Zum Inhalt springen

Verwandeln Sie Ihre Kontakte in Urlaubsgeld mit unserem neuen Kundenempfehlungsprogramm! Erfahren Sie mehr

Diese Dokumentation gilt für Version 4 und höher von App Builder, dem neuen Namen für Vinyl. Hier gelangen Sie zur Vinyl-Dokumentation.

SAML Sicherheitsanbieter im Jitterbit App Builder

Die SAML Single Sign-On (SSO)-Authentifizierung ist in den folgenden Dokumenten definiert:

In einem SSO-Szenario gibt es drei Rollen:

  • Principal - Der Benutzer, der auf einen eingeschränkten Dienst zugreift.
  • Dienstanbieter (SP) - Bietet Zugriff auf eingeschränkte Dienste.
  • Identitätsanbieter (IdP) - Authentifiziert Benutzer.

App Builder kann mit dem entsprechenden Sicherheitsanbieter entweder als SP oder IdP konfiguriert werden. Dieses Dokument behandelt den * SAML*-Sicherheitsanbieter, der für die SP- Rolle verwendet wird. In dieser Rolle delegiert App Builder die Authentifizierung an einen Drittpartei IdP. Zu den unterstützten IdPs gehören:

Informationen zur IdP Rolle finden Sie unter SAML Identitätsanbieter.

Flüsse

Die SAML Single Sign-On (SSO)-Spezifikation definiert mehrere Abläufe. Der SAML Sicherheitsanbieter unterstützt die folgenden SAML SSO-Abläufe:

  • Service Provider (SP) initiiert
  • Identity Provider (IdP) initiiert

Serviceprovider (SP) initiiert

Im vom Service Provider (SP) initiierten Flow navigiert ein Benutzer zum App Builder und versucht, auf eine eingeschränkte Seite zuzugreifen. App Builder leitet den Benutzer über die SAML -Umleitungsbindung (HTTP) zum Identitätsprovider (IdP) weiter. GET). Nach der Authentifizierung leitet der IdP den App Builder mithilfe der SAML -Post-Bindung (HTTP POST). App Builder validiert die SAML -Antwort, ordnet die Namenskennung einem lokalen App Builder Benutzerkonto zu und gewährt die mit dem Benutzerkonto verknüpften Rechte.

Beachten Sie, dass App Builder vor der Weiterleitung zum IdP die URL der aufgerufenen Seite aufzeichnet. Nach der Authentifizierung leitet App Builder den Benutzer zurück zur ursprünglich aufgerufenen Seite. Dies ermöglicht Deep Linking.

Identitätsanbieter (IdP) initiiert

Im Identity Provider (IdP)-Flow navigiert ein Benutzer direkt zum IdP. Nach der Authentifizierung wird der Benutzer über die SAML -Post-Bindung (HTTP) zum App Builder weitergeleitet. POST). Wie beim SP-initiierten Flow validiert App Builder die SAML -Antwort, ordnet die Namenskennung einem lokalen App Builder Benutzerkonto zu und gewährt die mit dem Benutzerkonto verknüpften Rechte.

Normalerweise leitet App Builder den Benutzer nach erfolgreicher Anmeldung auf seine Startseite weiter. Der IdP kann jedoch einen Deep Link erstellen, indem er die URI im SAML Antwortparameter RelayState übergibt. Siehe den Parameter AllowRelayStateRedirects weiter unten.

Konfiguration

Token

  • Aussteller: Der Aussteller der SAML -Assertion. Standardmäßig die Zielgruppe.
  • Zielgruppe: SAML -Assertion-Zielgruppenbeschränkung. Der Wert muss eine syntaktisch gültige URI sein.
  • Empfänger: Der Empfänger der SAML -Assertion. Dieser Wert muss eine syntaktisch gültige URI sein. Standardmäßig wird die URI des Assertion Consumer Service verwendet (z. B. https://example.com/App Builder/signin-SAML).

Vorsicht

Aus Gründen der Kompatibilität wird Zielgruppe standardmäßig auf die Stamm-URL der Anwendung (z. B. https://example.com/App Builder/) gesetzt. Es wird dringend empfohlen, die Zielgruppe explizit festzulegen, anstatt sich auf die Standardeinstellung zu verlassen.

Endpoints

Typ Beschreibung
Metadaten-Endpoint Metadaten Endpoint des SAML Single Sign-On (SSO)-Dienstes. Dieser Parameter ist erforderlich, wenn die Parameter „Request Redirect Endpoint“ oder „SigningCertificate“ nicht definiert sind.
RelayState-URI Zulässiger RelayState-Umleitungs-URI für eine vom SAML Identitätsanbieter (IdP) initiierte Anfrage. Weitere Informationen finden Sie unter dem Parameter „AllowRelayStateRedirects“.
Endpoint anfordern SAML Single Sign-On (SSO) Endpoint für die Umleitungsbindung. Dieser Parameter ist erforderlich, wenn der Endpoint nicht definiert ist.

Zertifikate

Zweck Typ Format Beschreibung
Signaturvalidierung X.509-Zertifikat
  • PEM (CERTIFICATE)
  • PKCS#12 (PFX), base64-codiert
 X.509-Zertifikat zur Validierung von SAML Single Sign-On (SSO)-Antwortsignaturen.

Das Signaturvalidierungszertifikat ist erforderlich, wenn der Metadatenendpunkt nicht definiert ist.

Eigenschaften

Der SAML Sicherheitsanbieter definiert die folgenden zusätzlichen Parameter:

Parameter Standard Beschreibung
AllowRelayStateRedirects False Gibt an, ob eine vom SAML Identity Provider (IdP) initiierte Anmeldung eine Umleitungs-URI im Parameter RelayState enthalten darf. Die Umleitungs-URI ist der Ort, zu dem der Benutzer nach der Anmeldung umgeleitet wird.

Standardmäßig darf der Parameter RelayState keine Umleitungs-URI enthalten. Setzen Sie auf True um Umleitungs-URIs im Parameter RelayState zuzulassen.

Zum Schutz vor Open-Relay-Angriffen muss die URI mit dem Endpoint_RelayState-URI_ übereinstimmen.
IgnoreTlsErrors False Gibt an, ob App Builder HTTPS-Zertifikatsfehler bei Backchannel-Anfragen zum Abrufen der Dienstmetadaten ignorieren soll.

Diese Einstellung dient nur zu Einrichtungs- und Testzwecken. Aktivieren Sie diese Einstellung nicht auf einem laufenden System.
Signaturanforderung AssertionOrResponse Gibt an, ob die SAML -Antwort, die Assertion oder beide signiert werden müssen. Mögliche Optionen: - AssertionOrResponse- Entweder die Behauptung oder die Antwort muss unterschrieben werden. - Assertion- Die Erklärung muss unterschrieben sein. - Response- Nur die Antwort muss signiert werden. Die Assertion erbt die Antwortsignatur. - AssertionAndResponse- Sowohl die Behauptung als auch die Antwort müssen signiert sein.
LogPII False Gibt an, dass personenbezogene Daten (PII) protokolliert werden sollen. Diese Einstellung wird beim Start wirksam.

Ansprüche

SAML -Assertionen enthalten Attribute. Attribute sind mehrwertige Schlüssel-Wert-Paare. App Builder behandelt SAML -Assertionsattribute als Ansprüche. Der Attributname entspricht einer Anspruchskennung.

Nehmen wir beispielsweise eine SAML -Assertion mit dem folgenden Attribut:

<Attribute AttributeName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
  <AttributeValue>Arthur.Dent</AttributeValue>
</Attribute>

Zuordnung der Kennung http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name zum Name Die Eigenschaft setzt den Benutzernamen bei der Bereitstellung des Benutzerkontos auf „Arthur.Dent“.

Die folgende Tabelle beschreibt die Standardanspruchszuordnungen:

Kennung Zweck Beschreibung
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier Namenskennung Eindeutige, unveränderliche Kennung, die verwendet wird, um die Identität eines Drittpartei einem App Builder Benutzer zuzuordnen.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name Name Benutzername.
http://schemas.xmlsoap.org/claims/Group Gruppe Mitgliedschaft in Sicherheitsgruppen.
http://schemas.zudy.com/identity/claims/fullname Vollständiger Name Vollständiger Name.
http://schemas.zudy.com/identity/claims/displayname Anzeigename Anzeigename.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress Email Adresse Email Adresse.
http://schemas.zudy.com/identity/claims/phonenumber Telefonnummer Telefonnummer.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/thumbprint Fingerabdruck des X.509-Zertifikats.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname Definierter Name des X.509-Zertifikats.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/dns DNS-Name des X.509-Zertifikats.

Integration

Assertion-Verbraucherdienst

Der SAML Sicherheitsanbieter stellt einen einzelnen Endpoint bereit. Dieser Endpoint empfängt SAML Antworten. Dies wird als Assertion Consumer Service bezeichnet. Eine App Builder Assertion Consumer Service-URL könnte beispielsweise wie folgt aussehen:

https://example.com/App Builder/signin-SAML

Die URL besteht aus folgenden Teilen:

Komponente Beschreibung
https://example.com/App Builder/ Absolute URL des Stammverzeichnisses der App Builder-Anwendung.
SAML URL-codierter Name des SAML -Sicherheitsanbieters. Bei dem Wert wird zwischen Groß- und Kleinschreibung unterschieden.

Fehlerbehebung

Fehler „Die AudienceRestrictionCondition war ungültig, da die angegebene Zielgruppe nicht in AudienceUris vorhanden ist.“

Dieser Fehler weist darauf hin, dass die Zielgruppen-URI nicht übereinstimmt. Stellen Sie sicher, dass die Eigenschaft Zielgruppe explizit festgelegt wurde. Andernfalls wird standardmäßig die aktuelle URL verwendet, die je nach Benutzer variieren kann. Der Wert berücksichtigt die Groß- und Kleinschreibung.

Bekannte Probleme und Einschränkungen

Für den SAML Single Sign-On (SSO)-Sicherheitsanbieter von App Builder gelten die folgenden Einschränkungen:

  • Es kann nur eine einzige Zielgruppenbeschränkung validiert werden.
  • Das Artefaktauflösungsprotokoll wird nicht unterstützt.
  • Das Logout-Protokoll wird nicht unterstützt.