SlideShare uma empresa Scribd logo

Propagação de Identidades

Transferir como PPT, PDF
A
acsvianabr

Propagação de identidades do browser até o banco de dados em ambientes n camadas

1 de 24
<Insert Picture Here> Propagação de Identidades em Ambientes N Camadas alexandre.viana@oracle.com MCSO 1.086/10
Agenda. • Rastreabilidade com Pool de Conexões • Propagação de Credenciais • CLIENT_IDENTIFIER • PROXY USER • ENTERPRISE USER • Restrições • Perguntas e Respostas
Rastreabilidade com pool de conexões ? • Quem é o usuário real ? • O usuário do pool possui privilégios em excesso ? • Posso evitar que os usuários acessem os dados diretamente ? • Como/Quem devo auditar ? Client A Client A, B, or C? Client B Client C DatabaseDatabase ApplicationApplication ServerServer
Propagação de Credenciais • Oracle Database possui vários mecanismos para propagação de credenciais a partir de um pool de conexões • CLIENT_IDENTIFIER • Proxy User • Enterprise User • Disponível em várias linguagens • PL/SQL • C/C++ • .NET e VB • Java
CLIENT_IDENTIFIER • Viabiliza a propagação da credencial do usuário através de variável de contexto • Aplicação é responsável pelo valor da variável de contexto CLIENT_IDENTIFER • Variável de contexto CLIENT_IDENTIFIER é propagada para as trilhas de auditoria do Oracle Database • Compatível com aplicações client/server ou n-tier
CLIENT_IDENTIFIER • PL/SQL • DBMS_SESSION.SET_IDENTIFIER CREATE OR REPLACE TRIGGER LOGON_TRIGGER AFTER LOGON ON DATABASE DECLARE UID VARCHAR2(64); BEGIN SELECT SYS_CONTEXT('USERENV', 'OS_USER') INTO UID FROM DUAL; DBMS_SESSION.SET_IDENTIFIER(UID);DBMS_SESSION.SET_IDENTIFIER(UID); END LOGON_TRIGGER;
CLIENT_IDENTIFIER • C/C++ • OCIAttrSet() • OCI_ATTR_CLIENT_IDENTIFIER • Exemplos • Oracle® Call Interface Programmer's Guide, 10g Release 2 (10.2) • Capítulo 8
CLIENT_IDENTIFIER • ODP.NET • OracleConnection • Pool de Conexões OracleConnection con = new OracleConnection(); con.ConnectionString = “UserId=scott; Password=tiger; DataSource=oracle;” + “ClientId=AVIANAClientId=AVIANA"; con.Open();
CLIENT_IDENTIFIER • JDBC 10g e 11g • OracleConnection.setClientIdentifier(); • OracleConnection.clearClientIdentifier(); Context ctx = new InitialContext(); ds = (OracleDataSource) ctx.lookup("jdbc/HRCoreDS"); conn = (OracleConnection) ds.getConnection(); conn.setClientIdentifier(conn.setClientIdentifier(““AVIANAAVIANA””);); … conn.clearClientIdentifier(conn.clearClientIdentifier(““AVIANAAVIANA””););
D E M O N S T R A Ç Ã O
CLIENT_IDENTIFIER • Baixo impacto • Fácil implementação • Não permite o controle de privilégios, somente propagação das credenciais • Habilita recursos avançados do Oracle Database • Virtual Private Database • Label Security • Log Miner
Proxy User • Aplicação estabelece pool de conexão através de um usuário proxy com privilégios restritos • Durante execução aplicação conecta o usuário real através do usuário proxy • Privilégios podem ser configurados pela aplicação no momento da conexão do usuário real • Proxy Connections podem ser reutilizadas pelo mesmo usuário real • Informações sobre o usuário real são propagadas para as trilhas de auditoria do Oracle Database.
Proxy User • C/C++ • OCIAttrSet() • OCI_ATTR_USERNAME • OCI_ATTR_PROXY_CREDENTIALS • OCI_ATTR_INITIAL_CLIENT_ROLES • Exemplos • Oracle® Call Interface Programmer's Guide, 10g Release 2 (10.2) • Capítulo 8
Proxy User • ODP.NET • OracleConnection • Pool de Conexões OracleConnection con = new OracleConnection(); con.ConnectionString = "User Id=sinesio;Password=welcome1;" + "Data Source=oracle; Proxy User Id=proxy; Proxy Password=welcome1; "; con.Open();
Proxy User • JDBC Pré 10g • OracleOCIConnectionPool • JDBC 10g e 11g • OracleConnection.openProxySession(); Context ctx = new InitialContext(); ds = (OracleDataSource) ctx.lookup("jdbc/HRCoreDS"); conn = (OracleConnection) ds.getConnection(); Properties prop = new Properties(); prop.put(OracleConnection.PROXY_USER_NAME,username); conn.openProxySessionconn.openProxySession (OracleConnection.PROXYTYPE_USER_NAME, prop);(OracleConnection.PROXYTYPE_USER_NAME, prop);
D E M O N S T R A Ç Ã O
Proxy User • Implementação mais trabalhosa • Requer alteração nas aplicações • Requer alteração no banco de dados • Viabiliza o controle de privilégios via aplicação • Habilita recursos avançados do Oracle Database • Virtual Private Database • Label Security • Log Miner
Enterprise User • Usuário e privilégios administrados partir de um diretório LDAP. APP_GUESTAPP_GUEST SHARED SCHEMASHARED SCHEMA HR_SCHEMAHR_SCHEMA EO_SCHEMAEO_SCHEMA FRED Enterprise User HR_MGR Enterprise Role Mary Enterprise User OE_MGR Enterpise Role LDAPLDAP Enterprise UsersEnterprise Users Enterprise RolesEnterprise Roles Global RolesGlobal Roles Global RolesGlobal Roles
D E M O N S T R A Ç Ã O
Enterprise User • Implementação mais trabalhosa • Requer alteração nas aplicações • Requer alteração no banco de dados • Requer implantação do Oracle Internet Directory • Ganhos significativos de administração • Usuários • Privilégios • Administração Unificada a partir de um LDAP • Habilita recursos avançados do Oracle Database • Virtual Private Database • Label Security • Log Miner
Observações e Restrições • Pool de Conexões • Gerenciado pelo Servidor • Servidor deve suporta driver nativo oracle • Gerenciado pela Aplicação • Simples customização • EJB • Implementação viável somente para BMP • Frameworks de Persistência • Oracle TopLink (EclipseLink) • Suporte Nativo • Hibernate • Via customização do ConnectionProvider
Sugestão de Implementação Oracle Identity Manager + Enterprise Users HRMS Reconciliação Regras WorkflowGruposMeta-diretório Auto Atendimento Gestor Aprovador Solicitação Eletrônica Colaborador Externo Active Directory ExchangeServidor ANS OID
R P&
Propagação de Identidades

Recomendados

TDC 2015 - Segurança em Recursos RESTful com OAuth2
TDC 2015 - Segurança em Recursos RESTful com OAuth2TDC 2015 - Segurança em Recursos RESTful com OAuth2
TDC 2015 - Segurança em Recursos RESTful com OAuth2Rodrigo Cândido da Silva
 
Formas de autenticação tomcat
Formas de autenticação tomcatFormas de autenticação tomcat
Formas de autenticação tomcatSOL7 - Tecnologia de Decisão
 
GUJavaSC - Mini-curso Java EE
GUJavaSC - Mini-curso Java EEGUJavaSC - Mini-curso Java EE
GUJavaSC - Mini-curso Java EERodrigo Cândido da Silva
 
QCon 2015 - Combinando AngularJS com Java EE
QCon 2015 - Combinando AngularJS com Java EEQCon 2015 - Combinando AngularJS com Java EE
QCon 2015 - Combinando AngularJS com Java EERodrigo Cândido da Silva
 
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2Rodrigo Cândido da Silva
 
JavaOne LATAM 2016 - RESTful Services Simplificado com Spring Data REST
JavaOne LATAM 2016 - RESTful Services Simplificado com Spring Data RESTJavaOne LATAM 2016 - RESTful Services Simplificado com Spring Data REST
JavaOne LATAM 2016 - RESTful Services Simplificado com Spring Data RESTRodrigo Cândido da Silva
 
GUJavaSC - Unit Testing com Java EE
GUJavaSC - Unit Testing com Java EEGUJavaSC - Unit Testing com Java EE
GUJavaSC - Unit Testing com Java EERodrigo Cândido da Silva
 
JavaOne LATAM 2016 - Combinando AngularJS com Java EE
JavaOne LATAM 2016 - Combinando AngularJS com Java EEJavaOne LATAM 2016 - Combinando AngularJS com Java EE
JavaOne LATAM 2016 - Combinando AngularJS com Java EERodrigo Cândido da Silva
 

Recomendados

TDC 2015 - Segurança em Recursos RESTful com OAuth2
TDC 2015 - Segurança em Recursos RESTful com OAuth2TDC 2015 - Segurança em Recursos RESTful com OAuth2
TDC 2015 - Segurança em Recursos RESTful com OAuth2Rodrigo Cândido da Silva
 
Formas de autenticação tomcat
Formas de autenticação tomcatFormas de autenticação tomcat
Formas de autenticação tomcatSOL7 - Tecnologia de Decisão
 
GUJavaSC - Mini-curso Java EE
GUJavaSC - Mini-curso Java EEGUJavaSC - Mini-curso Java EE
GUJavaSC - Mini-curso Java EERodrigo Cândido da Silva
 
QCon 2015 - Combinando AngularJS com Java EE
QCon 2015 - Combinando AngularJS com Java EEQCon 2015 - Combinando AngularJS com Java EE
QCon 2015 - Combinando AngularJS com Java EERodrigo Cândido da Silva
 
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2Rodrigo Cândido da Silva
 
JavaOne LATAM 2016 - RESTful Services Simplificado com Spring Data REST
JavaOne LATAM 2016 - RESTful Services Simplificado com Spring Data RESTJavaOne LATAM 2016 - RESTful Services Simplificado com Spring Data REST
JavaOne LATAM 2016 - RESTful Services Simplificado com Spring Data RESTRodrigo Cândido da Silva
 
GUJavaSC - Unit Testing com Java EE
GUJavaSC - Unit Testing com Java EEGUJavaSC - Unit Testing com Java EE
GUJavaSC - Unit Testing com Java EERodrigo Cândido da Silva
 
JavaOne LATAM 2016 - Combinando AngularJS com Java EE
JavaOne LATAM 2016 - Combinando AngularJS com Java EEJavaOne LATAM 2016 - Combinando AngularJS com Java EE
JavaOne LATAM 2016 - Combinando AngularJS com Java EERodrigo Cândido da Silva
 
10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleASacsvianabr
 
Weblogic Server
Weblogic ServerWeblogic Server
Weblogic Serveracsvianabr
 
Classificação da Informação
Classificação da InformaçãoClassificação da Informação
Classificação da Informaçãoacsvianabr
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeNatanael Simões
 
The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...Brian Solis
 
Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)maditabalnco
 
The Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post FormatsThe Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post FormatsBarry Feldman
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome EconomyHelge Tennø
 
GUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaRodrigo Cândido da Silva
 
Implementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil
Implementando APIs seguras na nuvem - Outubro-2018 - Azure BrasilImplementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil
Implementando APIs seguras na nuvem - Outubro-2018 - Azure BrasilRenato Groff
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014Tiago Marchetti Dolphine
 
Oracle - Identity Manager
Oracle - Identity ManagerOracle - Identity Manager
Oracle - Identity ManagerThiago Gutierri
 
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6Dr. Spock
 
CDI Extensions e DeltaSpike
CDI Extensions e DeltaSpikeCDI Extensions e DeltaSpike
CDI Extensions e DeltaSpikeRafael Benevides
 
Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Fabio Vieira Mello
 
TDC 2016 - Simplificando a segurança de sua aplicação com Java EE
TDC 2016 - Simplificando a segurança de sua aplicação com Java EETDC 2016 - Simplificando a segurança de sua aplicação com Java EE
TDC 2016 - Simplificando a segurança de sua aplicação com Java EELeonardo Zanivan
 
API de segurança do Java EE 8
API de segurança do Java EE 8API de segurança do Java EE 8
API de segurança do Java EE 8Helder da Rocha
 
Web Services
Web ServicesWeb Services
Web ServicesEdson Yanaga
 
MySQL Profiling com Enterprise Monitor
MySQL Profiling com Enterprise Monitor MySQL Profiling com Enterprise Monitor
MySQL Profiling com Enterprise Monitor MySQL Brasil
 
JSR 375 Segurança em Java EE 8
JSR 375 Segurança em Java EE 8JSR 375 Segurança em Java EE 8
JSR 375 Segurança em Java EE 8Helder da Rocha
 
GUJavaSC - Combinando Micro-serviços com Práticas DevOps
GUJavaSC - Combinando Micro-serviços com Práticas DevOpsGUJavaSC - Combinando Micro-serviços com Práticas DevOps
GUJavaSC - Combinando Micro-serviços com Práticas DevOpsRodrigo Cândido da Silva
 
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dados
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dadosSQLCLR: Transformando o SQL Server em algo muito além de um banco de dados
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dadosDirceu Resende
 

Mais conteúdo relacionado

Destaque

10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleASacsvianabr
 
Weblogic Server
Weblogic ServerWeblogic Server
Weblogic Serveracsvianabr
 
Classificação da Informação
Classificação da InformaçãoClassificação da Informação
Classificação da Informaçãoacsvianabr
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeNatanael Simões
 
The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...Brian Solis
 
Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)maditabalnco
 
The Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post FormatsThe Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post FormatsBarry Feldman
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome EconomyHelge Tennø
 

Destaque (8)

10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS
 
Weblogic Server
Weblogic ServerWeblogic Server
Weblogic Server
 
Classificação da Informação
Classificação da InformaçãoClassificação da Informação
Classificação da Informação
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de Rede
 
The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...
 
Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)
 
The Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post FormatsThe Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post Formats
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome Economy
 

Semelhante a Propagação de Identidades

Implementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil
Implementando APIs seguras na nuvem - Outubro-2018 - Azure BrasilImplementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil
Implementando APIs seguras na nuvem - Outubro-2018 - Azure BrasilRenato Groff
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014Tiago Marchetti Dolphine
 
Oracle - Identity Manager
Oracle - Identity ManagerOracle - Identity Manager
Oracle - Identity ManagerThiago Gutierri
 
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6Dr. Spock
 
CDI Extensions e DeltaSpike
CDI Extensions e DeltaSpikeCDI Extensions e DeltaSpike
CDI Extensions e DeltaSpikeRafael Benevides
 
Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Fabio Vieira Mello
 
TDC 2016 - Simplificando a segurança de sua aplicação com Java EE
TDC 2016 - Simplificando a segurança de sua aplicação com Java EETDC 2016 - Simplificando a segurança de sua aplicação com Java EE
TDC 2016 - Simplificando a segurança de sua aplicação com Java EELeonardo Zanivan
 
API de segurança do Java EE 8
API de segurança do Java EE 8API de segurança do Java EE 8
API de segurança do Java EE 8Helder da Rocha
 
MySQL Profiling com Enterprise Monitor
MySQL Profiling com Enterprise Monitor MySQL Profiling com Enterprise Monitor
MySQL Profiling com Enterprise Monitor MySQL Brasil
 
JSR 375 Segurança em Java EE 8
JSR 375 Segurança em Java EE 8JSR 375 Segurança em Java EE 8
JSR 375 Segurança em Java EE 8Helder da Rocha
 
GUJavaSC - Combinando Micro-serviços com Práticas DevOps
GUJavaSC - Combinando Micro-serviços com Práticas DevOpsGUJavaSC - Combinando Micro-serviços com Práticas DevOps
GUJavaSC - Combinando Micro-serviços com Práticas DevOpsRodrigo Cândido da Silva
 
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dados
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dadosSQLCLR: Transformando o SQL Server em algo muito além de um banco de dados
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dadosDirceu Resende
 
DataLakers 2018 Qmeeting - São Paulo
DataLakers 2018 Qmeeting - São PauloDataLakers 2018 Qmeeting - São Paulo
DataLakers 2018 Qmeeting - São PauloEduardo Hahn
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Renato Groff
 
2019 - GUOB MeetUp - Journey to Cloud and DBA Career
2019 - GUOB MeetUp - Journey to Cloud and DBA Career2019 - GUOB MeetUp - Journey to Cloud and DBA Career
2019 - GUOB MeetUp - Journey to Cloud and DBA CareerMarcus Vinicius Miguel Pedro
 

Semelhante a Propagação de Identidades (20)

GUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em Java
 
Implementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil
Implementando APIs seguras na nuvem - Outubro-2018 - Azure BrasilImplementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil
Implementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
 
Oracle - Identity Manager
Oracle - Identity ManagerOracle - Identity Manager
Oracle - Identity Manager
 
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6
TDC2012: Explorando os conceitos básicos da API de CDI do Java EE 6
 
CDI Extensions e DeltaSpike
CDI Extensions e DeltaSpikeCDI Extensions e DeltaSpike
CDI Extensions e DeltaSpike
 
Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!
 
TDC 2016 - Simplificando a segurança de sua aplicação com Java EE
TDC 2016 - Simplificando a segurança de sua aplicação com Java EETDC 2016 - Simplificando a segurança de sua aplicação com Java EE
TDC 2016 - Simplificando a segurança de sua aplicação com Java EE
 
API de segurança do Java EE 8
API de segurança do Java EE 8API de segurança do Java EE 8
API de segurança do Java EE 8
 
Web Services
Web ServicesWeb Services
Web Services
 
MySQL Profiling com Enterprise Monitor
MySQL Profiling com Enterprise Monitor MySQL Profiling com Enterprise Monitor
MySQL Profiling com Enterprise Monitor
 
JSR 375 Segurança em Java EE 8
JSR 375 Segurança em Java EE 8JSR 375 Segurança em Java EE 8
JSR 375 Segurança em Java EE 8
 
GUJavaSC - Combinando Micro-serviços com Práticas DevOps
GUJavaSC - Combinando Micro-serviços com Práticas DevOpsGUJavaSC - Combinando Micro-serviços com Práticas DevOps
GUJavaSC - Combinando Micro-serviços com Práticas DevOps
 
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dados
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dadosSQLCLR: Transformando o SQL Server em algo muito além de um banco de dados
SQLCLR: Transformando o SQL Server em algo muito além de um banco de dados
 
Apresentação MySQL Enterprise
Apresentação MySQL EnterpriseApresentação MySQL Enterprise
Apresentação MySQL Enterprise
 
DataLakers 2018 Qmeeting - São Paulo
DataLakers 2018 Qmeeting - São PauloDataLakers 2018 Qmeeting - São Paulo
DataLakers 2018 Qmeeting - São Paulo
 
Datalakers 2018 Qmeeting
Datalakers 2018 QmeetingDatalakers 2018 Qmeeting
Datalakers 2018 Qmeeting
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
 
2019 - GUOB MeetUp - Journey to Cloud and DBA Career
2019 - GUOB MeetUp - Journey to Cloud and DBA Career2019 - GUOB MeetUp - Journey to Cloud and DBA Career
2019 - GUOB MeetUp - Journey to Cloud and DBA Career
 
What's New On Azure IaaS
What's New On Azure IaaSWhat's New On Azure IaaS
What's New On Azure IaaS
 

Propagação de Identidades

  • 1. <Insert Picture Here> Propagação de Identidades em Ambientes N Camadas alexandre.viana@oracle.com MCSO 1.086/10
  • 2. Agenda. • Rastreabilidade com Pool de Conexões • Propagação de Credenciais • CLIENT_IDENTIFIER • PROXY USER • ENTERPRISE USER • Restrições • Perguntas e Respostas
  • 3. Rastreabilidade com pool de conexões ? • Quem é o usuário real ? • O usuário do pool possui privilégios em excesso ? • Posso evitar que os usuários acessem os dados diretamente ? • Como/Quem devo auditar ? Client A Client A, B, or C? Client B Client C DatabaseDatabase ApplicationApplication ServerServer
  • 4. Propagação de Credenciais • Oracle Database possui vários mecanismos para propagação de credenciais a partir de um pool de conexões • CLIENT_IDENTIFIER • Proxy User • Enterprise User • Disponível em várias linguagens • PL/SQL • C/C++ • .NET e VB • Java
  • 5. CLIENT_IDENTIFIER • Viabiliza a propagação da credencial do usuário através de variável de contexto • Aplicação é responsável pelo valor da variável de contexto CLIENT_IDENTIFER • Variável de contexto CLIENT_IDENTIFIER é propagada para as trilhas de auditoria do Oracle Database • Compatível com aplicações client/server ou n-tier
  • 6. CLIENT_IDENTIFIER • PL/SQL • DBMS_SESSION.SET_IDENTIFIER CREATE OR REPLACE TRIGGER LOGON_TRIGGER AFTER LOGON ON DATABASE DECLARE UID VARCHAR2(64); BEGIN SELECT SYS_CONTEXT('USERENV', 'OS_USER') INTO UID FROM DUAL; DBMS_SESSION.SET_IDENTIFIER(UID);DBMS_SESSION.SET_IDENTIFIER(UID); END LOGON_TRIGGER;
  • 7. CLIENT_IDENTIFIER • C/C++ • OCIAttrSet() • OCI_ATTR_CLIENT_IDENTIFIER • Exemplos • Oracle® Call Interface Programmer's Guide, 10g Release 2 (10.2) • Capítulo 8
  • 8. CLIENT_IDENTIFIER • ODP.NET • OracleConnection • Pool de Conexões OracleConnection con = new OracleConnection(); con.ConnectionString = “UserId=scott; Password=tiger; DataSource=oracle;” + “ClientId=AVIANAClientId=AVIANA"; con.Open();
  • 9. CLIENT_IDENTIFIER • JDBC 10g e 11g • OracleConnection.setClientIdentifier(); • OracleConnection.clearClientIdentifier(); Context ctx = new InitialContext(); ds = (OracleDataSource) ctx.lookup("jdbc/HRCoreDS"); conn = (OracleConnection) ds.getConnection(); conn.setClientIdentifier(conn.setClientIdentifier(““AVIANAAVIANA””);); … conn.clearClientIdentifier(conn.clearClientIdentifier(““AVIANAAVIANA””););
  • 10. D E M O N S T R A Ç Ã O
  • 11. CLIENT_IDENTIFIER • Baixo impacto • Fácil implementação • Não permite o controle de privilégios, somente propagação das credenciais • Habilita recursos avançados do Oracle Database • Virtual Private Database • Label Security • Log Miner
  • 12. Proxy User • Aplicação estabelece pool de conexão através de um usuário proxy com privilégios restritos • Durante execução aplicação conecta o usuário real através do usuário proxy • Privilégios podem ser configurados pela aplicação no momento da conexão do usuário real • Proxy Connections podem ser reutilizadas pelo mesmo usuário real • Informações sobre o usuário real são propagadas para as trilhas de auditoria do Oracle Database.
  • 13. Proxy User • C/C++ • OCIAttrSet() • OCI_ATTR_USERNAME • OCI_ATTR_PROXY_CREDENTIALS • OCI_ATTR_INITIAL_CLIENT_ROLES • Exemplos • Oracle® Call Interface Programmer's Guide, 10g Release 2 (10.2) • Capítulo 8
  • 14. Proxy User • ODP.NET • OracleConnection • Pool de Conexões OracleConnection con = new OracleConnection(); con.ConnectionString = "User Id=sinesio;Password=welcome1;" + "Data Source=oracle; Proxy User Id=proxy; Proxy Password=welcome1; "; con.Open();
  • 15. Proxy User • JDBC Pré 10g • OracleOCIConnectionPool • JDBC 10g e 11g • OracleConnection.openProxySession(); Context ctx = new InitialContext(); ds = (OracleDataSource) ctx.lookup("jdbc/HRCoreDS"); conn = (OracleConnection) ds.getConnection(); Properties prop = new Properties(); prop.put(OracleConnection.PROXY_USER_NAME,username); conn.openProxySessionconn.openProxySession (OracleConnection.PROXYTYPE_USER_NAME, prop);(OracleConnection.PROXYTYPE_USER_NAME, prop);
  • 16. D E M O N S T R A Ç Ã O
  • 17. Proxy User • Implementação mais trabalhosa • Requer alteração nas aplicações • Requer alteração no banco de dados • Viabiliza o controle de privilégios via aplicação • Habilita recursos avançados do Oracle Database • Virtual Private Database • Label Security • Log Miner
  • 18. Enterprise User • Usuário e privilégios administrados partir de um diretório LDAP. APP_GUESTAPP_GUEST SHARED SCHEMASHARED SCHEMA HR_SCHEMAHR_SCHEMA EO_SCHEMAEO_SCHEMA FRED Enterprise User HR_MGR Enterprise Role Mary Enterprise User OE_MGR Enterpise Role LDAPLDAP Enterprise UsersEnterprise Users Enterprise RolesEnterprise Roles Global RolesGlobal Roles Global RolesGlobal Roles
  • 19. D E M O N S T R A Ç Ã O
  • 20. Enterprise User • Implementação mais trabalhosa • Requer alteração nas aplicações • Requer alteração no banco de dados • Requer implantação do Oracle Internet Directory • Ganhos significativos de administração • Usuários • Privilégios • Administração Unificada a partir de um LDAP • Habilita recursos avançados do Oracle Database • Virtual Private Database • Label Security • Log Miner
  • 21. Observações e Restrições • Pool de Conexões • Gerenciado pelo Servidor • Servidor deve suporta driver nativo oracle • Gerenciado pela Aplicação • Simples customização • EJB • Implementação viável somente para BMP • Frameworks de Persistência • Oracle TopLink (EclipseLink) • Suporte Nativo • Hibernate • Via customização do ConnectionProvider
  • 22. Sugestão de Implementação Oracle Identity Manager + Enterprise Users HRMS Reconciliação Regras WorkflowGruposMeta-diretório Auto Atendimento Gestor Aprovador Solicitação Eletrônica Colaborador Externo Active Directory ExchangeServidor ANS OID
  • 23. R P&