Oracle PeopleSoft 应用安全加固
本文根据官方文档编写,主要介绍如何管理、审查以及监控PeopleSoft的安全性。
目录
0、PeopleSoft安全
一、用户管理安全
1.1、配置权限列表
1.1.1.配置常规权限
1.1.2.配置页面权限
1.1.3. 配置PeopleTools权限
1.1.4. 配置进程权限
1.1.5. 配置登陆时间权限
1.1.6. 配置组件接口权限
1.1.7. 配置web服务权限
1.1.8. 配置个性化权限
1.1.9. 配置查询权限
1.1.10. 配置批量更改权限
1.1.11. 配置数据迁移权限
1.1.12. 分配搜索组权限
1.1.13.定义安全权限
1.1.14. 向ACM模板添加权限列表
1.1.15. 运行权限列表查询
1.2、配置角色
1.2.1. 分配权限给角色
1.2.2. 显示动态角色成员
1.2.3. 配置用户路由选项
1.2.4. 职责分离
1.3、用户登陆认证方式
1.4、用户配置文件
1.4.1. 常规配置
1.4.2. 配置角色
二、web服务安全
2.1、记录系统登入登出日志
2.2、web访问日志记录
三、其他
3.1、将数字证书应用于PDF报告输出
0、PeopleSoft安全
PeopleSoft应用程序的安全管理功能是作为PeopleTools标准安装的一部分交付的,所有PeopleSoft产品都提供了PeopleTools。
在开始安装、配置PeopleSoft和数据库期间,需要管理员为关键系统组件设置密码,涉及到的组件如下:
系统组件 |
详细描述 |
何时/何地设置密码 |
---|---|---|
Connect ID. |
建立与数据库的连接ID。 |
数据库安装和配置。 |
Access ID. |
访问数据库的ID。 |
数据库安装和配置。 |
用户配置文件 (数据库) |
定义数据库中的访问级别。 |
数据库安装和配置。 |
PTWEBSERVER |
用于在web服务器启动后初始登录到PeopleSoft Pure Internet Architecture (PIA)的用户。 |
数据库安装和配置。 |
Domain connection. |
用于加强web服务器和应用服务器之间的连接。 |
PIA 安装。 |
Web server. |
用于与web服务器通信。 |
PIA 安装。 |
Integration gateway. |
用于访问集成网关属性文件 |
PIA 安装。 |
针对系统使用上的安全管理,PeopleSoft主要使用了三种安全定义:
用户配置文件
角色
权限列表
我们知道基于角色的权限控制(RABC)是目前应用最广的用户权限管理模型,通过用户、角色、权限相关联,从而达到用户和权限解耦的目的,职能划分更谨慎,管理员可以采用多(用户)对一(角色)、多(用户)对多(角色)来实现权限管理的灵活性,在此PeopleSoft还引入了用户配置文件,用于更加精确化的实现细粒度权限管理。
一、用户管理安全
1.1、配置权限列表
1.1.1.配置常规权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the General tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.1.1 |
Can Start Application Server? |
勾选,启用此权限列表中的用户配置文件来启动PeopleSoft应用程序服务器。 |
1.1.1.2 |
Allow Password to be Emailed? |
不勾选,不允许用户通过电子邮件接受被遗忘的密码。 |
1.1.1.3 |
Never Time-Out |
不勾选,不允许永不超时的登入 |
1.1.1.4 |
Specific Time-out (minutes) |
勾选,设置超时时间20min 注意:因为超时限制也是在web服务器级别控制的,所以您还需要更改web服务器的超时值。 |
1.1.2.配置页面权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Pages tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.1.2.1 |
Mobile Page Permissions |
点击此处可以授予对移动应用程序页面的访问权限。 注意:PeopleSoft移动客户端是历史产品,此处仅用于向后兼容。 |
1.1.1.2.2 |
Edit Components |
点击此处以授予对特定页面的访问权限,用于管理用户可以访问的页面,请基于权限最小化原则进行配置。 |
1.1.3. 配置PeopleTools权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the PeopleTools tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.3.1 |
Application Designer Access Tools Permission |
|
1.1.3.2 |
Application Designer Access Miscellaneous Permissions |
|
1.1.3.3 |
Data Mover Access |
建议勾选 |
1.1.3.4 |
Definition Security Access |
建议勾选 |
1.1.3.5 |
Query Access |
建议勾选 |
1.1.3.6 |
Performance Monitor PPMI Access |
建议勾选 |
1.1.3.7 |
People Tools Data Set Access |
不建议勾选 |
1.1.3.8 |
Real-time Event Notification Permissions |
实时事件通知权限,根据具体需要配置即可,请遵循权限最小化原则 |
1.1.3.9 |
Data Archival |
数据归档,建议全选。 |
1.1.4. 配置进程权限
页面导航:Process Group Permissions link on the Permission Lists - Process page
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.4.1 |
Process Group Permission |
此页面列出与权限列表关联的流程组。进程组是使用PeopleSoft进程调度器创建的进程定义的集合。 通常,您根据组织内的工作组对流程定义进行分组,并且该工作组通常具有与之关联的特定角色。无论您如何组织流程定义,都必须将流程组分配给权限列表。 用户只能运行属于分配给其角色的进程组的进程。例如,您可能有一组与您的人力资源部门相关的流程定义,另一组与您的制造部门相关的流程定义。 配置请遵循权限最小化原则。 |
1.1.4.2 |
Process Profile Permission |
|
1.1.4.3 |
Override Output Destination |
不建议勾选 |
1.1.4.4 |
Override Server Parameters |
不建议勾选 |
1.1.4.5 |
Enable Recurrence Selection |
根据实际情况勾选,默认不勾选 |
1.1.5. 配置登陆时间权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Sign-on Times tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.5 |
Sign-on Times |
此处可以根据实际情况进行配置,如不允许在系统升级/维护/更新期间登陆。 |
1.1.6. 配置组件接口权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Component Interfaces
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.6 |
Component Interface Permissions |
|
1.1.7. 配置web服务权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Web Services
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.7 |
Web Service Permissions |
|
1.1.8. 配置个性化权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Personalizations tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.8 |
Personalization Permissions |
根据特殊需求配置,如无需求该项建议不配置。 |
1.1.9. 配置查询权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Query tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.9 |
Defining Query Profiles |
|
1.1.10. 配置批量更改权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Listsand click the Mass Change tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.10 |
Mass Change |
|
1.1.11. 配置数据迁移权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Data Migration tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.11 |
Data Migration |
|
1.1.12. 分配搜索组权限
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Search Groups tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.12 |
Search Groups |
|
1.1.13.定义安全权限
页面导航:PeopleTools, Security, Permissions & Roles, Permissions and click the Definition Security tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.13 |
Definition Security |
|
1.1.14. 向ACM模板添加权限列表
页面导航:PeopleTools > Security, > Permission & Roles > Permission Lists and click the ACM Templates tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.14 |
ACM Templates |
|
1.1.15. 运行权限列表查询
页面导航:PeopleTools > Security > Permissions & Roles > Permission Lists and click the Permission List Queries tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.1.15 |
Permission List Queries |
|
1.2、配置角色
1.2.1. 分配权限给角色
页面导航:PeopleTools > Security > Permissions & Roles > Roles and click the Permission Lists tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.2.1 |
Permission List |
|
1.2.2. 显示动态角色成员
页面导航:PeopleTools > Security > Permissions & Roles > Roles and click the Dynamic Members tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.2.2 |
Dynamic Members |
|
1.2.3. 配置用户路由选项
页面导航:PeopleTools > Security > Permissions & Roles > Roles and click the Workflow tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.2.3 |
Workflow Routing Options |
|
1.2.4. 职责分离
在权限最小化原则中,职责分离用于对高权限访问的管控,具体而言是将权限的审批和赋予分别交予不同的人负责,当任何一方出现与另一方数据不对等时,则权限存在溢出风险。在PS的系统中,建议设置两种用户角色,一种是执行角色,无数据查看权限,仅有用户管理权限,一种是审计角色,无数据及用户权限,仅有日志查看权限。
1.3、用户登陆认证方式
序号 |
登陆认证方式 |
介绍 |
安全建议 |
---|---|---|---|
1.3.1 |
WWW_Authentication |
web客户端静态密码验证 |
非常不建议使用 |
1.3.2 |
LDAP_Authentication |
接入LDAP进行身份验证,系统将用户提交的凭据传递到ldap目录以执行身份验证 |
建议,并且建议使用SSL LDAP |
1.3.3 |
SSO_Authentication |
系统对用户的单点登录令牌进行身份验证 |
建议,可以通过和LDAP_ProfileSynch来自动生成配置文件,更多单点登陆验证知识可点击。 |
1.3.4 |
LDAP_ProfileSynch |
适用于需要使用存储在LDAP目录中的数据创建或更新PeopleSoft用户配置文件的情况 |
建议和SSO_Authentication结合使用 |
1.4、用户配置文件
1.4.1. 常规配置
页面导航:PeopleTools > Security > User Profiles > User Profiles and click the General tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.4.1 |
User Profiles General |
|
1.4.2. 配置角色
页面导航:PeopleTools > Security > User Profiles > User Profiles and click the Roles tab
序号 |
配置项 |
安全配置建议 |
---|---|---|
1.4.2 |
User Profiles Roles |
|
二、web服务安全
2.1、记录系统登入登出日志
页面导航:PeopleTools > Security > Common Queries and click the Access Log Queries link on the Review Security Information page
序号 |
配置项 |
安全配置建议 |
---|---|---|
2.1 |
Access Log Queries |
|
2.2、web访问日志记录
PS自身的日志系统并不支持记录详细的web访问日志,此时需要通过收集nginx的access.log的方式进行必要的安全监控及审计。
三、其他
3.1、将数字证书应用于PDF报告输出
序号 |
配置项 |
安全建议 |
---|---|---|
3.1 |
PeopleTools 8.54 之后的版本支持数字签名应用于PDF输出 |
建议升级PS版本 |
四、总checklist
序号 |
页面导航 |
配置项 |
安全配置建议 |
---|---|---|---|
1.1.1.1 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the General tab |
Can Start Application Server? |
勾选,启用此权限列表中的用户配置文件来启动PeopleSoft应用程序服务器。 |
1.1.1.2 |
Allow Password to be Emailed? |
不勾选,不允许用户通过电子邮件接受被遗忘的密码。 |
|
1.1.1.3 |
Never Time-Out |
不勾选,不允许永不超时的登入 |
|
1.1.1.4 |
Specific Time-out (minutes) |
勾选,设置超时时间20min 注意:因为超时限制也是在web服务器级别控制的,所以您还需要更改web服务器的超时值。 |
|
1.1.1.2.1 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Pages tab |
Mobile Page Permissions |
点击此处可以授予对移动应用程序页面的访问权限。 注意:PeopleSoft移动客户端是历史产品,此处仅用于向后兼容。 |
1.1.1.2.2 |
Edit Components |
点击此处以授予对特定页面的访问权限,用于管理用户可以访问的页面,请基于权限最小化原则进行配置。 |
|
1.1.3.1 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the PeopleTools tab |
Application Designer Access Tools Permission |
|
1.1.3.2 |
Application Designer Access Miscellaneous Permissions |
|
|
1.1.3.3 |
Data Mover Access |
建议勾选 |
|
1.1.3.4 |
Definition Security Access |
建议勾选 |
|
1.1.3.5 |
Query Access |
建议勾选 |
|
1.1.3.6 |
Performance Monitor PPMI Access |
建议勾选 |
|
1.1.3.7 |
People Tools Data Set Access |
不建议勾选 |
|
1.1.3.8 |
Real-time Event Notification Permissions |
实时事件通知权限,根据具体需要配置即可,请遵循权限最小化原则 |
|
1.1.3.9 |
Data Archival |
数据归档,建议全选。 |
|
1.1.4.1 |
Process Group Permissions link on the Permission Lists - Process page |
Process Group Permission |
此页面列出与权限列表关联的流程组。进程组是使用PeopleSoft进程调度器创建的进程定义的集合。 通常,您根据组织内的工作组对流程定义进行分组,并且该工作组通常具有与之关联的特定角色。无论您如何组织流程定义,都必须将流程组分配给权限列表。 用户只能运行属于分配给其角色的进程组的进程。例如,您可能有一组与您的人力资源部门相关的流程定义,另一组与您的制造部门相关的流程定义。 配置请遵循权限最小化原则。 |
1.1.4.2 |
Process Profile Permission |
|
|
1.1.4.3 |
Override Output Destination |
不建议勾选 |
|
1.1.4.4 |
Override Server Parameters |
不建议勾选 |
|
1.1.4.5 |
Enable Recurrence Selection |
根据实际情况勾选,默认不勾选 |
|
1.1.5 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Sign-on Times tab |
Sign-on Times |
此处可以根据实际情况进行配置,如不允许在系统升级/维护/更新期间登陆。 |
1.1.6 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Component Interfaces |
Component Interface Permissions |
|
1.1.7 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Web Services |
Web Service Permissions |
|
1.1.8 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Personalizations tab |
Personalization Permissions |
根据特殊需求配置,如无需求该项建议不配置。 |
1.1.9 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Query tab |
Defining Query Profiles |
|
1.1.10 |
PeopleTools > Security > Permissions & Roles > Permission Listsand click the Mass Change tab |
Mass Change |
|
1.1.11 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Data Migration tab |
Data Migration |
|
1.1.12 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Search Groups tab |
Search Groups |
|
1.1.13 |
PeopleTools, Security, Permissions & Roles, Permissions and click the Definition Security tab |
Definition Security |
|
1.1.14 |
PeopleTools > Security, > Permission & Roles > Permission Lists and click the ACM Templates tab |
ACM Templates |
|
1.1.15 |
PeopleTools > Security > Permissions & Roles > Permission Lists and click the Permission List Queries tabPeopleTools > Security > Permissions & Roles > Permission Lists and click the Permission List Queries tab |
Permission List Queries |
|
1.2.1 |
PeopleTools > Security > Permissions & Roles > Roles and click the Permission Lists tab |
Permission List |
|
1.2.2 |
PeopleTools > Security > Permissions & Roles > Roles and click the Dynamic Members tab |
Dynamic Members |
|
1.2.3 |
PeopleTools > Security > Permissions & Roles > Roles and click the Workflow tab |
Workflow Routing Options |
|
1.2.4 |
职责分离 |
在权限最小化原则中,职责分离用于对高权限访问的管控,具体而言是将权限的审批和赋予分别交予不同的人负责,当任何一方出现与另一方数据不对等时,则权限存在溢出风险。在PS的系统中,建议设置两种用户角色,一种是执行角色,无数据查看权限,仅有用户管理权限,一种是审计角色,无数据及用户权限,仅有日志查看权限。 |
|
1.3 |
用户登陆认证方式 |
建议采用SSO_Authentication,并配合LDAP_ProfileSynch来自动生成配置文件,更多单点登陆验证知识可点击。 |
|
1.4.1 |
PeopleTools > Security > User Profiles > User Profiles and click the General tab |
User Profiles General |
|
1.4.2 |
PeopleTools > Security > User Profiles > User Profiles and click the Roles tab |
User Profiles Roles |
|
2.1 |
PeopleTools > Security > Common Queries and click the Access Log Queries link on the Review Security Information page |
Access Log Queries |
|
2.2 |
web访问日志收集 |
PS自身的日志系统并不支持记录详细的web访问日志,此时需要通过收集nginx的access.log的方式进行必要的安全监控及审计。 |
Oracle PeopleSoft 应用安全加固相关推荐
- oracle甲骨文的功能,甲骨文新推Oracle PeopleSoft全面功能包
北京,2012年3月2日--为帮助企业提高员工生产力.自动合规性和财务控制力,并获得更深的行业洞察分析力,甲骨文日前宣布推出Oracle PeopleSoft财务和供应链管理(FSCM)9.1功能包2 ...
- linux oracle加固,Oracle的一些安全加固配置
接下来测试下结果,当然要重启下linstener. [Oracle@test admin]$ lsnrctl stop LSNRCTL for Linux: Version 10.2.0.5.0 - ...
- Oracle HRMS,PeopleSoft HR,SAP HR区别 主流HR软件对比分析
Oracle HRMS,PeopleSoft HR,SAP HR区别(转) 主流HR软件对比分析 首先谢谢写这篇文章的大牛,具体出处也无从考究了.下面是具体内容: Oracle优点: 1. 从整体来 ...
- 创纪录!Oracle关键补丁更新修复关键漏洞曝光
本季度的Oracle关键补丁更新(CPU)提供了创纪录的276个漏洞的修复,其中包含高达19个CVSS 3.0评分为9.8的漏洞,所有这些漏洞都可远程利用而无需身份验证. 7月Oracle修复的漏洞完 ...
- oracle中间键配置,Oracle Exalogic中间件云服务器简介及产品配置特点(2)
Oracle Exalogic中间件云服务器 -- 软硬件结合的优化平台 目前,企业所面临的应用挑战大多集中在异构环境.复杂的多层应用以及现有环境的低利用率等.于是,企业开始根据实际业务需求和投资情况 ...
- oracle数据集成产品,甲骨文推出Oracle数据集成产品
日前,甲骨文推出构成Oracle数据集成产品线基础的Oracle GoldenGate 11g和Oracle数据集成器企业版11g,这两款新产品是Oracle融合中间件产品系列的组成部分. 在过去几年 ...
- Oracle 12.2 新特性--PDB和CDB的字符集可以不一样
Oracle 12.2 新特性--PDB和CDB的字符集可以不一样 在 12.1 中, PDB 的字符集与 root 容器必须保持一致,这样无形中造成了 PDB 迁移或者克隆的限制性.从 12.2 开 ...
- ibm oracle 应用程序 编排_甲骨文携手IBM认证Oracle Fusion应用软件
甲骨文携手IBM认证Oracle Fusion应用软件 2005-09-21 eNet&Ciweek 2005年9月19日,甲骨文公司和IBM公司今天在于美国旧金山举行的甲骨文全球技术与应用大 ...
- 2017年10月 oracle 关键补丁更新
注:本文出自http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html 检查你的系统,是否打了最新的补丁.. ...
- oracle系统计算工资,阿里巴巴工资怎么算?自研薪酬管理系统首次曝光
日前,阿里技术官方微信推送了一篇文章,阿里巴巴自研薪酬管理系统首次曝光. 据悉,阿里早在06年就上线Oracle PeopleSoft HCM系统,是国内最早一批引进世界先进人力资源管理软件的企业之一 ...
最新文章
- 乘法器专题研究(内含所有类型乘法器)
- haproxy定义规则限制IP访问
- xp mysql字符集与乱码_mysql字符集(GBK、GB2312、UTF8)与中文乱码的原因及解决
- BIOS——[PXE-E61:Media test failure,check cable]解决方案
- jbox2d_JBox2D和JavaFX:事件与力量
- CSS之Responsive设计的关键三步
- 制作Slider组件
- 你要知道的MacOS哪些优缺点
- 单片机中去耦电容的使用
- 轻量型thttpd+php5
- python中lower()函数的用法
- Helix Streaming Server 简单配置
- Myeclipse中web project各种常见错误及解决方法(持续更新)
- KDD20 | 图模型的信息融合专题
- SpringMvc上传文件遇到重复读取InputStream的问题
- c语言this什么意思,JavaScript 中的this是什么?它到底做了什么?
- 诺贝尔奖离中国还有多远
- 深度学习的四种激活函数
- Java 选择视频文件对话窗口
- UOS启用wayland