Access Manager 11g difiere de 10g en que las funciones de administración de identidad han sido transferidos a Oracle Identity Manager 11g (incluyendo auto-servicio y auto-registro de usuario, flujos de trabajo, gestión dinámica de grupos, y administración de identidad delegada).
Access Manager 10g soporta Single Sign-On usando una cookie de sesión única (el ObSSOCookie), esta contiene la información de identidad de usuario y la sesión requerida para acceder a los recursos de destino que tenían el mismo o menor nivel de autenticación. El ObSSOCookie es cifrado y descifrado usando una clave secreta compartida global, cuyo valor se almacena en el servidor de directorios. El ObSSOCookie es consumida por los componentes del sistema de acceso para verificar la identidad del usuario y permitir o no permitir el acceso a los recursos protegidos.
Para cerrar todas las posibles brechas de seguridad, Oracle Access Manager 11g proporciona nuevos componentes de servidor que mantienen la compatibilidad con los agentes existentes de Access Manager 10g (Webgates) y agentes OSSO (10g) mod_osso. El nuevo Oracle Access Manager 11g Webgates es una versión mejorada de Webgates 10g, el cuál soporta una clave secreta por cada agente para la solución de Single Sign-On (SSO). De este modo, se evita el tipo de ataque “cookie-replay”. Los Webgates 11g son todos confiables en el mismo nivel; un cookie específico para un Webgate no se puede utilizar para acceder a otras aplicaciones protegidas por Webgate en nombre de ese usuario.
A menos que se indique expresamente, el término “Webgate” se refiere tanto a un Webgate “out of the box” o a un cliente personalizado de acceso.
(more…)
