学习如何配置Oracle 10g Single Sign-On,使之同Microsoft .NET实现更好的集成。
今天,各种各样的操作系统和软件开发平台正使得企业范围软件系统的开发日益成熟。这也给不同软件之间的集成应用带来了挑战,开发人员需要一些创造性的方式对来自不同生产商的产品进行配置,从而使这些产品协同工作。本文即给出了一些与此相关的有用建议。
Oracle 10g Application Server(10gAS)产品家族提供了一系列范围广泛的开发组件,包括企业入口(enterprise portals)、内容管理,以及应用安全。其中一个有用的Web应用组件即Oracle Single Sign-On(SSO)认证模块,其功能类似于Computer Associates的Netegrity SiteMinder。
Oracle SSO
Oracle SSO可以使用如下模块进行部署:
mod_osso Apache模块
SSO J2EE组件
SSO database repository
SSO PL/SQL模块
SSO使用了Oracle因特网目录(Oracle Internet Directory即OID)。这是Oracle的一种基于LDAP兼容目录服务器的数据库。在上一篇文章中,我们讨论了在Oracle 9iAS中将OID同Microsoft Active Directory相集成。进一步,我们已经对这一集成方式进行了测试,并且确定其在10gAS中同样可用。
对于同时使用Oracle 10gAS和.NET的企业,本文给出了一种简单而有效的方法,从而实现了在运行于Microsoft Internet Information Server(IIS)的.NET应用程序中使用Oracle SSO。通常后者运行在Linux、Windows和Solaris等平台上。
集成方法
图A描述了这种集成方法。对.NET应用程序的Web请求通过Oracle 10gAS发起,Apache被配置用来带来发送到.NET应用程序的请求,SSO设置为对应用程序URL进行保护。
方法图
图A
在这一步骤中,mod_osso将确保在mod_proxy模块代理到.NET应用程序连接之前已经有有效用户登录。如果在访问保护页面时没有用户登录,那么SSO将重定向浏览器至登录页面,对用户进行验证,然后再重定向回最初访问的页面。这样的过程将保证用户再运行.NET应用程序之前已经使用SSO进行了登录。这也意味着应用程序使用者在这之前需要进行OID设置,因为SSO将使用OID对用户信任(user credentials)进行验证。
代理设置
第一步是在Oracle 10gAS设置Apache的mod_proxy,由此传输对IIS上的.NET应用程序所发起的请求。可以使用Oracle 10gAS Enterprise Manager(EM)控制台,或是直接对$ORACLE_HOME/Apache/Apache/conf/httpd.conf添加如下内容来实现:
ProxyPass /dotnetapp/ http://iishost:port/dotnetapp/
ProxyPass /dotnetapp http://iishost:port/dotnetapp/
ProxyPassReverse /dotnetapp/ http://iishost:port/dotnetapp/
ProxyPassReverse /dotnetapp http://iishost:port/dotnetapp/
在以上例子及文章后面的例子中,请根据实际情况对dotnetapp、iishost:port和10gashost:port进行替换。
SSO设置
设置工作的第二步就是配置Oracle SSO保护应用程序URL。使用EM控制台,或直接编辑$ORACLE_HOME/Apache/Apache/conf/mod_osso.conf,在此文件</IfModule之前加上如下行:
<Location /dotnetapp
require valid-user
AuthType Basic
</Location
<Location /dotnetapp*
require valid-user
AuthType Basic
</Location
请注意,如果你直接编辑httpd.conf或mod_osso.conf而没有使用EM控制台,你必须使用如下命令使对DCM库(DCM repository)的更改生效:
$ORACLE_HOME/bin/emctl stop iasconsole
$ORACLE_HOME/dcm/bin/dcmctl updateConfig -ct ohs -v -d
$ORACLE_HOME/bin/emctl start iasconsole
在配置后,重新启动Apache,这很重要。当然最方便的方法仍然是使用EM控制台。或者使用下面的命令:
$ORACLE_HOME/opmn/bin/opmnctl restartproc ias-component=HTTP_Server
.NET应用程序
.NET应用程序可以用如下URL通过10gAS访问:
http://10gashost:port/dotnetapp/
在应用程序中,使用HTTP Osso-User-Dn头以确定当前应用程序用户,例如:
Dim UserDn = Request.Headers.Item("Osso-User-Dn")
The User DN format used in SSO/OID should be:
在SSO/OID中使用的User DN格式应当如下:
cn=userid,cn=users,dc=yourdomain,dc=com
如果应用程序检测到Osso-User-Dn头没有设置,浏览器将尝试直接访问应用程序而不通过10gAS。在这样的情况下,最为一种有用的实践方法,我们建议应用程序将浏览器重定向到正确的URL,这对.NET应用程序而言从而可以实现SSO认证功能。
如果要让用户直接从.NET应用程序中从SSO退出登录,可以使用如下链接:
http://10gashost:port/osso_logout?p_done_url=http://10gashost:port/
p_done_url指定了退出登录后重定向的URL。
用户然后就可以使用如下URL访问.NET应用程序了: