WS-Federation-Sicherheitsanbieter im Jitterbit App Builder
Der WS-Federation-Sicherheitsanbieter ermöglicht die Authentifizierung mit Single Sign-On (SSO) bei unterstützten WS-Federation-Identitätsanbietern (IdPs), einschließlich Microsoft Entra ID und Active Directory Federation Services (AD FS). Weitere Informationen zur WS-Federation sind in den folgenden Dokumenten verfügbar:
Konfiguration
Tokens
- Audience: Zielgruppenbeschränkung. Obwohl der Standard eine syntaktisch gültige URI erfordert, akzeptiert der App Builder nicht-URI-Werte, um mit nicht konformen Implementierungen zu integrieren. Standardmäßig auf die Entity ID eingestellt.
- Recipient: Ws-Federation-Antwort-URL (Wreply). Standardmäßig auf die aktuelle URL eingestellt. Siehe Wreply-Endpunkt unten.
- Entity ID: URI des WS-Federation-Sicherheitsbereichs (Wtrealm). In Microsoft Azure wird dies als App ID bezeichnet. In AD FS wird dies als Identifier bezeichnet. Erforderlich.
Vorsicht
In früheren Versionen des App Builders war die Entity ID standardmäßig die URL des Anwendungsstammverzeichnisses (z. B. https://example.com/Vinyl/). Die Entity ID ist jetzt erforderlich.
Endpunkte
| Typ | Beschreibung |
|---|---|
| Metadaten-Endpunkt | WS-Federation-Metadaten-URL, z. B. https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Erforderlich. |
Eigenschaften
Der WS-Federation-Sicherheitsanbieter definiert die folgenden Parameter:
| Parameter | Standard | Beschreibung |
|---|---|---|
| IgnoreTlsErrors | False | Gibt an, ob der App Builder TLS-Fehler beim Verbinden mit der WS-Federation-Metadaten-URL ignorieren soll. Dies sollte nur für Entwicklung und Tests verwendet werden. |
| ClockSkew | 5 | Maximale Anzahl von Minuten, die für nicht synchronisierte Serveruhren bei der Validierung der SAML-Assertion zulässig sind. |
| LogPII | False | Gibt an, dass personenbezogene Daten (PII) protokolliert werden sollen. Diese Einstellung tritt beim Start in Kraft. |
Ansprüche
WS-Federation ist grundsätzlich ein auf Ansprüchen basierendes Authentifizierungsprotokoll. Der WS-Federation-Sicherheitsanbieter erkennt die folgenden Ansprüche an:
| Identifier | Zweck | Beschreibung |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Name Identifier | Eindeutiger, unveränderlicher Identifikator, der verwendet wird, um die Identität eines Dritten einem App Builder-Benutzer zuzuordnen. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Name | Benutzername. |
| http://schemas.xmlsoap.org/claims/Group | Gruppe | Mitgliedschaft in einer Sicherheitsgruppe. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Gruppe | Mitgliedschaft in einer Sicherheitsgruppe. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Gruppe | Mitgliedschaft in einer Sicherheitsgruppe. |
| http://schemas.zudy.com/identity/claims/fullname | Vollständiger Name | Vollständiger Name. |
| http://schemas.zudy.com/identity/claims/displayname | Anzeigename | Freundlicher Name. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Email-Adresse | Email-Adresse. |
| http://schemas.zudy.com/identity/claims/phonenumber | Telefonnummer | Telefonnummer. |
Integration
Wreply endpoint
Der WS-Federation-Sicherheitsanbieter stellt einen einzigen Endpunkt zur Verfügung, der auf HTTP-Anfragen mit einem Sicherheitstoken hört. Die Adresse hat folgende Form:
https://example.com/Vinyl/signin-WSFederation
Die URL setzt sich aus den folgenden Teilen zusammen:
| Komponente | Beschreibung |
|---|---|
| https://example.com/Vinyl/ | Absolute URL zum Anwendungsverzeichnis der App Builder-Anwendung. |
| WSFederation | URL-kodierter Name des Ws-Federation-Sicherheitsanbieters. Der Wert ist groß- und kleinschreibungsempfindlich. |
Known issues and limitations
Der WS-Federation-Sicherheitsanbieter des App Builders hat folgende Einschränkungen:
- Es kann nur eine einzige Zielgruppenbeschränkung validiert werden.
- Das Logout-Protokoll wird nicht unterstützt.