Sicherheitsübersicht für Jitterbit App Builder
Übersicht
App Builder fördert die schnelle Entwicklung sicherer Anwendungen sowie deren schnelle Bereitstellung in einer sicheren Umfeld. Native Sicherheitsfunktionen und Konfigurationsoptionen sind im App Builder Plattform ermöglicht es Entwicklern, ihre Anwendungen zu konfigurieren und zu sichern.
App Builder unterstützt die folgenden Sicherheitsoptionen:
HTTPS
App Builder erfordert HTTPS. Wenn HTTPS aktiviert ist, werden Cookies mit dem Flag „Secure“ gesetzt. Dies verhindert, dass der Browser das Cookie über einen unsicheren (HTTP-)Kanal überträgt. Cookies werden standardmäßig mit dem Flag „HttpOnly“ gesetzt. Das Flag „HttpOnly“ schwächt Cross-Site-Scripting-Angriffe (XSS) ab.
Single Sign-On (SSO)-Anbieter
App Builder empfiehlt, die Authentifizierung an einen Single Sign-On (SSO)-Anbieter zu delegieren. App Builder unterstützt verschiedene Industriestandards, darunter SAML SSO und WS-Federation. Diese verwenden die digitale Signaturspezifikation PKCS #1 mit SHA-256-Digests.
Anspruchsbasierte Authentifizierung
Anbieter der Benutzerauthentifizierung geben Ansprüche weiter an App Builder. Sicherheitsadministratoren ordnen die Ansprüche den Benutzerattributen zu, einschließlich der Gruppenmitgliedschaft. Dokumentation:
Lokale Authentifizierung und Kennwortkonfiguration
App Builder unterstützt auch einen lokalen, passwortbasierten Authentifizierungsmechanismus. Die Passwortspeicherung ist auf der folgenden Seite dokumentiert:
Kurz gesagt werden Passwörter mithilfe der PBKDF2-Schlüsselableitungsfunktion mit dem SHA-256-Hash-Algorithmus, einer Schlüssellänge von 16 Bytes, einer Salt-Länge von 16 Bytes und 10.000 Iterationen gespeichert.
Der lokale Authentifizierungsanbieter unterstützt die folgenden Sicherheitsfunktionen:
Sicherheitstoken und Verschlüsselung
App Builder verschlüsselt und validiert Sicherheitstoken, wie etwa Session-Cookies. Außerdem App Builder verschlüsselt Server- und Sicherheitsanbieteranmeldeinformationen (Passwörter). Die Verschlüsselung sorgt für Vertraulichkeit, Validierung und Authentizität (auch Manipulationsschutz genannt). App Builder verschlüsselt Daten mit AES-256 im CBC-Blockchiffremodus mit PKCS#7-Padding. App Builder stellt die Integrität der verschlüsselten Daten mithilfe von HMAC-SHA256 sicher.
Dieselbe Verschlüsselung und Validierung kann zum Schutz ruhender Daten auf Anwendungsebene verwendet werden.
App Builder unterstützt die Verschlüsselung ruhender Daten über die native Implementierung der Transparent Data Encryption des Anbieters.
App Builder verwendet jetzt FIPS-validierte kryptografische Implementierungen und Algorithmen.
Sitzungen
App Builder bietet konfigurierbare Sitzungsspeicherrichtlinien. Standardmäßig App Builder speichert Sitzungsinformationen in der Datenbank. Administratoren können Sitzungen anzeigen und Benutzersitzungen zwangsweise abmelden. Das Verfolgen von Sitzungen schützt vor bestimmten Schwachstellen, wie z. B. Cookie-Replay-Angriffen.
Rollenbasierte Sicherheit
Der Zugriff auf Daten kann mithilfe rollenbasierter Sicherheit kontrolliert werden. Die Gruppenmitgliedschaft eines Benutzers bestimmt die Rollen des Benutzers. Die Rollen des Benutzers bestimmen die Berechtigung für Geschäftsdaten. Gruppen organisieren Benutzer; Rollen organisieren Berechtigungen.
In App Builder, Realms ermöglichen es Administratoren, Verwaltungsaufgaben wie die Benutzerbereitstellung und Gruppenmitgliedschaft zu delegieren. Diese Vorgänge sind auf den Realm beschränkt.
Weiterführende Links
Sicherheitsthemen
- Anonymer Zugriff
- Ansprüche
- Passwortablauf
- Passwortrichtlinien
- Passwort zurücksetzen
- Privilegien und Berechtigungen
- Anbieter und Identitäten
- Bereiche
- Selbstbedienung
- Sitzungen
- Benutzer und Gruppen
- Benutzer- und Gruppenbereitstellung
- Client-Authentifizierung