Oracle Application Express ermöglicht erweiternde Zugangskontrollmethoden, die auf der Benutzeroberfläche definiert werden können. Man kann zum Beispiel einfach unterschiedliche APEX-Componenten ein- oder ausblenden. Aber eine Daten-Zutrittskontrolle ist mit dieser Methode nicht abgedeckt. Wie könnte man zum Beispiel das Gehalt vor fremden Abteilungen verstecken? Diese Frage und mehr Informationen über Oracle Real Application Security (RAS) auf Datenniveau in APEX 5 werden im Vortrag beantwortet. Abgerundet von dieser Vortrag mit einer kleinen Live-Demo.

1. Pavel Glebov
Consultant Development
Nikolaus Sperat
Consultant Development
RAS in APEX 5 ist einfacher als Sie
denken

2. • Spin off der TU Graz, Privatbesitz
• Hauptsitz Graz, Büro in Mödling
• 10+ hochqualifizierte Mitarbeiter (intern, extern)
• Finanzen: 2014, € 830 k, 2015, 880k, keine Bankverbindlichkeiten, hoher
EK Anteil
• Spezialisierung auf Technologien:
• Lösungen zur Digitalisierung von Geschäftsprozessen
• Business Intelligence / DWH / BigData - Full Service Provider
• Enge Produkt und Dienstleistungspartnerschaften : Oracle, Theobald
Software, Qubix , Abakus
FRT Consulting

3. Kunden und Referenzen (Auszug)
• Andritz AG
• Prinzhorn Holding
• Mazda Austria
• Elk Fertighaus
• SonyDADC
• Stora-Enso
• Hutchison DREI Austria
• Verbundgesellschaft
• KELAG
• UPC
• Verkehrsverbund Steiermark
• Tirol Kliniken
• E-Control
• Österr. Nationalbank - OeNB
• Merkur Versicherung
• Bonus Vorsorgekasse
• Hypo Alpe Adria Bank AG
• Basler Versicherung AG
• Vereinte Bühnen Wien
• Burgtheater, Theaterholding
Graz, Theater i. d. Josefstadt
• Wiener Tourismusverband
• TU Graz und weitere andere
Universitäten

4. • Zugriffsbeschränkungen in APEX
• RAS vs Custom Views
• Hilfsprogramme für RAS
• Kurzer Überblick von RAS–Grammatik und
RASADM
• Aktivierung von RAS-Feature im APEX
• Demo
Agenda

5. • Authentication- Login+Kennwort
• Darf ich Einloggen
• Custom, LDAP,
• Single Sign-On,
• APEX,
• HTTP Header Variable
• Authorization - Rechte
• Was darf ich sehen
• Was darf ich machen
Zugriffsbeschränkungen in APEX

6. Zugriffsbeschränkungen in APEX

7. Real Application Security (RAS)

8. Real Application Security (RAS)
•Datenzutrittskontrolle auf DB Ebene
•Vorteile für APEX – Entwickler
• Höhe Leistung
• Keine Rekomplilation
• Supported by Oracle

9. RAS vs Custom Views

10. Datenzugriffkontrolle auf Views
SELECT * FROM EMPLOYEES

11. Datenzugriffkontrolle auf RAS
SELECT * FROM EMPLOYEES
HR_ROLE
IT_ROLE

12. Real Application Security (RAS)
Datenzutrittskontrolle auf DB Ebene
Nachteile
• Enterprise Edition
• Steile Lernkurve
• Komplexe Dokumentation

13. Anwendungsbeispiel (Hallo Welt)
exec xs_principal.create_role(name => 'emp_role', enabled => true);
exec xs_principal.create_role(name => 'it_role', enabled => true);
exec xs_principal.create_role(name => 'hr_role', enabled => true);
grant db_emp to emp_role;
grant db_emp to it_role;
grant db_emp to hr_role;
exec xs_principal.create_user(name => 'daustin', schema => 'hr');
exec sys.xs_principal.set_password('daustin', 'welcome1');
exec xs_principal.grant_roles('daustin', 'emp_role');
exec xs_principal.grant_roles('daustin', 'it_role');
Und noch 90 Zeilen…

14. Dokumentation

15. RAS Vorträge
Real Application Security (RAS) and Oracle Application
Express (APEX) von Dimitri Gielis
http://de.slideshare.net/DimitriGielis/real-application-security-ras-and-oracle-
application-express-apex
RAS 12c vs. VPD als Security Layer für das DWH
von Bertrand Caradec
https://www.doag.org/formes/servlet/DocNavi?action=getFile&did=7539394&key=
Oracle 12c Real Application Security von Axel Kraft
https://www.doag.org/formes/servlet/DocNavi?action=getFile&did=7324397
12c Real Application Security von Dr. Günter
Unbescheid
https://www.doag.org/formes/servlet/DocNavi?action=getFile&did=8573261&key=

16. Hilfsprogramme
•RASADM
https://goo.gl/SZEYl2
•Grants Generator
https://github.com/glebovpavel/Grants-Generator
•RAS Export
https://github.com/glebovpavel/RAS-Export

17. RASADM und seine Grammatik

18. Data Realms

19. Data Realms

20. Policies

21. RAS Roles

22. RAS Roles
Regular
Können DB Roles vererben
Dynamic
Können keine DB Roles vererben
Können trotzdem regular Roles vererben.
Mit PL/SQL zu einer Session hinzugefügt
werden

23. Vererbung des DB Privileges
DB PRIVILEGES (SELECT ON EMPLOYEES)
DATABASE ROLE (GRANT SELECT ON …TO DB_EMP)
RAS REGULAR ROLE (GRANT DB_EMP TO EMP_ROLE)
RAS DYNAMIC ROLE
APEX USER
(SELECT ON EMPLOYEES)

24. RAS Privileges (Rechte)

25. RAS Privilege vs DB Privilege
• DB Privilege - Zugriff zum DB-Objekt selbst
• RAS Privilege – Zugriff zu Objekt-Zeilen

26. Access Control Lists (ACL)
Users/Roles

27. RAS Application Users

28. External Users
Nur Dynamic RAS Roles
Authentication – im APEX
Zuweisung des Roles – im APEX
APEX_AUTHORIZATION.ENABLE_DYNAMIC_GROUPS
•
APEX
RAS
Username + Password
Roles

29. Aktivierung von RAS-Feature im APEX

30. Aktivierung von RAS-Feature im APEX

31. ENABLE_DYNAMIC_GROUPS

32. Im Post-Authentication

33. APEX Authorization Scheme
ORA_CHECK_ACL
ORA_CHECK_PRIVILEGE

34. APEX Authorization Scheme

35. Zugriffsbeschränkungen anlegen
•DEMO

36. Fazit
Bedarfsartikel für Entwickler
• Präsentationen
• RASADM
• RAS Export
• Grants Generator

37. Kontakt
FRT Consulting GmbH
•Liebenauer Hauptstrasse 2-6
A-8041 Graz
•Fon: +43 316 71 12 12 - 0
Fax: +43 316 71 12 12 - 99