{"id":1799,"date":"2014-02-07T17:47:55","date_gmt":"2014-02-07T16:47:55","guid":{"rendered":"http:\/\/iamwcew.fr.oracle.com\/blog\/?p=1799"},"modified":"2014-02-07T17:47:55","modified_gmt":"2014-02-07T16:47:55","slug":"oracle-entitlement-server-et-webcenter-portal-3","status":"publish","type":"post","link":"https:\/\/gpmfactory.com\/index.php\/2014\/02\/07\/oracle-entitlement-server-et-webcenter-portal-3\/","title":{"rendered":"Oracle Entitlement Server et WebCenter Portal"},"content":{"rendered":"

Oracle Entitlement Server
\n<\/span><\/p>\n

Pr\u00e9sentation<\/h2>\n

Oracle Entitlement Server<\/em> (OES) est une solution de gestion des autorisations qui peut \u00eatre utilis\u00e9e pour s\u00e9curiser l’acc\u00e8s \u00e0 des applications et \u00e0 des services au sein d’une organisation. OES fournit une m\u00e9thode de gestion des autorisations fines pour une large panel de technologies, incluant Java EE, java SE, .NET\u00a0, SOA, CMS et Databases.
\n<\/span><\/p>\n

OES permet une claire s\u00e9paration des cycles de d\u00e9veloppement et de d\u00e9ploiement, fournissant ainsi aux \u00e9quipes de d\u00e9veloppements une approche agnostique du contr\u00f4le des acc\u00e8s. D’un point de vue performance et robustesse, OES \u00e9t\u00e9 con\u00e7u pour satisfaire les d\u00e9ploiements les plus complexes\u00a0: \u00e0 la diff\u00e9rence d’un syst\u00e8me d’authentification, l’\u00e9valuation fine des autorisations doit remplir des contraintes \u00e9lev\u00e9es de temps de latence, de l’ordre de la micro seconde. Une seule page web peut en effet g\u00e9n\u00e9rer plus d’une cinquantaine de requ\u00eates d’autorisation.
\n<\/span><\/p>\n

OES fournit un mod\u00e8le de r\u00f4le hi\u00e9rarchique bas\u00e9 sur les deux standards RBAC et ABAC, ainsi qu’une gestion de d\u00e9l\u00e9gation d’administration multi-niveau qui permet aux multiples organisations et aux parties prenantes dans la gestion des applications de cr\u00e9er, modifier et contr\u00f4ler les r\u00e8gles d’acc\u00e8s.
\n<\/em>OES s\u00e9curise l’acc\u00e8s aux ressources d’application et aux composants logiciels (comme les URLs, Enterprise JavaBeans, et Java Server Pages) ainsi que des objets et donn\u00e9es m\u00e9tiers (comme des comptes clients ou des enregistrements d’\u00e9l\u00e8ves dans une base de donn\u00e9es).
\n<\/span><\/p>\n

\"\"
\n<\/strong><\/span><\/p>\n

 <\/p>\n

Mod\u00e9lisation<\/h2>\n

Mod\u00e8le d’autorisations<\/h3>\n

OES fournit un mod\u00e8le d’autorisation qui s’applique \u00e0 des taches m\u00e9tiers, des applications et des processus.
\n<\/span><\/p>\n

Son objectif est de fournir aux utilisateurs un outil de gestion des autorisations qui permet de mod\u00e9liser facilement des r\u00f4les m\u00e9tiers et des permissions correspondant \u00e0 des exigences de l’organisation. Il prend en compte la notion d’h\u00e9ritage des permissions.
\n<\/span><\/p>\n

La structure hi\u00e9rarchique de OES permet de r\u00e9duire de fa\u00e7on exponentielle la taille et la complexit\u00e9 des r\u00e8gles d’acc\u00e8s. OES est conforme avec les politique de s\u00e9curit\u00e9 ABAC, RBAC, ERBAC et JAAS.
\n<\/span><\/p>\n

Mod\u00e9lisation des autorisations<\/h3>\n

Les processus m\u00e9tiers et les entit\u00e9s manipul\u00e9es sont tr\u00e8s souvent de nature hi\u00e9rarchique. Par exemple, un processus d’approbation de pr\u00eat bancaire consiste en plusieurs sous-processus et certains de ceux-ci peuvent entrainer d’autres processus plus fins.
\n<\/span><\/p>\n

Dans le m\u00eame ordre d’id\u00e9e, une application web est souvent structur\u00e9e en plusieurs pages, chacune d’entre elles \u00e9tant d\u00e9coup\u00e9e en sections et chaque section affichant diff\u00e9rentes informations. La figure ci-dessous illustre la d\u00e9composition d’une page web typique.
\n<\/span><\/p>\n

\"\"
\n<\/span><\/p>\n

Role Base Access Control<\/em> (RBAC) est une mod\u00e8le de contr\u00f4le d’acc\u00e8s \u00e0 un syst\u00e8me d’information \u00a0dans lequel chaque d\u00e9cision d’acc\u00e8s est bas\u00e9e sur le r\u00f4le auquel l’<\/span>utilisateur\u00a0est attach\u00e9<\/span><\/span>. En usage depuis plus de trente ans, RBAC est actuellement une des approches les plus largement utilis\u00e9es dans les diff\u00e9rentes industries et la plupart des professionnels de la s\u00e9curit\u00e9 en reconnaissent l’int\u00e9r\u00eat.
\n<\/span><\/p>\n

Les R\u00f4les sont la fondation du mod\u00e8le RBAC.<\/h3>\n

Les Enterprise Roles<\/em> (ou Groupes) forment la base des autorisations \u00e0 grande maille. Les Enterprise Roles<\/em> sont assign\u00e9s de fa\u00e7on statique, d\u00e8s le moment ou un utilisateur s’authentifie et les droits qui en d\u00e9coulent perdurent jusqu’\u00e0 la fin de la session.
\n<\/span><\/p>\n

L’inconv\u00e9nient de ce type de r\u00f4le est d’aboutir \u00e0 une affectation excessive des permissions. A l’oppos\u00e9, les Applications Roles<\/em> (Fine Grained Roles<\/em>) sont dynamiques par nature. Ils sont attribu\u00e9s d\u00e8s le d\u00e9but d’un processus d’autorisation et sont retir\u00e9s une fois que l’action a \u00e9t\u00e9 r\u00e9alis\u00e9e. Les Applications Roles<\/em> sont donc attribu\u00e9es sur la base d’un contexte applicatif.
\n<\/span><\/p>\n

Par exemple, il est utile de distinguer le r\u00f4le de Manager en sein d’une entreprise<\/em> par rapport au r\u00f4le de Manager d’une \u00e9quipe<\/em> lorsqu’une action vis-\u00e0-vis de ses subordonn\u00e9es est requise.
\n<\/span><\/p>\n

OES permet l’assignation dynamique des Application Roles<\/em> bas\u00e9 sur un r\u00e8glement (ensemble de directives)
\n<\/span><\/p>\n

Prenons l’exemple d’une universit\u00e9 permet de la flexibilit\u00e9 aux professeurs sur la mani\u00e8re dont ils veulent g\u00e9rer leurs cours et ceux-ci sont autoris\u00e9s \u00e0 changer la localisation du cours, le calendrier des examens, l’inscription et les dipl\u00f4mes. Ces privil\u00e8ges sont restreints seulement au professeur principal de la mati\u00e8re. Cette restriction peut \u00eatre r\u00e9sum\u00e9e ainsi\u00a0:
\n<\/span><\/p>\n

A\/ Un professeur peut administrer un cours, seulement s’il s’agit d’un cours enseign\u00e9 par lui-m\u00eame\u00a0:
\n<\/span><\/p>\n

\n\n\n\n\n\n\n<\/colgroup>\n\n\n\n
\n

Grant or Deny<\/strong><\/span><\/p>\n<\/td>\n

\n

AppRole<\/strong><\/span><\/p>\n<\/td>\n

\n

To Subject<\/strong><\/span><\/p>\n<\/td>\n

\n

On Resource<\/strong><\/span><\/p>\n<\/td>\n

\n

Only When Condition<\/strong><\/span><\/p>\n<\/td>\n<\/tr>\n

Grant<\/strong><\/span><\/td>\nAdministrator<\/span><\/td>\nprofessor<\/span><\/td>\nCours<\/span><\/td>\nSubject=Cours.Instructor
\n<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

Les Role Mapping Policies<\/em> peuvent \u00e9galement sp\u00e9cifier une restriction (Deny).
\n<\/span><\/p>\n

B\/ Dans le contexte d’un \u00e9tablissement bancaire, apres la fermeture de l’agence, aucun employ\u00e9 ne peut effectuer des taches de guichetier\u00a0:
\n<\/span><\/p>\n

\n\n\n\n\n\n\n<\/colgroup>\n\n\n\n
\n

Grant or Deny<\/strong><\/span><\/p>\n<\/td>\n

\n

AppRole<\/strong><\/span><\/p>\n<\/td>\n

\n

To Subject<\/strong><\/span><\/p>\n<\/td>\n

\n

On Resource<\/strong><\/span><\/p>\n<\/td>\n

\n

Only When Condition<\/strong><\/span><\/p>\n<\/td>\n<\/tr>\n

Deny<\/strong><\/span><\/td>\nTeller<\/span><\/td>\nEmployee<\/span><\/td>\nBank<\/span><\/td>\nBank_Closed() AND Current_Time > Bank.Closing_Time + 1hr
\n<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

 <\/p>\n

Les r\u00f4les m\u00e9tiers (Business Roles<\/em>) sont souvent structur\u00e9s de fa\u00e7on hi\u00e9rarchique. Les employ\u00e9s ayant une position \u00e9lev\u00e9e dans l’organisation b\u00e9n\u00e9ficient automatiquement des m\u00eames privil\u00e8ges que les personnes sous leur responsabilit\u00e9.
\n<\/span><\/p>\n

Pour mod\u00e9liser ces relations, courantes de la vie r\u00e9elle, OES supporte la notion de r\u00f4le hi\u00e9rarchique. Ci-dessous, les r\u00f4les de d\u00e9veloppeur, Ing\u00e9nieur d\u00e9veloppement, Chef de projet, responsable QA et responsable des tests sont implicitement assign\u00e9s au directeur de la R&D. Ce type de structure permet ainsi \u00e0 un pr\u00e9sident d’une organisation d’h\u00e9riter des r\u00f4les des toutes les personnes de l’entreprise.
\n<\/span><\/p>\n

\"\"
\n<\/span><\/p>\n

Le pr\u00e9dicat qui s’applique sur la directive OES donne un contr\u00f4le additionnel sur la mani\u00e8re dont l’octroi ou la r\u00e9section de r\u00f4le op\u00e8re.
\n<\/span><\/p>\n

Il est possible d’employer des expressions bas\u00e9es sur\u00a0:
\n<\/span><\/p>\n