Zum Inhalt springen

Benutzer- und Gruppenbereitstellung im Jitterbit App Builder

Der App Builder unterstützt die automatisierte Benutzer- und Gruppenbereitstellung. Die Bereitstellung verringert die administrative Belastung, indem die manuelle Erstellung von Benutzern und Gruppen innerhalb des App Builders minimiert wird.

Bereitstellungsstrategien

Bereitstellungsstrategien fallen in eine von zwei Kategorien:

  1. Just-In-Time (JIT) - Benutzerkonten werden bei Bedarf während des Anmeldevorgangs erstellt.
  2. Service Provider (SP) APIs - Identitätsanbieter (IdPs) verwalten Benutzer und Gruppen über von SP bereitgestellte APIs.

Jeder Ansatz hat Vor- und Nachteile.

Nachteile der JIT-Bereitstellung sind:

  • Benutzer können nicht deprovisioniert werden.
  • Der SP hat keine vollständige Liste von Benutzern und Gruppen.
  • Benutzer und Gruppen können unsynchronisiert werden, wenn Benutzer und Gruppen keinen unveränderlichen Identifikator (wie eine GUID oder SID) haben.

Nachteile der SP-APIs sind:

  • Die meisten SP-APIs sind proprietär (Salesforce, Azure, Google usw.). Aufkommende Standards wie das System für Cross-Domain Identity Management (SCIM) sind nicht weit verbreitet.
  • Eine SP-API ist komplizierter einzurichten und erfordert oft benutzerdefinierte Programmierung.
  • Alle Benutzer müssen beim SP registriert sein. Bestehende Benutzerkonten müssen während der Erstkonfiguration in großen Mengen registriert werden.

Bereitstellungsstrategie des App Builders

Der App Builder implementiert die JIT-Bereitstellung auf der Ebene des Sicherheitsanbieters. Wenn aktiviert, erstellt der App Builder Benutzerkonten, nachdem die Sicherheits-Token (wie eine SAML-Assertion oder einen OAuth 2.0-Autorisierungscode) erfolgreich validiert wurden.

Bei der Konfiguration der Benutzerbereitstellung können Administratoren angeben, ob das Sicherheits-Token die Gruppenmitgliedschaft enthält. In diesem Fall extrahiert der App Builder die Gruppen aus dem Sicherheits-Token, registriert sie innerhalb des App Builders und verknüpft den Benutzer mit diesen Gruppen. Beachten Sie, dass nicht alle Authentifizierungsschemata diese Option unterstützen. Überprüfen Sie die Dokumentation des Sicherheitsanbieters für weitere Informationen.

Wie oben erwähnt, unterstützt die JIT-Strategie keine Benutzer-Deprovisionierung. Der App Builder mildert diese Einschränkung, indem er lokale Anmeldungen nicht zulässt. Insbesondere, wenn dem Benutzerkonto kein Passwort zugewiesen wurde, kann der Benutzer sich nicht direkt im App Builder anmelden. Unabhängig davon müssen Sicherheitsadministratoren sich im App Builder anmelden und alle verwaisten Benutzerkonten löschen.

Bereitstellung aktivieren

Die Benutzerbereitstellung setzt voraus, dass die Authentifizierung an einen Identitätsanbieter (IdP) delegiert wird. Daher erfordert die Benutzerbereitstellung einen Authentifizierungs-Sicherheitsanbieter wie einen Single Sign-On (SSO) Sicherheitsanbieter. Beispiele sind SAML SSO (wie Okta), WS-Federation (Microsoft Entra ID oder Active Directory Federation Services) oder andere externe Authentifizierungsanbieter (z. B. Salesforce).

Die Benutzerbereitstellung ist standardmäßig deaktiviert und muss von einem Sicherheitsadministrator aktiviert werden. Um die Benutzerbereitstellung zu aktivieren:

  1. Navigieren Sie zu IDE.
  2. Klicken Sie auf Sicherheitsanbieter.
  3. Doppelklicken Sie auf den entsprechenden Sicherheitsanbieter im Panel Benutzerauthentifizierung.
  4. Klicken Sie auf Bearbeiten im Panel Anbieter.
  5. Aktivieren Sie die Option Benutzerbereitstellung.
  6. Klicken Sie auf die Schaltfläche Speichern.

Identitäten bestehenden Benutzern zuordnen

Standardmäßig erstellt der Benutzerbereitstellungsprozess neue Benutzerkonten, ordnet jedoch keine Identität einem bestehenden Konto zu. Die Bereitstellung schlägt fehl, wenn ein Benutzer mit dem angegebenen Namen bereits existiert.

Wenn der IdP eine vertrauenswürdige, einzige Autoritätsquelle ist, sollten Sie in Betracht ziehen, die Option Vorhandenen Benutzer abgleichen zu aktivieren. Diese Option ermöglicht es dem Bereitstellungsprozess, eine Identität einem bestehenden Benutzer mit demselben Namen zuzuordnen. Die Zuordnung erfolgt nur, wenn das Benutzerkonto noch keine mit dem Sicherheitsanbieter verbundene Identität hat.

Die Option Vorhandenen Benutzer abgleichen ist verfügbar, nachdem die Benutzerbereitstellung aktiviert wurde.

Autorisierung konfigurieren

Die Bereitstellung von Benutzern ist nur ein Teil des Puzzles. Standardmäßig haben neue Benutzerkonten keinen Zugriff auf Anwendungen. Um den Bereitstellungsprozess vollständig zu automatisieren, sollten Administratoren sicherstellen, dass neuen Benutzern beim Anmelden die entsprechenden Berechtigungen gewährt werden. Es gibt 4 Ansätze, die verfolgt werden können:

  • Standardmäßig werden neue Benutzer der Sicherheitsgruppe "Benutzer" hinzugefügt. Administratoren können der Gruppe "Benutzer" den Zugriff auf eine oder mehrere Anwendungen gewähren. Dies wird im Allgemeinen nicht empfohlen. Die Sicherheitsgruppe "Benutzer" ist für alle authentifizierten Benutzer gedacht. Infolgedessen haben alle authentifizierten Benutzer Zugriff auf die gewährten Anwendungen, was möglicherweise nicht das gewünschte Ergebnis ist. Außerdem gehört die Gruppe "Benutzer" dem App Builder und kann während eines Upgrades geändert werden.
  • Erstellen Sie eine neue Sicherheitsgruppe und aktivieren Sie die Option Berechtigung bei Benutzererstellung gewähren. Wenn Berechtigung bei Benutzererstellung gewähren aktiviert ist, werden neu erstellte Benutzer automatisch der Gruppe hinzugefügt. Dies ist vorzuziehen gegenüber Option #1, da es eine benutzerdefinierte Sicherheitsgruppe anstelle der integrierten Gruppe "Benutzer" verwendet. Die Option Berechtigung bei Benutzererstellung gewähren gilt jedoch für alle Benutzer, unabhängig davon, ob sie manuell über die Benutzeroberfläche oder automatisch von einem Sicherheitsanbieter bereitgestellt werden.
  • Erstellen Sie eine neue Sicherheitsanbieterguppe und aktivieren Sie die Option Berechtigung bei Identitätserstellung gewähren. Im Gegensatz zu einer Sicherheitsgruppe ist eine Sicherheitsanbieterguppe spezifisch für einen Sicherheitsanbieter. Wie in Option #2 müssen Administratoren eine Sicherheitsgruppe erstellen und ihr den Zugriff auf eine oder mehrere Anwendungen gewähren. Aktivieren Sie jedoch nicht die Option Berechtigung bei Benutzererstellung gewähren. Erstellen Sie stattdessen eine Sicherheitsanbieterguppe, ordnen Sie sie der internen Sicherheitsgruppe zu und aktivieren Sie die Option Berechtigung bei Identitätserstellung gewähren. Mit dieser Technik erhalten nur Benutzer, die vom Sicherheitsanbieter bereitgestellt werden, automatisch Berechtigungen.
  • Wenn der Sicherheitsanbieter Gruppenmitgliedschaften bereitstellt, kann die Autorisierung vom Identitätsanbieter (IdP) an den App Builder weitergegeben werden. Der App Builder extrahiert die Gruppenmitgliedschaftsansprüche aus dem Sicherheitstoken und registriert diese Gruppen als Sicherheitsanbieterguppen. Administratoren müssen eine oder mehrere Sicherheitsanbieterguppen internen Sicherheitsgruppen zuordnen. Diese Option benötigt mehr Zeit für die Einrichtung und kann zusätzliche Konfigurationen beim Identitätsanbieter (IdP) erfordern. Sobald sie jedoch konfiguriert ist, wird der App Builder die vom IdP bereitgestellten Gruppenmitgliedschaften respektieren.

Optionen 3 und 4 schließen sich gegenseitig aus: Entweder kann der App Builder oder der Sicherheitsanbieter Sicherheitsanbietergruppen verwalten – nicht beide. Sie können jedoch beide mit der Grant On User Create-Option kombiniert werden.