【正文】 授權的應用? 使用 Oracle Application Server 單點登錄，用戶通常通過中心 Web 門戶登錄到集中管理的 SSO 服務器。11 / 59 單點登錄體系結構SSO 體系結構包括以下幾種關鍵元素： ? 目錄：所有與用戶相關的信息庫。可以通過 LDAP 訪問。缺省情況下，在 OID 中管理用戶和口令。 ? SSO 服務器：通過網(wǎng)絡可用的服務，用于驗證用戶身份并將用戶標識安全地存儲在 cookie 中。運行在 Oracle HTTP 服務器下的應用程序將能夠從 HTTP 服務器獲得已通過 SSO 驗證的用戶標識。? Oracle Application Server J2EE 容器，出于安全目的而接受 HTTP 服務器中的標識。還允許 Oracle Application Server 支持第三方認證產(chǎn)品，如 Netegrity Siteminder(R)，以便通過第三方產(chǎn)品登錄的用戶不必重新驗證即可訪問 Oracle Application Server 或受 Oracle Application Server SSO 保護的資源。公共密鑰是通過公共密鑰認證綁定到所有者的。通過 PKI 認證后，客戶機中安裝了 認證的用戶將能夠通過 SSL 驗證 Oracle Application Server。12 / 59 單點登錄實現(xiàn)機制Oracle Application Server 單點登錄對兩類應用程序提供訪問權限 ：合作伙伴應用程序和外部應用程序 ? 合作伙伴應用程序與 SSO 服務器結合在一起。? 外部應用程序是基于 Web 的應用程序，它保留驗證邏輯。目前，這些應用程序尚受限制，僅部署 HTML 窗體的應用程序可以接受用戶名和口令。合作伙伴應用和 OracleAS Portal 用戶共享同樣的鑒權。 外部的應用采用另一種和 OracleAS Portal 不同的鑒權機制，采用一個不同的資源庫來記錄用戶的權限。 與第三方認證產(chǎn)品的集成除了采用 Oracle 自身的 SSO 服務器進行單點登錄外，Oracle Portal 還可以通過第三方 API，與 RADIUS 服務器，BIOMETRIC 系統(tǒng)以及各種特殊的 SSO服務器集成。2. 若登錄成功，第三方服務器在用戶瀏覽器中設置一個 TOKEN。4. 該伙伴應用不知道第三方服務器的存在，將用戶重定向到 Oracle SSO 服務器。6. Oracle SSO 服務器尋找自己的 Cookie。7. 找到 Token 后，Oracle SSO 服務器將用戶屬性從 OID 中讀出。 Java 認證與授權服務 (JAAS)Oracle Application Server 提供了完整的 JAAS 實現(xiàn)，該實現(xiàn)提供了許多重要的功能。驗證、訪問控制、授權用戶——JAAS 提供了用于驗證用戶（標識用戶） 、對用戶授權訪問控制權限（限制用戶可以執(zhí)行的操作）以及委托權限（允許代14 / 59碼使用其他用戶的權限安全運行）的工具。運行身份權限——可以將 J2EE 應用程序配置成使用與當前客戶機相關聯(lián)的權限運行，或以指定的用戶身份運行（例如，以“DBAdmin”的身份運行） 。單點登錄和集中的安全性管理——JAAS 與 Oracle 的單點登錄服務器結合在一起，用于任何 Oracle Application Server 應用程序的單點登錄。 授權 （Authorization）在 OracleAS Portal 中, 你可以決定對訪問的控制要嚴格到什么級別。例如，你可以對 portal 里面的每個頁面組、頁面和 Portlet 基于用戶來分配權限，這樣當某一用戶登錄門戶后，系統(tǒng)會根據(jù)其不同的訪問權限，顯示不同的內(nèi)容及其相應的操作。一旦被授權， OracleAS Portal 用 ACL 授予對 portal 對象例如頁面和 portlet 的訪問權限。如果你不屬于一個被賦予特定權限的組， OracleAS Portal 不允許進行和該權限有關的任何操作。我們可以用這些 API 來實施授權的邏輯，來加強 Portal ACL 安全性。一旦他們的身份被確認， OracleAS Portal 會檢查他們對目錄訪問的權限,來決定他們在 portal 中能夠看到并使用那些對象。 ? 登陸請求被傳送到 OracleAS 單點登陸來鑒權。 ? 如果鑒權成功，OracleAS 單點登陸為用戶創(chuàng)建一個 SSO cookie。 ? 一旦用戶的身份被確認, 控制被返回到 OracleAS Portal, 創(chuàng)建一個 portal 會話 cookie。 ? OracleAS Portal 為用戶的資格和權限信息在他們整個會話期間進行緩沖。如果有，用戶可以查看。如果有，則該用戶可以查看。Oracle Portal16 / 59提供了一個委托管理服務組件（DAS）實現(xiàn)對用戶、組和權限的管理。下表列出了系統(tǒng)缺省的用戶，系統(tǒng)管理員可以根據(jù)具體需求，來創(chuàng)建、更改和刪除系統(tǒng)的用戶。當用戶登陸后，經(jīng)過認證用戶名就會從 PUBLIC 換成用戶自己的用戶名。PORTAL 是超級用戶。 ORCLADMIN 類似 PORTAL，這個賬戶在 OracleAS Portal 中也具有最高的權限。 PORTAL_ADMIN 是一個 OracleAS Portal 用戶賬戶，它具有管理員權限，但是不包括能夠讓用戶得到更高級別權限的能力，或者進行任何數(shù)據(jù)庫操作的權限。這個賬戶主要為管理頁面和軟件自動分發(fā)的管理員設置。一旦發(fā)生與安全性有關的事件，比如認證或者未證明的聲明或者錯誤的簽名時，管理員可以安全地訪問日志來檢查與安全性相關的事件并管理日志。Oracle Portal 還可以通過功能強大的企業(yè)管理器（Enterprise Manager）來進行管理，監(jiān)控。Oracle Portal 有強大的日志記錄功能并提供根據(jù) Web Cache 日志記錄的點擊流分析功能。Oracle Portal 支持下列的加密算法：? 對稱密鑰算法：DESCBC（8 位，64 位） 、Twokey tripleDES（128 位） 、RC4（40－128 位）? 消息分類算法：MD5（128 位） 、SHA（160 位）根據(jù) Oracle Portal 的體系架構特點，我們需要考慮對下列的傳輸過程采用SSL 加密：? 從客戶端瀏覽器到單點登錄服務器的 HTTP Server? 從客戶端瀏覽器到 Oracle Web Cache? 從 Oracle Web Cache 到 Oracle HTTP Server? 從頁面引擎到 Web Cache? 從 Oracle Infrastructure 到 Oracle Inter DirectoryOracle 支持多道防火墻的配置，在 Web Cache 之后可配置一道防火墻打開HTTPS 所用端口， Portal 中間層和 Portal 節(jié)點之間也可配置一道防火墻打開SQL*NET 和 AJP 協(xié)議所用端口。Oracle Advanced Security 是通過實施行業(yè)標準的加密與完整性算法以支持多種外部驗證服務提供強大的驗證和加密的能力。Oracle label Security 為細化訪問控制提供了基于行標簽的復雜而靈活的安全性。19 / 59第三章 Oracle AS Portal 的安全模型及組件安全性 Oracle AS Portal 安全模型當網(wǎng)站上的內(nèi)容可以使用的時候，你就需要限制登錄條件了，至少有些部分需要設置了。OracleAS Portal 提供了完整的安全模型，允許你完全控制在你的網(wǎng)站中，哪些用戶可以查看或更改。 公眾只要知道門戶的 URL 就可以瀏覽公共內(nèi)容， 可以登錄到門戶服務器。 如果網(wǎng)站沒有開放給公眾的對象，用戶的登錄被拒絕。換句話說，授權的用戶可以比普通用戶看到合作更多的事情。經(jīng)認證的用戶可以添加和編輯內(nèi)容，這種權限普通用戶是沒有的。為了實現(xiàn)對這種靈活的控制網(wǎng)站內(nèi)容存取方式的支持， OracleAS Portal 利用 Oracle Application Server 和 Oracle9i Database Server 的組件給你的門戶提供更強的保護。 ? mod_osso 是 Oracle HTTP Server 的模塊，將授權請求轉給 OracleAS Single SignOn. ? OracleAS Web Cache 將 OracleAS Portal 中的頁面緩存。 ? Oracle Inter Directory, Oracle’s 自帶的 LDAP 3 服務，作為用戶和組成員鑒權的資料庫? Oracle Inter Directory 的 Oracle Delegated Administration Services (DAS) 添加和更新目錄中的存儲信息。原理上說，當一個目錄的改變需要OracleAS Portal 的改變時，目錄集成服務器通知 OracleAS Portal。在默認情況下，Oracle Inter Directory 和 OracleAS Single SignOn 作為基礎架構安裝的一部分被裝在同一個主機上。 當三個服務器和資料庫被撞到同一個主機上以后，我們建議你將三個功能放在不同的服務器上。21 / 59 DAD 和 mod_plsql 的組合仍然存在于基礎架構層，但是現(xiàn)在和 Oracle Application Server Containers for J2EE (OC4J)上運行的 DAS 結合。 另外，OracleAS Single SignOn 模塊已經(jīng)擴展了，包括了 mod_osso，這樣允許任何 URL 加入 OracleAS Single SignOn。任何一個能夠讀 HTTP 頭文件的應用都會在 OracleAS Single SignOn 能力上受益。當一個瀏覽器申請來的時候。在 OracleAS Single SignOn 的授權中依舊使用這個功能。一個成功的授權后， OracleAS Single SignOn 建立一個 single signon cookie。這時候有必要定義那些頁面和對象這個用戶有權利登錄。 2 版本中不同的是， 所有的用戶和組成員的信息都存在 Oracle Inter Directory 中。這個處理允許了對象權力快速查找。 在 2 版本中，所有的用戶軟件分發(fā)由 Oracle Inter Directory 來完成，而不是 OracleAS Single SignOn 的 schema。對 DAS servlet 的調(diào)用由 mod_osso plugin 來保護， 確保用戶在登錄 Oracle Inter Directory 前已經(jīng)被正確授權。當需要和外部資料庫授權的時候，Oracle Inter Directory 與以前的OracleAS Single SignOn 版本不同，他首先要保持本地緩存的內(nèi)容與 OID 的同步，并保持 OID 和外部資料庫的同。Portlets 把應用的功能直接在 portal 中展示出來，或者提供了深層次的鏈接，能夠讓應用自己完成一項任務。在 OracleAS Portal 中, portlets 被供應商管理。 OracleAS Portal 支持兩種供應商: ? Web 提供商 ? 數(shù)據(jù)庫提供商 Portlet 的安全性包括三個主要的功能: ? 鑒權: 當一個用戶第一次訪問一個加密的 URL，他們首先需要驗明身份，例如一個用戶名和密碼，或者數(shù)字認證。 一些應用可能有公共的訪問，但是其他的可能只有一些通過鑒權的用戶才能訪問。在一個高度網(wǎng)絡化的環(huán)境里，確認一個通信是否合法是非常重要的。如果你只在某一兩個方面實現(xiàn)了加密，你的提供商不能被認為是安全的。23 / 59 鑒權當一個用戶第一次登陸 OracleAS Portal, 他們必須輸入他們的密碼，在被允許訪問前驗明身份。有兩種授權檢查： ? 門戶訪問控制單: 當?shù)顷?OracleAS Portal, OracleAS 單點登陸會進行授權。這些動作可能包括簡單的查看一個對象，或者進行管理的功能等。? 可編程的 Portlet 加密 : Portal 開發(fā)包包含 API 的 Java 被調(diào)用來判斷一個用戶是否被允許查看一個 portlet。 通信安全鑒權和授權是保證 web 提供商安全的重要組件。如果通信不安全，某些人可以模擬 OracleAS Portal,從而欺騙 Web 提供商，獲取一些敏感信息。這些方法不適用于在 portal 數(shù)據(jù)庫內(nèi)部運行的數(shù)據(jù)庫提供商。 ? 消息鑒權，保證引入的消息來自一個具有共享主鍵的主機。這個方法可以把引入的 HTTP 消息的 IP 地址，或者主機名和一組可信任的主機進行比較。否則，在到達提供商之前被拒絕。當一條信息被提供商收到的時候，該條信息的真實性通過計算理想的校驗和，同實際值進行比較得到。否則，消息被拒絕并禁止任何更多的處理。 消息加密 消息加密依靠 HTTPS 協(xié)議，來為提供商和 OracleAS Portal 之間進行通信。加密不光提供了較高的安全登記，同時也會影響到性能。它定義了一組 HTTP 擴展，允許 inter 上的遠程用戶能夠協(xié)同編輯和管理文件。在安全性上，通過 WebDAV 訪問 OracleAS Portal 涉及到安全性的兩個方面： ? OracleAS Portal 為 OraDAV 設置的會話 cookies 過期問題? SSL 和 OraDAV 25