WS-Federation-Sicherheitsanbieter im Jitterbit App Builder
Der WS-Federation-Sicherheitsanbieter ermöglicht die Authentifizierung mit Single Sign-On (SSO) bei unterstützten WS-Federation-Identitätsanbietern (IdPs), einschließlich Microsoft Entra ID und Active Directory Federation Services (AD FS). Weitere Informationen zur WS-Federation sind in den folgenden Dokumenten verfügbar:
Konfiguration
Tokens
- Audience: Zielgruppenbeschränkung. Obwohl der Standard eine syntaktisch gültige URI erfordert, akzeptiert der App Builder nicht-URI-Werte, um mit nicht konformen Implementierungen zu integrieren. Standardmäßig auf die Entity ID gesetzt.
- Recipient: Ws-Federation-Antwort-URL (Wreply). Standardmäßig auf die aktuelle URL gesetzt. Siehe Wreply-Endpunkt unten.
- Entity ID: URI des WS-Federation-Sicherheitsbereichs (Wtrealm). In Microsoft Azure wird dies als App ID bezeichnet. In AD FS wird dies als Identifier bezeichnet. Erforderlich.
Vorsicht
In früheren Versionen des App Builders war die Entity ID standardmäßig auf die Anwendungsstamm-URL (z. B. https://example.com/Vinyl/) gesetzt. Die Entity ID ist jetzt erforderlich.
Endpunkte
| Typ | Beschreibung |
|---|---|
| Metadaten-Endpunkt | WS-Federation-Metadaten-URL, z. B. https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Erforderlich. |
Eigenschaften
Der WS-Federation-Sicherheitsanbieter definiert die folgenden Parameter:
| Parameter | Standard | Beschreibung |
|---|---|---|
| IgnoreTlsErrors | False | Gibt an, ob der App Builder TLS-Fehler beim Verbinden mit der WS-Federation-Metadaten-URL ignorieren soll. Dies sollte nur für Entwicklung und Tests verwendet werden. |
| ClockSkew | 5 | Maximale Anzahl von Minuten, die für nicht synchronisierte Serveruhren bei der Validierung der SAML-Assertion erlaubt sind. |
| LogPII | False | Gibt an, dass personenbezogene Daten (PII) protokolliert werden sollen. Diese Einstellung tritt beim Start in Kraft. |
Ansprüche
WS-Federation ist grundsätzlich ein auf Ansprüchen basierendes Authentifizierungsprotokoll. Der WS-Federation-Sicherheitsanbieter erkennt die folgenden Ansprüche an:
| Identifier | Zweck | Beschreibung |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Name Identifier | Eindeutiger, unveränderlicher Identifikator, der verwendet wird, um die Identität eines Drittanbieters einem App Builder-Benutzer zuzuordnen. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Name | Benutzername. |
| http://schemas.xmlsoap.org/claims/Group | Gruppe | Mitgliedschaft in einer Sicherheitsgruppe. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Gruppe | Mitgliedschaft in einer Sicherheitsgruppe. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Gruppe | Mitgliedschaft in einer Sicherheitsgruppe. |
| http://schemas.zudy.com/identity/claims/fullname | Vollständiger Name | Vollständiger Name. |
| http://schemas.zudy.com/identity/claims/displayname | Anzeigename | Freundlicher Name. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | E-Mail-Adresse | E-Mail-Adresse. |
| http://schemas.zudy.com/identity/claims/phonenumber | Telefonnummer | Telefonnummer. |
Integration
Wreply-Endpunkt
Der WS-Federation-Sicherheitsanbieter stellt einen einzelnen Endpunkt zur Verfügung, der auf HTTP-Anfragen mit einem Sicherheitstoken hört. Die Adresse hat folgende Form:
https://example.com/Vinyl/signin-WSFederation
Die URL setzt sich aus den folgenden Teilen zusammen:
| Komponente | Beschreibung |
|---|---|
| https://example.com/Vinyl/ | Absolute URL zum Anwendungsverzeichnis der App Builder-Anwendung. |
| WSFederation | URL-kodierter Name des Ws-Federation-Sicherheitsanbieters. Der Wert ist groß- und kleinschreibungsempfindlich. |
Bekannte Probleme und Einschränkungen
Der WS-Federation-Sicherheitsanbieter des App Builders hat folgende Einschränkungen:
- Es kann nur eine einzige Zielgruppenbeschränkung validiert werden.
- Das Logout-Protokoll wird nicht unterstützt.