Zum Inhalt springen

Sicherheitsübersicht für Jitterbit App Builder

Übersicht

App Builder fördert die schnelle Entwicklung sicherer Anwendungen sowie deren Fähigkeit, schnell in einer sicheren Umgebung bereitgestellt zu werden. Eingebaute Sicherheitsfunktionen und Konfigurationsoptionen innerhalb der App Builder-Plattform ermöglichen es Entwicklern, ihre Anwendungen zu konfigurieren und abzusichern.

App Builder unterstützt die folgenden Sicherheitsoptionen:

HTTPS

App Builder verlangt HTTPS. Wenn HTTPS aktiviert ist, werden Cookies mit dem Secure-Flag gesetzt. Dies verhindert, dass der Browser das Cookie über einen unsicheren (HTTP) Kanal überträgt. Cookies werden standardmäßig mit dem HttpOnly-Flag gesetzt. Das HttpOnly-Flag mindert Angriffe durch Cross-Site Scripting (XSS).

Single Sign-On (SSO) Anbieter

App Builder empfiehlt, die Authentifizierung an einen Single Sign-On (SSO) Anbieter zu delegieren. App Builder unterstützt verschiedene Branchenstandards, einschließlich SAML SSO und WS-Federation. Diese verwenden die PKCS #1-Digital-Signatur-Spezifikation mit SHA-256-Hashes.

Anspruchsbasierte Authentifizierung

Benutzerauthentifizierungsanbieter übergeben Ansprüche an App Builder. Sicherheitsadministratoren ordnen die Ansprüche Benutzerattributen zu, einschließlich der Gruppenmitgliedschaft. Dokumentation:

Lokale Authentifizierung und Passwortkonfiguration

App Builder unterstützt auch einen lokalen, passwortbasierten Authentifizierungsmechanismus. Die Passwortspeicherung ist auf der folgenden Seite dokumentiert:

Kurz gesagt, Passwörter werden mit der PBKDF2-Schlüsselerzeugungsfunktion und dem SHA-256-Hashalgorithmus, einer Schlüssellänge von 16 Bytes, einer Salt-Länge von 16 Bytes und 10.000 Iterationen gespeichert.

Der lokale Authentifizierungsanbieter unterstützt die folgenden Sicherheitsfunktionen:

Sicherheitstoken und Datenverschlüsselung

App Builder verschlüsselt und validiert Sicherheitstoken, wie z.B. Sitzungscookies. Außerdem verschlüsselt App Builder Server- und Sicherheitsanbieter-Anmeldeinformationen (Passwörter). Die Verschlüsselung gewährleistet Vertraulichkeit; die Validierung, Authentizität (auch bekannt als Manipulationssicherheit). App Builder verschlüsselt Daten mit AES-256 im CBC-Blockchiffre-Modus mit PKCS #7-Padding. App Builder stellt die Integrität der verschlüsselten Daten mit HMAC-SHA256 sicher.

Die gleiche Verschlüsselung und Validierung kann verwendet werden, um Anwendungsdaten im Ruhezustand zu schützen.

App Builder unterstützt die Verschlüsselung von Daten im Ruhezustand über die native Implementierung des Anbieters für transparente Datenverschlüsselung.

App Builder verwendet jetzt FIPS-validierte kryptografische Implementierungen und Algorithmen.

Sitzungen

App Builder bietet konfigurierbare Richtlinien zur Sitzungsverwaltung. Standardmäßig speichert App Builder Sitzungsinformationen in der Datenbank. Administratoren können Sitzungen einsehen und Benutzer-Sitzungen zwangsweise abmelden. Das Verfolgen von Sitzungen schützt vor bestimmten Schwachstellen, wie z.B. Cookie-Wiederholungsangriffen.

Rollenbasierte Sicherheit

Der Zugriff auf Daten kann mithilfe von rollenbasierter Sicherheit kontrolliert werden. Die Gruppenzugehörigkeit eines Benutzers bestimmt die Rollen des Benutzers. Die Rollen des Benutzers bestimmen die Berechtigung für Geschäftsdaten. Gruppen organisieren Benutzer; Rollen organisieren Berechtigungen.

In App Builder ermöglichen Bereiche Administratoren, administrative Aufgaben wie die Benutzerbereitstellung und Gruppenzugehörigkeit zu delegieren. Diese Operationen sind auf den Bereich beschränkt.

Sicherheitsthemen

Anleitungen

Ressourcen