docSingle-Sign-On für Web-Anwendungen
download 
Plainte Transcription
Single-Sign-On für Web-Anwendungen
Single-Sign-On für Web-Anwendungen Dr. Günter Unbescheid Database Consult GmbH Database Consult GmbH Single Sign on Web • • • Gegründet 1996 Kompetenzen im Umfeld von ORACLE-basierten Systemen Tätigkeitsbereiche – – – – – – – – – 3/2009 Tuning, Installation, Konfiguration Expertisen/Gutachten Support, Troubleshooting, DBA-Aufgaben Datenmodellierung und –design Datenbankdesign, Systemanalysen Web-Anwendungen und Webdesign Programmierung: SQL,PL/SQL,Java, JSP, ADF UIX, BC4J Workshops www.database-consult.de ©Database Consult GmbH - Jachenau Folie 2 von 37 Identity Management Projekte – Single-Sign on im Web-Reporting-Umfeld – Access Manager, Virtual Directory, Oracle Internet Directory • Enterprise User Einbindung – Nutzung von Enterprise- und Enterprise Proxy Usern – Zertifikatnutzung geplant für Connect ohne Passwort 3/2009 ©Database Consult GmbH - Jachenau Folie 3 von 37 Single Sign on Web • Signle-Sign-On (2 Projekte) Agenda Single Sign on Web • Die Geschichte – – – – – Die Grundidee und das Ziel Die Benutzerdaten Die Authorisierungsdaten Passwort-Verifizierung Das fertige Implementierungsmodell • Die Produkte – Oracle Access Manager – Oracle Internet Directory – Oracle Virtual Directory • Die Konfiguration • Rückblick und Ausblick 3/2009 ©Database Consult GmbH - Jachenau Folie 4 von 37 Single Sign on Web Teil 1: Die Geschichte Die Grundidee und das Ziel Die Benutzerdaten Die Authorisierungsdaten Passwort-Verifizierung Das fertige Implemetierungsmodell 3/2009 ©Database Consult GmbH - Jachenau Folie 5 von 37 Die Ausgangssituation Single Sign on Web Authentifizierungs-Welt AD/LDAP Database Anwendungs-Welt Operating System proprietäres Web ClientServer Authorisierungs-Welt Database LDAP Operating System 3/2009 ©Database Consult GmbH - Jachenau Folie 6 von 37 Die Grundidee Single Sign on Web Authentifizierungs-Welt Database Anwendungs-Welt Operating System proprietäres Web ClientServer AD/LDAP Authorisierungs-Welt LDAP Database Operating System 3/2009 ©Database Consult GmbH - Jachenau Folie 7 von 37 Die Grundidee Single Sign on Web • Die Schlagworte – cross-platform access control – centralized authentication – single sign-on • Vielfältige Produkte und Konzepte verfügbar – Access Manager, Enterprise SSO, Vintela ..... • Klare Eingrenzung des Zieles notwendig – Art der Anwendungen festlegen – ggf. Stufenkonzept erarbeiten • Im Zentrum: Konsolidierung der Basisdaten – Lokalisierung und Konsolidierung der Quellen – wichtig für die schrittweise Umsetzung des Stufenkonzeptes 3/2009 ©Database Consult GmbH - Jachenau Folie 8 von 37 Die Grundidee Single Sign on Web • In unserem Beispiel: – Konzeptration auf Web-Anwendungen (Reporting) – Single Sign On – Zentralisierung der Autorisierungsdaten bei Erhaltung der spezifischen Autorisierungsverfahren • Die Herausforderungen – – – – Orchestrierung unterschiedlicher Unternehmensbereiche Beachtung der Datenhoheit Minimierung des Implementierungsaufwandes Gewährleistung der Hochverfügbarkeit • Die Aufgaben – Lokalisierung und Konsolidierung der Benutzerdaten – Anpassung der Zielanwendungen (LDAP), Installation .... 3/2009 ©Database Consult GmbH - Jachenau Folie 9 von 37 Single Sign on Web Teil 1: Die Geschichte Die Grundidee und das Ziel Die Benutzerdaten Die Authorisierungsdaten Passwort-Verifizierung Das fertige Implemetierungsmodell 3/2009 ©Database Consult GmbH - Jachenau Folie 10 von 37 Benutzerdaten lokalisieren Single Sign on Web • Typen – interne Mitarbeiter – externe Zugreifer • Quellen – Windows User: Kerberos Schlüssel in AD – ggf. mehrere ADs – DB-Benutzer – diverse Verfahren – OS-Benutzer – diverse Quellen: DB-Tabellen etc. • Herausforderung – Aktualität – Transparenz bei PasswortÄnderungen 3/2009 ©Database Consult GmbH - Jachenau Folie 11 von 37 Konsolidierungs-Techniken Q – einmalige Übernahme und Abkopplung Z • Q Z Z 3/2009 Z Server Chaining – Verlinkung mit jeweils einem AD und/oder SunONE • Q Synchronisation – permanente Ankopplung, Redundanz, Verfügbarkeit – Directory oder DatenbankTabellen • Q Ziel: Konsolidierte LDAP-Sicht Datenmigration Virtual Directory – beliebige Verlinkung mit diversen Sourcen ©Database Consult GmbH - Jachenau Folie 12 von 37 Single Sign on Web • • Konzeptvarianten Single Sign on Web User intern User extern Privs Sync Virt Sync Virt Virt Gruppen Privilegien Virt User Daten Meta Daten Meta Daten User Daten Gruppen Privilegien 3/2009 ©Database Consult GmbH - Jachenau Folie 13 von 37 Single Sign on Web Teil 1: Die Geschichte Die Grundidee und das Ziel Die Benutzerdaten Die Authorisierungsdaten Passwort-Verifizierung Das fertige Implemetierungsmodell 3/2009 ©Database Consult GmbH - Jachenau Folie 14 von 37 Autorisierungsdaten Single Sign on Web • Ziel: LDAP-Sicht • Externe Autorisierung – genereller Zugriff auf Resource • Interne Autorisierung – Feinabstimmung innerhalb von Anwendungen • Ähnliche Problematik wie bei Benutzerdaten • Anwendungsspezifische Modelle evaluieren – Datenspeicherung ggf. konsolidierbar – Modelle i.d.R. nur schwer zusammenzuführen – Anpassung der Schnittstellen nötig • Firmenspezifische Attribute – Schemaerweiterungen ggf. notwendig – Datenhoheit berücksichtigen 3/2009 ©Database Consult GmbH - Jachenau Folie 15 von 37 Single Sign on Web Teil 1: Die Geschichte Die Grundidee und das Ziel Die Benutzerdaten Die Authorisierungsdaten Passwort-Verifizierung Das fertige Implemetierungsmodell 3/2009 ©Database Consult GmbH - Jachenau Folie 16 von 37 Passwort Verifizierung „Integrierte“ Verifizierung – im Rahmen der Datenquelle der Benutzerdaten – Hashing beachten PW • User Daten User Daten Identity Management Produkt Identity Management Produkt „Externe“ Verifizierung – Weiterleitung aus Datenquelle – eigener Pfad aus IM-Produkt • Ziele – unmittelbare, transparente Kopplung bei PWAnpassungen – PW-Regeln und Laufzeiten vereinheitlichen – lesend und/oder schreibend 3/2009 ©Database Consult GmbH - Jachenau Folie 17 von 37 Single Sign on Web • PW Single Sign on Web Teil 1: Die Geschichte Die Grundidee und das Ziel Die Benutzerdaten Die Authorisierungsdaten Passwort-Verifizierung Das fertige Implemetierungsmodell 3/2009 ©Database Consult GmbH - Jachenau Folie 18 von 37 Implementierungsmodell Single Sign on Web Identity Management Produkt Password Meta Daten User Daten OID IIS • Design des logischen DIT-Baumes • Trennung von Meta und User-Daten • PW-Verifizierung durch Redirect von URL auf Internet Information Services 3/2009 OVD Virt Integrated Windows Authentication PW SunONE Active Directory ©Database Consult GmbH - Jachenau Folie 19 von 37 Single Sign on Web Teil 2: Die Produkte Oracle Access Manager Oracle Internet Directory Oracle Virtual Directory 3/2009 ©Database Consult GmbH - Jachenau Folie 20 von 37 Oracle Access Manager – u.a. Produkt „CoreID Access and Identity“ • Produkt für die zentralisierte Verwaltung von Identitäten und Zugriffskontrollen – – – – Benutzer-(Selbst)verwaltung und Password-Management Single Sign On Policies für vielschichtige Zugriffskontrollen Audit- und Reporting-Möglichkeiten • Umfangreiche Schnittstellen für – Web- und Application-Server – Directory Server • Skalierbare Architektur 3/2009 ©Database Consult GmbH - Jachenau Folie 21 von 37 Single Sign on Web • Durch Zukauf von Oblix – März 2005 Oracle Acces Manager • Enduser – Identity System – Access System Policy Manager Web Pass Web Gate • Webserver Webserver • Identity System Access System Identity Server Access Server • • User Data Configuration + Policy Data 3/2009 LDAP Directory Authorization Data Authentication Data Zwei getrennte Systeme Prozesse, Plugins, LDAPDaten (eigene Objektklassen) Prozesse können verteilt werden Ausfallsicherheit durch Redundanzen Benutzer- und Konfigurationsdaten können in unterschedlichen Verzeichnissen gehalten werden. ©Database Consult GmbH - Jachenau Folie 22 von 37 Single Sign on Web Admin Single Sign on Web Teil 2: Die Produkte Oracle Access Manager Oracle Internet Directory Oracle Virtual Directory 3/2009 ©Database Consult GmbH - Jachenau Folie 23 von 37 Oracle Internet Directory Single Sign on Web • LDAP v3 kompatibler Verzeichnis-Dienst • Datenhaltung in Oracle-Datenbank – Tabellen und Objekttypen • Funktionsumfang – Übliches LDAP-Portfolio: Entries, ACLs, Auditing, Commandline Schnittstellen etc. – Directory Integration Services für Synchronisation – Directory Chaining – Replication – via LDAP oder Advanced Replication • Skalierbar durch OID Instanzen • Sicherheit durch Zertifikate und SSL • I.d.R. Datenhoheit innerhalb der Oracle-Gruppe 3/2009 ©Database Consult GmbH - Jachenau Folie 24 von 37 Oracle Internet Directory Single Sign on Web • • • Ein oder mehrere Directory Server Instanzen pro Knoten Optional ein Replication Server Datenspeicher (Oracle DB) nach Möglichkeit dediziert – spezifische Schemaerweiterungen für Oracle Funktionalität 3/2009 ©Database Consult GmbH - Jachenau Folie 25 von 37 Single Sign on Web Teil 2: Die Produkte Oracle Access Manager Oracle Internet Directory Oracle Virtual Directory 3/2009 ©Database Consult GmbH - Jachenau Folie 26 von 37 Oracle Virtual Directory – – – – LDAP-Adapter – ganze oder Teilbäume DB-Tabellen/Views, auch Join-Verbindungen Windows NTLM Local Store möglich • Individuelles Mapping von DIT-Zweigen, Objektklassen und Attributen • Eigene Access Controls, Routing und Suchfilter • Load Balancing, Failover • Robuste, schlanke Architektur – xml Konfigurationsdat. 3/2009 ©Database Consult GmbH - Jachenau Folie 27 von 37 Single Sign on Web • Zukauf von OctetString‘s Virtual Directory • Erzeugt beliebige LDAP-Sichten für unterschiedliche Datenquellen Oracle Virtual Directory Single Sign on Web Windows PC Server OVID Manager Client 3/2009 OVID Server ©Database Consult GmbH - Jachenau Folie 28 von 37 Single Sign on Web Teil 3: Die Konfiguration 3/2009 ©Database Consult GmbH - Jachenau Folie 29 von 37 Gesamtbild 1 • • • 3/2009 ©Database Consult GmbH - Jachenau Vereinfachte Darstellung keine Verschlüsselung (SSL-Konfiguration) keine HA-Redundanz und Failover ohne administrative Komponenten Folie 30 von 37 Single Sign on Web • Gesamtbild 2 Single Sign on Web Authorizat ion SS O Users + Policies Password Verification Integration Platform 3/2009 ©Database Consult GmbH - Jachenau Folie 31 von 37 Konfigurationsprozedere Single Sign on Web 1. Virtual Directory Installation • • Server OVD Manager-Tool 2. Virtual Directory Konfiguration • • Local Store Adapter (DIT-Wurzelpunkt) LDAP Proxy Adapeter für Benutzerdaten 3. OID Repository • • Basisdatenbank OID-Objekte mit Metadata Repository Creattion Assistant 4. OID „Client“ 3/2009 ©Database Consult GmbH - Jachenau Folie 32 von 37 Konfigurationsprozedere Single Sign on Web 5. OAM – Identity System 6. OAM – LDAP-Schemaerweiterung für IS 7. OAM – Web Pass (IS Schnittstelle) • ggf. eigenen Web-Server installieren 8. OAM – Konfiguration IS per Menü 9. OAM – Access System – Policy Manager im Rahmen von Web-Server 10. OAM – Access System – Access Server 11. OAM – Web Gates für alle Ziel Web-Server 12. OAM Konfiguration • • 3/2009 Authentication und Authorization Rules anlegen Policies ©Database Consult GmbH - Jachenau Folie 33 von 37 OAM Policies Single Sign on Web Policy Host-IDs URLs Authentication Authorization Authentication Scheme 3/2009 ©Database Consult GmbH - Jachenau Folie 34 von 37 Single Sign on Web Teil 4: Rückblick und Ausblick 3/2009 ©Database Consult GmbH - Jachenau Folie 35 von 37 Fazit Single Sign on Web • Komplexe Konfiguration – genaues Konzept notwendig • Load Balancing und Failover vorsehen – single point of failure • Stabiler Betrieb durch „simple“ Abfragestrukturen – Policies und User Daten 3/2009 ©Database Consult GmbH - Jachenau Folie 36 von 37 Single Sign on Web Danke für´s Zuhören... 3/2009 ©Database Consult GmbH - Jachenau Folie 37 von 37
