Referenz

Novartis - Web Access Management

Integration Software Factory

Die Novartis betrieb an zwei verschiedenen Standorten mehrere hundert Web-Applikationen für das Inter- und Intranet. Die meisten dieser Applikationen waren JEE-basiert und liefen auf einem Oracle Weblogic Server. Diese Applikationen sollten mittels unserer Web-Access-Management-Lösung vor unbefugtem Zugriff geschützt werden.

Die verschiedenen Web-Applikationen hatten unterschiedliche Anforderungen an das Web-Access-Management und im Speziellen an die Registrierung und Authentisierung:

  • Öffentliche Internet-Applikationen
    Optional konnten sich Benutzer selbst registrieren, die Authentisierung erfolgte daher schwach über diese Self-Registration und der dabei selbst vergebene Username/Password Kombinationen
  • Private, über das Internet zugängliche Applikationen
    wurden stark über die PKI authentisiert, Registrierung nur über Back-End-Prozess
  • Intranet-Applikationen mit geringem Schutzbedarf
    SSO-Integration via NTLM oder die per Default verteilten Private-Keys der Mitarbeiter
  • Intranet-Applikationen mit hohem Schutzbedarf
    Authentisierung ausschliesslich über PKI und einen in einem proprietären Key-Store enthaltenen Private-Key

Die Web-Access-Management-Lösung musste sich einerseits in den Weblogic-Container integrieren, um den authentisierten Benutzer an die Applikation weitergeben zu können, andererseits in die Windows-Umgebung für die NTLM-Authentisierung, in die PKI-Infrastruktur für die Prüfung der Zertifikate und in die Identity-Management-Infrastruktur zur Prüfung der Autorisierung.

Aufbauend auf dem ISO-10181-3-Standard mit Access Control Enforcement Functions und Access Decision Functions wurde eine Systemarchitektur entworfen, die sich in die bestehende Infrastruktur integriert: Auf dem bestehenden, auf Apache HTTPD basierenden Reverse Proxy stellt ein Apache-Modul sicher, dass nur authentisierte und autorisierte Requests an die Application Server weitergegeben werden. Dieses Enforcement-Modul delegierte die Authentisierung und Autorisierung an einen Security Server, der die Access Decision trifft.

Der Security Server erstellte nach erfolgter Authentisierung eine Security Session, die mittels HTTP-Header an den Application Server transferiert wurde. Der Security Server bürgte für die Korrektheit der Security Session und lieferte auf Request den Benutzer.

Im Verlauf des Projekts wurden auch andere Plattformen und Applikationen in das Web Access Management integriert wie Microsoft IIS, SAP R/3 etc.

Die Lösung wurde über 10 Jahren erfolgreich eingesetzt. Wir hatten den Kunden vor Ort von der Konzeption über die Realisierung bis hin zum Betrieb über mehrere Releases unterstützt. Im 2011 wurde die Applikation zur Wartung in unsere Software Factory überführt. 

 

Eingesetzte Technologien

 

Apache HTTP, Apache HTTP Module (C), JEE (EJB, JDBC, JTA, Servlets), Sun ONE Directory, Windows Active Directory, Siemens DirX, Microsoft PKI, Entrust PKI, Oracle Weblogic Server, Microsoft Internet Information Server, SAP