DTCC PreDTCC Pre--SalesSales “Oracle Application Express und LDAP”AuthentisierungVersion 1.0

Carsten Mützlitz

Agenda

• APEX Security• APEX Standard User Management• Redundante Benutzerverwaltung aufheben• Q&A

Eine Auswahl an AuthentisierungsschemenKleine Auswahl von Möglichkeiten

Authentisierung

VorkonfigurierteSchemen

• LDAP Directory Benutzerdaten• Oracle Application Server Single-Sign On• “Open door” Benutzerdaten• Application Express Benutzerdaten• Database Account Benutzerdaten• No Authentication (using DAD)

Erläuterung

CustomAuthentication

• Anpassbare Session Management LogikNutzen oder Verändern der (Session Verification Function) Built-in PageWächterEigenen Wächter entwickeln (Beispiele sind vorhanden)

• Benutzerdatenverifikation mittels PL/SQL entwickelnAkzeptiert Username und Kennwort; Returns BooleanWird nur einmal pro Session ausgeführt

• Auch IP-basierte Authentisierung möglichWird häufig bei Verlagen genutzt, um Benutzerkreise einzuschränken

Passen Sie APEX Ihren Security-Bedürfnissen/Anforderungen an.

Benutzerzugriff kontrollierenKleine Auswahl von Möglichkeiten

Benutzerzugriff

Autorisierung

• Pass / Fail Checks – werden im Cache gehalten (Performance)• Kann mit jeder Komponente verbunden werden (z.B. Application,

Page, Button, Validation, Item, etc.)• Verschiedene Typen (z.B. Exists, SQL Query, PL/SQL Function,

etc.)

Erläuterung

Schalten Sie die Kontrolle mittels Autorisierung an, um den Zugriff zu steuern.

Session StateSchutz

• Verhindert URL Manipulation• Wird mittels Hash MD5 Checksum geschützt

DB Security nutzen• Fine Grained Access Control (aka VPD); Transparent Data

Encryption; Database Vault; Advanced Security Option; etc.• Kein Entwicklungsaufwand mittels APEX notwendig

Agenda

• APEX Security• APEX Standard User Management• Redundante Benutzerverwaltung aufheben• Q&A

Standard Benutzerverwaltung für APEX-Anwendungen

Standard APEX User ManagementKleine Auswahl von Möglichkeiten

Benutzer müssen neu angelegtwerden. Dies führt eventuell zu einerredundanten Benutzerverwaltungund u.U. zu einem erhöhten Adminis-trationsaufwand sowie Komplexität.

Agenda

• APEX Security• APEX Standard User Management• Redundante Benutzerverwaltung aufheben• Q&A

User1

User2

User4

User3

• User1, Kennwort, Rollen• User3, Kennwort, Rollen

• User1, Kennwort, Rollen• User3, Kennwort, Rollen

• User1, Kennwort, Rollen• User2, Kennwort, Rollen

• User1, Kennwort, Rollen• User2, Kennwort, Rollen• User3, Kennwort, Rollen

• User2, Kennwort, Rollen• User3, Kennwort, Rollen• User4, Kennwort, Rollen

APPS1

APPS2

APPS3

APPS4

APPS5

• User1, Kennwort, Rollen• User2, Kennwort, Rollen• User3, Kennwort, Rollen• User4, Kennwort, Rollen

LDAP

User1

User2

User4

User3

APPS1

APPS2

APPS3

APPS4

APPS5

Von der redundanten zur zentralen BenutzerverwaltungAdminaufwand reduzieren durch Nutzung bestehender Dienste

Unsere zentrale Benutzerverwaltung ist das OracleInternet Directory

5 Min. Aufwand für eine LDAP-basierte AuthentisierungWir nutzen das vorkonfigurierte Authentication Schema for LDAP

1. Neues Authentication Schema erstellen:Folgende Schritte:Navigiere zur Application, dann Shared Components dann Authentication SchemesErstelle neues Schema: Nutze Show Login Page and LDAP Directory Credentials

nutze vorhandene Page101 Login PageLDAP credentials (george.de.oracle.com 3060) einstellen, speichern.

Nun das Schema auf “current” setzenJetzt nochmal ins Schema und das LDAP Test Tool ausführen.Fertig. Aufwand 5 Minuten! Nun nutzen wir die zentrale Benutzerverwaltung.

2. Autorisierung einstellen:In APEX können sogenannte Authorization Schemes eingestellt werden. Wir wollen hier einSchema MemberofPreSales einstellen und ermitteln die Werte direkt aus dem LDAPVerzeichnis.Fertig. Aufwand 5 Minuten! Auch jetzt nutzen wir die zentrale Benutzerverwaltung.

1

2

Authentication Schema erstellenWir wollen ein vorbereitetes Schema auswählen

1

Authentication Schema erstellenLDAP Schema auswählen

1

Authentication Schema erstellenWir nehmen die vorhandene Page 101 (Standard Login)

1

Authentication Schema erstellenHinterlegen die LDAP Informationen

1

Authentication Schema erstellenGeben dem Schema einen Namen und erstellen es

1

Authentication Scheme erstellenEditieren das Schema erneut, um den LDAP zu testen

1

Authentication Scheme erstellenSetzen das neue LDAP Schema auf aktiv

1

Autorisierungs-Verfikation: MemberofPreSales

Wir nutzen APEX Utilities wie APEX_LDAP und bauen damit unsere Autorisierungslogik.

2

Authorization Scheme MemberofPresales erstellen2

Die Autorisierung für Page 1 (Home) aktivieren• Wir gehen in TAB Bereich für Home und die gesamte Page1 und

aktivieren unser neues Autorisierungsschema

2

Autorisierung ist eingeschaltet. Aufwand 5 Minuten.

TAB:

Page:

Test nach10 Minuten Aufwand

• Carsten Muetzlitz (PreSales) hat Zugriff

2

• Oliver Guenther (Management) hat keinen Zugriff

1

Agenda

• APEX Security• APEX Standard User Management• Redundante Benutzerverwaltung aufheben• Q&A