【正文】 / 59會話 cookies 過期OraDAV 配置參數(shù), ORACookieMaxAge, 單位為秒 ,設(shè)定了 DAV 客戶端保持cookies 的時間。26 / 59第四章 Oracle AS Portal 安全框架配置步驟 Oracle AS Portal 安全 Schema當安裝 oracle AS Portal 時，你需要知道在 Oracle Infrastructure 中已經(jīng)缺省安裝了 Oracle AS Portal Security 部分所用的 Schema，Schema 定義如表 所示。為執(zhí)行 Web 請求，Mod_plsql 利用 N層認證連接到所賦予的用戶( 缺省為 PORATAL_PUBLIC)，訪問數(shù)據(jù)庫的 portal 用戶是單一的 Schema 用戶，入口類似于。PORTAL_PUBLIC 所有的輕型用戶缺省的都映射該 Schema，通過 web 所有能公開訪問的程序需授權(quán)給 PUBLIC，它將通過PORTAL_PUBLIC 的 Schema 來訪問。PORTAL_DEMO 在安裝 Demo 時創(chuàng)建，安裝中作為可選項PORTAL_APP 用來對外面的 JSP 應用的認證27 / 59 與 Oracle 應用服務器安全的集成OracleAS Portal 利用 Oracle Application Server Security Services 表現(xiàn)在以下方面：? SSL encryption. 對于 HTTPS 和 Secure Sockets Layer (SSL) 的使用允許再 client 和 server 之間建立安全的連接。你可以通過 Oracle Application Server Security Services 給 OracleAS Portal 實施 SSL 加密 ? JAZN. JAZN 是 Java Authentication and Authorization Service (JAAS)提供者的內(nèi)部名稱， JAAS 是 Java 包，確保應用授權(quán)和用戶權(quán)限控制。 與 Oracle 身份管理的集成為了提供一個更完全的安全方案， OracleAS Portal 吸取了 Oracle Identity Management 基礎(chǔ)架構(gòu)中組件的多樣性：? OracleAS Portal 與 OracleAS Single SignOn 的關(guān)系 ? OracleAS Portal 與 Oracle Inter Directory 的關(guān)系OracleAS Portal 在創(chuàng)建用戶和組的時候也吸取 Oracle Identity Management 的優(yōu)勢。 Portal 與 Oracle SSO 服務器的關(guān)系OracleAS Portal 使用 OracleAS Single SignOn 來做用戶授權(quán)， OracleAS Single SignOn 管理用戶 Single SignOn 的會話。 ? 將伙伴應用啟動配置表中加入 OracleAS Portal Oracle Universal Installer 在你安裝的時候執(zhí)行以上兩步配置，如果你再安裝完成以后需要改變配置，你可以執(zhí)行以下步驟： ? 使用 Application Server Control Console, 或使用 Portal Dependency Settings 工具包? 通過 mode MIDTIER type SSO，喚起 Oracle Portal Configuration Assistant, (UNIX) 或者 (MS Windows)。為了正確使用， 你必須已經(jīng)安裝了 OracleAS Portal 和 OracleAS Single SignOn,，并建立了 DADs. Portal 與 Oracle 目錄服務的關(guān)系Oracle Inter Directory 具有高可擴展性 ，內(nèi)置 LDAP version 3 服務， 并作為 Oracle 用戶識別主機。 在這個模式下， OracleAS Portal 需要和 Oracle Inter Directory 做一下互操作： ? OracleAS Portal 的入口被記錄在目錄中 ? 組屬性被記錄在目錄中 ? 用戶屬性組被記錄在目錄中 ? 從目錄中緩存用戶和組信息 ? 通過 DAS 從目錄中取出用戶和組的值清單 29 / 59 Oracle Inter Directory 中為 OracleAS Portal 設(shè)置的目錄入口為了使安全功能正常，OracleAS Portal 需要在 Directory Information Tree (DIT)結(jié)構(gòu)中設(shè)置入口： ? 默認用戶帳戶(=PUBLIC, =PORTAL, =PORTAL_ADMIN) 建立在身份管理領(lǐng)域的用戶基礎(chǔ)上(=Users,dc=MyCompany,dc=). PORTAL 和 PORTAL_ADMIN 用戶被加入到 DBA 和 PORTAL_ADMINISTRATORS 組中, PUBLIC 用戶是為未授權(quán)的用戶而建立的， 這樣他們就可以被授權(quán)查看門戶里的公共信息。 OracleAS Portal 可以使用目錄中的人和組， 但是如果組存在于 OracleAS Portal 的組容器里，就可以作為一組織更容易的被存取。應用的密碼是隨機生成的。 當 OracleAS Portal 為一個用戶而捆綁目錄的時候，他使用代理連接來連接。OracleAS Portal應用實體通過它在用戶代理權(quán)限組的身份獲得權(quán)限建立代理連接， 這些用戶代理權(quán)限組包 =UserProxyPrivilege,=Groups,=OracleContext。當一個用戶或者組的權(quán)限被改變的時候，這個入口提醒目錄必須去通知 OracleAS Portal 。 Oracle Inter Directory 中存儲的用戶屬性O(shè)racleAS Portal 象其它 Oracle Application Server 的組件一樣，依靠目錄存儲組信息。? orclUser 和 orclUserV2 對象類，包含了一組為 Oracle 產(chǎn)品提供的標準和附加屬性。 目錄中所有的組按照如下的對象類定義： ? groupOfUniqueNames 對象類包含 IETF (RFC 2256)定義的所有組屬性 ? orclGroup 對象類包含了 OracleAS Portal 的一組標準和附加屬性。對那些比較動態(tài)的內(nèi)容，比如組的成員和默認組， OracleAS Portal 依靠 Directory Synchronized Provisioning 代理來更新。32 / 59 OracleAS Portal 中用戶和組值的清單User, Group, Portal User Profile, 和 Portal Group Profile portlets 包括用戶和組的值清單。 在默認情況下， 這個清單顯示了 OracleAS Portal DIT 結(jié)構(gòu)中 OracleAS Portal group container 中的組。 值清單中這些組的顯示依靠于查看他的用戶權(quán)限。 Portal 與 Oracle 目錄服務集成的關(guān)系如下圖所示，Oracle 目錄集成平臺提供了一個很重要的服務，就是通知用戶和群體事件變化并同步目錄。第一個通道，標記為 Oracle 目錄同步33 / 59服務， 表明了同步的概念。同步服務保證了 OID 和它連接的目錄之間的變化相匹配。 第二條通道，標記為 Oracle 目錄自動分發(fā)集成服務, 表明了自動分發(fā)的概念。例如，假設(shè)一個管理員通過 DAS 把一個用戶從組中刪除。 Oracle 目錄集成平臺必須通知 OracleAS Portal 更新它的本地緩存，并且立刻阻止該用戶訪問不能再訪問的頁面。當一個改變發(fā)生時，所有訂閱該事件的組件都會被 Oracle目錄集成平臺的目錄同步自動分發(fā)代理通知到。表 列舉了 OracleAS Portal 訂閱的事件和當該事件發(fā)生時發(fā)生的動作： Table Oracle AS Portal 相關(guān)的同步事件 訂閱的事件 OracleAS Portal 動作USER DELETE 本地用戶檔案被刪除, 導致用戶的權(quán)限被刪除。 USER MODIFY (orclDefaultProfileGroup) 在本地用戶檔案中，默認用戶組被改變。WWSEC_FLAT$表相應被刪除 GROUP MODIFY (uniqueMember, member) WWSEC_FLAT$ 表被更新，用來反映會影響 OracleAS Portal 的成員資格變化。 之所以這樣作，是因為安全性的改變會影響頁面上可視的內(nèi)容以及頁面本身的訪問權(quán)限。啟動 Oracle 目錄集成平臺，可以用 oidctl 命令，例如: oidctl instance=1 server=odisrv flags=host= port=4032 start 訂閱檔案必須在 OID 中創(chuàng)建。 與 Oracle HR 系統(tǒng)的用戶集成 Oracle 身份管理和 Oracle HR 用戶集成簡介Oracle HR 是 Oracle 電子商務套件的一部分，后者是用于協(xié)同工作而設(shè)計的一套集成化的應用程序。 Labor)、電子招聘(Oracle iRecruitment)、人力資源智能(Oracle HR Intelligence)、電子學習(Oracle iLearning)以及高級福利 (Oracle Advanced Benefits)等功能組件。你可以使 Oracle HR Connector 定時的運行，從而配置它使的將 Oracle HR系統(tǒng)中所修改的信息同步到 OID 中，至于具體的字段匹配規(guī)則，請參考相關(guān)指南。 ? 將所修改的信息導入到 OID 中，Oracle HR Connector 將導入文件移動到archive 目錄$ ORACLE_HOME/ldap/odi/import/間 (orclodipLastExecutionTime)和最后成功執(zhí)行時間 (orclodipLastSuccessfulExecutionTime) 將修改為當前系統(tǒng)時間。同時錯誤的日志被記錄到$ORACLE_HOME/ldap/odi/ 文件中。 與 Oracle Application 11i 的單點登錄/ 門戶的集成 單點登錄/門戶集成的前提在實現(xiàn)整合的過程中，需要現(xiàn)有的環(huán)境為：? Oracle EBusiness Suite Release 或更高，建議版本為 ； ? Oracle Application Server 10g ()建議安裝在單獨的一臺另外的機器上； ? Oracle Inter Directory ? Oracle Single SignOn ? 根據(jù)實際需要，可選擇相應的集成Oracle Portal Discoverer 單點登錄/門戶集成的框架38 / 59Oracle EBS11i 整合 Oracle AS 10g 物理結(jié)構(gòu)圖Oracle EBS11i 整合 Oracle AS 10g 邏輯結(jié)構(gòu)圖參照上圖結(jié)構(gòu)，EBS11i 的 Portlets 等還是安裝在 11i 本身的基于 iAS 的 Portal 上，而用戶登錄的企業(yè)級門戶 Portal 是部署在獨立的 10g AS 上。通過基39 / 59于 OID 的 10g AS SSO 單點登錄服務器來進行用戶的認證服務。而 11i 所基于的底層平臺 iAS 負責接收通過 10g Portal 接收到的SQL 請求并生成相關(guān)的 HTML Portlet 返回給用戶。? Balance Scorecard KPI Graph Portlet：該 Portlet 可使用戶在選擇某個特定的 KPI 指標的情況下圖形顯示相關(guān)的數(shù)據(jù)分析。同時還有選項來顯示每個 KPI 的實際和計劃值。DBI Portlet 的表現(xiàn)層國內(nèi)客戶 EBS11i 與 Portal 集成案例41 / 59 Application 與 AS10g 集成，有利于 規(guī)劃現(xiàn)有的 IT 平臺的策略在 Oracle EBS11i 與 AS 10g 集成，和 Oracle AS 9i 平臺相比較，具有豐富的技術(shù)增強特點，而這些特點將非常有利于與企業(yè)現(xiàn)有的平臺進行集成，詳細的技術(shù)指標，請參考下表：安全和身份管理特性9iAS AS 10g ()單點登錄單點登錄并訪問 Oracle EBusiness Suite Release 11i 所有模塊, Oracle 技術(shù)產(chǎn)品和第三方的應用部分支持 支持一次注銷所有應用采用一次注銷或 session 過期的方式實現(xiàn)注銷EBS 11i 和所有的第三方應用 支持在 Release 11i 中管理用戶鑒權(quán)對 Oracle EBusiness Suite Release 11i (FND_USER) 目錄中的用戶鑒權(quán)進行管理支持 在 Oracle Inter Directory 中統(tǒng)一管理用戶鑒權(quán)在 Oracle Inter Directory 中管理用戶鑒權(quán), 采用基于 LDAPv3 標準的目錄服務借助了 Oracle 數(shù)據(jù)庫提供的集群性, 高可用性和安全性. Oracle Inter Directory 為 Oracle 的身份管理框架提供了集中的用戶知識庫, 簡化了 Oracle 系列產(chǎn)品的用戶管