【正文】 器提供了必需的映射。這些應用程序包含 Oracle Application Server 單點登錄 API，此 API 使這些應用程序可以接受已通過 SSO 服務器驗證的用戶標識。這些認證包含所有者姓名和相關公共密鑰等信息，并由可靠的認證授權 (CA) 發(fā)布。? 第三方認證 API——這種 API 允許 SSO 服務器被配置成通過可信的第三方認證機制獲得驗證后的用戶標識。? mod_osso：Mod_OSSO 是 Oracle HTTP 服務器的新模塊，允許 HTTP 服務器成為 SSO 的合作伙伴應用程序。Oracle Application Server 完全支持 Oracle Inter Directory (OID)。驗證了特定用戶的身份以后，SSO 服務器將顯示適用于該用戶的所有應用程序的鏈接。Oracle 門戶管理工具也能夠利用 Oracle委托管理服務來完成一些特殊的任務。 ? 安全性提供了一個全面和靈活的訪問控制。這些工具使你能夠: 通過一個普通的瀏覽器，監(jiān)視實時的事件和統(tǒng)計信息；啟動可以把上述數據收集到新資源庫的流程；10 / 59 Oracle Inter Directory 優(yōu)勢OID 在目錄操作、管理與訪問中具備以下優(yōu)勢： ? 可擴展性 發(fā)掘了 Oracle 數據庫的能力，可以支持 T 字節(jié)的目錄信息。下面的圖示說明了這個關系：9 / 59Oracle Inter Directory 架構 Oracle Inter Directory 組件Oracle Inter Directory 包括 :? Oracle 目錄服務器, 通過一個直接建立在 TCP/IP 上的多層架構，對客戶端信息請求做出響應。 目錄服務Oracle Inter Directory (OID)是一個多功能的目錄服務，允許快速讀取并集中管理分散用戶的信息和網絡資源。 用戶必須輸入他們的用戶名和密碼，或以數字證書的方式，將認證信息發(fā)送到服務器端進行身份驗證，只有認證通過后，該用戶才可以訪問這些系統(tǒng)資源。Oracle Identity Management 包括 LDAP 目錄服務、目錄集成和供應服務、一個委托管理服務應用程序、認證和授權服務以及一個 V3 認證中心（certificate authority） 。? 緩存 針對靜態(tài)和動態(tài)生成的 Web 內容提供緩存解決方案用以加速應用的訪問性能并保障訪問安全性。1 / 59密 級：文檔編號：項目代號：中國 移動 ORACLE Portal安全配置手冊Version 中國移動通信有限公司二零零四年十二月2 / 59擬 制:審 核:批 準:會 簽:標準化:3 / 59版本控制版本號日期 參與人員更新說明分發(fā)控制編號讀者 文檔權限 與文檔的主要關系1 創(chuàng)建、修改、讀取 負責編制、修改、審核2 批準 負責本文檔的批準程序3 標準化審核 作為本項目的標準化負責人，負責對本文檔進行標準化審核4 讀取5 讀取4 / 59目 錄第一章 ORACLE AS 平臺安全概述 ................................................................6 ORACLE AS 平臺簡介 ...................................................................................6 ORACLE AS 身份管理介紹 ........................................................................6第二章 ORACLE AS PORTAL 安全框架介紹 ..............................................8 身份認 證（AUTHENTICATION） ..................................................................8 目錄服務 ................................................................................................8 單 點登錄 ..............................................................................................10 Java 認證與授權服務 (JAAS)...........................................................13 授權 （AUTHORIZATION ） ........................................................................14 Portal 授權和訪問機制 ......................................................................15 Portal 權限管理 ..................................................................................15 安全 審計 （AUDITING） ...........................................................................16 數據傳輸加密 （ENCRYPTION） ...............................................................17第三章 ORACLE AS PORTAL 的安全模型及組件安全性 ........................19 ORACLE AS PORTAL 安全模型 ...................................................................19 PORTAL 組件安全性 ...................................................................................22 Portlet 安全性 ......................................................................................22 OraDAV 安全性 ..................................................................................24第四章 ORACLE AS PORTAL 安全框架配置步驟 ....................................26 ORACLE AS PORTAL 安全 SCHEMA.............................................................26 與 ORACLE 應用服務器安全的集成 ..........................................................27 與 ORACLE 身份管理的集成 ......................................................................27 Portal 與 Oracle SSO 服務器的關系 .................................................27 Portal 與 Oracle 目錄服務的關系 ....................................................28 Portal 與 Oracle 目錄服務集成的關系 ............................................32 與 ORACLE HR 系統(tǒng)的用戶集成 ...............................................................345 / 59 Oracle 身份管理和 Oracle HR 用戶集成簡介 ..................................34 HR 系統(tǒng)與 Oracle 身份管理集成的流程 ..........................................35 與 ORACLE APPLICATION 11I 的集成 ..........................................................36 與 Oracle Application 11i 的單點登錄 /門戶的集成 ..........................36 與 Oracle Application 集成的益處 ....................................................38 ORACLE AS PORTAL 安全選項的配置 .......................................................42 用 SSL 方式訪問 AS Portal 的配置 ....................................................43 用 SSL 方式訪問 OID 的配置 ............................................................48 AS Portal 全局設置的配置 .................................................................49 AS Portal 安全配置建議 .....................................................................50附錄 1 術語表 ....................................................................................................566 / 59第一章 Oracle AS 平臺安全概述 Oracle AS 平臺簡介Oracle 應用服務器是 Oracle 所提供的全面而完整的電子商務解決方案的一個非常重要的組成部分，是一個 100% 基于 標準的應用服務器，為運行 Web 站點、J2EE 應用程序、Web 服務提供一個完整和高度集成的平臺，同時也是支持網格計算的應用服務器平臺。 ? 電子商務集成對電子商務應用提供交互和集成的能力，并能對非 Oracle 數據源提供無逢查詢和交易處理。 Oracle Identity Management（Oracle 身份管理）是一個集成的、可伸縮的、健壯的身份管理基礎架構。當用戶需要訪問這些受安全控制的資源時，比如說，一個內部網頁的 URL，如果用戶還沒有登錄，系統(tǒng)會將用戶的請求重定向到 OracleAS Portal 的登錄界面。? 用戶名/密碼認證方式? 數字證書為了支持有效的用戶身份認證，Oracle 提供了目錄服務和單點登錄等功能，同時還支持 Java 的認證和授權服務。通過 Oracle 網絡服務（Oracle 獨立于操作系統(tǒng)的數據庫連接解決方案）和數據庫進行通信。? 目錄管理工具，其中包含： ? Oracle 目錄管理器， 通過一個基于 Java 的圖形界面，簡化了目錄管理；? 多種 LDAP 客戶端可以調用的基于命令行方式的管理工具和數據管理工具；? Oracle10g 企業(yè)管理器應用服務器控制臺中的目錄服務器管理工具。同時利用了 Oracle 數據庫的特性受到Oracle 數據庫備份能力的保護。 ? 與第三方企業(yè)目錄以及特殊應用用戶資源庫的集成能力 OracleAS Portal 允許自助服務的、集成的企業(yè)門戶在 Oracle Inter Directory 中存儲公共用戶和組的屬性。 單點登錄單點登錄通過確保用戶只需輸入一次用戶名和口令即可訪問所有授權的應用? 使用 Oracle Application Server 單點登錄，用戶通常通過中心 Web 門戶登錄到集中管理的 SSO 服務器?？梢酝ㄟ^ LDAP 訪問。 ? SSO 服務器：通過網絡可用的服務，用于驗證用戶身份并將用戶標識安全地存儲在 cookie 中。? Oracle Application Server J2EE 容器，出于安全目的而接受 HTTP 服務器中的標識。公共密鑰是通過公共密鑰認證綁定到所有者的。12 / 59 單點登錄實現(xiàn)機制Oracle Application Server 單點登錄對兩類應用程序提供訪問權限 ：合作伙伴應用程序和外部應用程序 ? 合作伙伴應用程序與 SSO 服務器結合在一起。目前，這些應用程序尚受限制，僅部署 HTML 窗體的應用程序可以接受用戶名和口令。 外部的應用采用另一種和 OracleAS Portal 不同的鑒權機制，采用一個不同的資源庫來記錄用戶的權限。2. 若