WebLogic goes Security! SSO und Forms, ein Erfahrungsbericht Frank Burkhardt, Senior Architekt Quality-Technology Solutions GmbH, Deutschland Nürnberg, DOAG 2017
AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 2
Was verstehen wir unter IT-Sicherheit? Kernziele der IT-Security: Unversehrtheit, Geheimhaltung und Verfügbarkeit Welche Sicherheitsbedürfnisse und daraus resultierende Sicherheitsziele hat das Unternehmen? Was bedeutet die Nichtverfügbarkeit meiner Daten zu einer bestimmten Zeit? Existieren Vereinbarungen für den Umgang mit Daten? 3
Was verstehen wir unter IT-Sicherheit? 4
Projekt zur Integration eines CRM-Systems CRM-Architektur Das CRM System basiert auf einer Dreischicht Architektur Rich Client Applikationsserver Datenbank Single Sign-on (SSO) Authentifizierung Die CRM Anwendung ist SSO fähig SSO mit Kerberos Authentifizierung ist aktiviert 5
CRM Forms Kommunikation Integration eines neuen CRM-Systems Direkter Zugriff auf die Forms Anwendung wird benötigt Anforderung Für den Zugriff auf Forms muss der Benutzer sich erneut authentifizieren Aktuelle Lösung Authentifizierung mittels Post-Request vom CRM Client Credentials werden unverschlüsselt in Formularfeldern übergeben 6
Zielsetzung Transparenter Zugriff von CRM auf Forms Strategische SSO Integration SSO-Integration der bestehenden (Legacy) Anwendungen SSO für alle webbasierten Anwendungen 7
Forms Single Sign-on Integration Die Herausforderungen Web-SSO für Forms, Reports und Discoverer Zero Sign-on 8
Forms Single Sign-on Integration Die Lösung Windows Native Authentication (WNA) 9
AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 10
WNA die Zutaten 11
WNA das Prinzip 12
Betrachtung der Ausgangssituation Forms, Reports und Discoverer gehören zur Oracle Fusion Middleware. Berücksichtigung der Rahmenbedingungen Zertifizierungsvorgaben Life Time Support Dokumentationen Lizenzkosten? 13
Dadurch resultieren Produktvorgaben Oracle Access Manager 11g Strategisches Oracle Produkt für das Access Management Zugriffkontrolle Nutzt Verzeichnisdienste z.b. OID Bietet verschieden Authentifizierungsmechanismen Basic Authentication, Kerberos, SSL Bietet Web SSO 14
WEB-SSO Komponente OAM Single Sign-on durch Oracle Access Manager (OAM) 15
Spezifische Anforderungen Nach erfolgreicher Authentifizierung werden die notwendigen Informationen für die Anmeldung an der Datenbank benötigt. Diese Anmeldeinformationen werden über den OID (Oracle Internet Directory) einem Oracle LDAP Server bereitgestellt. 16
Spezifische Anforderungen für Forms Forms Integration in die SSO-Infrastruktur 17
Spezifische Anforderungen für Forms Forms Integration in die SSO-Infrastruktur 18
Spezifische Anforderungen für Forms 19
Spezifische Anforderungen für Forms Forms Integration in die SSO-Infrastruktur 20
AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 21
Web-SSO-Komponenten für Forms Integration Web Server Oracle HTTP Server WebGate Plugin OAM Domain Admin Server OAM Console Access Server OAM-DB (DB-Repositories) OID Oracle HTTP Server Oracle Directory Server Admin Server Oracle Directory Services Manager OID-DB (DB-Repository) 22
Infrastrukturkomponenten 23
AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 24
Voraussetzungen / Active Directory 25
Voraussetzungen / Netzwerkarchitektur 26
Integration Es besteht eine Netzwerksegmentierung nach Funktionalität bzw. Anwendung Für die SSO Komponenten bietet es sich an ein dediziertes Netzsegment bereitzustellen 27
Erweiterte Netzwerkarchitektur nach Integration 28
Integration Komponentenübersicht 29
Integration Komponentenübersicht / Apache 30
Integration Komponentensicht Parallelbetrieb durch Dynamic Directives Config Section in formsweb.cfg 31
Integration KomponentenÜbersicht / Apache 32
Integration Voraussetzungen 2500 Anwendungsbenutzer 2500 DB-Accounts Autorisierung statisch über Rollen und Gruppen Das soll so bleiben! 33
Integration Voraussetzungen 34
Integration Voraussetzungen OID RAD app_sso - USER_01 Password SID 35
Integration Voraussetzungen Die Datenbankanmeldung erfolgt weiterhin mit jedem User OID SSO-User RAD o USER_01 o USER_02 o app_sso - USER_01 Password SID o USER_N 36
Integration Voraussetzungen OID Die Datenbankanmeldung erfolgt weiterhin mit jedem User formsweb.cfg SSO-User o USER_01 o USER_02 o o USER_2500 RAD app_sso01 app_sso02 [app_sso01] [app_sso02] app_sso2500 [app_sso2500] 37
Integration Voraussetzungen OID Welche Alternative gibt es? formsweb.cfg SSO-User o USER_01 o USER_02 o o USER_2500 RAD app_sso01 app_sso02 [app_sso01] [app_sso02] app_sso2500 [app_sso2500] 38
Integration Voraussetzungen OID Ziel ist der DB-Login mit nur einem DB-Account SSO-User RAD o USER_01 o USER_02 o app_sso - formsweb.cfg [app_sso] SSO_USER Password SID o USER_2500 39
Integration ssoproxyconnect Anlegen des Proxy User in der Datenbank Allen Anwendungsbenutzern Anmelderecht vergeben Konfiguration des RAD 40
Integration 41
Integration OID DB-Login mit nur einem DB-Account SSO-User RAD o USER_01 o USER_02 o app_sso - formsweb.cfg [app_sso] Proxybenutzer Password SID o USER_2500 42
Integration mit verbesserter Sicherheit Auditing ist wieder möglich, die DB weiß wer den Proxy-User benutzt Kontrolle über die Datenbankzugriffe ist wieder gegeben Die Identität ist maximal geschützt 43
AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 44
Gute Vorarbeit rechnet sich immer! Im Rahmen eines vorgezogenen Workshops wurden alle wichtigen Punkte erfasst Wie sind die funktionalen und nicht funktionalen Anforderungen? Berücksichtigung relevanter Prozesse für den RZ-Betrieb Welche Software Versionen sind im Einsatz 45
Genauer Abgleich der Oracle Dokumentation 46
Forms / Lifetime Michael Ferrante sagte bei der DOAG 2014 "Oracle Forms - Your application isn't dead, it's just tired" 47
Ernüchterung beim Discoverer Beim Discoverer sieht das anders aus! Die Single Sign-on Lösung für den Discoverer lässt sich nur mit dem OSSO-Agent realisieren Der OSSO Agent kann auch am OAM registriert werden 48
Mit einem Backlog für die Zukunft gerüstet Im Backlog werden alle Themen gesammelt, die zusätzlich während des Projektes aufkommen 49
AGENDA 1. Ausgangssituation und Zielsetzung 2. Produktfindung 3. Infrastrukturkomponenten 4. Integration in die bestehende IT-Infrastruktur 5. Review 6. Standortbestimmung 50
Was verstehen wir unter IT-Sicherheit? 51
Was verstehen wir unter ITSicherheit? 52
Identity Management Ein zentrales Enterprise Directory existiert bereits Autorisierung zentral organisieren durch: Unternehmensweite Rollen Unternehmensweite Gruppen Sicherheit ist kein Zustand sondern ein fortlaufender Prozess 53
Fragen und Antworten 54
Kontakt Frank Burkhardt Senior Architekt +49 176 31093661 frank.burkhardt@quality-technology-solutions.de Quality-Technology Solutions GmbH Ulmenstr. 52a, 90443 Nürnberg, Deutschland Fon +49 911 6607320-0, Fax +49 911 6607320-22 quality-technology-solutions.de Part of QualityHub qualityhub.de QualityMinds GmbH Quality Technology Solutions GmbH QualityOperations GmbH 55