собственно сабж

сторона Java более менее прояснилась.
Теперь как мне соединить Java код и APEX аутентификацию?
В java при входе на JSP страничку мы в фильтре проверяем есть ли сессия. Если нет, то редирект на
спец провайдера SSO который общается например, с одноклассниками.
После входа в них, это пров шлёт логин обратно.
Ищем как этот код (уже есть) соединить с APEX.
ords?

Вар1
Java пишет в куку токен и сразу редирект на апекс с аутентифика по куке.
Вар2
Влезть в ords.war....и дописать чтобы либо допускал до "тела" либо нет.

non-apexoid,
Заказчик крупный. Его решение.
Как пример я выдумал Одноклассников.
На чём они не знаю.

non-apexoidУ меня перед глазами решение sso
ну дак поделился бы.
У меня заказчмк просит SAML.

non-apexoid,
мне не нужно конкретное решение.
Мне нужна форумная подсказка:
- как передать ответ idP в APEX?
- как получить ошибку или стек-трейс от idP т.е. банальный дебаг при программировании.
Обычные банальные вопросы, а не... ставь плагин и всё в ажуре.

non-apexoid1. Как передается ответ IdP (поставщика идентификации) поставщику сервиса (Apex приложению): это предусмотрено собственно протоколом SAML - через URL в параметре ACS (Assertion Consumer Service) запроса на аутентификацию (точно так же, как в Oauth2).
т.к. в конфиге я пишу: ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
то он передаёт ответ обратным редиректом на мой адрес POS с XML внутри.
Дальше то что?
Как ответ парсить без Java если написать ему ответить в APEX


?

non-apexoid2. Очень полезная документация в Google Developers, вам, возможно, поможет вот это
ok
было бы здорово, чтобы был тестовый isP в сети, как у приложений APEX Oracle

non-apexoidPetro123, обычно с Апексовским URL бывают проблемы так как провайдер идентификации добавляет к callback url свои параметры, поэтому обычно в качестве callback URL используют открытую через http сервер (ords еtс...) специальную pl/sql процедуру, в которой производится обработка полученного ответа. Например, если вы создадите продедуру-обработчик mypakage.saml_callback, параметр AssertionConsumerServiceURL будет " https://yourhost:8080/apex/mypakage.saml_callback"
- допустим.
Но, после логина на idP он редиректит на 8080/apex/mypakage.saml_callback
- как мне там распарсит его XML формата SAML? Руками?
- как мне потом редиректить на вход в APEX?
- если редиректить, то полностью открыть APEX без всех схем аутентификации?

non-apexoid- как мне там распарсит его XML формата SAML? Руками?
Да
уже делаю там, где отправляется запрос - на Java.
А записать в БД или куку тоже может и Java приложение\ords сразу перед APEX'ом.
Получается не выгодно в APEX ничего делать.
Т.е. кастом схема берёт SSO логин или с БД или с куки.
А пишет туда кто-то другой.
imho

Java половину написал демку.
Теперь нужно передать логин\ФИО в апекс.
Вот, ломаю гов\лову как это сделать.
1. CGI переменные я так понял устарело ка метод.
Т.е. я так понял, что в томкате этого нет. И записать в переменную REMOTE_USER я не нашёл как.
2. урл параметром - тоже наверно не красиво
3. В БД томкат создаёт БД сессий и потом их контролирует. А в Апекс только лазить в эту БД.
Тоже не красиво.
4. В сессионную свою куку добавлять, а в custom схеме аутентификации читать перед загрузкой _каждой стрнички_. Минус в том, что приложение Java и EPG или ords должны быть в одном домене и порту. Иначе куку не записать.
5. Схема авторизации HTTP заголовок. Вроде пишут что такая есть. Пока не копал.
....
Счас буду пробовать 4 п.п.

список заголовков HTTP
https://ru.wikipedia.org/wiki/Список_заголовков_HTTP
- есть опыт передачи инфы?

такая технология в томкате отсутствует...устарело...
1- Added a new CGI variable in the DAD :
PlsqlCGIEnvironmentList PF_AUTH_SUBJECT

Это грубый алгоритм SSO:

Два домена, в разных TLD: example.org и example.com
Аутентификация идет на example.org.
Оба сайта имеют доступ к общему серверу сессий (им может являться специализированное решение типа RADIUS, БД или один из сайтов)
При посещении example.com отправляем пользователя на некий example.org/a12n?return_uri=http://example.com/
Наш example.org отрабатывает аутентификацию. Если надо — показывает форму логина и требует авторизации, если нет, создает анонимную сессию (если на сайте нужны анонимы).
Созданная example.org сессия запоминается на сервере сессий. Сессия идентифицируется по некоторому уникальному значению (ID), которое трудно подобрать (генераторы энтропии в помощь). ID сессии хранится в cookies example.org.
Перебрасываем клиента назад на example.com, добавляя к адресу параметр ?auth.data=<ID сессии>. Для безопасности, лучше ID пошифровать любым хорошим симметричным алгоритмом, устойчивым к known-plaintext атакам, и подписать, упомянув время, в которое этот ID был выдан, и некоторое nonce-значение (для защиты от replay-атак).
Наш example.com видит параметр auth.data, удостоверяется у сервера сессий, что такая сессия существует и корректна (здесь он узнает и кто, собственно, пользователь), сохраняет ID сессии в cookies и делает редирект сам на себя, на тот же адрес, но уже без auth.data.
В итоге, оба сайта имеют session ID (который, вообще говоря, может быть уникален для каждого сайта, и просто ссылаться на одну сессию). Задача выполнена, single sign-on реализован.

вопрос по кукам:
- В куку пишу логин и ФИО
- java


вижу эту куку на F12
авторСырые: APEX_JSESSIONID=%D0%9E%D1%81%D0%B8%D0%BF%D0%BE%D0%B2+%D0%92%D0%B0%D0%BB%D0%B5%D1%80%D0%B8%D0%B9; expires=Wed, 14 Dec 2016 10:40:40 GMT; path=/; domain=127.0.0.1
Значение: Осипов Валерий

т.е. FireBug сам расшифровал и всё верно.
- как мне расшифровать в APEX


даёт сырые данные(.
...
2. Вопрос - как записать на Java в одну куку 2 значения чтобы получить
c.vals(1)
c.vals(2)
или это в APEX расходится по разным кукам?

странно, но повтор конвертации в оракле так же как в Java даёт другой результат:


--Осипов Валерий

пока пришлось поставить Java в оракл и добавить 2 функции на ней.
Если кто знает без Java решение - спасибо.

Petro123 2. Вопрос - как записать на Java в одну куку 2 значения чтобы получить
c.vals(1)
c.vals(2)
или это в APEX расходится по разным кукам?
похоже по разным, судя по справке
автор owa_cookie.get_all
===================
http://docs.oracle.com/html/E12042_01/pscook.htm

3.4 owa_cookie.get_all procedure
This procedure returns all cookie names and their values from the client's browser. The values appear in the order in which they were sent from the browser.
Table 3-3 describes the properties of the owa_cookie.get_all procedure.
Table 3-3 owa_cookie.get_all procedures
Properties Definitions
Syntax:
owa_cookie.get_all(
names out vc_arr,
vals out vc_arr,
num_vals out integer);
Parameters:
names - the names of the cookies.
vals - the values of the cookies.
num_vals - the number of cookie-value pairs.
Generates:
Arrays of the names and values in the order received, and the count of the combinations.

а везде где есть в одной куке:
val1=param1; val2=param2
это делается руками парся значения через разделитель без всякого стандарта.