SlideShare ist ein Scribd-Unternehmen logo
1 von 19
Downloaden Sie, um offline zu lesen
| 
„Echtes“ Single Sign-On mit APEX 
DOAG Konferenz 2014 
Niels de Bruijn 
Nürnberg, 19.11.2014 1
| 
FACTS & FIGURES 
GESCHÄFTSFORM 
INHABERGEFÜHRTE AG 
HAUPTSITZ 
RATINGEN 
GRÜNDUNGSJAHR 
1994 
BESCHÄFTIGTE 
180 FESTANGESTELLTE MITARBEITER 
BETEILIGUNGEN 
MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG) 
business by integration 
5 "Echtes" Single Sign-On
| 
UNSER PORTFOLIO 
BUSINESSINTELLIGENCESOLUTIONS 
SOCIAL BUSINESS SOLUTIONS 
MOBILE 
SOLUTIONS 
APPLICATIONDEVELOPMENT 
INTEGRATION SERVICES 
IT SYSTEM SERVICES 
DATA INTEGRATION 
SELF SERVICE BI 
MOBILE BI 
COLLABORATION 
SEARCH 
SOCIAL 
APPS 
ABLÄUFE 
LOKALISIERUNG 
APEX / ADF 
JAVA 
.NET 
STRATEGIE 
ARCHITEKTUR 
SAP HANA 
MANAGED SERVICES 
BETRIEB 
MIGRATION 
6 "Echtes" Single Sign-On
| 
Weiße Folien für den eigentlichen Vortrag 
7 "Echtes" Single Sign-On 
Mehr Infos dazu während Open MicNightheute zwischen 20:00-21:30 im Raum Istanbul
| "Echtes" Single Sign-On 8 
apexmeetups.com
| 
Übermich 
Niels de Bruijn, Fachbereichsleiter APEX 
Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen 
seit 12.2003 bei der MT AG in Ratingen 
zuvor 2 Jahre als Berater bei Oracle NederlandB.V. angestellt 
Beschäftigt sich seit 2004 mit APEX 
Federführend beim Vertrieb/Marketing/Deliveryvon APEX Projekten aller Art 
-https://apex.mt-ag.com & http://www.apexsolutions.de 
ThemenverantwortlicherfürAPEX beider DOAG 
Wobin ichzufinden? 
-Online: Skype, Xing, LinkedIn, Twitter, Facebook 
-Offline: DOAG Konferenz/ APEX CONNECT, ODTUG Kscope, APEX UserGroup, Meetups 
9 "Echtes" Single Sign-On
| 
Warum Single Sign-On für interne Apps? 
Die Anzahl (APEX) Anwendungen im Unternehmen steigt 
Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da 
Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet 
Für externe Anwendungen gibt es das OAuth2.0 Verfahren 
Für interne Anwendungen diesen Vortrag  
10 "Echtes" Single Sign-On
| 
APEX Referenz-Architektur 
11 "Echtes" Single Sign-On 
Apache > ORDS > APEX-DB
| 
Authentifizierung in APEX 
Browser Session Cookie + Session ID in URL ist pro Request notwendig 
Warum gibt es eine Session ID in der URL von einer APEX Anwendung? 
Wegen der Sicherheit. Ansonsten könnte ich die folgende URL per E-Mail verteilen und nichts ahnende, bereits authentifizierte Kollegen, klicken darauf und erhöhen damit mein Gehalt: 
https://host/apex/f?p=HR:PAYRISE::BRANCH_TO_PAGE_ACCEPT|Apply_Changes:::P42_EMPNO,P42_NEW_SALARY:4711,99999 
APEX 5.0 bietet optional das Feature „Session Rejoin“ 
Eine APEX URL in einer E-Mail führt zu einer erneuten Anmeldung, da keine Session ID vorhanden. Mit Session Rejoinist keine Session ID mehr notwendig. Die Sicherheit ist dank der Verwendung von „Checksums“ trotzdem gegeben. 
12 "Echtes" Single Sign-On
| 
Auf dem Weg zum SSO: LDAP Authentifizierung 
13 "Echtes" Single Sign-On
| 
LDAP Authentifizierung einstellen 
14 "Echtes" Single Sign-On
| 
Ein wenig SSO: der „SharedCookie“ Ansatz 
15 "Echtes" Single Sign-On 
Nur für APEX Anwendungen im gleichenWorkspace
| 
Single Sign-On mit Kerberos 
16 "Echtes" Single Sign-On
| 
Implementierung SSO mit Kerberos 
Siehe aktuelles Dokument „SSO für APEX Anwendungen mit Kerberos“ auf 
https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0 
Varianten: 
Samba statt Windows Server als Domaincontroller verwenden 
Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen 
Apache mit mod_auth_kerbauf Windows installieren: https://www.schaeuffelhut-berger.de/blog/2014/01/apache-ads-sso 
Welche Alternativen für SSO gibt es sonst noch? 
http://wphilltech.com/options-for-windows-native-authentication-with-apex 
SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen) 
17 "Echtes" Single Sign-On 
Stepbystep
| 
Implementierung SSO mit Kerberos 
18 "Echtes" Single Sign-On 
Das Ergebnis
| 
Q&A zum Thema mod_auth_kerb 
FallbackAuthentifizierung? 
Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic Authentication, daher unbedingt HTTPS einsetzen. 
Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen? 
Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header welcher Benutzernamen dort drin steht und nimmt diese Identität an. 
Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe? 
Die Authentifizierung erfolgt über Basic Authentication. Nochmals: HTTPS verwenden! 
19 "Echtes" Single Sign-On
| "Echtes" Single Sign-On 20 
ALLE VORTRÄGE DER MT AG
| 21 
15:00 -15:45 Sydney 
Datenmodellierung ist langweilig, lassen Sie Datamodelerdas machen 
Oleg 
Kiriltsev 
18.11.14 
12:00 -12:45 
Sydney 
Das nächste Duet(t): APEX und SAP. 
Niels de 
Bruijn 
19.11.14 
16:00 -16:45 
Singapur 
Speichersparende XML Verarbeitungmit StAXund JAXB 
WolfgangNast 
19.11.14 
16:00 -16:45 
Istanbul 
"Echtes" Single Sign On 
mit APEX realisieren. 
Niels de 
Bruijn 
19.11.14 
09:00 -09:45 
Sydney 
FiveFingers Death Punch 
Oliver Lemm 
20.11.14 
10:00 -10:45 
Helsinki 
12c Oracle Warehousing voll Groovy. Ein Projektbericht. 
Rosenberger Ketteltasche 
20.11.14 
12:00 -12:45 
Istanbul 
Dateien per Drag & Drop in APEX Applikationen ablegen 
FranziskaHöcker 
20.11.14 
15:00 -15:45 
Oslo 
Ist Gradleauch für die APEX-Projekte? 
Oleg 
Kiriltsev 
20.11.14 
Tune Up YourAPEX 
Oliver Lemm 
20.11.14 
15:00 -15:45 
Istanbul
| 
Telefon: Telefax: 
E-Mail: 
www.mt-ag.com 
Vielen Dank… 
Fachbereichsleiter APEX 
+49 2102 309 61 0 
+49 2102 309 61 101 
niels.de.bruijn@mt-ag.com 
Niels de Bruijn

Weitere ähnliche Inhalte

Ähnlich wie Echtes Single Sign-On mit APEX realisieren

Single Sign-On Technologieüberblick
Single Sign-On TechnologieüberblickSingle Sign-On Technologieüberblick
Single Sign-On TechnologieüberblickBelsoft
 
Experteninterview mit Reiner Ganser: "Potential von Power Apps und Power Auto...
Experteninterview mit Reiner Ganser: "Potential von Power Apps und Power Auto...Experteninterview mit Reiner Ganser: "Potential von Power Apps und Power Auto...
Experteninterview mit Reiner Ganser: "Potential von Power Apps und Power Auto...Thomas Maier
 
Modernes DAM lässt Ihr Team effizienter arbeiten - mit KI und Machine Learning
Modernes DAM lässt Ihr Team effizienter arbeiten - mit KI und Machine LearningModernes DAM lässt Ihr Team effizienter arbeiten - mit KI und Machine Learning
Modernes DAM lässt Ihr Team effizienter arbeiten - mit KI und Machine LearningNuxeo
 
PowerApps, Flow und Mobile
PowerApps, Flow und MobilePowerApps, Flow und Mobile
PowerApps, Flow und MobilePatrick Maeschli
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterPrecisely
 
SAP Trends 2014 - die Entscheider kennen sollten
SAP Trends 2014 - die Entscheider kennen solltenSAP Trends 2014 - die Entscheider kennen sollten
SAP Trends 2014 - die Entscheider kennen solltenIT-Onlinemagazin
 
News von der Microsoft Ignite Zürich Juni 2015
News von der Microsoft Ignite Zürich Juni 2015News von der Microsoft Ignite Zürich Juni 2015
News von der Microsoft Ignite Zürich Juni 2015David Schneider
 
Office 365 im Hybrideinsatz
Office 365 im HybrideinsatzOffice 365 im Hybrideinsatz
Office 365 im Hybrideinsatzatwork
 
EPO API/4 Cloud als innovativer SAP-Konnektor
EPO API/4 Cloud als innovativer SAP-KonnektorEPO API/4 Cloud als innovativer SAP-Konnektor
EPO API/4 Cloud als innovativer SAP-KonnektorWolfgang Hornung
 
Azure Hybrid Connections
Azure Hybrid ConnectionsAzure Hybrid Connections
Azure Hybrid ConnectionsRobin Sedlaczek
 
Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012Thomas Uhl
 
Dateien per Drag & Drop in APEX Applikationen ablegen.
Dateien per Drag & Drop in APEX Applikationen ablegen.Dateien per Drag & Drop in APEX Applikationen ablegen.
Dateien per Drag & Drop in APEX Applikationen ablegen.MT AG
 
Xybermotive vorstellung (de) 112014
Xybermotive vorstellung (de) 112014Xybermotive vorstellung (de) 112014
Xybermotive vorstellung (de) 112014Hans-Chr. Brockmann
 
Cloud APIs - Wettbewerbsvorteile durch Einbindung externer Services
Cloud APIs - Wettbewerbsvorteile durch Einbindung externer ServicesCloud APIs - Wettbewerbsvorteile durch Einbindung externer Services
Cloud APIs - Wettbewerbsvorteile durch Einbindung externer ServicesConnected-Blog
 
Tweets und Aktienkurse? Wertvolle Erkenntnisse durch Data Blending gewinnen
Tweets und Aktienkurse? Wertvolle Erkenntnisse durch Data Blending gewinnenTweets und Aktienkurse? Wertvolle Erkenntnisse durch Data Blending gewinnen
Tweets und Aktienkurse? Wertvolle Erkenntnisse durch Data Blending gewinnenit-novum
 
Direkter Kurs auf beste Datenqualität in CRM.
Direkter Kurs auf beste Datenqualität in CRM.Direkter Kurs auf beste Datenqualität in CRM.
Direkter Kurs auf beste Datenqualität in CRM.Omikron Data Quality
 
ThousandEyes Enterprise Digital Workshop - German
ThousandEyes Enterprise Digital Workshop - GermanThousandEyes Enterprise Digital Workshop - German
ThousandEyes Enterprise Digital Workshop - GermanThousandEyes
 
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...IBsolution GmbH
 

Ähnlich wie Echtes Single Sign-On mit APEX realisieren (20)

Single Sign-On Technologieüberblick
Single Sign-On TechnologieüberblickSingle Sign-On Technologieüberblick
Single Sign-On Technologieüberblick
 
Experteninterview mit Reiner Ganser: "Potential von Power Apps und Power Auto...
Experteninterview mit Reiner Ganser: "Potential von Power Apps und Power Auto...Experteninterview mit Reiner Ganser: "Potential von Power Apps und Power Auto...
Experteninterview mit Reiner Ganser: "Potential von Power Apps und Power Auto...
 
Modernes DAM lässt Ihr Team effizienter arbeiten - mit KI und Machine Learning
Modernes DAM lässt Ihr Team effizienter arbeiten - mit KI und Machine LearningModernes DAM lässt Ihr Team effizienter arbeiten - mit KI und Machine Learning
Modernes DAM lässt Ihr Team effizienter arbeiten - mit KI und Machine Learning
 
PowerApps, Flow und Mobile
PowerApps, Flow und MobilePowerApps, Flow und Mobile
PowerApps, Flow und Mobile
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
 
SAP Trends 2014 - die Entscheider kennen sollten
SAP Trends 2014 - die Entscheider kennen solltenSAP Trends 2014 - die Entscheider kennen sollten
SAP Trends 2014 - die Entscheider kennen sollten
 
News von der Microsoft Ignite Zürich Juni 2015
News von der Microsoft Ignite Zürich Juni 2015News von der Microsoft Ignite Zürich Juni 2015
News von der Microsoft Ignite Zürich Juni 2015
 
Office 365 im Hybrideinsatz
Office 365 im HybrideinsatzOffice 365 im Hybrideinsatz
Office 365 im Hybrideinsatz
 
EPO API/4 Cloud als innovativer SAP-Konnektor
EPO API/4 Cloud als innovativer SAP-KonnektorEPO API/4 Cloud als innovativer SAP-Konnektor
EPO API/4 Cloud als innovativer SAP-Konnektor
 
Azure Hybrid Connections
Azure Hybrid ConnectionsAzure Hybrid Connections
Azure Hybrid Connections
 
Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012Hosting Provider Summit Mai 2012
Hosting Provider Summit Mai 2012
 
Webinar: Kollaborative Plattform für den Digitalen Zwilling - SAP Asset Intel...
Webinar: Kollaborative Plattform für den Digitalen Zwilling - SAP Asset Intel...Webinar: Kollaborative Plattform für den Digitalen Zwilling - SAP Asset Intel...
Webinar: Kollaborative Plattform für den Digitalen Zwilling - SAP Asset Intel...
 
Dateien per Drag & Drop in APEX Applikationen ablegen.
Dateien per Drag & Drop in APEX Applikationen ablegen.Dateien per Drag & Drop in APEX Applikationen ablegen.
Dateien per Drag & Drop in APEX Applikationen ablegen.
 
Xybermotive vorstellung (de) 112014
Xybermotive vorstellung (de) 112014Xybermotive vorstellung (de) 112014
Xybermotive vorstellung (de) 112014
 
Cloud APIs - Wettbewerbsvorteile durch Einbindung externer Services
Cloud APIs - Wettbewerbsvorteile durch Einbindung externer ServicesCloud APIs - Wettbewerbsvorteile durch Einbindung externer Services
Cloud APIs - Wettbewerbsvorteile durch Einbindung externer Services
 
2010 09 30 11-30 thomas marx
2010 09 30 11-30 thomas marx2010 09 30 11-30 thomas marx
2010 09 30 11-30 thomas marx
 
Tweets und Aktienkurse? Wertvolle Erkenntnisse durch Data Blending gewinnen
Tweets und Aktienkurse? Wertvolle Erkenntnisse durch Data Blending gewinnenTweets und Aktienkurse? Wertvolle Erkenntnisse durch Data Blending gewinnen
Tweets und Aktienkurse? Wertvolle Erkenntnisse durch Data Blending gewinnen
 
Direkter Kurs auf beste Datenqualität in CRM.
Direkter Kurs auf beste Datenqualität in CRM.Direkter Kurs auf beste Datenqualität in CRM.
Direkter Kurs auf beste Datenqualität in CRM.
 
ThousandEyes Enterprise Digital Workshop - German
ThousandEyes Enterprise Digital Workshop - GermanThousandEyes Enterprise Digital Workshop - German
ThousandEyes Enterprise Digital Workshop - German
 
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
 

Mehr von MT AG

20160307 apex connects_jira
20160307 apex connects_jira20160307 apex connects_jira
20160307 apex connects_jiraMT AG
 
20160307 apex on_the_rocks
20160307 apex on_the_rocks20160307 apex on_the_rocks
20160307 apex on_the_rocksMT AG
 
20160308 apex sso
20160308 apex sso20160308 apex sso
20160308 apex ssoMT AG
 
MT AG Data Vault Generator
MT AG Data Vault GeneratorMT AG Data Vault Generator
MT AG Data Vault GeneratorMT AG
 
MT AG: Sesam oeffne Dich
MT AG: Sesam oeffne DichMT AG: Sesam oeffne Dich
MT AG: Sesam oeffne DichMT AG
 
MT AG: 7 gute Gründe warum Apex
MT AG: 7 gute Gründe warum ApexMT AG: 7 gute Gründe warum Apex
MT AG: 7 gute Gründe warum ApexMT AG
 
MT AG: Ajax Rezepte fuer web services mit jquery und ajax
MT AG: Ajax Rezepte fuer web services mit jquery und ajaxMT AG: Ajax Rezepte fuer web services mit jquery und ajax
MT AG: Ajax Rezepte fuer web services mit jquery und ajaxMT AG
 
MT AG: Implementierungsvarianten mit-apex4.1
MT AG: Implementierungsvarianten mit-apex4.1MT AG: Implementierungsvarianten mit-apex4.1
MT AG: Implementierungsvarianten mit-apex4.1MT AG
 
MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG
 
APEX & MTdoxx
APEX & MTdoxxAPEX & MTdoxx
APEX & MTdoxxMT AG
 
Datenmodellierung ist langweilig, lassen Sie Datamodeler das machen
Datenmodellierung ist langweilig, lassen Sie Datamodeler das machenDatenmodellierung ist langweilig, lassen Sie Datamodeler das machen
Datenmodellierung ist langweilig, lassen Sie Datamodeler das machenMT AG
 
Ist Gradle auch für die APEX-Projekte?
Ist Gradle auch für die APEX-Projekte?Ist Gradle auch für die APEX-Projekte?
Ist Gradle auch für die APEX-Projekte?MT AG
 
Tune up your APEX
Tune up your APEXTune up your APEX
Tune up your APEXMT AG
 
Five Finger Death Punch
Five Finger Death PunchFive Finger Death Punch
Five Finger Death PunchMT AG
 

Mehr von MT AG (14)

20160307 apex connects_jira
20160307 apex connects_jira20160307 apex connects_jira
20160307 apex connects_jira
 
20160307 apex on_the_rocks
20160307 apex on_the_rocks20160307 apex on_the_rocks
20160307 apex on_the_rocks
 
20160308 apex sso
20160308 apex sso20160308 apex sso
20160308 apex sso
 
MT AG Data Vault Generator
MT AG Data Vault GeneratorMT AG Data Vault Generator
MT AG Data Vault Generator
 
MT AG: Sesam oeffne Dich
MT AG: Sesam oeffne DichMT AG: Sesam oeffne Dich
MT AG: Sesam oeffne Dich
 
MT AG: 7 gute Gründe warum Apex
MT AG: 7 gute Gründe warum ApexMT AG: 7 gute Gründe warum Apex
MT AG: 7 gute Gründe warum Apex
 
MT AG: Ajax Rezepte fuer web services mit jquery und ajax
MT AG: Ajax Rezepte fuer web services mit jquery und ajaxMT AG: Ajax Rezepte fuer web services mit jquery und ajax
MT AG: Ajax Rezepte fuer web services mit jquery und ajax
 
MT AG: Implementierungsvarianten mit-apex4.1
MT AG: Implementierungsvarianten mit-apex4.1MT AG: Implementierungsvarianten mit-apex4.1
MT AG: Implementierungsvarianten mit-apex4.1
 
MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5MT AG Präsentation Rapid Application Development mit APEX 5
MT AG Präsentation Rapid Application Development mit APEX 5
 
APEX & MTdoxx
APEX & MTdoxxAPEX & MTdoxx
APEX & MTdoxx
 
Datenmodellierung ist langweilig, lassen Sie Datamodeler das machen
Datenmodellierung ist langweilig, lassen Sie Datamodeler das machenDatenmodellierung ist langweilig, lassen Sie Datamodeler das machen
Datenmodellierung ist langweilig, lassen Sie Datamodeler das machen
 
Ist Gradle auch für die APEX-Projekte?
Ist Gradle auch für die APEX-Projekte?Ist Gradle auch für die APEX-Projekte?
Ist Gradle auch für die APEX-Projekte?
 
Tune up your APEX
Tune up your APEXTune up your APEX
Tune up your APEX
 
Five Finger Death Punch
Five Finger Death PunchFive Finger Death Punch
Five Finger Death Punch
 

Echtes Single Sign-On mit APEX realisieren

  • 1. | „Echtes“ Single Sign-On mit APEX DOAG Konferenz 2014 Niels de Bruijn Nürnberg, 19.11.2014 1
  • 2. | FACTS & FIGURES GESCHÄFTSFORM INHABERGEFÜHRTE AG HAUPTSITZ RATINGEN GRÜNDUNGSJAHR 1994 BESCHÄFTIGTE 180 FESTANGESTELLTE MITARBEITER BETEILIGUNGEN MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG) business by integration 5 "Echtes" Single Sign-On
  • 3. | UNSER PORTFOLIO BUSINESSINTELLIGENCESOLUTIONS SOCIAL BUSINESS SOLUTIONS MOBILE SOLUTIONS APPLICATIONDEVELOPMENT INTEGRATION SERVICES IT SYSTEM SERVICES DATA INTEGRATION SELF SERVICE BI MOBILE BI COLLABORATION SEARCH SOCIAL APPS ABLÄUFE LOKALISIERUNG APEX / ADF JAVA .NET STRATEGIE ARCHITEKTUR SAP HANA MANAGED SERVICES BETRIEB MIGRATION 6 "Echtes" Single Sign-On
  • 4. | Weiße Folien für den eigentlichen Vortrag 7 "Echtes" Single Sign-On Mehr Infos dazu während Open MicNightheute zwischen 20:00-21:30 im Raum Istanbul
  • 5. | "Echtes" Single Sign-On 8 apexmeetups.com
  • 6. | Übermich Niels de Bruijn, Fachbereichsleiter APEX Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen seit 12.2003 bei der MT AG in Ratingen zuvor 2 Jahre als Berater bei Oracle NederlandB.V. angestellt Beschäftigt sich seit 2004 mit APEX Federführend beim Vertrieb/Marketing/Deliveryvon APEX Projekten aller Art -https://apex.mt-ag.com & http://www.apexsolutions.de ThemenverantwortlicherfürAPEX beider DOAG Wobin ichzufinden? -Online: Skype, Xing, LinkedIn, Twitter, Facebook -Offline: DOAG Konferenz/ APEX CONNECT, ODTUG Kscope, APEX UserGroup, Meetups 9 "Echtes" Single Sign-On
  • 7. | Warum Single Sign-On für interne Apps? Die Anzahl (APEX) Anwendungen im Unternehmen steigt Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet Für externe Anwendungen gibt es das OAuth2.0 Verfahren Für interne Anwendungen diesen Vortrag  10 "Echtes" Single Sign-On
  • 8. | APEX Referenz-Architektur 11 "Echtes" Single Sign-On Apache > ORDS > APEX-DB
  • 9. | Authentifizierung in APEX Browser Session Cookie + Session ID in URL ist pro Request notwendig Warum gibt es eine Session ID in der URL von einer APEX Anwendung? Wegen der Sicherheit. Ansonsten könnte ich die folgende URL per E-Mail verteilen und nichts ahnende, bereits authentifizierte Kollegen, klicken darauf und erhöhen damit mein Gehalt: https://host/apex/f?p=HR:PAYRISE::BRANCH_TO_PAGE_ACCEPT|Apply_Changes:::P42_EMPNO,P42_NEW_SALARY:4711,99999 APEX 5.0 bietet optional das Feature „Session Rejoin“ Eine APEX URL in einer E-Mail führt zu einer erneuten Anmeldung, da keine Session ID vorhanden. Mit Session Rejoinist keine Session ID mehr notwendig. Die Sicherheit ist dank der Verwendung von „Checksums“ trotzdem gegeben. 12 "Echtes" Single Sign-On
  • 10. | Auf dem Weg zum SSO: LDAP Authentifizierung 13 "Echtes" Single Sign-On
  • 11. | LDAP Authentifizierung einstellen 14 "Echtes" Single Sign-On
  • 12. | Ein wenig SSO: der „SharedCookie“ Ansatz 15 "Echtes" Single Sign-On Nur für APEX Anwendungen im gleichenWorkspace
  • 13. | Single Sign-On mit Kerberos 16 "Echtes" Single Sign-On
  • 14. | Implementierung SSO mit Kerberos Siehe aktuelles Dokument „SSO für APEX Anwendungen mit Kerberos“ auf https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0 Varianten: Samba statt Windows Server als Domaincontroller verwenden Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen Apache mit mod_auth_kerbauf Windows installieren: https://www.schaeuffelhut-berger.de/blog/2014/01/apache-ads-sso Welche Alternativen für SSO gibt es sonst noch? http://wphilltech.com/options-for-windows-native-authentication-with-apex SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen) 17 "Echtes" Single Sign-On Stepbystep
  • 15. | Implementierung SSO mit Kerberos 18 "Echtes" Single Sign-On Das Ergebnis
  • 16. | Q&A zum Thema mod_auth_kerb FallbackAuthentifizierung? Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic Authentication, daher unbedingt HTTPS einsetzen. Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen? Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header welcher Benutzernamen dort drin steht und nimmt diese Identität an. Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe? Die Authentifizierung erfolgt über Basic Authentication. Nochmals: HTTPS verwenden! 19 "Echtes" Single Sign-On
  • 17. | "Echtes" Single Sign-On 20 ALLE VORTRÄGE DER MT AG
  • 18. | 21 15:00 -15:45 Sydney Datenmodellierung ist langweilig, lassen Sie Datamodelerdas machen Oleg Kiriltsev 18.11.14 12:00 -12:45 Sydney Das nächste Duet(t): APEX und SAP. Niels de Bruijn 19.11.14 16:00 -16:45 Singapur Speichersparende XML Verarbeitungmit StAXund JAXB WolfgangNast 19.11.14 16:00 -16:45 Istanbul "Echtes" Single Sign On mit APEX realisieren. Niels de Bruijn 19.11.14 09:00 -09:45 Sydney FiveFingers Death Punch Oliver Lemm 20.11.14 10:00 -10:45 Helsinki 12c Oracle Warehousing voll Groovy. Ein Projektbericht. Rosenberger Ketteltasche 20.11.14 12:00 -12:45 Istanbul Dateien per Drag & Drop in APEX Applikationen ablegen FranziskaHöcker 20.11.14 15:00 -15:45 Oslo Ist Gradleauch für die APEX-Projekte? Oleg Kiriltsev 20.11.14 Tune Up YourAPEX Oliver Lemm 20.11.14 15:00 -15:45 Istanbul
  • 19. | Telefon: Telefax: E-Mail: www.mt-ag.com Vielen Dank… Fachbereichsleiter APEX +49 2102 309 61 0 +49 2102 309 61 101 niels.de.bruijn@mt-ag.com Niels de Bruijn