Das Dokument beschreibt die Implementierung von LDAP-Authentifizierung und zentraler Benutzerverwaltung in Oracle Application Express (APEX), um redundante Benutzerverwaltung zu vermeiden und den Administrationsaufwand zu reduzieren. Es werden verschiedene Authentifizierungs- und Autorisierungsschemata erläutert, die in APEX konfiguriert werden können, sowie die Schritte zur Einrichtung eines LDAP-basierten Authentifizierungsschemas. Zudem wird die Verwendung von APEX Utilities zur Entwicklung von Autorisierungslogik vorgestellt.

2. DTCC Pre-Sales “Oracle Application Express und LDAP”
Pre-
Authentisierung
Version 1.0
Carsten Mützlitz

3. Agenda
• APEX Security
• APEX Standard User Management
• Redundante Benutzerverwaltung aufheben
• Q&A

4. Eine Auswahl an Authentisierungsschemen
Kleine Auswahl von Möglichkeiten
Authentisierung Erläuterung
• LDAP Directory Benutzerdaten
• Oracle Application Server Single-Sign On
Vorkonfigurierte • “Open door” Benutzerdaten
Schemen • Application Express Benutzerdaten
• Database Account Benutzerdaten
• No Authentication (using DAD)
• Anpassbare Session Management Logik
Nutzen oder Verändern der (Session Verification Function) Built-in Page
Wächter
Eigenen Wächter entwickeln (Beispiele sind vorhanden)
Custom
• Benutzerdatenverifikation mittels PL/SQL entwickeln
Authentication
Akzeptiert Username und Kennwort; Returns Boolean
Wird nur einmal pro Session ausgeführt
• Auch IP-basierte Authentisierung möglich
Wird häufig bei Verlagen genutzt, um Benutzerkreise einzuschränken
Passen Sie APEX Ihren Security-Bedürfnissen/Anforderungen an.

5. Benutzerzugriff kontrollieren
Kleine Auswahl von Möglichkeiten
Benutzerzugriff Erläuterung
• Pass / Fail Checks – werden im Cache gehalten (Performance)
• Kann mit jeder Komponente verbunden werden (z.B. Application,
Autorisierung Page, Button, Validation, Item, etc.)
• Verschiedene Typen (z.B. Exists, SQL Query, PL/SQL Function,
etc.)
Session State • Verhindert URL Manipulation
Schutz • Wird mittels Hash MD5 Checksum geschützt
• Fine Grained Access Control (aka VPD); Transparent Data
DB Security nutzen Encryption; Database Vault; Advanced Security Option; etc.
• Kein Entwicklungsaufwand mittels APEX notwendig
Schalten Sie die Kontrolle mittels Autorisierung an, um den Zugriff zu steuern.

6. Agenda
• APEX Security
• APEX Standard User Management
• Redundante Benutzerverwaltung aufheben
• Q&A

7. Standard APEX User Management
Kleine Auswahl von Möglichkeiten
Standard Benutzerverwaltung für APEX-Anwendungen
Benutzer müssen neu angelegt
werden. Dies führt eventuell zu einer
redundanten Benutzerverwaltung
und u.U. zu einem erhöhten Adminis-
trationsaufwand sowie Komplexität.

8. Agenda
• APEX Security
• APEX Standard User Management
• Redundante Benutzerverwaltung aufheben
• Q&A

9. Von der redundanten zur zentralen Benutzerverwaltung
Adminaufwand reduzieren durch Nutzung bestehender Dienste
APPS1
• User1, Kennwort, Rollen
• User3, Kennwort, Rollen
User1 APPS2
• User1, Kennwort, Rollen
• User3, Kennwort, Rollen
User2 APPS3
• User1, Kennwort, Rollen
• User2, Kennwort, Rollen
APPS4
• User1, Kennwort, Rollen
User3 • User2, Kennwort, Rollen
• User3, Kennwort, Rollen
APPS5
• User2, Kennwort, Rollen
• User3, Kennwort, Rollen
User4
• User4, Kennwort, Rollen
APPS1
User1 APPS2
• User1, Kennwort, Rollen
User2 APPS3 • User2, Kennwort, Rollen
• User3, Kennwort, Rollen
• User4, Kennwort, Rollen
APPS4 LDAP
User3
APPS5
User4

10. Unsere zentrale Benutzerverwaltung ist das Oracle
Internet Directory

11. 5 Min. Aufwand für eine LDAP-basierte Authentisierung
Wir nutzen das vorkonfigurierte Authentication Schema for LDAP
11. Neues Authentication Schema erstellen:
Folgende Schritte:
Navigiere zur Application, dann Shared Components dann Authentication Schemes
Erstelle neues Schema: Nutze Show Login Page and LDAP Directory Credentials
nutze vorhandene Page101 Login Page
LDAP credentials (george.de.oracle.com 3060) einstellen, speichern.
Nun das Schema auf “current” setzen
Jetzt nochmal ins Schema und das LDAP Test Tool ausführen.
Fertig. Aufwand 5 Minuten! Nun nutzen wir die zentrale Benutzerverwaltung.
22. Autorisierung einstellen:
In APEX können sogenannte Authorization Schemes eingestellt werden. Wir wollen hier ein
Schema MemberofPreSales einstellen und ermitteln die Werte direkt aus dem LDAP
Verzeichnis.
Fertig. Aufwand 5 Minuten! Auch jetzt nutzen wir die zentrale Benutzerverwaltung.

12. 1
Authentication Schema erstellen
Wir wollen ein vorbereitetes Schema auswählen

13. 1
Authentication Schema erstellen
LDAP Schema auswählen

14. 1
Authentication Schema erstellen
Wir nehmen die vorhandene Page 101 (Standard Login)

15. 1
Authentication Schema erstellen
Hinterlegen die LDAP Informationen

16. 1
Authentication Schema erstellen
Geben dem Schema einen Namen und erstellen es

17. 1
Authentication Scheme erstellen
Editieren das Schema erneut, um den LDAP zu testen

18. 1
Authentication Scheme erstellen
Setzen das neue LDAP Schema auf aktiv

19. 2
Autorisierungs-Verfikation: MemberofPreSales
Wir nutzen APEX Utilities wie APEX_LDAP und bauen damit unsere Autorisierungslogik.

20. 2
Authorization Scheme MemberofPresales erstellen

21. 2
Die Autorisierung für Page 1 (Home) aktivieren
• Wir gehen in TAB Bereich für Home und die gesamte Page1 und
aktivieren unser neues Autorisierungsschema
TAB:
Page:
Autorisierung ist eingeschaltet. Aufwand 5 Minuten.

22. 1 2
Test nach10 Minuten Aufwand
• Oliver Guenther (Management) hat keinen Zugriff
• Carsten Muetzlitz (PreSales) hat Zugriff

23. Agenda
• APEX Security
• APEX Standard User Management
• Redundante Benutzerverwaltung aufheben
• Q&A

24. Digitally signed by Carsten
CarstenMützlitz
DN: cn=Carsten Mützlitz,
c=DE, o=Oracle Deutschland,
ou=Systemberatung,
email=carsten.muetzlitz@oracl
Mützlitz
e.com
Date: 2011.05.04 14:33:44
+01'00'