Sicherheitsübersicht für Jitterbit App Builder
Übersicht
App Builder ermöglicht die schnelle Entwicklung sicherer Anwendungen und deren schnelle Bereitstellung in einer sicheren Umfeld. Dank nativer Sicherheitsfunktionen und Konfigurationsoptionen der App Builder Plattform können Entwickler ihre Anwendungen konfigurieren und sichern.
App Builder unterstützt die folgenden Sicherheitsoptionen:
HTTPS
App Builder erfordert HTTPS. Wenn HTTPS aktiviert ist, werden Cookies mit dem Secure-Flag gesetzt. Dies verhindert, dass der Browser das Cookie über einen unsicheren (HTTP-)Kanal überträgt. Cookies werden standardmäßig mit dem HttpOnly-Flag gesetzt. Das HttpOnly-Flag verringert Cross-Site-Scripting-Angriffe (XSS).
Single Sign-On (SSO)-Anbieter
App Builder empfiehlt, die Authentifizierung an einen Single Sign-On (SSO)-Anbieter zu delegieren. App Builder unterstützt verschiedene Industriestandards, darunter SAML SSO und WS-Federation. Diese verwenden die digitale Signaturspezifikation PKCS #1 mit SHA-256-Digests.
Anspruchsbasierte Authentifizierung
Anbieter von Benutzerauthentifizierungen übergeben Ansprüche an den App Builder. Sicherheitsadministratoren ordnen die Ansprüche Benutzerattributen, einschließlich der Gruppenmitgliedschaft, zu. Dokumentation:
Lokale Authentifizierung und Kennwortkonfiguration
App Builder unterstützt auch einen lokalen, passwortbasierten Authentifizierungsmechanismus. Die Passwortspeicherung ist auf der folgenden Seite dokumentiert:
Kurz gesagt: Passwörter werden mithilfe der PBKDF2-Schlüsselableitungsfunktion mit dem SHA-256-Hash-Algorithmus, einer Schlüssellänge von 16 Byte, einer Salt-Länge von 16 Byte und 10.000 Iterationen gespeichert.
Der lokale Authentifizierungsanbieter unterstützt die folgenden Sicherheitsfunktionen:
Sicherheitstoken und Verschlüsselung
App Builder verschlüsselt und validiert Sicherheitstoken wie Sitzungscookies. Außerdem verschlüsselt App Builder die Anmeldeinformationen (Passwörter) von Servern und Sicherheitsanbietern. Die Verschlüsselung gewährleistet Vertraulichkeit, Validierung und Authentizität (auch Manipulationsschutz genannt). App Builder verschlüsselt Daten mit AES-256 im CBC-Blockchiffremodus mit PKCS #7-Padding. App Builder gewährleistet die Integrität der verschlüsselten Daten mit HMAC-SHA256.
Dieselbe Verschlüsselung und Validierung kann zum Schutz ruhender Daten auf Anwendungsebene verwendet werden.
App Builder unterstützt die Verschlüsselung ruhender Daten über die native Implementierung der transparenten Datenverschlüsselung des Anbieters.
App Builder verwendet jetzt FIPS-validierte kryptografische Implementierungen und Algorithmen.
Sitzungen
App Builder bietet konfigurierbare Richtlinien zur Sitzungsspeicherung. Standardmäßig speichert App Builder Sitzungsinformationen in der Datenbank. Administratoren können Sitzungen einsehen und Benutzersitzungen zwangsweise abmelden. Die Sitzungsverfolgung schützt vor bestimmten Sicherheitslücken, wie z. B. Cookie-Replay-Angriffen.
Rollenbasierte Sicherheit
Der Datenzugriff kann rollenbasiert gesteuert werden. Die Gruppenmitgliedschaft eines Benutzers bestimmt dessen Rollen. Die Rollen bestimmen die Berechtigungen für den Zugriff auf Geschäftsdaten. Gruppen ordnen Benutzer ein, Rollen ordnen Berechtigungen ein.
Im App Builder ermöglichen Realms Administratoren das Delegieren administrativer Aufgaben wie Benutzerbereitstellung und Gruppenmitgliedschaft. Diese Vorgänge sind auf den Realm beschränkt.
Weiterführende Links
Sicherheitsthemen
- Anonymer Zugriff
- Ansprüche
- Passwortablauf
- Passwortrichtlinien
- Passwort zurücksetzen
- Berechtigungen und Berechtigungen
- Anbieter und Identitäten
- Reiche
- Selbstbedienung
- Sitzungen
- Benutzer und Gruppen
- Benutzer- und Gruppenbereitstellung
- Client-Authentifizierung