| 
„Echtes“ Single Sign-On mit APEX 
DOAG Konferenz 2014 
Niels de Bruijn 
Nürnberg, 19.11.2014 1
| 
FACTS & FIGURES 
GESCHÄFTSFORM 
INHABERGEFÜHRTE AG 
HAUPTSITZ 
RATINGEN 
GRÜNDUNGSJAHR 
1994 
BESCHÄFTIGTE 
180 FESTANG...
| 
UNSER PORTFOLIO 
BUSINESSINTELLIGENCESOLUTIONS 
SOCIAL BUSINESS SOLUTIONS 
MOBILE 
SOLUTIONS 
APPLICATIONDEVELOPMENT 
I...
| 
Weiße Folien für den eigentlichen Vortrag 
7 "Echtes" Single Sign-On 
Mehr Infos dazu während Open MicNightheute zwisch...
| "Echtes" Single Sign-On 8 
apexmeetups.com
| 
Übermich 
Niels de Bruijn, Fachbereichsleiter APEX 
Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen 
se...
| 
Warum Single Sign-On für interne Apps? 
Die Anzahl (APEX) Anwendungen im Unternehmen steigt 
Die Anmeldung kostet Zei...
| 
APEX Referenz-Architektur 
11 "Echtes" Single Sign-On 
Apache > ORDS > APEX-DB
| 
Authentifizierung in APEX 
Browser Session Cookie + Session ID in URL ist pro Request notwendig 
Warum gibt es eine S...
| 
Auf dem Weg zum SSO: LDAP Authentifizierung 
13 "Echtes" Single Sign-On
| 
LDAP Authentifizierung einstellen 
14 "Echtes" Single Sign-On
| 
Ein wenig SSO: der „SharedCookie“ Ansatz 
15 "Echtes" Single Sign-On 
Nur für APEX Anwendungen im gleichenWorkspace
| 
Single Sign-On mit Kerberos 
16 "Echtes" Single Sign-On
| 
Implementierung SSO mit Kerberos 
Siehe aktuelles Dokument „SSO für APEX Anwendungen mit Kerberos“ auf 
https://apex.mt...
| 
Implementierung SSO mit Kerberos 
18 "Echtes" Single Sign-On 
Das Ergebnis
| 
Q&A zum Thema mod_auth_kerb 
FallbackAuthentifizierung? 
Wenn Client nicht in der Domäne ist, dann erfolgt die Authent...
| "Echtes" Single Sign-On 20 
ALLE VORTRÄGE DER MT AG
| 21 
15:00 -15:45 Sydney 
Datenmodellierung ist langweilig, lassen Sie Datamodelerdas machen 
Oleg 
Kiriltsev 
18.11.14 
...
| 
Telefon: Telefax: 
E-Mail: 
www.mt-ag.com 
Vielen Dank… 
Fachbereichsleiter APEX 
+49 2102 309 61 0 
+49 2102 309 61 10...
Nächste SlideShare
Wird geladen in …5
×

Echtes Single Sign-On mit APEX realisieren

557 Aufrufe

Veröffentlicht am

Echtes Single Sign-On mit APEX realisieren

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
557
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
87
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Echtes Single Sign-On mit APEX realisieren

  1. 1. | „Echtes“ Single Sign-On mit APEX DOAG Konferenz 2014 Niels de Bruijn Nürnberg, 19.11.2014 1
  2. 2. | FACTS & FIGURES GESCHÄFTSFORM INHABERGEFÜHRTE AG HAUPTSITZ RATINGEN GRÜNDUNGSJAHR 1994 BESCHÄFTIGTE 180 FESTANGESTELLTE MITARBEITER BETEILIGUNGEN MT-IFS GMBH (RATINGEN), MT-IFS SARL (LUXEMBURG) business by integration 5 "Echtes" Single Sign-On
  3. 3. | UNSER PORTFOLIO BUSINESSINTELLIGENCESOLUTIONS SOCIAL BUSINESS SOLUTIONS MOBILE SOLUTIONS APPLICATIONDEVELOPMENT INTEGRATION SERVICES IT SYSTEM SERVICES DATA INTEGRATION SELF SERVICE BI MOBILE BI COLLABORATION SEARCH SOCIAL APPS ABLÄUFE LOKALISIERUNG APEX / ADF JAVA .NET STRATEGIE ARCHITEKTUR SAP HANA MANAGED SERVICES BETRIEB MIGRATION 6 "Echtes" Single Sign-On
  4. 4. | Weiße Folien für den eigentlichen Vortrag 7 "Echtes" Single Sign-On Mehr Infos dazu während Open MicNightheute zwischen 20:00-21:30 im Raum Istanbul
  5. 5. | "Echtes" Single Sign-On 8 apexmeetups.com
  6. 6. | Übermich Niels de Bruijn, Fachbereichsleiter APEX Geboren in 1977, verheiratet, drei Töchter, Wohnort Ratingen seit 12.2003 bei der MT AG in Ratingen zuvor 2 Jahre als Berater bei Oracle NederlandB.V. angestellt Beschäftigt sich seit 2004 mit APEX Federführend beim Vertrieb/Marketing/Deliveryvon APEX Projekten aller Art -https://apex.mt-ag.com & http://www.apexsolutions.de ThemenverantwortlicherfürAPEX beider DOAG Wobin ichzufinden? -Online: Skype, Xing, LinkedIn, Twitter, Facebook -Offline: DOAG Konferenz/ APEX CONNECT, ODTUG Kscope, APEX UserGroup, Meetups 9 "Echtes" Single Sign-On
  7. 7. | Warum Single Sign-On für interne Apps? Die Anzahl (APEX) Anwendungen im Unternehmen steigt Die Anmeldung kostet Zeit und stellt ein Sicherheitsrisiko da Dabei sind wir bereits mit dem Client bei einer Domäne angemeldet Für externe Anwendungen gibt es das OAuth2.0 Verfahren Für interne Anwendungen diesen Vortrag  10 "Echtes" Single Sign-On
  8. 8. | APEX Referenz-Architektur 11 "Echtes" Single Sign-On Apache > ORDS > APEX-DB
  9. 9. | Authentifizierung in APEX Browser Session Cookie + Session ID in URL ist pro Request notwendig Warum gibt es eine Session ID in der URL von einer APEX Anwendung? Wegen der Sicherheit. Ansonsten könnte ich die folgende URL per E-Mail verteilen und nichts ahnende, bereits authentifizierte Kollegen, klicken darauf und erhöhen damit mein Gehalt: https://host/apex/f?p=HR:PAYRISE::BRANCH_TO_PAGE_ACCEPT|Apply_Changes:::P42_EMPNO,P42_NEW_SALARY:4711,99999 APEX 5.0 bietet optional das Feature „Session Rejoin“ Eine APEX URL in einer E-Mail führt zu einer erneuten Anmeldung, da keine Session ID vorhanden. Mit Session Rejoinist keine Session ID mehr notwendig. Die Sicherheit ist dank der Verwendung von „Checksums“ trotzdem gegeben. 12 "Echtes" Single Sign-On
  10. 10. | Auf dem Weg zum SSO: LDAP Authentifizierung 13 "Echtes" Single Sign-On
  11. 11. | LDAP Authentifizierung einstellen 14 "Echtes" Single Sign-On
  12. 12. | Ein wenig SSO: der „SharedCookie“ Ansatz 15 "Echtes" Single Sign-On Nur für APEX Anwendungen im gleichenWorkspace
  13. 13. | Single Sign-On mit Kerberos 16 "Echtes" Single Sign-On
  14. 14. | Implementierung SSO mit Kerberos Siehe aktuelles Dokument „SSO für APEX Anwendungen mit Kerberos“ auf https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:NUTZEN:0 Varianten: Samba statt Windows Server als Domaincontroller verwenden Kerberos Authentifizierung auf Tomcat-Ebene statt Apache vornehmen Apache mit mod_auth_kerbauf Windows installieren: https://www.schaeuffelhut-berger.de/blog/2014/01/apache-ads-sso Welche Alternativen für SSO gibt es sonst noch? http://wphilltech.com/options-for-windows-native-authentication-with-apex SSO Server in Oracle DB (Open Source Lösung von Anton Nielsen) 17 "Echtes" Single Sign-On Stepbystep
  15. 15. | Implementierung SSO mit Kerberos 18 "Echtes" Single Sign-On Das Ergebnis
  16. 16. | Q&A zum Thema mod_auth_kerb FallbackAuthentifizierung? Wenn Client nicht in der Domäne ist, dann erfolgt die Authentifizierung über Basic Authentication, daher unbedingt HTTPS einsetzen. Kann ich in dem Fall eine Anmeldeseite stattdessen anzeigen? Ja. Dies erfordert eine separate (interne) URL. Abhängig von der URL, wird entweder eine Anmeldeseite gezeigt oder die Anwendung prüft im HTTP Header welcher Benutzernamen dort drin steht und nimmt diese Identität an. Was passiert wenn ich die geschützte URL auf einem Smartphone aufrufe? Die Authentifizierung erfolgt über Basic Authentication. Nochmals: HTTPS verwenden! 19 "Echtes" Single Sign-On
  17. 17. | "Echtes" Single Sign-On 20 ALLE VORTRÄGE DER MT AG
  18. 18. | 21 15:00 -15:45 Sydney Datenmodellierung ist langweilig, lassen Sie Datamodelerdas machen Oleg Kiriltsev 18.11.14 12:00 -12:45 Sydney Das nächste Duet(t): APEX und SAP. Niels de Bruijn 19.11.14 16:00 -16:45 Singapur Speichersparende XML Verarbeitungmit StAXund JAXB WolfgangNast 19.11.14 16:00 -16:45 Istanbul "Echtes" Single Sign On mit APEX realisieren. Niels de Bruijn 19.11.14 09:00 -09:45 Sydney FiveFingers Death Punch Oliver Lemm 20.11.14 10:00 -10:45 Helsinki 12c Oracle Warehousing voll Groovy. Ein Projektbericht. Rosenberger Ketteltasche 20.11.14 12:00 -12:45 Istanbul Dateien per Drag & Drop in APEX Applikationen ablegen FranziskaHöcker 20.11.14 15:00 -15:45 Oslo Ist Gradleauch für die APEX-Projekte? Oleg Kiriltsev 20.11.14 Tune Up YourAPEX Oliver Lemm 20.11.14 15:00 -15:45 Istanbul
  19. 19. | Telefon: Telefax: E-Mail: www.mt-ag.com Vielen Dank… Fachbereichsleiter APEX +49 2102 309 61 0 +49 2102 309 61 101 niels.de.bruijn@mt-ag.com Niels de Bruijn

×