WebLogic goes Security!

Transkript

1 WebLogic goes Security! SSO und Forms, ein Erfahrungsbericht Frank Burkhardt, Senior Architekt Quality-Technology Solutions GmbH, Deutschland Nürnberg, DOAG 2017

2 AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 2

3 Was verstehen wir unter IT-Sicherheit? Kernziele der IT-Security: Unversehrtheit, Geheimhaltung und Verfügbarkeit Welche Sicherheitsbedürfnisse und daraus resultierende Sicherheitsziele hat das Unternehmen? Was bedeutet die Nichtverfügbarkeit meiner Daten zu einer bestimmten Zeit? Existieren Vereinbarungen für den Umgang mit Daten? 3

4 Was verstehen wir unter IT-Sicherheit? 4

5 Projekt zur Integration eines CRM-Systems CRM-Architektur Das CRM System basiert auf einer Dreischicht Architektur Rich Client Applikationsserver Datenbank Single Sign-on (SSO) Authentifizierung Die CRM Anwendung ist SSO fähig SSO mit Kerberos Authentifizierung ist aktiviert 5

6 CRM Forms Kommunikation Integration eines neuen CRM-Systems Direkter Zugriff auf die Forms Anwendung wird benötigt Anforderung Für den Zugriff auf Forms muss der Benutzer sich erneut authentifizieren Aktuelle Lösung Authentifizierung mittels Post-Request vom CRM Client Credentials werden unverschlüsselt in Formularfeldern übergeben 6

7 Zielsetzung Transparenter Zugriff von CRM auf Forms Strategische SSO Integration SSO-Integration der bestehenden (Legacy) Anwendungen SSO für alle webbasierten Anwendungen 7

8 Forms Single Sign-on Integration Die Herausforderungen Web-SSO für Forms, Reports und Discoverer Zero Sign-on 8

9 Forms Single Sign-on Integration Die Lösung Windows Native Authentication (WNA) 9

10 AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 10

11 WNA die Zutaten 11

12 WNA das Prinzip 12

13 Betrachtung der Ausgangssituation Forms, Reports und Discoverer gehören zur Oracle Fusion Middleware. Berücksichtigung der Rahmenbedingungen Zertifizierungsvorgaben Life Time Support Dokumentationen Lizenzkosten? 13

14 Dadurch resultieren Produktvorgaben Oracle Access Manager 11g Strategisches Oracle Produkt für das Access Management Zugriffkontrolle Nutzt Verzeichnisdienste z.b. OID Bietet verschieden Authentifizierungsmechanismen Basic Authentication, Kerberos, SSL Bietet Web SSO 14

15 WEB-SSO Komponente OAM Single Sign-on durch Oracle Access Manager (OAM) 15

16 Spezifische Anforderungen Nach erfolgreicher Authentifizierung werden die notwendigen Informationen für die Anmeldung an der Datenbank benötigt. Diese Anmeldeinformationen werden über den OID (Oracle Internet Directory) einem Oracle LDAP Server bereitgestellt. 16

17 Spezifische Anforderungen für Forms Forms Integration in die SSO-Infrastruktur 17

18 Spezifische Anforderungen für Forms Forms Integration in die SSO-Infrastruktur 18

19 Spezifische Anforderungen für Forms 19

20 Spezifische Anforderungen für Forms Forms Integration in die SSO-Infrastruktur 20

21 AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 21

22 Web-SSO-Komponenten für Forms Integration Web Server Oracle HTTP Server WebGate Plugin OAM Domain Admin Server OAM Console Access Server OAM-DB (DB-Repositories) OID Oracle HTTP Server Oracle Directory Server Admin Server Oracle Directory Services Manager OID-DB (DB-Repository) 22

23 Infrastrukturkomponenten 23

24 AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 24

25 Voraussetzungen / Active Directory 25

26 Voraussetzungen / Netzwerkarchitektur 26

27 Integration Es besteht eine Netzwerksegmentierung nach Funktionalität bzw. Anwendung Für die SSO Komponenten bietet es sich an ein dediziertes Netzsegment bereitzustellen 27

28 Erweiterte Netzwerkarchitektur nach Integration 28

29 Integration Komponentenübersicht 29

30 Integration Komponentenübersicht / Apache 30

31 Integration Komponentensicht Parallelbetrieb durch Dynamic Directives Config Section in formsweb.cfg 31

32 Integration KomponentenÜbersicht / Apache 32

33 Integration Voraussetzungen 2500 Anwendungsbenutzer 2500 DB-Accounts Autorisierung statisch über Rollen und Gruppen Das soll so bleiben! 33

34 Integration Voraussetzungen 34

35 Integration Voraussetzungen OID RAD app_sso - USER_01 Password SID 35

36 Integration Voraussetzungen Die Datenbankanmeldung erfolgt weiterhin mit jedem User OID SSO-User RAD o USER_01 o USER_02 o app_sso - USER_01 Password SID o USER_N 36

37 Integration Voraussetzungen OID Die Datenbankanmeldung erfolgt weiterhin mit jedem User formsweb.cfg SSO-User o USER_01 o USER_02 o o USER_2500 RAD app_sso01 app_sso02 [app_sso01] [app_sso02] app_sso2500 [app_sso2500] 37

38 Integration Voraussetzungen OID Welche Alternative gibt es? formsweb.cfg SSO-User o USER_01 o USER_02 o o USER_2500 RAD app_sso01 app_sso02 [app_sso01] [app_sso02] app_sso2500 [app_sso2500] 38

39 Integration Voraussetzungen OID Ziel ist der DB-Login mit nur einem DB-Account SSO-User RAD o USER_01 o USER_02 o app_sso - formsweb.cfg [app_sso] SSO_USER Password SID o USER_

40 Integration ssoproxyconnect Anlegen des Proxy User in der Datenbank Allen Anwendungsbenutzern Anmelderecht vergeben Konfiguration des RAD 40

41 Integration 41

42 Integration OID DB-Login mit nur einem DB-Account SSO-User RAD o USER_01 o USER_02 o app_sso - formsweb.cfg [app_sso] Proxybenutzer Password SID o USER_

43 Integration mit verbesserter Sicherheit Auditing ist wieder möglich, die DB weiß wer den Proxy-User benutzt Kontrolle über die Datenbankzugriffe ist wieder gegeben Die Identität ist maximal geschützt 43

44 AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 44

45 Gute Vorarbeit rechnet sich immer! Im Rahmen eines vorgezogenen Workshops wurden alle wichtigen Punkte erfasst Wie sind die funktionalen und nicht funktionalen Anforderungen? Berücksichtigung relevanter Prozesse für den RZ-Betrieb Welche Software Versionen sind im Einsatz 45

46 Genauer Abgleich der Oracle Dokumentation 46

47 Forms / Lifetime Michael Ferrante sagte bei der DOAG 2014 "Oracle Forms - Your application isn't dead, it's just tired" 47

48 Ernüchterung beim Discoverer Beim Discoverer sieht das anders aus! Die Single Sign-on Lösung für den Discoverer lässt sich nur mit dem OSSO-Agent realisieren Der OSSO Agent kann auch am OAM registriert werden 48

49 Mit einem Backlog für die Zukunft gerüstet Im Backlog werden alle Themen gesammelt, die zusätzlich während des Projektes aufkommen 49

50 AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 50

51 Was verstehen wir unter IT-Sicherheit? 51

52 Was verstehen wir unter ITSicherheit? 52

53 Identity Management Ein zentrales Enterprise Directory existiert bereits Autorisierung zentral organisieren durch: Unternehmensweite Rollen Unternehmensweite Gruppen Sicherheit ist kein Zustand sondern ein fortlaufender Prozess 53

54 Fragen und Antworten 54

55 Kontakt Frank Burkhardt Senior Architekt Quality-Technology Solutions GmbH Ulmenstr. 52a, Nürnberg, Deutschland Fon , Fax quality-technology-solutions.de Part of QualityHub qualityhub.de QualityMinds GmbH Quality Technology Solutions GmbH QualityOperations GmbH 55