» Signing up
» Website logos
» Event Archive
» Bestuurscolumns
» NLJUG Weblog
» NLJUG News
» General Information
» Partner profiles
» White papers of partners
» Partner news
» Signing up as a partner

J-Spring 2006

- 15 juni  - De Reehorst- Ede

Membership

Membership provides members free access to the NLJUG workshops and events on a variety of Java topics, held across the country on a regular basis. Plus on a quarterly basis the Java Magazine published by Array Systems. The NLJUG is a member of a worldwide network of Java User Groups.

Fill in the form to sign up.

NLJUG

Founded in 1998, the Dutch Java Users Group consists of business partners, software developers, application architects, technical managers, students, and new media developers that have a common interest in all aspects of Java Technology.

NLJUG partners

ANVA
» meer partners

Mediapartner

Het JavaMagazine, gratis bij een NL-JUG lidmaatschap

Webapplicatie beveiliging met externe authenticatie agents

Java web-applicaties worden traditioneel met standaard web-container security beveiligd. Deze manier
van beveiligen is simpel en effectief, maar maakt Single-Sign on (SSO) lastig en is in complexe
omgevingen vaak niet goed te integreren met het concept van ‘beveiligde’ zones waarbij applicatieservers
alleen volledig geauthenticeerde connecties ontvangen.
In deze presentatie worden deze problemen inzichtelijk gemaakt en worden tools voorgesteld die
deze problemen wegnemen. Specifiek gaat het hier om Tivolli Access Manager for e-Business (IBM)
en Java System Access Manager (SUN).
Vervolgens wordt ingegaan op extra mogelijkheden die deze tools bieden (step-up authentication,
web-site federatie).
Vervolgens wordt op basis van deze tools getoond hoe een authorisatie extensie gemaakt kan worden
om een applicatie te voorzien van een DigiD authenticatie zonder de applicatie aan te passen
voor DigiD.

Vereiste voorkennis:
J2EE web-applicatie beveiliging (web.xml)

Structuur van de presentatie:
Aan het begin van de presentatie wordt (kort) ingegaan op de standaard web-security binnen J2EE.
(alleen web-container security). De volgende zaken worden hierbij belicht:
- de OWASP lijst van security problemen in web-applicaties.
- SSO (on)mogelijkheden van J2EE.
- Infrastructuur ontwerp van een J2EE omgeving
Vervolgens worden access-managers geïntroduceerd
- Centraal authenticatie mechanisme
- Herbruikbaarheid
- SSO
- Integratie met J2EE servers
- Scheiding van verantwoordelijkheden (developer/beheer/security)
- Step-up authenticatie (verschillende authenticatie sterktes per applicatie)
- Web-site federatie (meerdere applicaties onder dezelfde hostnames)
- Infrastructuur ontwerp met een access-manager

Hierna wordt ingegaan op de punten uit de OWASP top 10 die een access-manager oplossing kan
voorkomen. Ook wordt ook aandacht besteed aan de impact op applicaties (waar moet een ontwikkelaar
op letten als zijn/haar site gehost wordt achter een access-manager).
Na deze introductie (+/- 30 minuten) wordt een zeer summier overzicht van DigiD authenticatie gegeven,
waarna de ontwikkeling van een DigiD authenticatie agent voor een access-manager getoond
wordt. De nadruk zal hierbij liggen op eenvoud van de agent en er zal derhalve gebruik gemaakt
worden van een DigiD mock in plaats van de volledige DigiD oplossing.
De mini DigiD wordt vervolgens voor een applicatie gezet en getoond wordt dat de applicatie hiervoor
niet gewijzigd hoeft te worden en standaard J2EE authenticatie configuratie voldoende is.


Download de presentatie (302 Kb)

 Marcel Ammerlaan 
iProfs
Als J2EE architect ben ik werkzaam voor IProfs bij diverse klanten. In het verleden heb ik deze rol o.a. voor Solidium gespeeld. Vooral het raakvlak van software ontwikkeling en infrastructuur trekt mijn belangstelling. Mijn vrije tijd vul ik met het ontwikkelen van een JVM die fatsoenlijk client-side Java kan draaien.