Zum Inhalt springen

WS-Federation-Sicherheitsanbieter im Jitterbit App Builder

Der WS-Federation-Sicherheitsanbieter ermöglicht die Authentifizierung mit Single Sign-On (SSO) bei unterstützten WS-Federation-Identitätsanbietern (IdPs), einschließlich Microsoft Entra ID und Active Directory Federation Services (AD FS). Weitere Informationen zur WS-Federation sind in den folgenden Dokumenten verfügbar:

Konfiguration

Tokens

  • Audience: Zielgruppenbeschränkung. Obwohl der Standard eine syntaktisch gültige URI erfordert, akzeptiert der App Builder nicht-URI-Werte, um mit nicht konformen Implementierungen zu integrieren. Standardmäßig auf die Entity ID gesetzt.
  • Recipient: Ws-Federation-Antwort-URL (Wreply). Standardmäßig auf die aktuelle URL gesetzt. Siehe Wreply-Endpunkt unten.
  • Entity ID: URI des WS-Federation-Sicherheitsbereichs (Wtrealm). In Microsoft Azure wird dies als App ID bezeichnet. In AD FS wird dies als Identifier bezeichnet. Erforderlich.

Vorsicht

In früheren Versionen des App Builders war die Entity ID standardmäßig auf die Anwendungsstamm-URL (z. B. https://example.com/Vinyl/) gesetzt. Die Entity ID ist jetzt erforderlich.

Endpunkte

Typ Beschreibung
Metadaten-Endpunkt WS-Federation-Metadaten-URL, z. B. https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Erforderlich.

Eigenschaften

Der WS-Federation-Sicherheitsanbieter definiert die folgenden Parameter:

Parameter Standard Beschreibung
IgnoreTlsErrors False Gibt an, ob der App Builder TLS-Fehler beim Verbinden mit der WS-Federation-Metadaten-URL ignorieren soll. Dies sollte nur für Entwicklung und Tests verwendet werden.
ClockSkew 5 Maximale Anzahl von Minuten, die für nicht synchronisierte Serveruhren bei der Validierung der SAML-Assertion erlaubt sind.
LogPII False Gibt an, dass personenbezogene Daten (PII) protokolliert werden sollen. Diese Einstellung tritt beim Start in Kraft.

Ansprüche

WS-Federation ist grundsätzlich ein auf Ansprüchen basierendes Authentifizierungsprotokoll. Der WS-Federation-Sicherheitsanbieter erkennt die folgenden Ansprüche an:

Identifier Zweck Beschreibung
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier Name Identifier Eindeutiger, unveränderlicher Identifikator, der verwendet wird, um die Identität eines Drittanbieters einem App Builder-Benutzer zuzuordnen.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name Name Benutzername.
http://schemas.xmlsoap.org/claims/Group Gruppe Mitgliedschaft in einer Sicherheitsgruppe.
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid Gruppe Mitgliedschaft in einer Sicherheitsgruppe.
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups Gruppe Mitgliedschaft in einer Sicherheitsgruppe.
http://schemas.zudy.com/identity/claims/fullname Vollständiger Name Vollständiger Name.
http://schemas.zudy.com/identity/claims/displayname Anzeigename Freundlicher Name.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress E-Mail-Adresse E-Mail-Adresse.
http://schemas.zudy.com/identity/claims/phonenumber Telefonnummer Telefonnummer.

Integration

Wreply-Endpunkt

Der WS-Federation-Sicherheitsanbieter stellt einen einzelnen Endpunkt zur Verfügung, der auf HTTP-Anfragen mit einem Sicherheitstoken hört. Die Adresse hat folgende Form:

https://example.com/Vinyl/signin-WSFederation

Die URL setzt sich aus den folgenden Teilen zusammen:

Komponente Beschreibung
https://example.com/Vinyl/ Absolute URL zum Anwendungsverzeichnis der App Builder-Anwendung.
WSFederation URL-kodierter Name des Ws-Federation-Sicherheitsanbieters. Der Wert ist groß- und kleinschreibungsempfindlich.

Bekannte Probleme und Einschränkungen

Der WS-Federation-Sicherheitsanbieter des App Builders hat folgende Einschränkungen:

  • Es kann nur eine einzige Zielgruppenbeschränkung validiert werden.
  • Das Logout-Protokoll wird nicht unterstützt.