Inicio > Seguridad > ¿Loginar en Oracle Forms con el usuario de Windows?

¿Loginar en Oracle Forms con el usuario de Windows?

¿Os imagináis poder entrar en todas vuestras aplicaciones Oracle Forms o J2EE sin necesidad de escribir ni identificador ni password? ¿Que internamente cada aplicación pueda usar un identificador/password diferente, pero que el usuario no tenga porque conocerlos? Y todo esto, claro, sin modificar las aplicaciones

Integrando el sistema de autenticación de Windows (Active Directory) con el de Oracle (Single Sing-On + Oracle Internet Directory) es posible.

NOTA: Como ejemplo tomaremos aplicaciones Oracle Forms, pero se puede extrapolar a cualquier aplicación J2EE desplegada sobre Oracle Application Server .

Normalmente en Oracle Forms los usuarios se autentican con un identificador de usuario y una contraseña “especifica” de la aplicación, obligándolos a recordar diferentes passwords para las diferentes aplicaciones Forms.

Los administradores tienen que entrar en múltiples pantallas de configuración cada vez que dan de alta/baja un usuario, con lo que es fácil dejarse algún sistema por actualizar, provocando llamadas al servicio de atención al usuario o problemas de seguridad.

Por otra parte, en la mayoría de casos el origen de datos de seguridad de la empresa acostumbra a ser un Active Directory (AD) y en éste se definen las políticas de acceso, caducidad y control.

Proponemos pues realizar una integración: cargar en el Oracle Internet Directory (OID) un subconjunto de los datos del AD, complementarlos con datos de las aplicaciones, y usarlos para la autenticación.

La replicación se puede hacer de todo el dominio Windows o sólo de un subconjunto de éste, traspasando al OID solo los datos que creamos necesarios. El OID tiene un conjunto de herramientas que permiten realizar esta integración de manera simple, y mantienen la sincronía aplicando los cambios capturados del AD cada cierto intervalo de tiempo.

Si realizamos esta integración, al dar de alta un usuario en el Active Directory éste se replicará en el OID y sólo tendremos que asignar “recursos” (datos tipo APLICACION, USUARIO_BBDD, PASSWORD_BBDD) a ese usuario para que pueda entrar en las aplicaciones.

NOTA: En caso de aplicaciones J2EE este último punto es algo diferente, ya que en lugar de los recursos mencionados (usuario/password/BBDD)  tendremos que assignar “roles de aplicación” a los usuarios, que les permitirán acceder a las diferentes partes de la aplicación.

Esta asignación de recursos se puede realizar manualmente o automatizarla programándola en PL/SQL o Java, de manera que el password de BBDD pueda ser aleatorio y desconocido incluso para los que han realizado la asignación de recursos (con lo que se evitan problemas de seguridad).

Una vez hecho esto tenemos dos opciones:

A) Obligar a los usuarios a usar su identificador/password Windows para entrar en las aplicaciones

El identificador/password a usar en las aplicaciones será el que el usuario tenga en Active Directory (en el dominio Windows), con las restricciones y las caducidades de éste y por temas de seguridad el password de dominio no se almacenará en el OID (solo se guardará en el AD). Cada vez que un usuario haga login, el Single Sing-On “preguntará” al Active Directory si el password es correcto y de serlo le permitirá acceder a la aplicación (siempre que se hayan asignado recursos para ella en el perfil del usuario).

B) Usar el token de session Windows

Es similar al caso A, pero configurando el Single Sing-On para que confíe en el ticket “kerberos” de la sesión de Windows, de manera que si estamos correctamente loginados en el dominio no nos pida ni identificador ni password al entrar en las aplicaciones. Single Sing-On comprobará el ticket en el Active Directory y en caso de ser valido usará los recursos asignados al usuario para entrar en la aplicación. En este caso los passwords de dominio tampoco se almacenan en el OID.

Esto en resumen facilitará en gran medida el trabajo de los administradores y aportará ventajas a los usuarios al evitarles tener que recordar multitud de usuarios/passwords.

  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: