WS-Federation-Sicherheitsanbieter im Jitterbit App Builder
Der WS-Federation-Sicherheitsanbieter ermöglicht die Single Sign-On (SSO)-Authentifizierung mit unterstützten WS-Federation-Identitätsanbietern (IdPs), einschließlich Microsoft Entra ID und Active Directory Federation Services (AD FS). Weitere Informationen zu WS-Federation finden Sie in den folgenden Dokumenten:
Konfiguration
Token
- Zielgruppe: Zielgruppenbeschränkung. Obwohl der Standard eine syntaktisch gültige URI erfordert, akzeptiert App Builder auch Nicht-URI-Werte für die Integration mit nicht konformen Implementierungen. Standardmäßig wird die Entitäts-ID verwendet.
- Empfänger: Ws-Federation-Antwort-URL (Wreply). Standardmäßig wird die aktuelle URL verwendet. Siehe Wreply Endpoint weiter unten.
- Entitäts-ID: WS-Federation-Sicherheitsbereichs-URI (Wtrealm). In Microsoft Azure wird dies als App-ID bezeichnet. In AD FS wird dies als Bezeichner bezeichnet. Erforderlich.
Vorsicht
In früheren Versionen von App Builder war die Entity-ID standardmäßig die Stamm URL der Anwendung (z. B. https://example.com/App Builder/). Entitäts-ID ist jetzt erforderlich.
Endpoints
| Typ | Beschreibung |
|---|---|
| Metadaten-Endpoint | WS-Federation-Metadaten URL, zB https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Erforderlich. |
Eigenschaften
Der WS-Federation-Sicherheitsanbieter definiert die folgenden Parameter:
| Parameter | Standard | Beschreibung |
|---|---|---|
| IgnoreTlsErrors | False | Gibt an, ob App Builder TLS-Fehler beim Herstellen einer Verbindung mit der WS-Federation-Metadaten-URL ignorieren soll. Dies sollte nur für Entwicklung und Tests verwendet werden. |
| ClockSkew | 5 | Maximale Anzahl von Minuten, die bei der Validierung der SAML Assertion nicht synchronisierte Serveruhren berücksichtigen. |
| LogPII | False | Gibt an, dass personenbezogene Daten (PII) protokolliert werden sollen. Diese Einstellung wird beim Start wirksam. |
Ansprüche
WS-Federation ist grundsätzlich ein anspruchsbasiertes Authentifizierungsprotokoll. Der WS-Federation-Sicherheitsprovider erkennt die folgenden Ansprüche:
| Kennung | Zweck | Beschreibung |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Namenskennung | Eindeutige, unveränderliche Kennung, die verwendet wird, um die Identität eines Drittpartei einem App Builder Benutzer zuzuordnen. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Name | Benutzername. |
| http://schemas.xmlsoap.org/claims/Group | Gruppe | Mitgliedschaft in Sicherheitsgruppen. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Gruppe | Mitgliedschaft in der Sicherheitsgruppe. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Gruppe | Mitgliedschaft in Sicherheitsgruppen. |
| http://schemas.zudy.com/identity/claims/fullname | Vollständiger Name | Vollständiger Name. |
| http://schemas.zudy.com/identity/claims/displayname | Anzeigename | Anzeigename. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Email Adresse | Email Adresse. |
| http://schemas.zudy.com/identity/claims/phonenumber | Telefonnummer | Telefonnummer. |
Integration
Wreply Endpoint
Der WS-Federation-Sicherheitsanbieter stellt einen einzelnen Endpoint bereit, der auf HTTP-Anfragen mit einem Sicherheitstoken wartet. Die Adresse hat folgendes Format:
https://example.com/App Builder/signin-WSFederation
Die URL besteht aus folgenden Teilen:
| Komponente | Beschreibung |
|---|---|
| https://example.com/App Builder/ | Absolute URL zum Stammverzeichnis der App Builder-Anwendung. |
| WSFederation | URL-codierter Name des Ws-Federation-Sicherheitsanbieters. Bei dem Wert wird die Groß- und Kleinschreibung beachtet. |
Bekannte Probleme und Einschränkungen
Für den App Builder WS-Federation-Sicherheitsanbieter gelten die folgenden Einschränkungen:
- Es kann nur eine einzige Zielgruppenbeschränkung validiert werden.
- Das Logout-Protokoll wird nicht unterstützt.