Klíčové principy pro bezpečnou a efektivní integraci APEXu a Oracle EBS

V předchozích článcích „Jak Oracle APEX rozšiřuje funkčnost Oracle EBS?“ a „Klíčové výhody rozšíření Oracle EBS pomocí Oracle APEX“ jsme se zaměřili na to, proč a jakým způsobem může Oracle APEX přinést nové možnosti do prostředí Oracle E-Business Suite. Nyní se posouváme dál – do praktické roviny integrace.

1. Separace schémat a řízený přístup k datům EBS:
   • Používejte samostatné schéma pro APEX aplikace (např. XX_APEX), které je oddělené od schémat EBS. Není podporováno definovat APEX workspace přímo proti schématu APPS, protože by to představovalo bezpečnostní riziko a mohlo by vést k poškození dat obcházením obchodních pravidel EBS.
   • Přistupujte k datům EBS pouze prostřednictvím pohledů (views) a synonym definovaných ve schématu APPS, kterým udělíte pouze SELECT oprávnění na vaše vlastní schéma (např. XX_APEX). Pohledy mohou zahrnovat bezpečnostní logiku a spojení, čímž zabraňují neoprávněným změnám podkladových dat.
   • Provádějte úpravy dat EBS výhradně prostřednictvím veřejných, dokumentovaných a podporovaných EBS API. Přímé INSERT, UPDATE a DELETE operace na tabulkách EBS nejsou podporovány, protože obcházejí validaci, bezpečnost a obchodní logiku, což může vést k poškození dat. Kód pro volání API by měl být zapouzdřen ve vlastních PL/SQL balíčcích ve schématu APPS.
2. Bezproblémová integrace s EBS uživatelským rozhraním a zabezpečením:
   • Implementujte ověřovací (authentication) a autorizační (authorization) schémata APEXu, která se integrují se zabezpečením EBS. APEX nabízí předkonfigurovaná schémata, včetně těch pro Oracle Access Manager (OAM), nebo můžete použít vlastní PL/SQL pro validaci proti stávajícím uživatelům EBS a jejich zodpovědnostem. Insum Solutions nabízí vlastní autentizaci, která využívá předověřenou EBS relaci a automaticky inicializuje EBS kontext (např. FND_GLOBAL.APPS_INITIALIZE).
   • Autorizační schémata APEXu by měla odrážet zodpovědnosti EBS, aby se definovaly soudržné plány přístupu. Doporučuje se nastavit autorizační schéma na úrovni aplikace, odkazující na funkci formuláře EBS, která volala APEX aplikaci. Když je zodpovědnost uživateli v EBS přidána nebo odebrána, jeho přístup k související funkčnosti v APEXu se odpovídajícím způsobem změní.
   • Nakonfigurujte profilovou možnost EBS FND: APEX URL, aby obsahovala název hostitele Oracle REST Data Services (ORDS). Dále definujte EBS funkce, které ukazují na skutečné APEX stránky, s možností předávání parametrů, jako jsou ID zodpovědnosti (RESPONSIBILITY_ID) a ID aplikace (RESP_APPL_ID), z EBS do APEXu.
   • Pro hluboké odkazy (deep linking) a správu časových limitů nastavte Deep Linking na Enabled a Session Timeout URL na URL EBS pro odhlášení/obnovení (/OA_HTML/OAParentReload.jsp).
   • Pro vložení APEX stránek do rámců (embedded mode) nastavte Embed in Frames na Allow from same origin a přidejte hlavičku Content-Security-Policy: frame-ancestors https://<EBS_hostname>:<port>; v bezpečnostních atributech APEX aplikace.
   • Používejte HTTPS pro veškerou komunikaci mezi prohlížečem, ORDS a databází, aby se zabránilo zachycení pověření.
   • Dbejte na nové bezpečnostní funkce EBS Release 12.2.6+, které mohou blokovat přesměrování. Je nutné správně nastavit profilové možnosti (Security: Allowed Resources, FND: Security Resource Logging, Allow Unrestricted Redirects) a white listy.

Každá implementace je ale jiná – a právě v těchto rozdílech se často skrývají výzvy i příležitosti. Pokud zvažujete integraci APEXu do vašeho prostředí Oracle EBS, rádi s vámi projdeme vaše konkrétní scénáře, doporučíme vhodný postup a pomůžeme s návrhem i realizací řešení.

Ozvěte se nám – rádi s vámi nezávazně probereme, co by APEX mohl přinést právě vaší organizaci.

Stačí vyplnit krátký kontaktní formulář nebo nám napsat na info@apexsolutions.cz.