WS-Federation-Sicherheitsanbieter im Jitterbit App Builder
Der WS-Federation-Sicherheitsanbieter ermöglicht die Single Sign-On (SSO)-Authentifizierung mit unterstützten WS-Federation-Identitätsanbietern (IdPs), einschließlich Microsoft Entra ID und Active Directory Federation Services (AD FS). Weitere Informationen zu WS-Federation finden Sie in den folgenden Dokumenten:
Konfiguration
Token
- Zielgruppe: Zielgruppenbeschränkung. Obwohl der Standard eine syntaktisch gültige URI erfordert, App Builder akzeptiert Nicht-URI-Werte zur Integration mit nicht konformen Implementierungen. Standardmäßig die Entitäts-ID.
- Empfänger: Ws-Federation-Antwort-URL (Wreply). Standardmäßig die aktuelle URL. Siehe Wreply-Endpoint unten.
- Entitäts-ID: WS-Federation-Sicherheitsbereichs-URI (Wtrealm). In Microsoft Azure wird dies als App-ID bezeichnet. In AD FS wird dies als Bezeichner bezeichnet. Erforderlich.
Achtung
In früheren Versionen von App Builder, Entitäts-ID ist standardmäßig die Stamm-URL der Anwendung (z. B. https://example.com/App Builder/). Entitäts-ID ist jetzt erforderlich.
Endpoints
| Typ | Beschreibung |
|---|---|
| Metadaten-Endpoint | WS-Federation-Metadaten URL, zB https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Erforderlich. |
Eigenschaften
Der WS-Federation-Sicherheitsanbieter definiert die folgenden Parameter:
| Parameter | Standard | Beschreibung |
|---|---|---|
| IgnoreTlsErrors | False | Gibt an, ob App Builder sollte TLS-Fehler beim Herstellen einer Verbindung mit der WS-Federation-Metadaten URL ignorieren. Dies sollte nur für Entwicklung und Tests verwendet werden. |
| ClockSkew | 5 | Maximale Anzahl von Minuten, die bei der Validierung der SAML Assertion für nicht synchronisierte Serveruhren berücksichtigt werden sollen. |
| LogPII | False | Gibt an, dass personenbezogene Daten (PII) protokolliert werden sollen. Diese Einstellung wird beim Start wirksam. |
Ansprüche
WS-Federation ist grundsätzlich ein anspruchsbasiertes Authentifizierungsprotokoll. Der WS-Federation-Sicherheitsanbieter erkennt die folgenden Ansprüche:
| Kennung | Zweck | Beschreibung |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Namenskennung | Eindeutige, unveränderliche Kennung zur Zuordnung der Identität des Drittpartei zu an App Builder Benutzer. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Name | Benutzername. |
| http://schemas.xmlsoap.org/claims/Group | Gruppe | Mitgliedschaft in Sicherheitsgruppe. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Gruppe | Mitgliedschaft in Sicherheitsgruppe. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Gruppe | Mitgliedschaft in Sicherheitsgruppe. |
| http://schemas.zudy.com/identity/claims/fullname | Vollständiger Name | Vollständiger Name. |
| http://schemas.zudy.com/identity/claims/displayname | Anzeigename | Freundlicher Name. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Email Adresse | Email Adresse. |
| http://schemas.zudy.com/identity/claims/phonenumber | Telefonnummer | Telefonnummer. |
Integration
Wreply-Endpoint
Der WS-Federation-Sicherheitsanbieter stellt einen einzelnen Endpoint bereit, der auf HTTP-Anfragen mit einem Sicherheitstoken wartet. Die Adresse hat folgende Form:
https://example.com/App Builder/signin-WSFederation
Die URL besteht aus folgenden Teilen:
| Komponente | Beschreibung |
|---|---|
| https://example.com/App Builder/ | Absolute URL zur App Builder Stammverzeichnis der Anwendung. |
| WSFederation | URL-codierter Name des Ws-Federation-Sicherheitsanbieters. Bei dem Wert muss die Groß-/Kleinschreibung beachtet werden. |
Bekannte Probleme und Einschränkungen
Der App Builder Der WS-Federation-Sicherheitsanbieter unterliegt den folgenden Einschränkungen:
- Es kann nur eine einzige Zielgruppenbeschränkung validiert werden.
- Das Abmeldeprotokoll wird nicht unterstützt.