Kľúčové princípy pre bezpečnú a efektívnu integráciu APEXu a Oracle EBS

V predchádzajúcich článkoch „Ako Oracle APEX rozširuje funkcionalitu Oracle EBS?“ a „Kľúčové výhody rozšírenia Oracle EBS pomocou Oracle APEX“ sme sa zamerali na to, prečo a akým spôsobom môže Oracle APEX priniesť nové možnosti do prostredia Oracle E-Business Suite. Teraz sa posúvame ďalej – do praktickej roviny integrácie.

1. Oddelenie schém a riadený prístup k údajom EBS:
   • Používajte samostatnú schému pre APEX aplikácie (napr. XX_APEX), ktorá je oddelená od schém EBS. Nie je podporované definovať APEX workspace priamo voči schéme APPS, pretože by to predstavovalo bezpečnostné riziko a mohlo by viesť k poškodeniu údajov obchádzaním obchodných pravidiel EBS.
   • Pristupujte k údajom EBS výhradne prostredníctvom pohľadov (views) a synoným definovaných v schéme APPS, ktorým udelíte len oprávnenie SELECT na vaše vlastné schéma (napr. XX_APEX). Pohľady môžu obsahovať bezpečnostnú logiku a spojenia, čím sa zabráni neoprávneným zmenám podkladových údajov.
   • Úpravy údajov EBS vykonávajte výhradne prostredníctvom verejných, zdokumentovaných a podporovaných EBS API. Priame operácie INSERT, UPDATE a DELETE na tabuľkách EBS nie sú podporované, pretože obchádzajú validáciu, bezpečnostné mechanizmy a obchodnú logiku, čo môže viesť k poškodeniu údajov. Kód na volanie API by mal byť zapuzdrený vo vlastných PL/SQL balíčkoch v schéme APPS.
2. Bezproblémová integrácia s používateľským rozhraním a zabezpečením EBS:
   • Implementujte autentifikačné (authentication) a autorizačné (authorization) schémy APEXu, ktoré sa integrujú so zabezpečením EBS. APEX ponúka predkonfigurované schémy, vrátane podpory pre Oracle Access Manager (OAM), alebo môžete použiť vlastné PL/SQL na validáciu voči existujúcim používateľom EBS a ich zodpovednostiam. Spoločnosť Insum Solutions ponúka vlastné autentifikačné riešenie, ktoré využíva predoverenú EBS reláciu a automaticky inicializuje EBS kontext (napr. FND_GLOBAL.APPS_INITIALIZE).
   • Autorizačné schémy APEXu by mali odrážať zodpovednosti EBS, aby sa definovali konzistentné prístupové plány. Odporúča sa nastaviť autorizačnú schému na úrovni aplikácie, ktorá odkazuje na funkciu formulára EBS, z ktorého bola APEX aplikácia spustená. Keď sa používateľovi v EBS pridá alebo odoberie zodpovednosť, jeho prístup k súvisiacej funkcionalite v APEXe sa zodpovedajúcim spôsobom zmení.
   • Nakonfigurujte profilovú možnosť EBS FND: APEX URL, aby obsahovala názov hostiteľa Oracle REST Data Services (ORDS). Ďalej definujte EBS funkcie, ktoré odkazujú na konkrétne APEX stránky s možnosťou predávania parametrov, ako sú RESPONSIBILITY_ID a RESP_APPL_ID, z EBS do APEXu.
   • Pre hlboké odkazy (deep linking) a správu časových limitov nastavte Deep Linking na Enabled a Session Timeout URL na URL EBS pre odhlásenie/obnovenie (/OA_HTML/OAParentReload.jsp).
   • Pre vloženie APEX stránok do rámcov (embedded mode) nastavte Embed in Frames na Allow from same origin a v bezpečnostných atribútoch APEX aplikácie pridajte hlavičku:
     Content-Security-Policy: frame-ancestors https://<EBS_hostname>:<port>;
   • Používajte HTTPS pre všetku komunikáciu medzi prehliadačom, ORDS a databázou, aby ste zabránili zachytávaniu prihlasovacích údajov.
   • Dávajte pozor na nové bezpečnostné funkcie od verzie EBS Release 12.2.6+, ktoré môžu blokovať presmerovania. Je potrebné správne nastaviť profilové možnosti (Security: Allowed Resources, FND: Security Resource Logging, Allow Unrestricted Redirects) a povolené zdroje (white listy).

Každá implementácia je však iná – a práve v týchto rozdieloch sa často skrývajú výzvy aj príležitosti.
Ak zvažujete integráciu APEXu do vášho prostredia Oracle EBS, radi s vami prejdeme vaše konkrétne scenáre, odporučíme vhodný postup a pomôžeme s návrhom aj realizáciou riešenia.

Ozvite sa nám – radi s vami nezáväzne preberieme, čo by APEX mohol priniesť práve vašej organizácii.

Stačí vyplniť krátky kontaktný formulár alebo nám napísať na info@apexsolutions.cz.