【正文】 ID_TIER_ORACLE_HOME\opmn\bin opmnctl restartproc type=ohs重啟 Oracle HTTP 服務(wù)器。 OraDAV, Oracle’s 對(duì) WebDAV 的實(shí)施, 是 Oracle HTTP Server 和 WebDAV 客戶之間進(jìn)行通信的機(jī)制. OraDAV 允許用戶能夠用 WebDAV 客戶端連接到OracleAS Portal。 OraDAV 安全性WebDAV (World Wide Web 分布式授權(quán)和驗(yàn)證) 是 IETF 對(duì)協(xié)作授權(quán)規(guī)定的標(biāo)準(zhǔn)。消息被加密，從而保證內(nèi)部的數(shù)據(jù)。校驗(yàn)和包括一個(gè)時(shí)間標(biāo)記，用來(lái)減小在傳送過(guò)程中一條消息被非法記錄的可能。如果兩值相等，則消息被接受。 消息鑒權(quán) 消息鑒權(quán)通過(guò)設(shè)置搜索基于提供商信息的共享主鍵的求校驗(yàn)和進(jìn)行工作。如果該 IP 地址或者主機(jī)名在列表中, 消息就被傳送給提供商。 24 / 59? 消息加密，保護(hù)消息的內(nèi)容 Portal Server 鑒權(quán) Portal Server 鑒權(quán)把對(duì)提供商的訪問(wèn)限制到很小數(shù)目的機(jī)器商。包括三種通信安全方法： ? Portal Server 鑒權(quán)，保證引入的信息來(lái)自一個(gè)可靠的主機(jī)。 通信安全重點(diǎn)在 OracleAS Portal 和 Web 提供商之間的安全訪問(wèn)。但是他們對(duì)提供商收到的消息不進(jìn)行確認(rèn)，因此就不適合對(duì)提供商的安全訪問(wèn)。我們可以用這些 API 來(lái)實(shí)施授權(quán)的邏輯，來(lái)加強(qiáng) Portal ACL 安全性。如果你不屬于一個(gè)被賦予特定權(quán)限的組， OracleAS Portal 不允許進(jìn)行和該權(quán)限有關(guān)的任何操作。一旦被授權(quán)， OracleAS Portal 用 ACL 授予對(duì) portal 對(duì)象例如頁(yè)面和 portlet 的訪問(wèn)權(quán)限。 授權(quán)授權(quán)決定一個(gè)特定的用戶是否可以看見并和一個(gè) portlet 進(jìn)行交互。對(duì) web 提供商的加密工作必須配合提供商所給的數(shù)據(jù)的機(jī)密性來(lái)完成。 為了讓你的 web 提供商完全安全，你需要保證在這些領(lǐng)域，他們都是安全的。 ? 通信加密: 通信加密是指 OracleAS Portal 在和提供商通信往來(lái)（如消息）之間建立鑒權(quán)的方法。 ? 授權(quán)： 授權(quán)允許特定用戶能夠訪問(wèn)部分應(yīng)用的流程。一個(gè)供應(yīng)商是在 OracleAS Portal 上注冊(cè)的一個(gè)應(yīng)用。因此 portlets 把信息格式化，用于在web 頁(yè)面上顯示 , 內(nèi)部的應(yīng)用不一定需要被集成到 OracleAS Portal 中。 Portal 組件安全性 Portlet 安全性Portlets 就像應(yīng)用的窗戶, 顯示綜述的信息，并且提供了訪問(wèn)所有應(yīng)用功能的方法。 安全架構(gòu)的重要特征是保證本地被緩存的用戶成員權(quán)限和 Oracle Inter Directory 同步， Oracle Directory Integration Platform 自動(dòng)保持本地緩存的信息22 / 59與 Oracle Inter Directory 同步。中間層和 LDAP 服務(wù)器之間的借口是DAS servlet。當(dāng)對(duì)象和頁(yè)面的權(quán)利得知后， Parallel Page Engine 可以產(chǎn)生正確的頁(yè)面。當(dāng)一個(gè)用戶第一次登錄 OracleAS Portal，用戶的組成員權(quán)力被放在門戶節(jié)點(diǎn)，并緩存。如同在 版本中, OracleAS Portal Repository 中的 Access Control Lists 一樣。 當(dāng)一個(gè)用戶被授權(quán)，并且建立好了一個(gè) OracleAS Portal 會(huì)話后，他可以登錄網(wǎng)頁(yè)和其他對(duì)象。與 版本不同的是，OracleAS Single SignOn 不是將用戶的鑒權(quán)和自己的 schema 表對(duì)比，它通過(guò) LDAP 和 Oracle Inter Directory 進(jìn)行對(duì)比，其結(jié)果返回 OracleAS Single SignOn。OracleAS Web Cache 首先接受，如果可以，OracleAS Web Cache 直接回答，否則就將請(qǐng)求發(fā)到 Oracle HTTP Server. 在 版本中，如果需求的是一個(gè)非公共頁(yè)面，這個(gè)用戶需要提交用戶名和密碼。 OracleAS Web Cache 是中間層組件的前置，對(duì) OracleAS Portal 的吞吐量進(jìn)行優(yōu)化。即使應(yīng)用不是由合作應(yīng)用書寫，mod_osso 現(xiàn)在是把第三方應(yīng)用加入 OracleAS Single SignOn 的建議方法。相似的， Parallel Page Engine 顯示在中間層，實(shí)際也是運(yùn)行在 OC4J。 如果你使用 以前的版本，發(fā)現(xiàn)中間層和基礎(chǔ)架構(gòu)層的組件已經(jīng)改變了。這一層后來(lái)被用于 OracleAS Portal 的安裝上。OracleAS Portal 架構(gòu)包括三個(gè)基礎(chǔ)層，包括用戶瀏覽器，中間層服務(wù)器，基礎(chǔ)架構(gòu)服務(wù)器和資料庫(kù)。 ? 在目錄事件（如，刪除用戶）發(fā)生的時(shí)候，Oracle Directory Integration Platform 通報(bào)給 OracleAS Portal。基于失效緩存20 / 59技術(shù)，當(dāng)頁(yè)面/元數(shù)據(jù)改變時(shí)，OracleAS Portal 將緩存設(shè)為無(wú)效。 OracleAS Portal 在安全方面的實(shí)施上和以下組件進(jìn)行交互： ? Oracle Application Server Single SignOn 為那些在門戶中試圖訪問(wèn)非公共區(qū)域的用戶授權(quán)。在門戶中，你可以通過(guò)用戶和組對(duì)對(duì)象（頁(yè)面，元素，或者 portlet）的訪問(wèn)進(jìn)行控制， 也就是說(shuō)，你可以給用戶、用戶組、或二者的結(jié)合。例如，經(jīng)認(rèn)證的用戶可以看到一些內(nèi)容和 portlet， 但是公共用戶不能看到。用戶登錄門戶以后，由于他們的權(quán)限不同，有一些內(nèi)容可能看到或更改，也可能看不到。 用戶可以看到為公眾設(shè)計(jì)的那些部分，比如公眾 portlets。在一個(gè)用戶登錄 OracleAS Portal 之前，他們只能瀏覽那些內(nèi)容提供著給公眾設(shè)計(jì)的內(nèi)容。比如，你不太可能讓每個(gè)用戶有權(quán)察看所有的文檔，更不可能讓每個(gè)用戶都有權(quán)更改每個(gè)文檔。Oracle Label Security 借用政府機(jī)構(gòu)、國(guó)防部門和商業(yè)組織使用的“貼標(biāo)簽”概念來(lái)保護(hù)敏感信息并提供數(shù)據(jù)隔離能力，該產(chǎn)品選件還包括一套管理策略、標(biāo)簽和用戶標(biāo)簽驗(yàn)證的強(qiáng)大工具。該產(chǎn)品提供了強(qiáng)健的“企業(yè)用戶安全性” ，根據(jù)此功能，組織機(jī)構(gòu)通過(guò)使用數(shù)字證書或口令驗(yàn)證用戶身份，可以選擇實(shí)施端到端的安全性，從而降低了部署安全功能的總體成本。Portal 容器是基于 Oracle 數(shù)據(jù)庫(kù)，因此所有頁(yè)18 / 59面定義和 portlet 相關(guān)信息均存放在數(shù)據(jù)庫(kù)中，因此可利用數(shù)據(jù)庫(kù)強(qiáng)大的安全特性。 數(shù)據(jù)傳輸加密 （Encryption）為了保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)陌踩?，我們需要遵?SSL 協(xié)議，對(duì)一些敏感數(shù)據(jù)，比如用戶名和口令等，在傳輸前進(jìn)行加密，再由數(shù)據(jù)接收方根據(jù)事先約定好的密鑰解密，從而實(shí)現(xiàn)安全的數(shù)據(jù)傳輸。通過(guò)該工具，管理員可以設(shè)置任務(wù)和事件管理，進(jìn)行故障檢查，告警及處理機(jī)制，系統(tǒng)中已集成了大量的預(yù)制報(bào)表可實(shí)時(shí)報(bào)告門戶運(yùn)行狀況。Oracle Portal 使用審計(jì)跟蹤來(lái)詳細(xì)記錄事務(wù)處理過(guò)程、記錄時(shí)間戳、源主機(jī)、目的主機(jī)、端口號(hào)、持續(xù)時(shí)間和所傳送的字節(jié)數(shù)等，并具有報(bào)警功能。 安全審計(jì) （Auditing）為了保障系統(tǒng)運(yùn)行時(shí)的安全性，我們需要對(duì)用戶對(duì)系統(tǒng)的訪問(wèn)作詳細(xì)的記17 / 59錄。這個(gè)用戶不能編輯任何的組，或在任何 schema 或共享對(duì)象上管理權(quán)限。這個(gè)帳戶為應(yīng)用服務(wù)器管理員創(chuàng)建, 密碼是應(yīng)用服務(wù)器安裝時(shí)候的密碼。標(biāo)準(zhǔn)安裝下，用戶名就是 PORTAL. 這個(gè)帳戶具有最高的權(quán)限，因?yàn)樗哂兴?portal 中的權(quán)限。當(dāng)授權(quán)單獨(dú)對(duì)象的 Portal 權(quán)限時(shí)，如果沒(méi)有一個(gè)明顯的可以把該對(duì)象授權(quán)給 PUBLIC 的選項(xiàng)，則這個(gè)用戶可以被認(rèn)為是該權(quán)限的授權(quán)人，他可以把權(quán)限授權(quán)給未經(jīng)授權(quán)的用戶。表 默認(rèn) OracleAS Portal 用戶用戶 描述PUBLIC 指未授權(quán)的對(duì) Oracle AS Portal 的訪問(wèn)賬戶。系統(tǒng)管理員可以利用 DAS 提供的基于 Web 的界面，對(duì)用戶、組、權(quán)限作相應(yīng)的設(shè)置，以滿足系統(tǒng)安全訪問(wèn)的需要。 Portal 權(quán)限管理Portal 的權(quán)限管理是通過(guò)對(duì)用戶，組及其權(quán)限的管理實(shí)現(xiàn)的。 如果當(dāng)前用戶沒(méi)有直接查看頁(yè)面的權(quán)限, OracleAS Portal 檢查緩沖的成員資格信息和權(quán)限表來(lái)決定該用戶屬于那些組，這些組中是否有的組具有查看的權(quán)限。 ? 當(dāng)用戶嘗試訪問(wèn)一個(gè)頁(yè)面的時(shí)候, OracleAS Portal 進(jìn)行如下檢查: 該 page 是不是 public？如果是，該用戶可以查看. 該 page 不是 public, 則 OracleAS Portal 檢查本地權(quán)限表，看是否有權(quán)限查看該頁(yè)。OracleAS Portal 連接到目錄，并且決定用戶的分組和權(quán)限。如果鑒權(quán)不成功，用戶的訪問(wèn)被拒絕，同時(shí)返回到登陸頁(yè)面，重新輸入用戶名和密碼。 ? OracleAS 單點(diǎn)登陸根據(jù)目錄中的信息來(lái)確認(rèn)用戶的權(quán)限。 ? 在 OracleAS Portal 中, 用戶通過(guò)點(diǎn)擊 Login 鏈接請(qǐng)求連接。15 / 59 Portal 授權(quán)和訪問(wèn)機(jī)制當(dāng)用戶嘗試登陸 OracleAS Portal, OracleAS 單點(diǎn)登陸首先在目錄中驗(yàn)證他們的用戶認(rèn)證信息。? 可編程的 Portlet 加密 : Portal 開發(fā)包包含 API 的 Java 被調(diào)用來(lái)判斷一個(gè)用戶是否被允許查看一個(gè) portlet。這些動(dòng)作可能包括簡(jiǎn)單的查看一個(gè)對(duì)象，或者進(jìn)行管理的功能等。 為了決定一個(gè)特定的用戶是否具有訪問(wèn)門戶資源的權(quán)限時(shí)，Portal 提供兩種方式實(shí)現(xiàn)授權(quán)檢查： ? 門戶訪問(wèn)控制單（ACL）: 當(dāng)?shù)顷?OracleAS Portal, OracleAS 單點(diǎn)登陸會(huì)進(jìn)行授權(quán)。你可以基于每個(gè)用戶或者每個(gè)組來(lái)分配權(quán)限。另外，它還與 Oracle 的 LDAP 目錄結(jié)合在一起，用于集中的安全性管理。這允許開發(fā)人員強(qiáng)制執(zhí)行應(yīng)用程序中的“最小權(quán)限” ，僅允許所需權(quán)限的用戶執(zhí)行功能，因?yàn)橛脩糁荒茉谕耆纬傻臉I(yè)務(wù)規(guī)則環(huán)境中（例如，企業(yè) Bean）執(zhí)行權(quán)限。精細(xì)安全性權(quán)限管理——JAAS 提供了基于代碼的重要策略，允許 Java 開發(fā)人員以精細(xì)方式為用戶指定安全性權(quán)限。強(qiáng)制執(zhí)行應(yīng)用程序安全性——JAAS 供應(yīng)程序充當(dāng)標(biāo)準(zhǔn)的用戶管理員插件，對(duì) Servlet、JSP、EJB 和 Web Service 強(qiáng)制執(zhí)行安全性限制條件。Oracle SSO 服務(wù)器設(shè)置自己 Cookie，然后將用戶重定向到 Oracle Partner 應(yīng)用，將一個(gè)包含了用戶屬性的 URL Token 返回。在找不到自己的 Cookie 的情況下，Oracle SSO 服務(wù)器從第三方單點(diǎn)登錄服務(wù)器尋找一個(gè) Token。5. 同時(shí)，用戶將第三方的單點(diǎn)登錄 TOKEN 發(fā)送到 Oracle SSO。3. 用戶試圖訪問(wèn)一個(gè) Oracle 伙伴應(yīng)用。與第三方 SSO 服務(wù)器集成的過(guò)程如下所示：13 / 591. 用戶登錄進(jìn)第三方的單點(diǎn)登錄服務(wù)器。應(yīng)用的用戶名可以和 OracleAS Portal 中的一樣,但是外部的應(yīng)用對(duì)用戶采用自己的鑒權(quán)機(jī)制。應(yīng)用的用戶和OracleAS Portal 用戶在這種情況下是一樣的。這種用戶名可能不同于 SSO 用戶名，因?yàn)?SSO 服務(wù)器提供了必需的映射。它們沒(méi)有將驗(yàn)證委托給 SSO 服務(wù)器，因此需要用戶名和口令來(lái)提供訪問(wèn)權(quán)限。這些應(yīng)用程序包含 Oracle Application Server 單點(diǎn)登錄 API，此 API 使這些應(yīng)用程序可以接受已通過(guò) SSO 服務(wù)器驗(yàn)證的用戶標(biāo)識(shí)。在 Oracle Application Server 中，可以將 SSO 服務(wù)器配置成從 SSL 模塊獲得用戶標(biāo)識(shí)，而不必要求用戶提交顯式 SSO 用戶名（或口令） ，以備驗(yàn)證。這些認(rèn)證包含所有者姓名和相關(guān)公共密鑰等信息，并由可靠的認(rèn)證授權(quán) (CA) 發(fā)布。? 公共密鑰基礎(chǔ)架構(gòu) (PKI) 認(rèn)證——公共密鑰基礎(chǔ)架構(gòu) (PKI) 提供了將公共密鑰綁定到密鑰所有者的方式和有關(guān)大型異構(gòu)網(wǎng)絡(luò)中可靠公共密鑰分布的幫助。? 第三方認(rèn)證 API——這種 API 允許 SSO 服務(wù)器被配置成通過(guò)可信的第三方認(rèn)證機(jī)制獲得驗(yàn)證后的用戶標(biāo)識(shí)。因此，這些應(yīng)用程序可以享用 SSO 的優(yōu)點(diǎn)，而不必重新寫入 SSO 的合作伙伴應(yīng)用程序。? mod_osso：Mod_OSSO 是 Oracle HTTP 服務(wù)器的新模塊，允許 HTTP 服務(wù)器成為 SSO 的合作伙伴應(yīng)用程序?，F(xiàn)在由 OID 使用 OID 委托管理服務(wù) (DAS) 自身服務(wù)控制臺(tái) (SSC) 為 SSO 供應(yīng)用戶及其口令。Oracle Application Server 完全支持 Oracle Inter Directory (OID)。包括標(biāo)識(shí)、組成員、口令和其他與用戶相關(guān)的信息。驗(yàn)證了特定用戶的身份以后，SSO 服務(wù)器將顯示適用于該用戶的所有應(yīng)用程序的鏈接。它把任何合作伙伴應(yīng)用的用戶映射到 Oracle Inter Directory 的條目上，并且通過(guò)LDAP 對(duì)這些用戶進(jìn)行認(rèn)證。Oracle 門戶管理工具也能夠利用 Oracle委托管理服務(wù)來(lái)完成一些特殊的任務(wù)。此外，OID 采用了三層用戶鑒權(quán)：匿名的；基于密碼的和基于 SSL v3 認(rèn)證的，以此來(lái)鑒別訪問(wèn)和數(shù)據(jù)私密。 ? 安全性提供了一個(gè)全面和靈活的訪問(wèn)控制。 ? 高可用性 支持目錄服務(wù)器間多主機(jī)復(fù)制。這些工具使你能夠: 通過(guò)一個(gè)普通的瀏覽器，監(jiān)視實(shí)時(shí)的