miércoles, 9 de septiembre de 2009

Seguridad en WebCenter: LDAPs, Autorización, Políticas y SSO



Esta entrada contiene un resumen de los conceptos, y enlaces donde ampliar información en relación a la Autenticación, Autorización, Single Sign-On y otros aspectos relacionados con la seguridad de WebCenter. En general WebCenter se apoya en la arquitectura de seguridad de Fusion Middleware basada según un modelo de capas en Weblogic, OPSS, y ADF. (Más info sobre OPSS - Oracle Platform Security Services). OPSS son librerías de infraestructura comunes a multitud de productos de Fusion Middleware incluyendo Weblogic Server, SOA Suite, BPEL, IdM, WebCenter, ADF y otros (Más info)

Autenticación
Empezemos por lo más basico, la validación de credenciales (usuario / password). En este caso WebCenter se puede configurar para que el almacén de identidades (Identity Store) resida en un LDAP externo. Se pueden configurar Microsoft Active Directory, Oracle Internet Directory (OID), Oracle Virtual Directory (OVD), Sun iPlanet, Open LDAP y Novel NDS (Más info). Todo ello se consigue delegando en Weblogic la gestión de las conexiones con los directorios LDAP (Más info)

Autorización, Roles y Políticas
La gestión de las reglas de autorización, políticas de acceso y credenciales se apoya en el almacén de políticas (Policy Store), por defecto ficheros XML, pero de forma recomendada un OID (Más info). La gestión de roles y permisos específicos de WebCenter (ver imagen) se hace de forma automática según tablas de mapeo predeterminadas (ver tabla), pero al final todo queda almacenado en el almacén de políticas (Policy Store).

Single Sign-On
WebCenter soporta 4 formas de conseguir Single Sign-On (Más info):
  • Oracle Access Manager (OAM)
  • Oracle SSO (OSSO)
  • SAML
  • Microsoft (SPNEGO, KERBEROS)
La recomendada sería OAM, especialmente cuando se quiere un SSO a nivel de toda la empresa y todas las aplicaciones, y no de un sólo proyecto. Aun así, las otras pueden presentar ventajas según el escenario del proyecto.
Estos escenarios de SSO son los mismos que ofrece Fusion Middleware, y por tanto WebCenter se apoya totalmente en la infraestructura común. Por ejemplo, más información sobre usar SSO basado en Microsoft Windows/Internet Explorer/Active Directory/SPNEGO/Kerberos se puede encontrar aquí, o las opciones de SSO con Fusion Middleware aquí.

UCM
En la relación a otros productos de Fusion Middleware, como UCM, que todavía no están disponibles en versión 11g, lo habitual es que todavía no usen OPSS. Mientras tanto, se pueden plantear arquitecturas donde el LDAP como almacén de identidades sea común, por ejemplo un Microsoft Active Directory.
Respecto a Single Sign-On las capacidades están basadas en la correcta gestión y configuración de los plugins a nivel de Servidor Web (Apache / IIS) como se puede ver en este whitepaper.

Más información: