Zum Inhalt springen

Benutzer- und Gruppenbereitstellung im Jitterbit App Builder

App Builder unterstützt die automatische Benutzer- und Gruppenbereitstellung. Die Bereitstellung reduziert den Verwaltungsaufwand, indem die manuelle Erstellung von Benutzern und Gruppen innerhalb von App Builder.

Bereitstellungsstrategien

Bereitstellungsstrategien lassen sich in zwei Kategorien einteilen:

  1. Just-In-Time (JIT) - Benutzerkonten werden bei Bedarf während des Anmeldevorgangs erstellt.
  2. Service Provider (SP) APIs - Identitätsprovider (IdPs) verwalten Benutzer und Gruppen über vom SP bereitgestellte APIs.

Jeder Ansatz hat Vor- und Nachteile.

Zu den Nachteilen der JIT-Bereitstellung gehören:

  • Die Bereitstellung von Benutzern kann nicht aufgehoben werden.
  • Der SP verfügt nicht über eine vollständige Liste der Benutzer und Gruppen.
  • Die Synchronisierung von Benutzern und Gruppen kann unterbrochen werden, wenn diese keine unveränderliche Kennung (wie etwa eine GUID oder SID) besitzen.

Zu den Nachteilen von SP APIs gehören:

  • Die meisten SP- APIs sind proprietär (Salesforce, Azure, Google usw.). Neue Standards wie System for Cross-Domain Identity Management (SCIM) werden nicht häufig eingesetzt.
  • Die Einrichtung einer SP API ist komplizierter und erfordert häufig eine benutzerdefinierte Codierung.
  • Alle Benutzer müssen beim SP registriert sein. Vorhandene Benutzerkonten müssen bei der Ersteinrichtung stapelweise registriert werden.

App Builder Bereitstellungsstrategie

App Builder implementiert JIT-Bereitstellung auf der Ebene des Sicherheitsanbieters. Wenn aktiviert, App Builder erstellt Benutzerkonten nach erfolgreicher Validierung von Sicherheitstoken (z. B. einer SAML Assertion oder einem OAuth 2.0-Autorisierungscode).

Beim Konfigurieren der Benutzerbereitstellung können Administratoren angeben, ob das Sicherheitstoken eine Gruppenmitgliedschaft beinhaltet. In diesem Fall App Builder extrahiert die Gruppen aus dem Sicherheitstoken und registriert sie innerhalb App Builder und den Benutzer diesen Gruppen zuordnen. Beachten Sie, dass nicht alle Authentifizierungsschemata diese Option unterstützen. Weitere Informationen finden Sie in der Dokumentation des Sicherheitsanbieters.

Wie oben erwähnt, unterstützt die JIT-Strategie keine Deprovisionierung von Benutzern. App Builder mildert diese Einschränkung, indem es die lokale Anmeldung untersagt. Insbesondere wenn dem Benutzerkonto kein Passwort zugewiesen wurde, kann sich der Benutzer nicht anmelden App Builder direkt. Unabhängig davon müssen sich Sicherheitsadministratoren anmelden App Builder und löschen Sie alle verwaisten Benutzerkonten.

Bereitstellung aktivieren

Die Benutzerbereitstellung setzt voraus, dass die Authentifizierung an einen Identitätsanbieter (IdP) delegiert wird. Daher erfordert die Benutzerbereitstellung einen Authentifizierungssicherheitsanbieter wie einen Single Sign-On (SSO)-Sicherheitsanbieter. Beispiele hierfür sind SAML SSO (wie Okta), WS-Federation (Microsoft Entra ID oder Active Directory Federation Services) oder andere externe Authentifizierungsanbieter (z. B. Salesforce).

Die Benutzerbereitstellung ist standardmäßig deaktiviert und muss von einem Sicherheitsadministrator aktiviert werden. So aktivieren Sie die Benutzerbereitstellung:

  1. Navigieren Sie zur IDE.
  2. Klicken Sie auf Sicherheitsanbieter.
  3. Doppelklicken Sie im Bereich Benutzerauthentifizierung auf den entsprechenden Sicherheitsanbieter.
  4. Klicken Sie im Bereich Anbieter auf Bearbeiten.
  5. Aktivieren Sie die Option Benutzerbereitstellung.
  6. Klicken Sie auf die Schaltfläche Speichern.

Zuordnen von Identitäten zu vorhandenen Benutzern

Standardmäßig erstellt der Benutzerbereitstellungsprozess neue Benutzerkonten, ordnet jedoch keine Identität einem vorhandenen Konto zu. Die Bereitstellung schlägt fehl, wenn ein Benutzer mit dem angegebenen Namen vorhanden ist.

Wenn der IdP eine vertrauenswürdige, einzige Autoritätsquelle ist, sollten Sie die Option Vorhandenen Benutzer abgleichen aktivieren. Mit dieser Option kann der Bereitstellungsprozess eine Identität einem vorhandenen Benutzer mit demselben Namen zuordnen. Die Zuordnung erfolgt nur, wenn das Benutzerkonto noch keine Identität hat, die dem Sicherheitsanbieter zugeordnet ist.

Die Option Vorhandenen Benutzer abgleichen ist verfügbar, nachdem die Benutzerbereitstellung aktiviert wurde.

Autorisierung konfigurieren

Die Bereitstellung von Benutzern ist nur ein Teil des Puzzles. Standardmäßig haben neue Benutzerkonten keinen Zugriff auf Anwendungen. Um den Bereitstellungsprozess vollständig zu automatisieren, sollten Administratoren sicherstellen, dass neuen Benutzern bei der Anmeldung die entsprechenden Berechtigungen erteilt werden. Es gibt 4 Ansätze, die verfolgt werden können:

  • Standardmäßig werden neue Benutzer zur Sicherheitsgruppe „Benutzer“ hinzugefügt. Administratoren können der Gruppe „Benutzer“ Zugriff auf eine oder mehrere Anwendungen gewähren. Dies wird im Allgemeinen nicht empfohlen. Die Sicherheitsgruppe „Benutzer“ ist für alle authentifizierten Benutzer vorgesehen. Infolgedessen haben alle authentifizierten Benutzer Zugriff auf die gewährten Anwendungen, was möglicherweise nicht das gewünschte Ergebnis ist. Außerdem: App Builder besitzt die Sicherheitsgruppe „Benutzer“ und kann die Gruppe während eines Upgrades ändern.
  • Erstellen Sie eine neue Sicherheitsgruppe und aktivieren Sie die Option Beim Erstellen eines Benutzers gewähren. Wenn Beim Erstellen eines Benutzers gewähren aktiviert ist, werden neu erstellte Benutzer automatisch zur Gruppe hinzugefügt. Dies ist Option 1 vorzuziehen, da hier eine benutzerdefinierte Sicherheitsgruppe anstelle der integrierten Benutzergruppe verwendet wird. Die Option Beim Erstellen eines Benutzers gewähren gilt jedoch für alle Benutzer, unabhängig davon, ob sie manuell über die Benutzeroberfläche erstellt oder automatisch von einem Sicherheitsanbieter bereitgestellt werden.
  • Erstellen Sie eine neue Sicherheitsanbietergruppe und aktivieren Sie die Option Beim Erstellen einer Identität gewähren. Im Gegensatz zu einer Sicherheitsgruppe ist eine Sicherheitsanbietergruppe spezifisch für einen Sicherheitsanbieter. Wie bei Option 2 müssen Administratoren eine Sicherheitsgruppe erstellen und ihr Zugriff auf eine oder mehrere Anwendungen gewähren. Aktivieren Sie jedoch nicht die Option Beim Erstellen eines Benutzers gewähren. Erstellen Sie stattdessen eine Sicherheitsanbietergruppe, ordnen Sie sie der internen Sicherheitsgruppe zu und aktivieren Sie die Option Beim Erstellen einer Identität gewähren. Mit dieser Technik werden nur Benutzern, die vom Sicherheitsanbieter bereitgestellt werden, automatisch Berechtigungen gewährt.
  • Wenn der Sicherheitsanbieter eine Gruppenmitgliedschaft bereitstellt, kann die Autorisierung vom Identity Provider (IdP) auf App Builder. App Builder extrahiert die Gruppenmitgliedschaftsansprüche aus dem Sicherheitstoken und registriert diese Gruppen als Sicherheitsanbietergruppen. Administratoren müssen eine oder mehrere Sicherheitsanbietergruppen internen Sicherheitsgruppen zuordnen. Die Einrichtung dieser Option nimmt mehr Zeit in Anspruch und erfordert möglicherweise zusätzliche Konfigurationen beim Identitätsanbieter (IdP). Nach der Konfiguration App Builder wird die vom IdP bereitgestellte Gruppenmitgliedschaft anerkennen.

Optionen 3 und 4 schließen sich gegenseitig aus: entweder App Builder oder der Sicherheitsanbieter kann Sicherheitsanbietergruppen verwalten - nicht beides. Beide können jedoch mit der Option Bewilligung bei Benutzererstellung kombiniert werden.