Zum Inhalt springen

Verwandeln Sie Ihre Kontakte in Urlaubsgeld mit unserem neuen Kundenempfehlungsprogramm! Erfahren Sie mehr

Diese Dokumentation gilt für Version 4 und höher von App Builder, dem neuen Namen für Vinyl. Hier gelangen Sie zur Vinyl-Dokumentation.

Benutzer- und Gruppenbereitstellung im Jitterbit App Builder

App Builder unterstützt die automatische Benutzer- und Gruppenbereitstellung. Die Bereitstellung reduziert den Verwaltungsaufwand, indem die manuelle Erstellung von Benutzern und Gruppen im App Builder minimiert wird.

Bereitstellungsstrategien

Bereitstellungsstrategien lassen sich in eine von zwei Kategorien einteilen:

  1. Just-In-Time (JIT) - Benutzerkonten werden bei Bedarf während des Anmeldevorgangs erstellt.
  2. Service Provider (SP) APIs - Identitätsanbieter (IdPs) verwalten Benutzer und Gruppen über vom SP bereitgestellte APIs.

Jeder Ansatz hat Vor- und Nachteile.

Zu den Nachteilen der JIT-Bereitstellung gehören:

  • Die Bereitstellung von Benutzern kann nicht aufgehoben werden.
  • Der SP verfügt nicht über eine vollständige Liste der Benutzer und Gruppen.
  • Benutzer und Gruppen können nicht mehr synchron sein, wenn sie keine unveränderliche Kennung (wie etwa eine GUID oder SID) haben.

Zu den Nachteilen von SP APIs gehören:

  • Die meisten SP- APIs sind proprietär (Salesforce, Azure, Google usw.). Neue Standards wie System for Cross-Domain Identity Management (SCIM), werden nicht häufig eingesetzt.
  • Die Einrichtung einer SP- API ist komplizierter und erfordert häufig eine benutzerdefinierte Codierung.
  • Alle Benutzer müssen beim SP registriert sein. Bestehende Benutzerkonten müssen bei der Ersteinrichtung stapelweise registriert werden.

Bereitstellungsstrategie des App Builders

App Builder implementiert JIT-Bereitstellung auf Sicherheitsanbieterebene. Wenn diese Option aktiviert ist, erstellt App Builder Benutzerkonten nach erfolgreicher Validierung von Sicherheitstoken (z. B. einer SAML Assertion oder einem OAuth 2.0-Autorisierungscode).

Bei der Konfiguration der Benutzerbereitstellung können Administratoren angeben, ob das Sicherheitstoken eine Gruppenmitgliedschaft beinhaltet. In diesem Fall extrahiert App Builder die Gruppen aus dem Sicherheitstoken, registriert sie in App Builder und ordnet den Benutzer diesen Gruppen zu. Beachten Sie, dass nicht alle Authentifizierungsschemata diese Option unterstützen. Weitere Informationen finden Sie in der Dokumentation des Sicherheitsanbieters.

Wie bereits erwähnt, unterstützt die JIT-Strategie keine Deprovisionierung von Benutzern. App Builder mildert diese Einschränkung, indem die lokale Anmeldung untersagt wird. Insbesondere kann sich der Benutzer nicht direkt bei App Builder anmelden, wenn dem Benutzerkonto kein Kennwort zugewiesen wurde. Sicherheitsadministratoren müssen sich dennoch bei App Builder anmelden und alle verwaisten Benutzerkonten löschen.

Bereitstellung aktivieren

Die Benutzerbereitstellung setzt voraus, dass die Authentifizierung an einen Identitätsanbieter (IdP) delegiert wird. Daher erfordert die Benutzerbereitstellung einen Authentifizierungssicherheitsanbieter, beispielsweise einen Single Sign-On (SSO)-Sicherheitsanbieter. Beispiele hierfür sind SAML SSO (wie Okta), WS-Federation (Microsoft Entra ID oder Active Directory Federation Services) oder andere externe Authentifizierungsanbieter (z. B. Salesforce).

Die Benutzerbereitstellung ist standardmäßig deaktiviert und muss von einem Sicherheitsadministrator aktiviert werden. So aktivieren Sie die Benutzerbereitstellung:

  1. Navigieren Sie zur IDE.
  2. Klicken Sie auf Sicherheitsanbieter.
  3. Doppelklicken Sie im Bereich Benutzerauthentifizierung auf den entsprechenden Sicherheitsanbieter.
  4. Klicken Sie im Bereich Anbieter auf Bearbeiten.
  5. Aktivieren Sie die Option Benutzerbereitstellung.
  6. Klicken Sie auf die Schaltfläche Speichern.

Zuordnen von Identitäten zu vorhandenen Benutzern

Standardmäßig erstellt der Benutzerbereitstellungsprozess neue Benutzerkonten, ordnet jedoch keine Identität einem bestehenden Konto zu. Die Bereitstellung schlägt fehl, wenn bereits ein Benutzer mit dem angegebenen Namen vorhanden ist.

Wenn der Identitätsanbieter eine vertrauenswürdige, zentrale Autoritätsquelle ist, aktivieren Sie die Option Vorhandenen Benutzer abgleichen. Diese Option ermöglicht dem Bereitstellungsprozess die Zuordnung einer Identität zu einem bestehenden Benutzer mit demselben Namen. Die Zuordnung erfolgt nur, wenn dem Benutzerkonto noch keine Identität mit dem Sicherheitsanbieter verknüpft ist.

Die Option Vorhandenen Benutzer abgleichen ist nach der Aktivierung der Benutzerbereitstellung verfügbar.

Autorisierung konfigurieren

Die Bereitstellung von Benutzern ist nur ein Teil des Puzzles. Standardmäßig haben neue Benutzerkonten keinen Zugriff auf Anwendungen. Um den Bereitstellungsprozess vollständig zu automatisieren, sollten Administratoren sicherstellen, dass neuen Benutzern bei der Anmeldung die entsprechenden Berechtigungen erteilt werden. Es gibt vier mögliche Ansätze:

Neue Benutzer werden standardmäßig der Sicherheitsgruppe „Benutzer“ hinzugefügt. Administratoren können der Gruppe „Benutzer“ Zugriff auf eine oder mehrere Anwendungen gewähren. Dies wird im Allgemeinen nicht empfohlen. Die Sicherheitsgruppe „Benutzer“ ist für alle authentifizierten Benutzer vorgesehen. Daher haben alle authentifizierten Benutzer Zugriff auf die gewährten Anwendungen, was möglicherweise nicht das gewünschte Ergebnis ist. Außerdem ist App Builder Eigentümer der Sicherheitsgruppe „Benutzer“ und kann diese während eines Upgrades ändern. Erstellen Sie eine neue Sicherheitsgruppe und aktivieren Sie die Option Beim Erstellen eines Benutzers gewähren. Wenn Beim Erstellen eines Benutzers gewähren aktiviert ist, werden neu erstellte Benutzer automatisch zur Gruppe hinzugefügt. Dies ist Option 1 vorzuziehen, da hier eine benutzerdefinierte Sicherheitsgruppe anstelle der integrierten Benutzergruppe verwendet wird. Die Option Beim Erstellen eines Benutzers gewähren gilt jedoch für alle Benutzer, unabhängig davon, ob sie manuell über die Benutzeroberfläche erstellt oder automatisch von einem Sicherheitsanbieter bereitgestellt werden. Erstellen Sie eine neue Sicherheitsanbietergruppe und aktivieren Sie die Option Beim Erstellen einer Identität gewähren. Im Gegensatz zu einer Sicherheitsgruppe ist eine Sicherheitsanbietergruppe spezifisch für einen Sicherheitsanbieter. Wie bei Option 2 müssen Administratoren eine Sicherheitsgruppe erstellen und ihr Zugriff auf eine oder mehrere Anwendungen gewähren. Aktivieren Sie jedoch nicht die Option Beim Erstellen einer Benutzerberechtigung gewähren. Erstellen Sie stattdessen eine Sicherheitsanbietergruppe, ordnen Sie sie der internen Sicherheitsgruppe zu und aktivieren Sie die Option Beim Erstellen einer Identität gewähren. Mit dieser Methode erhalten nur vom Sicherheitsanbieter bereitgestellte Benutzer automatisch Berechtigungen. Wenn der Sicherheitsanbieter die Gruppenmitgliedschaft bereitstellt, kann die Autorisierung vom Identitätsanbieter (IdP) an den App Builder übertragen werden. Der App Builder extrahiert die Gruppenmitgliedschaftsansprüche aus dem Sicherheitstoken und registriert diese Gruppen als Sicherheitsanbietergruppen. Administratoren müssen eine oder mehrere Sicherheitsanbietergruppen internen Sicherheitsgruppen zuordnen. Diese Option ist zeitaufwändiger und erfordert möglicherweise zusätzliche Konfigurationsschritte beim Identitätsanbieter (IdP). Nach der Konfiguration berücksichtigt der App Builder jedoch die vom IdP bereitgestellte Gruppenmitgliedschaft.

Die Optionen 3 und 4 schließen sich gegenseitig aus: Entweder App Builder oder der Sicherheitsanbieter können Sicherheitsanbietergruppen verwalten - nicht beide. Beide können jedoch mit der Option Beim Erstellen durch Benutzer gewähren kombiniert werden.