Was ist Berechtigungsnachweisspeicher?
Ein Berechtigungsnachweisspeicher ist eine Bibliothek mit Sicherheitsdaten. Ein Berechtigungsnachweis kann öffentliche Schlüsselzertifikate, Kombinationen aus Benutzername und Kennwort oder Tickets enthalten.
Anmeldeinformationen werden zum Zeitpunkt der Authentifizierung verwendet, wenn Subjekte mit Principals gefüllt werden, und auch während der Autorisierung, wenn die Aktionen identifiziert werden, die die Subjekte ausführen können.
Oracle Platform Security Services (OPSS) besteht aus dem Credential Store Framework (CSF). Der CSF ist eine Sammlung von APIs, die Anwendungen zum sicheren Erstellen, Lesen, Aktualisieren und Verwalten von Anmeldeinformationen verwenden können. Eine Standardanwendung des Berechtigungsnachweisspeichers ist das Speichern von Anmeldeinformationen (Benutzernamen und Kennwörter), um Zugriff auf einige externe Systeme zu erhalten, z. B. ein LDAP-basiertes Repository oder eine Datenbank.
Im Berechtigungsspeicher-Framework (Credential Store Framework, CSF) wird ein Berechtigungsnachweis anhand eines Schlüsselnamens und eines Kartennamens festgelegt.
Normalerweise entspricht der Map-Name dem Namen einer Anwendung, und alle Credentials mit demselben Map-Namen weisen eine logische Gruppe von Credentials auf, wie die von der Anwendung verwendeten Credentials. Die Kombination aus Schlüsselname und Kartenname sollte für jeden Eintrag im Berechtigungsnachweisspeicher eindeutig sein.
Der Standardspeicher für Anmeldeinformationen ist Oracle Wallet. Für eine Produktionsumgebung eignet sich ein LDAP-basiertes Oracle Internet-Verzeichnis ideal als Anmeldeinformationsspeicher. Außerdem wird empfohlen, Oracle Wallet zum Speichern von X.509-Zertifikaten zu verwenden.
Das Speichern von digitalen Endbenutzerzertifikaten wird von den Anmeldeinformationsspeichern nicht unterstützt. Darüber hinaus können die Anmeldeinformationen bereitgestellt, wiederhergestellt, angepasst oder gelöscht werden, jedoch nur von einem Benutzer mit entsprechenden Administratorrechten.
Um auf den Berechtigungsnachweisspeicher zuzugreifen und die Operationen auszuführen, wird die CSF-API verwendet. Das CSF enthält die folgenden Funktionen:
Es ermöglicht den Benutzern, die Anmeldeinformationen sicher zu verwalten.
Es bietet eine API zum Speichern, Wiederherstellen und Verwalten von Anmeldeinformationen in verschiedenen Back-End-Repositories.
Es unterstützt LDAP-basierte und dateibasierte (Oracle Wallet) Anmeldeinformationen.
