ORACLE APEX–Bezpieczeństwo

9 września, 2011 Kategorie: APEX

 

Ogóły znajdziecie w poprzednim wpisie. Teraz czas na szczegóły. Opieram się na oficjalnej specyfikacji ORACLE.

Po zapoznaniu się z architekturą, synergiami i trybem PaaS, przyjrzyjmy się bezpieczeństwu aplikacji stworzonych przy użyciu tego narzędzia.

 

Instancja APEX oraz wszystkie tworzone w niej aplikacje mogą zostać skonfigurowane do używania protokołu HTTPS (SSL). Hasła dostępu mogą zostać poddane wymaganiom zawartości oraz zasadom okresu ważności i zmian.

Twórcy aplikacji mogą uaktywnić zabezpieczenia stanu sesji (SSP – Session State Protection), które dodają sumę kontrolna do adresu URL, zapobiegając podszywaniu się i nieuprawnionemu dostępowi. Definiują również jakie dane są przechowywane w stanie sesji. Dane wymagające szczególnej troski mogą zostać zaszyfrowane.

 

Autentykacja

Weryfikuje dostęp użytkownika do aplikacji (chyba, że aplikacja jest publiczna). Zazwyczaj użytkownik podaje nazwę użytkownika i hasło. APEX dostarcza kilka mechanizmów autentykacji:

  • Użytkownicy administrowani w APEX
  • SSO ? Single Sign On
  • Użytkownicy bazy danych
  • Własne mechanizmy ? interfejsy do dowolnych systemów autentykacji jak MS Active Directory czy Oracle Applications

Weryfikacja może nastąpić na poziomie aplikacji, niektórych jej stron lub elementów stron jak zakładki, regiony, przyciski itp. Tylko po udanej weryfikacji nastąpi dostęp do zabezpieczonego poziomu.

 

image Konta użytkowników

Administratorzy przestrzeni (workspace) mogą tworzyć konta nowych użytkowników APEX, zarządzać istniejącymi oraz zmieniać hasła. Użytkownicy APEX mogą być administratorami przestrzeni (workspace), twórcami aplikacji (workspace developers) lub końcowymi użytkownikami. Uprawnienie do tworzenia aplikacji są przyznawane w ustawieniach użytkownika APEX, natomiast prawa do uruchomienia aplikacji mogą pochodzić z własnych mechanizmów autentykacji.

 

image

 

image Długość trwania sesji

Administrator instancji APEX definiuje maksymalna długość trwania sesji oraz maksymalna długość bezczynności sesji twórców aplikacji. Podobne ustawienia wykonują twórcy aplikacji dla sesji końcowych użytkowników.

 

image Instalacja tylko środowiska uruchomieniowego

Dla platform testowych i produkcyjnych, APEX wspiera instalacje tylko środowiska uruchomieniowego. Zmniejsza to użycie zasobów oraz minimalizuje prawa dostępu. Dodatkowo zwiększa stabilność tych platform, gdyż twórcy aplikacji nie mogą w nich bezpośrednio modyfikować aplikacji.

Znaczniki: , ,
Wpisz komentarz | Trackback
Brak komentarzy

Wpisz komentarz