СТАТЬЯ |
03.04.03
|
© Джон Хейман, Oracle
© Статья была опубликована в Oracle Magazine RE
В данной статье рассмотрены средства обеспечения информационной безопасности Oracle9iAS Release 2 (Oracle9i Application Server Release 2, сервер приложений Oracle9i 2-го выпуска). В статье представлен обзор требований обеспечения безопасности в Вебе, а затем рассмотрена архитектура обеспечения информационной безопасности Oracle9iAS Release 2, которая удовлетворяет этим требованиям. Акцент в статье делается на новые средства обеспечения информационной безопасности, появившиеся в Oracle9iAS Release 2.
Веб-приложения заменяют приложения, типичные для клиент-серверной архитектуры, являясь для организаций более предпочтительным способом доступа их пользователей к бизнес-приложениям и данным.
Этому существует достаточно много понятных причин, включая повышение масштабируемости, уменьшение затрат и появление возможностей привлечения новых пользователей и доступа к новым рынкам. Риски развертывания бизнес-приложений в Интернете также в большой степени осознаны. В число этих рисков входят:
[Прим.А.Соколова: Злонамеренный пользователь может создать ссылку к странице пользовательской информации, которая содержит злонамеренный код. При нажатии на ссылку не подозревающим пользователем, злонамеренный код скрипта будет выполняться в контексте сайта пользователя. Эта уязвимость позволяет собирать информацию о пользователе или получать доступ к опознавательной информации на основе "куков". ]
Разработчики веб-приложений обратили внимание на такие риски несколько лет назад. В число современных тенденций, направленных на повышение защиты веб-приложений, входят: развертывание нескольких приложений в одном информационном портале, возрастающее использование языка Java для разработки веб-приложений и повышение сложности и масштабов (в терминах количества обслуживаемых пользователей) внедряемых приложений.
В Oracle9iAS Release 1 появилась новая возможность – SSO (Oracle9iAS Single Sign-On – единая точка входа Oracle9iAS), которая обеспечивает поддержку широкого диапазона приложений и включение сервисов обеспечения безопасности во многие компоненты, в частности, в Oracle HTTP Server и Oracle9iAS Portal. В Oracle9iAS Release 2 корпорация Oracle ввела комплексную среду обеспечения безопасности, которая поддерживает все компоненты Oracle9iAS, а также развернутые в Oracle9iAS приложения сторонних производителей и приложения, разработанные заказчиками. В этой среде для аутентификации используется Oracle9iAS SSO, для авторизации и автоматического предоставления информации о пользователях – Oracle Internet Directory, для обеспечения безопасности J2EE-приложений – Oracle Java Authentication and Authorization Service (JAAS).
Важной функциональной возможностью обеспечения безопасности в Oracle9iAS является поддержка SSO для веб-приложений. Предприниматели проявляют внимание к SSO по многим причинам. В их число входит все более частое применение веб-приложений электронного бизнеса, которые внедряются компаниями для использования их работниками, заказчиками и партнерами. Без SSO каждый пользователь для каждого приложения, к которому он имеет доступ, должен помнить свои отдельные идентификационные данные (user identity) и пароли. Сопровождение многочисленных учетных записей и паролей для каждого пользователя снижает безопасность и увеличивает затраты на системное администрирование.
Многочисленные учетные записи и пароли снижают безопасность систем
Большинство пользователей в состоянии запомнить лишь несколько паролей. Пользователи, которые ведут больше одной учетной записи, часто выбирают легкозапоминаемые пароли, используют одинаковые пароли для разных учетных записей, при запросе на изменение паролей повторно используют те же самые пароли, записывают пароли на бумаге. Все это снижает защиту паролей. Записывание паролей на бумаге или выбор легко запоминаемых (и поэтому легко угадываемых) паролей увеличивает риск компрометации паролей. Несмотря на то, что во многих системах реализованы механизмы сопровождения паролей, которые принудительно заставляют пользователей выбирать сложные пароли или предотвращают их повторное использование, применение этих механизмов часто приводит к обратному эффекту: пользователи находят способы "победить" их, даже еще больше уменьшая безопасность системы. Например принудительно заставляя пользователей использовать случайные пароли, можно почти всегда гарантировать, что пароли будут записаны на бумаге.
Если пользователь увольняется из организации или в организации изменяется его функциональная роль, привилегии, которые он использовал для доступа к приложениям, поддерживаемым организацией, должны быть изменены. Наличие многочисленных независимых учетных записей пользователя часто означает, что при проведении организационных изменений привилегии, имеющиеся у пользователя, не приводятся в соответствие с этими изменениями. Например, учетные записи пользователя и привилегии доступа после увольнения пользователя или изменения его ролей могут продолжительное время оставаться в системе. Это открывает систему для потенциальных атак “рассерженными” бывшими сотрудниками.
Многочисленные учетные записи и пароли увеличивают затраты на системное администрирование
Сопровождение многочисленных учетных записей и паролей для каждого пользователя увеличивает затраты на системное администрирование. На многих предприятиях значительная часть времени системных администраторов тратится на решение задач, связанных с учетными записями и паролями, включая первоначальное создание пользовательских учетных записей при приеме пользователей на работу, удаление учетных записей при увольнении пользователей или изменении их ролей, переустановку паролей, когда они забываются. Наличие нескольких учетных записей у каждого пользователя увеличивает соответствующую нагрузку на системных администраторов.
В числе проблем, с которыми приходится сталкиваться системным администраторам, – доступ к многочисленным системам для добавления или удаления пользователей из каждой, с использованием для этого многочисленных, возможно, различающихся интерфейсов администрирования.
Веб-технология Oracle SSO предоставляет возможность использования единой точки входа веб-пользователями. Она разработана для работы в средах, например в таких, которые поддерживаются в Oracle9iAS, когда доступ к многочисленным веб-приложениям осуществляется через сервер приложений. Стратегия корпорации Oracle заключается в использовании разнообразных технологий применения SSO. Для растущей сферы применения веб-приложений корпорация Oracle разработала SSO-среду (SSO framework) и Oracle9iAS SSO Server, которые специально разработаны для использования SSO в веб-приложениях.
Подход, принятый при разработке Oracle SSO, имеет ряд достоинств. Он обеспечивает среду для защищенных SSO, начиная с клиентов, работающих с браузерами, и до веб-приложений, включая приложения и инструментальные средства корпорации Oracle, использующие стандартные протоколы. Он поддерживает как партнерские приложения, которые пользуются всеми возможностями SSO-среды, так и внешние приложения, поддерживая "унаследованные" системы и продукты сторонних производителей. Партнерские приложения работают в SSO-среде и для аутентификации пользователей используют соответствующий сервис SSO; внешние приложения продолжают использовать свои собственные имена пользователей и пароли. Подход Oracle9iAS SSO базируется на "куках" (cookies), которые создаются как партнерскими приложениями, так и централизованным сервером, который называется Oracle9iAS SSO Server.
Компания Unocal – ведущий заказчик корпорации Oracle, использующий Oracle9iAS. Unocal выбрала Oracle9iAS SSO для обеспечения единой точки авторизации в своем корпоративном информационном портале, myUnocal.com, и работает над глобальной реализацией этого стандарта. myUnocal предоставляет сотрудникам компании по всем миру сервисы бизнес-приложений и поддерживает цель компании, сводящуюся к консолидации бизнес-данных и сервисов. Oracle9iAS SSO позволит обеспечить однократную аутентификацию пользователей myUnocal и доступ к приложениям, работать с которыми они имеют право; при этом не нужно помнить отдельные имена пользователей и пароли для каждого приложения.
Компоненты
Oracle9iAS SSO Server
Ядром технологии Oracle SSO является Oracle9iAS SSO Server. Эта технология первоначально появилась в Oracle9iASv1 как компонент Oracle9iAS Portal, но в Oracle9iAS Release 2 SSO Server стал компонентом инфраструктуры и не требует инсталляции Oracle9iAS Portal.
Oracle9iAS SSO Server аутентифицирует пользователей и защищенным образом передает их идентификационные данные партнерским приложениям. Эти приложения при первом обращении пользователя к системе предлагают ему ввести имя пользователя и пароль (обычно это происходит один раз в день) и проверяют пароль, представленный пользователем.
Oracle9iAS SSO Server использует "куки" (cookies), которые представляют собой сформатированные строки информации, сохраняемые веб-сервером в браузере клиента. Куки позволяют веб-серверам хранить и извлекать информацию о клиентах, обеспечивая эффективное сопровождение информации о состоянии в Вебе клиента, который не "имеет гражданства". Куки поддерживаются всеми существующими в настоящее время браузерами, хотя пользователи могут отключать их (в таких случаях Oracle9iAS SSO Server не будет обеспечивать SSO). Куки могут быть постоянными, даже если отключается браузер (они сохраняются на жестком диске клиента); или они могут быть непостоянными и удаляться при отключении браузера. Когда пользователь аутентифицируется в Oracle9iAS SSO Server, сервер передает SSO-куки в браузер клиента. При последующем обращении браузера к Oracle9iAS SSO Server, наличие корректных SSO-куки подтверждает, что пользователь был аутентифицирован.
Партнерские приложения
Партнерские приложения – это приложения, которые работают в SSO-среде. Они были специально разработаны (или модифицированы) для делегирования ответственности за аутентификацию пользователей в Oracle9iAS SSO Server. Они принимают идентификационные данные пользователей, которые им предоставляет Oracle9iAS SSO Server.
Партнерские приложения пользуются преимуществами сервисов аутентификации Oracle9iAS SSO Server, поэтому им не нужны собственные модули аутентификации. В партнерских приложениях упрощается администрирование пользователей, так как для этих приложений не требуется сопровождения паролей. Таким образом, развертывание приложения как партнерского приложения может снизить затраты как на их разработку, так и на текущее администрирование.
Mod_osso
(Прим. пер. Здесь и далее mod – сокр. от module, следовательно, mod_osso – Oracle Single Sign-On module, модуль реализации единой точки входа в систему баз данных Oracle.)
Mod_osso – новое функциональное средство, введенное в Oracle9iAS Release 2. Оно является расширением Oracle HTTP Server, которое позволяет HTTP-серверу стать партнерским приложением для SSO. Приложения, работающие под управлением HTTP-сервера, такие, как сервлеты, имеют возможность получать идентификационные данные аутентификации пользователя из mod_osso в виде заголовка Apache. Поэтому mod_osso позволяет таким приложениям работать в среде Oracle9iAS SSO без необходимости встраивания в них логики, специфичной для партнерских приложений. Это рекомендуемый способ заставить работать обычные приложения Oracle9iAS с использованием возможностей Oracle9iAS SSO.
Внешние приложения
Внешние приложения – это приложения, которые продолжают использовать свои собственные имена пользователей и пароли и не делегируют ответственность за аутентификацию пользователей в Oracle9iAS SSO Server. Эти приложения не были разработаны или модифицированы для работы в SSO-среде. Типичное внешнее приложение могло быть разработано или внедрено сторонней фирмой, например, веб-сайт портала, которому для доступа к сервисам заказчиков, таким, как e-mail, требуются имена пользователей и пароли.
Внешние приложения не используют преимущества механизма аутентификации Oracle9iAS SSO Server, поэтому для них должны быть реализованы собственные модули аутентификации и организовано сопровождение паролей пользователей этих приложений. Разные внешние приложения могут иметь разные веб-формы, используемые для ввода имен пользователей и паролей, поэтому для поддержки внешних приложений может потребоваться соответствующая адаптация Oracle9iAS SSO Server. От пользователей и системных администраторов могут потребоваться некоторые специфические действия, предпринимаемые при установке и изменении имен пользователей и паролей, например ввод этой информации в специальной регистрационной странице. Создание таких страниц может потребовать разработки соответствующих функциональных средств в Oracle9iAS SSO Server.
Предпочтительно использовать приложения с применением mod_osso или как партнерские приложения, но модификация существующих приложений может оказаться практически нецелесообразной. Именно по этой причине в Oracle9iAS SSO Server поддерживаются внешние приложения. Поддержка в Oracle9iAS SSO Server как партнерских, так и внешних приложений предоставляет системным интеграторам максимальную гибкость, так как и новые приложения, и "унаследованные" веб-приложения могут поддерживаться одной SSO-средой.
Функциональный обзор
Первоначальная аутентификация
Когда пользователь первый раз пытается обратиться к партнерскому приложению, оно перенаправляет его в Oracle9iAS SSO Server. Oracle9iAS SSO Server проверяет, имеет ли пользователь корректный набор SSO-куков; если не имеет, выполняется аутентификация пользователя и он должен предоставить свое имя пользователя и пароль. Затем Oracle9iAS SSO Server проверяет пароль и устанавливает в браузере пользователя SSO-куки. Эти куки будут использоваться для аутентификации клиента при дальнейшем взаимодействии пользователя с Oracle9iAS SSO Server по HTTP-протоколу.
Oracle9iAS SSO Server шифрует SSO-куки, поэтому их не смогут прочитать посторонние. После истечения определенного периода времени, устанавливаемого администратором (обычно 8 часов), срок действия куков прекращается; то же самое происходит, когда пользователь отключает свой браузер. В отличие от партнерских куков, SSO-куки не могут быть постоянными, они удаляются при каждом отключении браузера.
Рис. 1. Аутентификация партнерского приложения с Oracle9iAS SSO Server.
Заметим, все взаимодействие между Oracle9iAS SSO Server, браузером клиента и приложением осуществляется по стандартному HTTP-протоколу. Кроме поддержки куков, никаких специальных требований к клиентам не предъявляется. Рекомендуется между Oracle9iAS SSO Server и клиентом включать протокол SSL, что позволит предотвратить перехват имен пользователей, паролей и SSO-куков и их возможное использование для несанкционированного доступа к Oracle9iAS SSO Server.
[Прим. А.Соколова: Secure Sockets Layer [Level] – уровень защищённых гнёзд (сокетов), протокол безопасных соединений, протокол SSL # Спецификация протокола для передачи через Интернет зашифрованных, аутентифицированных сообщений, разработанная фирмой Netscape Communications. Версия протокола SSL 2.0 принята в качестве стандарта IETF и широко применяется для проверки полномочий и шифрования данных на транспортном уровне при работе веб-браузера с веб-сервером.]
Аутентификация с партнерскими приложениями
После аутентификации пользователя и установки SSO-куки Oracle9iAS SSO Server направляет пользователя назад в партнерское приложение (в URL партнерского приложения) вместе с зашифрованным маркером, который содержит идентификационный данные пользователя. Этот маркер шифруется по ключу, который известен только Oracle9iAS SSO Server и партнерскому приложению, что позволяет партнерскому приложению убедиться в подлинности маркера и в том, что он был создан Oracle9iAS SSO Server.
Когда партнерское приложение получит и дешифрирует URL-маркер, оно сможет определить, получил ли аутентифицированный пользователь право доступа к приложению. Для предоставления права доступа оно устанавливает куки партнерского приложения в браузере пользователя. Куки партнерского приложения позволяют приложению идентифицировать пользователя-клиента и предоставлять ему право доступа без необходимости перенаправления пользователя в Oracle9iAS SSO Server для аутентификации. Срок действия куков партнерского приложение, как и SSO-куков, прекращается после истечения определенного (в зависимости от приложения) периода времени. В отличие от SSO-куков куки партнерского приложения могут быть постоянными или непостоянными (могут сохраняться после отключения браузера). Сроки действия куков партнерского приложения определяются приложением и могут отличаться от сроков действия SSO-куков.
Так же как и для SSO-куков, для защиты обмена между браузером и партнерским приложением рекомендуется использовать SSL-шифрование.
Аутентификация с внешними приложениями
Внешние приложения не могут получать аутентифицированные идентификационные данные непосредственно из Oracle9iAS SSO Server. Oracle9iAS SSO Server предоставляет SSO для внешних приложений, которые поддерживают аутентификацию через веб-формы. Oracle9iAS SSO Server предоставляет SSO для внешних приложений с помощью защищенного механизма хранения паролей. Имена пользователей и пароли для конкретных приложений хранятся в таблице Oracle9iAS SSO Server. Доступ к этой таблице разрешен только Oracle9iAS SSO Server, кроме того, пароли хранятся в зашифрованном виде. Когда пользователю, аутентифицированному Oracle9iAS SSO Server, требуется доступ к внешнему приложению, Oracle9iAS SSO Server извлекает имя и пароль пользователя для данного приложения из хранилища паролей, форматирует их в соответствующей веб-форме и отправляет в приложение. Все это делается незаметно для пользователя.
Заметим, для предотвращения раскрытия паролей в сети при обмене между Oracle9iAS SSO Server и внешними приложениями можно использовать SSL-шифрование.
Интеграция с LDAP
Каталоги, поддерживаемые LDAP (Lightweight Directory Access Protocol – облегченный (упрощенный) протокол доступа к [сетевым] каталогам, протокол LDAP), все чаще и чаще используются в качестве единого источника информации о пользователях на уровне предприятия. Эти каталоги представляют собой удобный механизм автоматического предоставления информации и сопровождения пользователей, использующих на предприятии многочисленные приложения или серверы. Это связано с тем, что LDAP получил широкое распространение и поддержку, является стандартным протоколом в Интернете, а также с тем, что LDAP-каталоги могут быть использованы как удобный единый источник информации о пользователях, доступный по всему предприятию. В частности, для такого применения предназначен OID (Oracle Internet Directory – интернет-каталог Oracle), так как он представляет собой защищенный, масштабируемый, высокопроизводительный и обладающий высокой доступностью сервис каталогов (более подробно об OID см. раздел “Защита каталогов с помощью OID”).
Oracle9iAS SSO Server проверяет имена пользователей и пароли, зарегистрированные для работы с SSO, используя OID. Когда пользователь в процессе первоначальной аутентификации предоставляет имя пользователя и пароль, зарегистрированные для работы с SSO, Oracle9iAS SSO Server сравнивает их с теми, которые содержатся в OID. Если они совпадают, считается, что имя пользователя и пароль, зарегистрированные для работы с SSO, проверены. Заметим, в Oracle9iASv1 сопровождение идентификационных данных пользователей в OID было необязательным, тогда как в Oracle9iAS Release 2 оно стало выполняться по умолчанию. Сопровождение имен пользователей и паролей в OID –согласованная со всей платформой Oracle9i (СУБД и сервер приложений) стратегия сопровождения информации о пользователях для всех компонентов в одном, стандартном, централизованном LDAP-репозитории.
В Oracle9iAS Release 2 в OID предусмотрена возможность расширяемой аутентификации с помощью Password Verifier API (интерфейс прикладного программирования для верификации паролей). Password Verifier API позволяет OID принимать аутентификационные данные пользователя в виде <имя пользователя>/<верификатор пароля> и проверять их достоверность, используя механизмы аутентификации сторонних производителей или созданные заказчиками. Oracle9iAS SSO использует OID для проверки аутентификационных данных, поэтому Password Verifier API в OID обеспечивает расширяемую аутентификацию в Oracle9iAS SSO и позволяет поддерживать различные способы аутентификации.
Интеграция с продуктами сторонних производителей
В Oracle9iAS SSO для интеграции со средствами сторонних производителей для аутентификации и организации единых точек авторизации предусмотрен соответствующий API (Application Programming Interface – интерфейс прикладного программирования); эта возможность появилась в Oracle9iASv1.0.2.2.Этот API позволяет конфигурировать SSO для получения аутентификационных данных пользователей от доверенных внешних средств аутентификации, что позволяет интегрировать Oracle9iAS в SSO-среду, поддерживаемую продуктами сторонних производителей, такими, как Siteminder® компании Netegrity, Inc.
Поддержка PKI
(Прим. пер. PKI – Public Key Infrastructure, инфраструктура открытых ключей. Представляет собой набор средств и правил управления ключами, используемыми, в частности, в алгоритмах асимметричного шифрования.)
PKI-аутентификация начинается с замены паролей во многих приложениях. В веб-приложениях PKI-аутентификация обычно выполняется в процессе создания SSL-сеанса посредством обмена сертификатами формата X.509. PKI сама по себе может быть использована для обеспечения SSO, так как пользователь с сертификатом может быть аутентифицирован многочисленными приложениями без ввода пароля.
В Oracle9iAS Release 2 пользователи могут аутентифицироваться с Oracle9iAS SSO Server через PKI. Это обеспечивает SSO как для веб-приложений, поддерживаемых Oracle9iAS SSO Server, так и для других приложений, использующих PKI. Вместо предоставления имени пользователя и пароля, зарегистрированных для работы с SSO, пользователи могут аутентифицироваться с Oracle9iAS HTTP Server через протокол SSL, когда клиент и сервер обмениваются сертификатами по формату X.509. Oracle9iAS SSO Server получит сертификат пользователя, проверенный в SSL, от HTTP Server и будет искать этот сертификат в интернет-каталоге Oracle (OID). Если пользователь будет найден, OID возвратит идентификационные данные SSO-пользователя в Oracle9iAS SSO Server. Аутентификация с партнерскими и внешними приложениями затем будет выполняться Oracle9iAS SSO Server с помощью куков, описанных выше.
Достоинства этого подхода заключаются в том, что приложения, работающие в среде Oracle9iAS SSO Server, будут автоматически подключены к PKI, если в Oracle9iAS SSO Server используется PKI. Oracle9iAS SSO Server и OID несут ответственность за сопоставление имен. Более того, получение и проверка куков требует намного меньше обработки по сравнению с протоколом SSL, использование PKI для начальной аутентификации с SSO-средой и куков для аутентификации с партнерскими приложениями должно иметь более высокую производительность по сравнению с подходом, когда для аутентификации используется только PKI. Веб-приложению, которое характеризуется большим количеством кратковременных сеансов, это позволит существенно повысить производительность и пропускную способность сервера.
В конечном счете, использование PKI в Oracle9iAS SSO Server – это стратегия корпорации Oracle, позволяющая пользователям аутентифицироваться с Oracle Applications с помощью PKI. Поскольку Oracle Applications находятся в SSO-среде через Application Portlet в Oracle9iAS Portal, поддержка PKI в Oracle9iAS SSO разрешает использоватьPKI-аутентификацию и в Oracle Applications.
Другие усовершенствования информационной безопасности
В Oracle9iAS Release 2 в SSO имеется еще ряд усовершенствований, которые повышают гибкость и защиту SSO-решения. Среди них: единая точка выхода (Single Sign-Off), поддержка "параноидальных" приложений и обнаружение глобальной бездеятельности.
Единая точка выхода
Единая точка выхода позволяет пользователям не только завершать SSO-сеанс, но также завершать сеансы с партнерскими приложениями. Эта возможность имеет важное значение, так как период возникновения тайм-аута партнерского приложения может быть более продолжительным, чем период возникновения тайм-аута SSO-сеанса, поэтому пользователь, не имея действующего SSO-сеанса, сможет иметь действующий сеанс с партнерским приложением, если куки партнерского приложения имеют более продолжительный срок действия куков по сравнению с SSO-куками. Единая точка выхода позволяет пользователям завершить SSO-сеанс и все партнерские приложения одним действием, например, перед уходом домой в конце рабочего дня.
Поддержка "параноидальных" приложений
[Прим. А.Соколова: Режим политики безопасности или уровень защиты в некоторых сетевых средствах защиты, среди которых: Trusting (доверительный), Cautious (умеренная предосторожность), Nervous (преувеличенная предосторожность) и Paranoid (мания преследования). Обычно по умолчанию устанавливается режим Cautious.]
Поддержка "параноидальных" приложений позволяет партнерским приложениям принудительно заставить SSO-сервер повторить аутентификацию пользователя, даже если SSO-куки все еще остаются корректными. До появления этого средства при завершении сеанса партнерского приложения по тайм-ауту, когда SSO-сеанс еще действует, партнерское приложение должно было перенаправлять пользователя в SSO-сервер, который просто возвращал идентификационные данные пользователя без его повторной аутентификации. Возможность поддержки параноидальных приложений позволяет особо конфиденциальным (“параноидальным”) приложениям требовать более частой повторной аутентификации, чем это обеспечивает SSO-сервер. Это также позволяет выполнять аутентификацию, управляемую событиями, поскольку пользователь после выполнения в приложении некоторых особо конфиденциальных действий будет обязан выполнить повторную аутентификацию.
Обнаружение глобальной бездеятельности
С помощью средства поддержки параноидальных приложений, описанного выше, партнерские приложения могут завершать свои сеансы по тайм-ауту, возникающему из-за бездействия. В Oracle9iAS Release 2 также можно конфигурировать обнаружение глобальной бездеятельности, при обнаружении которой SSO-сеансы будут завершаться по тайм-ауту. Эта возможность может быть использована для проведения политики безопасности, которая будет требовать повторной аутентификации пользователей после простоя в течение заданного периода времени.
Интеграция с трехзвенной архитектурой
Oracle9iAS SSO Server поддерживает SSO для веб-клиентов, обращающихся к веб-серверам. Веб-серверы во все возрастающем количестве используются в качестве среднего звена в трехзвенной архитектуре, в которой они обеспечивают доступ к последнему звену, серверу базы данных. Пользователи веб-приложений, которым требуется доступ к базе данных, не должны для этого предоставлять имена пользователей базы данных и пароли. Oracle9iAS SSO Server не поддерживает приложения, не работающие в Вебе, тем не менее в СУБД Oracle9i включены средства, специально разработанные для поддержки защищенного доступа к базам данным в трехзвенной архитектуре. Более подробно об этом см. в официальных документах корпорации Oracle: “Securing Three-Tier Systems with Oracle8i” (защита трехзвенных систем в Oracle8i) и “Database Security in Oracle8i” (информационная безопасность систем баз данных Oracle8i).
Oracle9iAS SSO обеспечивает среду аутентификации, которая может быть весьма полезна при внедрении многочисленных веб-приложений. SSO повышает квалификацию пользователей, уменьшает затраты на разработку приложений, так как приложениям не нужны собственные механизмы аутентификации, снижает затраты системного администрирования и повышает системную безопасность, поскольку проблемы, связанные с многочисленными паролями, устраняются.
Дополнительная информация
За дополнительной информацией обращайтесь в компанию Interface Ltd.
INTERFACE Ltd. |
|