2008/09/25

Oracle Fusion: OWSM

Ik moest toch naar de Oracle Fusion stack kijken, dus ik dacht laat ik maar direct een samenvatting maken van de verschillende producten.
Het eerste is de Oracle Web Service Manager.

Wat biedt het?
• Centraal configuratie van policies m.b.t. web services (LDAP directory of Oracle’s Access Manager(OAM))
• Enforce deze policies runtime
• Monitoren van runtime security evenst en SLAs in grafieken

Bij web services security spelen de volgende zaken een rol:
• Authenticatie – Is degene wel wie die zegt dat hij is, gebaseerd op credentials (user name, paswoord)
• Authorisatie – Een gebruiker toegang geven tot bepaalde resources gebaseerd op de gebruiker entitlements (property/karakterestiek van een gebruiker).
• Confidentiality – Zorgen dat de data niet gelezen kan worden, dmv encryptie. Ook hoort hierbij de identiteit van de sturende en ontvangende partij(privacy).
• Integrity – Zorgen dat een bericht niet kan worden aangepast

OWSM maakt gebruik van Public Key Infrastructure (PKI) omgevingen (ga ik hier verder niet op in).
De security requirements worden op transport nivo ondersteund (SSL) en op applicatie nivo (maken gebruik van XML frameworks, bijv WS-Security).
SSL zorgt voor authenticatie, confidentiality, integrity, secure key exchange tussen client en server. SSL zorgt voor point-to-point security maar geen end-to-end.

Wat gebeurt er op applicatie nivo?
Confidentiality wordt bereikt door gebruik van XML Encryption (= XML standaard).
Data integriteit en authenticatie maken gebruik van XML Signature (=XML standaard).
WS-Security definieerd hoe XML Signature en XML Encryption aan SOAP headers worden toegevoegd en heeft profiles voor 5 security tokens: Username (met password digest), X.509 certificaat, Kerberos ticket, Security Assertion Markup Language (SAML)asserties en REL document.

OWSM gebruikt 3 main operaties voor configuratie:
1) Define policies, bijv Log Incoming Message, Extract Credentials, Encrypt, Sign).
2) Enforce Policy Enforcement Points (PEPs) voor management policies.
3) Monitor voor tracking (in charts) runtime security en mgt events opgevangen door OWSM

OWSM gebruikt hiervoor de pipeline metafoor. Je definieerd dus wat er met request gebeurt en voor de response. De OWSM Gateway (of Agent) onderschept een web service request, voert de stappen uit van de request pipeline en forward (als alles goed is gegaan) de request naar de service request provider. Bij de response gebeurt iets soortgelijks. Het is ook mogelijk om custom steps, die niet out-of-the-box worden geleverd, te maken.


De gateway en/of Agents (ook bekend als PEPs) gebruiken de Policy Manager voor nieuwe policies (pull). Je hebt client en server Agents, die gebruikt worden bij respectievelijk een service client en service provider. Een gateway wordt meestal gedeployed aan de kant van de service provider in de zogenaamde DMZ (demilitarized zone).


Verschillende setups:
• Protecting web services dmv gateway


• Een webservice client en web service provider gebruiken verschillende credentials (client gebruikt username/password, provider SAML assertion).


• End-to-end security met Oracle Access Manager (OAM)


1 – Browser accesses application
2 – OAM agent (WebGate) vraagd om credentials, WebGate authenticeerd bij OAM en OAM genereerd sessie token
3 – De applicatie haalt cookie uit de sessie en zet dit in SOAP header en maakt de SOAP call
4 – Credentials in de SOAP header worden vervangen door SAML asserties en maakt forwards de SOAP call
5 – SAML assertie wordt gevalideerd en de web service call wordt gemaakt

No comments:

Post a Comment