Identity Propagation in Fusion Middleware

Ähnliche Dokumente
Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Professionelle Seminare im Bereich MS-Office

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Anleitung vom 4. Mai BSU Mobile Banking App

Identity Propagation in Oracle Fusion Middleware

Nach der Installation des FolderShare-Satellits wird Ihr persönliches FolderShare -Konto erstellt.

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Informationen zum neuen Studmail häufige Fragen

Dokumentenverwaltung im Internet

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

a.sign Client Lotus Notes Konfiguration

Anbindung des eibport an das Internet

Ihre Lizenz ändern. Stand 01/2015

Synchronisations- Assistent

- Tau-Office UNA - Setup Einzelplatzinstallation. * Der griechische Buchstabe T (sprich Tau ) steht für Perfektion. Idee und Copyright: rocom GmbH

Anforderungen an die HIS

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Datenpool statt Datengrab - -Archivierung mit Oracle Universal Content Management

Leitfaden zur Moduleinschreibung

Mail-Signierung und Verschlüsselung

Zwischenablage (Bilder, Texte,...)

RMeasy das SAP IS U Add On für Versorgungsunternehmen. Optimieren Sie Ihre Prozesse in Kundengewinnung und Kundenbindung.

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Leitfaden: geoport in FlowFact

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Copyright MB Connect Line GmbH 2014

[DvBROWSER] Offline-Viewer für [DvARCHIV] und [DvARCHIVpersonal] Version 2.2

Info zum Zusammenhang von Auflösung und Genauigkeit

Die TYPO3-Extension Publikationen

Internet Explorer Version 6

Abrechnung via KV-SafeNet*-Portal an die KV Hessen übermitteln

Der lange Weg vom SSO-Server zu SAML und Identity Federation

mybev Shop des e-geodata Austria Portal

HamburgService Registrierung für die Online-Dienste Gutachterverfahren (GUV) und Gutachterinformationssystem (GIS)

Installation OMNIKEY 3121 USB

Anleitung. Lesezugriff auf die App CHARLY Termine unter Android Stand:

Enigmail Konfiguration

FAQ Verwendung. 1. Wie kann ich eine Verbindung zu meinem virtuellen SeeZam-Tresor herstellen?

Barcodedatei importieren

SWOT Analyse zur Unterstützung des Projektmonitorings

Erstellen eines Artikels im Blog

Seminar für Führungskräfte

sondern alle Werte gleich behandelt. Wir dürfen aber nicht vergessen, dass Ergebnisse, je länger sie in der Vergangenheit

SMS/ MMS Multimedia Center

Alice & More Anleitung. GigaMail.

Um unsere Gemeindewebseite für Ihre Zwecke zu nutzen, haben Sie folgende Möglichkeiten:

Pelletofen mit WLAN Modul für einfaches Heizen von zuhause aus oder von unterwegs!

Umzug der abfallwirtschaftlichen Nummern /Kündigung

PTV VISWALK TIPPS UND TRICKS PTV VISWALK TIPPS UND TRICKS: VERWENDUNG DICHTEBASIERTER TEILROUTEN

DELFI. Benutzeranleitung Dateiversand für unsere Kunden. Grontmij GmbH. Postfach Bremen. Friedrich-Mißler-Straße Bremen

User Manual Data 24. Login und Layout

ACHTUNG: Voraussetzungen für die Nutzung der Funktion s-exposé sind:

Statuten in leichter Sprache

NetMan Desktop Manager Vorbereitung und Konfiguration des Terminalservers

INDIVIDUELLE SOFTWARELÖSUNGEN CUSTOMSOFT CS GMBH

Shopz Zugang Neuanmeldung

Konfiguration der tiptel Yeastar MyPBX IP-Telefonanlagen mit Peoplefone Business SIP Trunk

Identity & Access Management in der Cloud

Erste Schritte ANLEITUNG Deutsche Sportausweis Vereinsverwaltung Schnittstelle zum Portal des Deutschen Sportausweises unter

Feiertage in Marvin hinterlegen

Handbuch ECDL 2003 Professional Modul 3: Kommunikation Kalender freigeben und andere Kalender aufrufen

JS-Agentur. Internet - Webdesign - Printmedien s mit Outlook Express senden & abholen. , der Kommunikationsweg im Internetzeitalter

Hochschule Karlsruhe Klausur EAI Prof. Dr. Christian Pape. Klausur EAI WS 05/06. Note: Bearbeitungszeit 90 Minuten Keine Hilfsmittel

Serienbrieferstellung in Word mit Kunden-Datenimport aus Excel

Windows Live Mail Konfiguration IMAP

D a s P r i n z i p V o r s p r u n g. Anleitung. - & SMS-Versand mit SSL (ab CHARLY 8.11 Windows)

Südbaden-Cup. Ausstieg Champions

Anleitung. Verschieben des alten -Postfachs (z.b. unter Thunderbird) in den neuen Open Xchange-Account

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Global AlignTech Institute

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Thermoguard. Thermoguard CIM Custom Integration Module Version 2.70

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

OUTLOOK (EXPRESS) KONFIGURATION POP3

1 Schritt für Schritt zu einem neuen Beitrag

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Die Backup-Voreinstellungen finden Sie in M-System Server unter dem Reiter "Wartung".

Nach dem Einstecken des mdentity wird die Anwendung nicht gestartet

Anleitung über den Umgang mit Schildern

Speicher in der Cloud

mit Life-Cycle-Costs-Berechnung

Elexis-BlueEvidence-Connector

White Paper - Umsatzsteuervoranmeldung Österreich ab 01/2012

Bedienungsanleitung App MHG mobil PRO Stand

Gussnummern-Lesesystem

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

Zulassung nach MID (Measurement Instruments Directive)

iphone- und ipad-praxis: Kalender optimal synchronisieren

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

quickterm Systemvoraussetzungen Version: 1.0

Anton Ochsenkühn. amac BUCH VERLAG. Ecxel für Mac. amac-buch Verlag

Schweizerische Kriminalprävention Prévention Suisse de la Criminalité

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

1. Einführung. 2. Alternativen zu eigenen Auswertungen. 3. Erstellen eigener Tabellen-Auswertungen

Prodanet ProductManager WinEdition

Wie kann ich mein Profil pflegen und/oder ihm ein PDF hinzufügen? Sie vermissen die Antwort auf IHRE Frage? Bitte lassen Sie uns Ihnen weiterhelfen:

Transkript:

Identity Propagation in Fusion Middleware Klaus Scherbach Oracle Deutschland B.V. & Co. KG Hamborner Str. 51, 40472 Düsseldorf Schlüsselworte Oracle Fusion Middleware, Oracle Access Management, Identity Propagation, Identity Context Einleitung Die Security Komponenten der Oracle Fusion Middleware ermöglichen eine durchgängige Verteilung der Nutzeridentität. Dieser Mechanismus reicht vom Web-Frontend bis tief in die SOA-Infrastruktur und kann auf vielfältige Weise genutzt werden: von Multi-Faktor-Authentifizierung über Web Single Sign-On und feingranulare Autorisierung bis zur gesicherten Übertragung der Nutzeridentität und zusätzlicher Nutzer- und Anmeldeinformationen bis ins Backend. Beteiligte Komponenten sind Access Management (OAM/ OAAM), evtl. Webcenter, OWSM, OSB, OES. Identity Propagation in Fusion Middleware Die moderne, IT-gestützte Lebensweise weiter, insbesondere jüngerer Bevölkerungskreise stellt neue Anforderungen an IT-Infrastrukturen. Anwender wollen und können oftmals auch mit verschiedensten Geräten praktisch von jedem Ort der Erde aus auf Anwendungen zugreifen. Nicht jeder Zugriffsweg bietet ausreichende Sicherheit für jede Art von Anwendung oder Transaktion. Daher muß erst einmal die Authentifizierung flexibel auf unterschiedlichste Umstände reagieren und im Zweifel stärkere Mechanismen zum Tragen bringen. Oracle Access Management verfügt über eine extrem anpassbare Authentifizierung; dazu einige Stichpunkte: pre/ post Authentication Rules zur dynamischen Verschaltung von Mechanismen neben den Standard-Mechanismen auch Social Login, Knowledge Based Authentication, One Time Paßworte, Time Based Mobile Authenticator Custom Plugin Framework

Abb. 1: Oracle Access Management Funktionalität Die Art der Authentifizierung, zusätzliche Credentials des Nutzers sowie das erkannte Gerät und seine Einstellungen sowie etliche andere Faktoren bilden den Identity Context. Dieser Kontext kann zum einen dazu dienen, zusätzliche Authentifizierungsmechanismen zur Minderung des Risikos einzuschalten. Andererseits ist er die Grundlage für Autorisierungsentscheidungen auf unterschiedlichen Ebenen der IT-Infrastruktur. Um hinsichtlich Autorisierung flexibel reagieren zu können, müssen nachgelagerte Komponenten aber zuverlässig über die Identität des Nutzers und den Kontext seines Zugriffs informiert werden. Dies geschieht mit Hilfe der in Oracle Fusion Middleware implementierten Identity Propagation und Identity Context Mechanismen. Identity Propagation erleichtert zudem durchgängiges Logging. Die folgende Tabelle zeigt einige Beispiele für Attribute, die je nach Konfiguration - im Identity Context eines Zugriffs verfügbar sein können.

Abb. 2: Beispiele für Identity Context Attribute OAM Agenten fangen Zugriffe auf geschützte Anwendungen ab und fragen bei OAM hinsichtlich Authentifizierungs- und Autorisierungs-Entscheidung an (via OAP Backend-Protokoll). Nach erfolgter Authentifizierung überträgt der Agent mit dem Request zusätzliche Header an die integierte Anwendung. Dies sind im einfachsten Fall Klartext-Header, z.b. der OAM_REMOTE_USER Header mit der ID des authentifizierten Nutzers. Dies reicht als Basis für Single Sign-On und Identity Propagation bereits aus. Identity Context jedoch erfordert eine kryptografisch gesicherte Identity Assertion. Basis ist ein SAML Token, das die Identität des Nutzers zusichert und auch zusätzliche Attribute umfassen kann. Abb. 3: Identity Propagation: die Identity Assertion Die Security Provider des WLS der integrierten Anwendung überprüfen die Identity Assertion und schreiben die zugesicherten Attribute via OPSS in den Identity Context. Dort sind sie über das OPSS IDC-API für die Anwendung verfügbar und können auf mehreren Wegen für Autorisierungsentscheidungen herangezogen werden. Beim Aufruf von abgesicherten Webservices durch die Anwendung wird der OWSM Agent so konfiguriert, dass er neben dem authentifizierten Nutzer auch die zusätzlichen Attribute aus dem Identity Context im SOAP Header mitschickt. Voraussetzung dafür ist eine OWSM-Policy, die ein SAML Token verwendet. Der OWSM-Agent beim Webservice Producer wiederum wertet das SAML Token aus und schreibt die zusätzlichen Attribute in den Identity Context. Auch hier sind sie über das OPSS IDC-API für die Anwendung verfügbar und können für Autorisierungsentscheidungen herangezogen werden.

Abb. 4: Identity Propagation und Identity Context Auf diesem Wege werden Nutzeridentität und Context vom Access Management über Agenten und abgesicherte Webservice-Aufrufe bis ins Backend übertragen und stehen integrierten Anwendungen und Diensten über ein- und dieselbe Schnittstelle zur Verfügung. Die Verteilung des Identity Contexts ist Abb. 4: Autorisierungs-Optionen mit Hilfe des Identity Contexts

Anwendungen oder Dienste haben nun mehrere Möglichkeiten, den Identity Context zur Autorisierung zu nutzen: bei lokal implementierter Autorisierung über das OPSS IDC-API über ein fertiges Security Modul des OES (Teil des Oracle Access Management) werden Autorisierungsentscheidungen an OES verlagert; die Policies des OES haben Zugriff auf den Identity Context letzterer Mechanismus kann auch über direkte Nutzung des OES PEP-APIs angesteuert werden Die Autorisierungs-Entscheidungen auf Basis des Identity Context müssen nun nicht unbedingt immer zur Verweigerung eines Zugriffs führen, sondern können durchaus auch nur das Ergebnis beeinflussen, beispielsweise einen geringeren Datenumfang zurückliefern. Kontaktadresse: Klaus Scherbach Oracle Deutschland B.V. & Co. KG Hamborner Str. 51 D-40472 Düsseldorf Telefon: +49 (0) 171 143 1661 E-Mail Klaus.Scherbach@oracle.com Internet: www.oracle.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback