSO mit Kerberos
Siehe aktuelles Dokument „SSO für APEX Anwendungen mit Kerberos“ auf
https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0
Varianten:
Samba statt Windows Server als Domaincontroller verwenden
Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen
Apache mit mod_auth_kerbauf Windows installieren: https://www.schaeuffelhut-berger.de/blog/2014/01/apache-ads-sso
Welche Alternativen für SSO gibt es sonst noch?
http://wphilltech.com/options-for-windows-native-authentication-with-apex
SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen)
17 "Echtes" Single Sign-On
Stepbystep
16. |
Q&A zum Thema mod_auth_kerb
FallbackAuthentifizierung?
Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic Authentication, daher unbedingt HTTPS einsetzen.
Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen?
Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header welcher Benutzernamen dort drin steht und nimmt diese Identität an.
Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe?
Die Authentifizierung erfolgt über Basic Authentication. Nochmals: HTTPS verwenden!
19 "Echtes" Single Sign-On
18. | 21
15:00 -15:45 Sydney
Datenmodellierung ist langweilig, lassen Sie Datamodelerdas machen
Oleg
Kiriltsev
18.11.14
12:00 -12:45
Sydney
Das nächste Duet(t): APEX und SAP.
Niels de
Bruijn
19.11.14
16:00 -16:45
Singapur
Speichersparende XML Verarbeitungmit StAXund JAXB
WolfgangNast
19.11.14
16:00 -16:45
Istanbul
"Echtes" Single Sign On
mit APEX realisieren.
Niels de
Bruijn
19.11.14
09:00 -09:45
Sydney
FiveFingers Death Punch
Oliver Lemm
20.11.14
10:00 -10:45
Helsinki
12c Oracle Warehousing voll Groovy. Ein Projektbericht.
Rosenberger Ketteltasche
20.11.14
12:00 -12:45
Istanbul
Dateien per Drag & Drop in APEX Applikationen ablegen
FranziskaHöcker
20.11.14
15:00 -15:45
Oslo
Ist Gradleauch für die APEX-Projekte?
Oleg
Kiriltsev
20.11.14
Tune Up YourAPEX
Oliver Lemm
20.11.14
15:00 -15:45
Istanbul